威胁情报相关标准简介 (上篇)

威胁情报相关标准简介 (上篇)枚拼音 前言 本文分上下两篇，整理了一些有关威胁情报（Threat Intelligence）的文献中所提及的标准与规范，加以部分的

前言

本文分上下两篇，整理了一些有关威胁情报（Threat Intelligence）的文献中所提及的标准与规范，加以部分的个人观点，期望能有助于增进读者对威胁情报的了解。上篇主要为大家介绍MITRE相关系列标准，下篇将介绍一些其他组织机构发布的主流标准以及我国所发布的标准。

定义

许多机构及文献都曾阐述过威胁情报的定义，目前接收范围较广的是国际权威IT咨询机构Gartner提出的定义：威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识，包括情境、机制、指标、推论与可行建议，这些知识可为威胁响应提供决策依据。

在全国乃至全球范围内进行威胁情报共享，将海量的威胁情报信息汇集起来，可以有效地提高网络空间的安全防御能力。

概述

在威胁情报信息共享方面，美国发展迅速，提出了众多威胁情报共享交换标准。目前国际上尚无通用的威胁情报相关标准，当前的通常做法是用STIX作情报描述，用TAXII传输数据，用CybOX作为威胁情报词汇。以上所提的三个标准皆是由MITRE发布，除此之外，MITRE系列标准还包括MAEC、OVAL、CAPEC等。

STIX

STIX（Structured Threat Information eXpression，结构化威胁信息表达式）由MITRE（一个美国非营利性组织）联合DHS（美国国土安全部）发布，是用来交换威胁情报的一种语言和序列化格式。STIX是开源的、免费的，让那些有兴趣的人做出贡献并自由提问。使用STIX规范，可以通过对象和描述关系清晰地表示威胁情报中的多方面特征，包括威胁因素、威胁活动、威胁属性等。STIX信息可以直观地展示给分析师，或者以JSON形式存储以便快速地进行机器读取。

STIX的适用场景包括以下四种：

（1）威胁分析：包括威胁的判断、分析、调查、保留记录等；

（2）威胁特征分类：通过人工方式或自动化工具将威胁特征进行分类；

（3）威胁及安全事件应急处理： 安全事件的防范、侦测、处理、总结等，对以后的安全事件处置能够有很好的借鉴作用；

（4）威胁情报分享：用标准化的框架进行威胁情报描述与共享。

STIX 有两个版本：STIX 1.0基于XML定义，STIX 2.0基于JSON定义；STIX 1.0定义了图1所示的8种对象，STIX 2.0定义了12种域对象（将1.0版本中的TTP与Exploit Target拆分为Attack Pattern, Malware, Tool, Vulnerability；删去了Incident；新增了Report, Identity, Intrusion Set）和2种关系对象（Relationship, Sighting）。

前言

本文分上下两篇，整理了一些有关威胁情报（Threat Intelligence）的文献中所提及的标准与规范，加以部分的个人观点，期望能有助于增进读者对威胁情报的了解。上篇主要为大家介绍MITRE相关系列标准，下篇将介绍一些其他组织机构发布的主流标准以及我国所发布的标准。

定义

许多机构及文献都曾阐述过威胁情报的定义，目前接收范围较广的是国际权威IT咨询机构Gartner提出的定义：威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识，包括情境、机制、指标、推论与可行建议，这些知识可为威胁响应提供决策依据。

在全国乃至全球范围内进行威胁情报共享，将海量的威胁情报信息汇集起来，可以有效地提高网络空间的安全防御能力。

概述

在威胁情报信息共享方面，美国发展迅速，提出了众多威胁情报共享交换标准。目前国际上尚无通用的威胁情报相关标准，当前的通常做法是用STIX作情报描述，用TAXII传输数据，用CybOX作为威胁情报词汇。以上所提的三个标准皆是由MITRE发布，除此之外，MITRE系列标准还包括MAEC、OVAL、CAPEC等。

STIX

STIX（Structured Threat Information eXpression，结构化威胁信息表达式）由MITRE（一个美国非营利性组织）联合DHS（美国国土安全部）发布，是用来交换威胁情报的一种语言和序列化格式。STIX是开源的、免费的，让那些有兴趣的人做出贡献并自由提问。使用STIX规范，可以通过对象和描述关系清晰地表示威胁情报中的多方面特征，包括威胁因素、威胁活动、威胁属性等。STIX信息可以直观地展示给分析师，或者以JSON形式存储以便快速地进行机器读取。

STIX的适用场景包括以下四种：

（1）威胁分析：包括威胁的判断、分析、调查、保留记录等；

（2）威胁特征分类：通过人工方式或自动化工具将威胁特征进行分类；

（3）威胁及安全事件应急处理： 安全事件的防范、侦测、处理、总结等，对以后的安全事件处置能够有很好的借鉴作用；

（4）威胁情报分享：用标准化的框架进行威胁情报描述与共享。

STIX 有两个版本：STIX 1.0基于XML定义，STIX 2.0基于JSON定义；STIX 1.0定义了图1所示的8种对象，STIX 2.0定义了12种域对象（将1.0版本中的TTP与Exploit Target拆分为Attack Pattern, Malware, Tool, Vulnerability；删去了Incident；新增了Report, Identity, Intrusion Set）和2种关系对象（Relationship, Sighting）。

山贼先生 http://www.xinzhiliao.com/sj/qiuji/27539.html