摘 要
随着网络信息技术快速发展,网络威胁演变迅猛,促使人们必须寻求更有效、更主动的网络威胁检测和防御方法。在这种背景下,网络威胁情报得到了迅速普及,为大多数企业提供了有效的安全解决方案,并形成了多元异构的网络威胁情报生态系统。在这个生态系统中,情报的交换共享成为基本需求,由此产生了众多的网络威胁情报标准。基于对网络威胁情报的理解,梳理了主流网络威胁情报标准,对结构化威胁信息表达、情报信息的可信自动化交换、事件对象描述和交换格式等主流标准进行比较分析,希望能为网络威胁情报生产者在构建威胁情报平台时,选择合适的网络威胁情报标准提供一种思路。
内容目录:
1 研究背景
1.1 理解“CTI”
1.2 CTI 的重要性
1.3 CTI 的生产周期
2 主要标准
2.1 MITRE 系列标准
2.2 MILE 系列标准
2.3 OpenIOC 标准
2.4 VERIS 标准
3 比较研究
3.1 CTI 标准应用的主要考量因素
3.2 CTI 标准的比较分析
4 结 语
当前,网络空间规模的迅猛扩张,网络空间应用的日益普及,各式各样的网络攻击事件层出不穷,信息泄露、数据丢失、网络滥用、身份冒用、非法入侵等安全威胁充斥网络空间,网络安全形势空前严峻。尤其是以高级持续性威胁(Advanced Persistent Threat,APT)为代表的新型威胁不断涌现,网络攻击手段更具复杂性和针对性,大大提高了网络威胁检测和防御的成本。网络空