网络威胁情报标准化建设分析

信息安全研究 ›› 2021, Vol. 7 ›› Issue (6): 503-511.

网络威胁情报标准化建设分析

何志鹏1,2 刘鹏2 王鹤2,3

1（西安邮电大学网络空间安全学院西安 710121）
2（中国科学院大学国家计算机网络入侵防范中心北京 101408）
3（西安电子科技大学网络与信息安全学院西安 710071）

出版日期:2021-06-10 发布日期:2021-06-10
通讯作者: 何志鹏生于1999年, 硕士研究生, 主要研究方向为物联网安全、信息安全. hezhp@nipc.org.cn
作者简介:何志鹏生于1999年, 硕士研究生, 主要研究方向为物联网安全、信息安全. hezhp@nipc.org.cn 刘鹏生于1996年, 博士研究生, 主要研究方向为系统安全. liupeng19@mails.ucas.edu.cn 王鹤生于1987年, 博士, 主要研究方向为密码学、量子密码学和量子通信协议. hewang@xidian.edu.cn

Analysis on Standardization Construction of Cyber Threat Intelligence

Online:2021-06-10 Published:2021-06-10

摘要/Abstract

摘要： 威胁情报能够帮助组织研判可能面临的安全现状与态势,并由此制定安全决策与应急响应.而面对威胁情报多样性内容导致情报素材本身的异构性问题,若要高效地利用各种威胁情报,首先需要对威胁情报的表达进行规范化和标准化.美国早已建立并运营起一套完整的威胁情报标准体系,而我国标准体系的建设尚处于起步阶段.本文总结概述了国际上部分国家(组织)在网络威胁情报领域开展的标准化工作,并从发布历程、模型框架、信息示例、平台应用等四个方面对我国国家标准与美国STIX标准进行了对比分析.归纳出美国网络威胁情报标准化工作分别在项目定位、模型建设、生态搭建上可借鉴的长处,并对我国今后的标准化建设提出三点建议.

关键词: 网络安全, 威胁情报, 威胁情报共享标准, 威胁情报标准建设

Abstract: Threat intelligence can help organizations to study the possible security situation and situation, and make security decisions and emergency response accordingly. However, in order to effectively utilize all kinds of threat intelligence, the expression of threat intelligence needs to be normalized and standardized. The United States has long established and operated a complete set of threat intelligence standard system, while the construction of China's standard system is still in its infancy. This paper summarizes the standardization work of some international countries (organizations) in the field of cyber threat intelligence, and makes a comparative analysis of China's national standard and the American STIX standard from four aspects, such as release history, model framework, information examples and platform application. This paper summarizes the advantages of the standardization of cyber threat intelligence in the United States in terms of project positioning, model construction and ecological construction, and puts forward three suggestions for the standardization of China in the future.

Key words: network security, threat intelligence, threat intelligence sharing standards, threat intelligence standard building

何志鹏刘鹏王鹤. 网络威胁情报标准化建设分析[J]. 信息安全研究, 2021, 7(6): 503-511.

参考文献

[1] 石志鑫, 马瑜汝, 张悦, 等. 威胁情报相关标准综述[J]. 信息安全研究, 2019, 5(07): 560-569
[2] McMillan R, Pratap K. Market guide for security threat intelligence services, (G00259127)[R].Stamford, CT: Gartner, Inc., 2014
[3] Matt H. Cyber threats: Information vs Intelligence[EB/OL]. 2014. https://www.darkreading.com/analytics/threat-intelligence/cyber-threats-information-vs-intelli-gence/a/d-id/1316851
[4] 林玥, 刘鹏, 王鹤, 等. 网络安全威胁情报共享与交换研究综述[J]. 计算机研究与发展, 2020, 57(10): 2052-2065
[5] 黄雅娟. 美国网络威胁情报工作研究[D]. 长沙: 国防科技大学, 2018
[6] Barnum S. Standardizing cyber threat intelligence information with the structured threat information eXpression (STIXTM)[R]. Bedford, UK: Mitre Corporation, 2012: 1-22
[7] Connolly J, Davidson M, Schmidt C. The trusted automated exchange of indicator information (TAXIITM)[R]. Bedford, UK: Mitre Corporation, 2014: 1-20
[8] Casey E, Back G, Barnum S. Leveraging CybOX™ to standardize representation and exchange of digital forensic information[J]. Digital Investigation, 2015, 12: S102-S110
[9] Johnson C, Badger M, Waltermire D, et al. Guide to cyber threat information sharing[R]. Gaithersburg, MD: National Institute of Standards and Technology, 2016
[10] 全国信息安全标准化技术委员会. 国家标准《信息安全技术—网络安全威胁信息表达模型》编制说明[EB/OL]. 2017. https://www.tc260.org.cn/file/20170523090237008815. doc
[11] 全国信息安全标准化技术委员会. GB/T 36643-2018信息安全技术网络安全威胁信息格式规范[S]. 北京: 国家市场监督管理总局、中国国家标准化管理委员会, 2018
[12] Markopoulou D, Papakonstantinou V, de Hert P. The new EU cybersecurity framework: The NIS Directive, ENISA's role and the General Data Protection Regulation[J]. Computer Law and Security Review, 2019, 35(6): 1-11
[13] Albakri A, Boiten E, De Lemos R. Sharing cyber threat intelligence under the general data protection regulation[C] //Proc of the Annual Privacy Forum. Berlin: Springer, 2019: 28-41
[14] European Commission. The EU cyber-security act[EB/OL]. 2019. https://ec.europa.eu/digital-single-market/en/eu-cybersecurity-act
[15] 张卫娣. 日美军事一体化下情报共享机制及其影响[J]. 日本学刊, 2017(01): 75-91
[16] 官晓萌. 俄罗斯网络安全领域最新法律分析[J]. 情报杂志, 2019, 38(11): 50-54
[17] 丁顺珍. 英国情报与安全机构[J]. 国际资料信息, 2003(10): 14-18+24
[18] 陶昱玮. 美国网络威胁情报应用评析[J]. 情报杂志, 2017, 36(11): 8-15
[19] 小强说. 从STIX 2.1看安全智能归来[EB/OL]. 2020. https://mp.weixin.qq.com/s/nYV3S2oYNNnKcpvNAG751w