网络空间威胁情报共享技术综述
杨沛安$^{1,2}$, 武杨$^{1,3}$, 苏莉娅$^{1,3}$, 刘宝旭$^{1,3}$
(中国科学院大学, 北京)$^1$, (中国科学院高能物理研究所, 北京)$^2$, (中国科学院信息工程研究所, 北京)$^3$

解读：郝伟，2021/05/07

• 1 简介
• 1.1 论文信息
• 1.2 背景
• 2 胁情报厂商与威胁情报
  • 2.1 威胁情报厂商
  • 2.2 威胁情报
    • 2.2.1 数据类型
    • 2.2.2 情报内容
    • 2.2.3 情报来源
• 3 数据表达与传输规范
  • 3.1 威胁情报的共享规范
    • 3.1.1 STIX 2．0
    • 3.1.2 TAXII
    • 3.1.3 CybOX
  • 3.2 学术界的相关研究
• 4 共享模式
  • 4.1 共享交换平台
  • 4.2学术界的相关研究 （略）
• 5 数据共享风险的把控
• 6 结束语

1 简介

1.1 论文信息

论文题目：网络空间威胁情报共享技术综述
发表级别：2015 IEEE 23rd International Requirements Engineering Conference (24-28 Aug. 2015）
简介页面：链接
下载地址：链接

1.2 背景

以高级可持续威胁(APT)为代表的新型攻击越来越多,传统安全防御手段捉襟见肘,网络空间安全态 势日趋严峻.威胁情报具有数据内容丰富、准确性高、可自动化处理等特点,将其用于网络安全分析中可以有效提高 安全防御能力.因此,威胁情报越来越被关注,学术界和产业界已针对威胁情报分析与共享开展了相应研究.文中首 先对威胁情报的价值、意义进行了分析,并对威胁情报和威胁情报厂商进行了分类;然后重点从威胁情报共享技术面 临的主要问题出发,分析和总结了学术界和产业界针对这些问题进行的研究与尝试;最后展望了威胁情报共享领域未 来的研究内容.

2 胁情报厂商与威胁情报

2.1 威胁情报厂商

威胁情报生产链中包含了各式各样的情报生产厂商。这些厂商中有的是依托大量设备保有量、在安全防护和分析领域具有丰富经验的硬件厂商，如思科、IBM等；有的是拥有大量用户、通过长期从事反病毒分析工作积累了海量安全分析数据和经验的杀毒软件厂商，如赛门铁克、红伞、卡巴斯基、360天眼等；有的是具有丰富的网络安全对抗分析经验的网络安全服务厂商，如FireEye、CrowdStrike、微步在线等。这些威胁情报厂商通过建立的威胁情报中心进行安全事件的分析和挖掘，从网络犯罪溯源、信誉库、漏洞挖掘、恶意软件分析等多个角度满足不同用户的需求并提供专业服务。表1对这些威胁情报厂商的发展和产品信息进行了整理。

2.2 威胁情报

主要包括从数据类型、情报内容、情报来源这3个角度对情报。

2.2.1 数据类型

Bianco根据情报的价值和获取的难易程度，将威胁情报分为Hash、IP、域名、网络或主机特征、攻击工具、TTPs6类。具体如下图所示。

2.2.2 情报内容

基础情报信息：DNS、URL、IP、信誉信息等；
攻击团队情报：攻击团队、组织在深网/暗网中的交易、攻击活动分析等；
APT分析：APT攻击事件、溯源分析、攻击态势分析等。
具体如表2所示。

2.2.3 情报来源

1. 安全厂商以产品形式出售或分享，如奇虎360、IBM；
2. 开源情报联盟或情报联盟以开源数据的形式分享，如的微步在线、的FireEye。

3 数据表达与传输规范

3.1 威胁情报的共享规范

主要包括 STIX2.0、OVAL、TAXII、CybOX。

3.1.1 STIX 2．0

STIX(Structured Threat Information expression)是一种由OASIS-CTI—TC负责开发和维护的情报表达规范，用于对网络威胁情报的建模、分析和交换进行规范，目前已经更新至STIX2.0版本。

3.1.2 TAXII

OASIS-CTI-TC开发了TAXII(Trusted Automated exchange of Indicator Information)，一种基于指标信息的可信自动交换规范。TAXII的主要内容是一组技术规范和支持文档，用于跨越组织和产品／服务的界限，共享网络威胁信息。这些文档定义了安全交换网络威胁信息的检测、预防和实时缓解网络威胁的协议和数据格式，其框架结构如图4所示。

