首页 > 安全 > 网络安全 >

美国能源部的安全威胁情报应用案例 Flexible Transform

2015-01-09

2015-01-07 22:05最近会陆续分享一下搜集到的安全威胁情报相关材料,第一个先来一个美国能源部的安全威胁情报实践。安全威胁情报技术在美国已经得到广泛认可,并已经形成了相对完整的产业链。情报、或者说数据重

幻灯片1

最近会陆续分享一下搜集到的安全威胁情报相关材料,第一个先来一个美国能源部的安全威胁情报实践。

安全威胁情报技术在美国已经得到广泛认可,并已经形成了相对完整的产业链。情报、或者说数据重要,并且值钱的理念,已经被广泛接受,并且成为了部分领先安全公司的主要收入。美国政府也正在建立覆盖整个联邦政府的网络威胁情报体系

美国能源部在安全威胁情报体系的实践材料,其内容主要是将多源异构的情报统一转换为标准格式情报以进行后续利用的实践。原文为主,适当加了一些简短的个人理解。原PPT可在本文最后部分找到网盘下载。

Flexible Transform – Semantic Translation for Cyber Threat Indicators

灵活转换-基于语义的网络情报指示器转换

幻灯片3

幻灯片4

Avoid least common denominator sharing

– STIX – STIX can use full profile; only those using legacy formats need to ‘dumb down’.

— Is a tomato a fruit or a vegetable?

做网络威胁情报转换的动机:

在客户还未广泛支持STIX威胁交换语言的基础上,促进情报利用 通过单一站点动态链接多个工具链条内的威胁情报数据

为什么需要灵活转换:

点对点转换不灵活 基于语义的表示可以最小化转换过程中的数据琐事 解决源数据中一些歧义,如共享的IP地址源和目的的表述

幻灯片5

Planning to discuss:

1)Mapping from one syntax to another

2)Mapping between two schemas, same syntax (e.g. XML -> XML)

3)Point out scalability issue, semantics issue – what changes when the meaning of an element change? Nothing on this diagram, but code must change!

左边是源的Schema,右边是对象(最后的)的Schema,通过静态映射代码处理,发现转换错误。

幻灯片6

幻灯片7

Common Language, for example STIX – not everyone can adapt at the same rate

如果没有共同的语言,数据的交换会十分困难 存在从你不可控的系统中抽取数据进行处理的方法,动态或静态字段、类型映射,数据后处理,预定义的转换器等

需要一个在转换过程中,数据不损失的方法。

幻灯片8

Historical translation efforts – experience moving a community from a legacy sharing language to an updated one; communities are slow to migrate.

美国能源部的CFM模型

第一阶段仅支持单个格式的输入

第二阶段实现了Give Us What You’ve Got (GUWYG) v1

第三阶段实现了GUWYG v2

幻灯片9

其实体的IP地址部分,同时包括了IP v4/v6,并且包括源和目的。

幻灯片10

其处理逻辑。

幻灯片11

下面会描述一个从旧情报文件进行转换,形成STIX格式文件的过程。幻灯片12

第一步是通过灵活转换平台打开源文件,进行基础验证。

幻灯片13

第二部是根据语法和schema定义,读取源数据,并将其以结构化信息方式存在数据行中。

幻灯片14

将行数据进一步按源schema展开至字段。

幻灯片15

将源字段信息进一步映射至自定义的数据实体。

幻灯片16

按目的schema将数据字段进一步映射至指定的字段名。

幻灯片17

重新映射回数据行,以进行输出。

输出目的格式的情报文件,并且传输或储存。

幻灯片19

其情报数据实体定义主要参照了STIX标准。幻灯片20

其设计的语义结构。幻灯片21

延伸示例,一个具体情报如何进行转换的。幻灯片22

源Schema中的一个垃圾邮件映射至数据实体中的钓鱼邮件,并进一步映射为最终Schema中的电子邮件消息对象。

幻灯片23

幻灯片24

源情报中的一个电子邮件消息对象,也可能回应设为目的情报中的一个垃圾邮件对象。

两边定义可能存在差异,是需要进行重新映射的。

幻灯片25

除对象定义差异外,其内容(或字段)也可能有差异,存在有的有定义有数据,有的没有的情况。幻灯片26

Until full adoption of a universal language, a-la STIX, translation will continue to be needed.

使用灵活转换平台,可以讲不同工具/语言的情报数据进行自动化的转换 即时的转换 当前语法、schemas还是采用人工定义,正在利用RDF语言实现自动 目前需要完全结构化的情报数据,正在支持半结构化数据 减少,而不是消除共享情报中模糊不情,冲突的问题
相关文章
最新文章
热点推荐