態(tài)勢感知中的威脅情報數(shù)據(jù)交換

2018-08-10 02:14:56楊望

中國教育網(wǎng)絡 2018年7期

文/楊望

為了加強安全設備的配合，以及促進不同組織間的協(xié)同響應，需要開發(fā)標準化的機器可識別的網(wǎng)絡空間威脅情報數(shù)據(jù)交換方法。

情報信息是現(xiàn)代網(wǎng)絡安全中重要的一種資源。由于網(wǎng)絡空間里的黑客有了更強大的工具軍火庫和資源，攻擊行為更多的是有組織犯罪和政府背景行為，攻擊變得越來越復雜，態(tài)勢感知技術也因此被應用于網(wǎng)絡空間安全領域來對抗這種復雜的攻擊。為了實現(xiàn)對威脅的全面感知、分析和響應，態(tài)勢感知技術需要掌握所有出現(xiàn)的威脅信息，但一種單獨的網(wǎng)絡安全設備無法檢測到所有類型的攻擊，一家單獨的組織也無法發(fā)現(xiàn)所有的安全威脅，因此在設備間和組織間交換安全威脅相關的情報成為搭建態(tài)勢感知系統(tǒng)的重要基礎。由于不同設備和組織各自有不同的數(shù)據(jù)格式和數(shù)據(jù)組織形式，為了加強安全設備的配合，以及促進不同組織間的協(xié)同響應，需要開發(fā)標準化的機器可識別的網(wǎng)絡空間威脅情報數(shù)據(jù)交換方法。在這個過程中，不同的組織定義了不同的數(shù)據(jù)交換協(xié)議標準，下面將從時間發(fā)展角度介紹幾種不同的常用于威脅情報交換的數(shù)據(jù)標準：IDMEF、IOMEF、OpenIOC和STIX。

IDMEF

入侵檢測消息交換格式IDMEF（Intrusion Detection Message Exchange Format）是最早定義于安全設備間進行數(shù)據(jù)交換的標準之一，由IETF的入侵檢測工作組IDWG （Intrusion Detection Working Group)定義，最后發(fā)表時間為2007年。IDMEF主要用于在不同的入侵檢測系統(tǒng)之間交換警報信息，從而實現(xiàn)商用、開源和在研等不同類型的入侵檢測系統(tǒng)之間可以自動地交換數(shù)據(jù)。IDMEF的格式如圖1所示，只包括警報（Alert)和心跳（HeartBeat)兩種信息。警報信息中除了常用的時間、攻擊源類型等信息之外，還定了少量的工具、溢出攻擊等字段來說明攻擊的詳細信息，可以被基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)使用。IDMEF標準的定義時間較早，交換對象也僅限于入侵檢測系統(tǒng)之間警報信息，無法描述更豐富的不同類型的情報數(shù)據(jù)，因此作為最早的標準之一，盡管大多數(shù)入侵檢測系統(tǒng)都支持IDMEF格式的消息輸出，實際應用并不廣泛。

OpenIOC

隨著APT攻擊的出現(xiàn)，人們希望能快速地將情報信息用于安全響應，如將僵尸網(wǎng)絡的控制器加入黑名單，將攻擊軟件的代碼特征和網(wǎng)絡特征配置進入主機防御系統(tǒng)和網(wǎng)絡入侵檢測系統(tǒng)。這些種類的情報信息被命名為IOC(Indicator of Compromise)，它們描述了入侵過程的各種可被觀測的信息。IOC信息根據(jù)復雜度可以被分為不同的種類，最簡單的如IP地址、URL信息、郵件主題信息可以直接應用在檢測中，文件Hash、報文負載的正則表達式特征則需要對原始數(shù)據(jù)進行處理以后才可以使用，為了防止誤報，有時需要將多個簡單或復雜的IOC組合以后才能唯一標記出一類入侵。大量的威脅情報網(wǎng)站(如AlientVault公司的Open Threat Exchange)都定義了自己的IOC格式來發(fā)布不同類型的IOC信息,在應用這些信息時，用戶需要開發(fā)不同的格式解析軟件，因此2013年Mandiant公司（以研究APT攻擊出名）定義了OpenIOC，一種基于XML的IOC數(shù)據(jù)表示標準，并提供了免費軟件進行OpenIOC的編輯。但是由于商業(yè)公司之間的壁壘，Mandiant公司沒能成功推廣該標準。