3.1.3 CybOX

CybOX(Cyber Observable Expression)规范定义了一个表征计算机可观察对象与网络动态和实体的方法，目前已经更新到CybOX 2．1版本[1 6|。可观察对象包括文件、H1vrP会话、系统配置项等。CybOX规范提供了一套标准且支持扩展的语法，用于描述所有可被从计算系统和操作上观察到的内容。可观察的对象可作为判断威胁的指标，如Windows系统中的Registry Key。这种可观察对象由于具有某个特定值，往往作为判断威胁存在与否的指标。IP地址也是一种可观察的对象，通常作为判断恶意企图的指标。由于CybOX对各类可观测指标具有充分的表达能力，因此在当前威胁情报共享领域中，STIX框架的各类要素内容都参考CybOX规范进行填充。CybOX规范的数据结构如图5所示。

3.2 学术界的相关研究

主要研究方向和内容如表4所示。

4 共享模式

4.1 共享交换平台

目前，国外比较典型的威胁情报共享平台有：

• ThreatCrowd的威胁搜索平台
• Virus Total VirusBook的威胁情报在线分析系统
• AlientVault的0TX
• IBM的X-force情报共享平台。

战略合作联盟主要依赖于安全厂商间的商业运作模式来进行。合作双方一般都有自己侧重的安全领域和技术优势，通过购买和转让的方式得到对方擅长但己方不擅长的数据和情报；再结合自己的相关数据和情报进行整合分析，组合形成符合各自需求的威胁情报产品。基于这种形式的共享平台有0SINT，liD，iSIGHT Partners，NetClean等。

4.2学术界的相关研究 （略）

5 数据共享风险的把控

共享风险的把控也是情报共享领域需要重点研究的内容，包括共享数据脱敏、鉴权、销毁等。

• 数据脱敏需要建立数据脱敏规则，提供数据匿名化处理方法，并对个人的隐私信息进行匿名化处理。
  针对云平台的数据脱敏技术有同态加密、数值混淆、密文检索、区块链等。
• 数据鉴权需要对个人的隐私数据提供相应的验证方法，限制各级用户对数据信息的访问权限，同时需要提供预防措施来保证数据的完整、准确、及时和可用。
• 数据销毁需要依照数据分类，分级建立相应的数据销毁机制，提供全面有效的审计制度和方法，对违规共享中涉及到的数据进行销毁。

目前，国内外针对情报共享领域中数据风险把控方面的研究相对较少。一方面是由于国内情报共享大环境还处于萌芽状态，尚无有效的情报共享机制，因此在更深层次的共享数据风险把控方面的研究缺少可依据的法律法规；另一方面，由于不同共享模式下的数据类型和服务类型不同，需要形成具有较好适应性、有效性的风险分析与评估模型，而目前威胁情报领域在风险评估方面缺少体系研究，知识积累不足。针对上述问题，可研究和借鉴现有大数据平台、云平台的相关成熟技术，结合交叉学科的相关知识进行深入的探索。

6 结束语

威胁情报体系的出现为安全态势日趋严峻的网络空间带来了一缕曙光。以威胁情报为核心，利用威胁情报种类多、内容丰富、准确率高的特点，可有效提高网络攻击的检测识别能力与响应处理能力。而威胁情报的共享则可以最大程度地提高情报的价值和利用效率，降低安全防御成本，提高防御的响应能力。

目前，在威胁情报共享方面的研究还存在较多问题。我国在威胁情报共享领域的研究还处于起步阶段，学术界和产业界都没有对共享规范、共享模式等进行系统的研究；针对不同的情报共享模式和共享对象，要确保共享与传输过程的有效性、准确性和安全性，需要集中对组织、企业以及政府的研究力量进行深入研讨，并建立相关的法律法规、标准框架作为共享技术推广的法律依据和理论技术参考。同时，随着共享技术的发展，在情报共享过程中如何进行共享数据的隐私保护和风险把控，以及在共享后如何进行合理、有效的共享收益分配，都是亟待解决的关键问题。为了能够有效解决这些问题，不仅需要依赖现有信息安全领域的相关技术，如在大数据平台方面的用户隐私保护、数据计费技术等，还需要借鉴金融、经济、情报学等学科的相关知识体系和技术，如合作伙伴间的收益分配原则、基于供应链的企业收益分配等方面的研究，并根据威胁情报共享的具体需求对这些技术进行优化和调整。