圖1 IDMEF消息格式

圖2 IODEF消息格式

IODEF

威脅情報交換不僅僅是設備間的交互，更重要的是不同組織之間的交互，事件對象描述交換格式(IODEF, Incident Object Description Exchange Format)被定義用于在不同的安全響應組織之間進行安全信息的交換。IODEF最初定義于2007年，經(jīng)過了長期的發(fā)展，最后一版定義于2016年，期間經(jīng)歷了多個不同的工作組，目前由IETF的MILE工作組（ Managed Incident Lightweight Exchange）負責維護，主要負責單位為美國卡內基梅隆大學的CERT。早期的IODEF和IDMEF相似，能表達的信息內容有限，經(jīng)過長期的發(fā)展，融合IOC等新出現(xiàn)的威脅情報數(shù)據(jù)類型，表達能力得到了很大的增強。其基本格式如圖2所示。IODEF以文檔（Document）為所有數(shù)據(jù)的總入口，一個文檔可以包含多個事件，事件包含豐富的子屬性來描述事件發(fā)生的時間、原因、方法、影響范圍、聯(lián)系人信息等，同時也支持IOC數(shù)據(jù)的表示。2017年MILE工作組還發(fā)布了IODEF使用指南和使用調查報告兩個RFC（RFC 8274Incident Object Description Exchange Format Usage Guidance, RFC 8134 Management Incident Lightweight Exchange(MILE) Implementation Report），應該說CERT作為全球安全響應組織的重量級單位，對推廣IODEF的實用化起了很大作用。

STIX

結構化威脅信息表示標準STIX（Structured Threat Information eXpression）是由MITRE公司提出的結構化威脅情報交換格式標準，最早發(fā)布于2012年，后來交由標準化組織OASIS的CTI（Cyber Threat Intelligence)委員會負責，目前版本已經(jīng)發(fā)展到2.0（2017年），目前該工作組既包括了MITRE、CTIN這樣的安全公司，也包含了美國DHS等政府部門。STIX被定義為用于自動化的威脅情報交換，以實現(xiàn)協(xié)同響應和自動化的威脅檢測分析。相對于前面幾類文檔式的數(shù)據(jù)格式，STIX的2.0版本全面采用了面向圖（Graph based）的表示結構，將威脅情報的不同類型數(shù)據(jù)解構成不同的節(jié)點類型，然后通過定義數(shù)據(jù)節(jié)點間的關系節(jié)點來描述更高層的信息。STIX定義的節(jié)點類型分成12種，從漏洞、惡意軟件、工具、攻擊模式、戰(zhàn)役、威脅角色、組織標識等方面覆蓋了威脅的各個不同角度。

STIX對象類型

基于圖的結構允許威脅數(shù)據(jù)以不同的角度來進行展示，比如Campaign（戰(zhàn)役）從一次具體的攻擊過程來描述威脅信息，Attack Pattern（攻擊模式）則從通用攻擊模式的角度將不同的攻擊者、攻擊戰(zhàn)役進行關聯(lián)。這種靈活的數(shù)據(jù)組織方式可以使用各類基于圖的算法或技術對威脅情報數(shù)據(jù)進行組織和檢索。

STIX本身定義了大量的術語(在STIX中叫Vocabulary）來保證不同組織間可以盡量使用相同的術語對同一對象進行描述，并引用了CAPEC、CVE等第三方標準進一步加強術語的通用性。由于MITRE公司本身在安全標準領域的權威地位，STIX推出后得到了廣泛的認可。