一種網(wǎng)絡(luò)威脅情報(bào)共享模型的制作方法
【專利摘要】本發(fā)明公開了一種網(wǎng)絡(luò)威脅情報(bào)共享模型�����,包括縱向貫穿威脅情報(bào)共享的數(shù)據(jù)層、平臺層��、共享層和應(yīng)用層����。本發(fā)明旨在解決當(dāng)前在網(wǎng)絡(luò)威脅情報(bào)自動(dòng)化處理和跨部門信息共享之間存在的缺乏統(tǒng)一規(guī)范、情報(bào)共享效率低和情報(bào)由于共享帶來的泄密風(fēng)險(xiǎn)的問題�����。本發(fā)明為實(shí)現(xiàn)跨部門網(wǎng)絡(luò)威脅情報(bào)的共享提供統(tǒng)一規(guī)范和標(biāo)準(zhǔn)�����,包括了數(shù)據(jù)共享格式標(biāo)準(zhǔn)�、共享協(xié)議標(biāo)準(zhǔn)等;針對共享效率低的問題提出了混合式共享技術(shù)��,即集中共享��、點(diǎn)對點(diǎn)共享等模式滿足不同情報(bào)共享應(yīng)用的需求�����;針對共享帶來的泄密風(fēng)險(xiǎn)的問題��,提出了情報(bào)共享等級分類方法,根據(jù)不同分類限制情報(bào)的共享范圍�����,降低因?yàn)檫^度共享帶來的泄密隱患����。
【專利說明】
一種網(wǎng)絡(luò)威脅情報(bào)共享模型
技術(shù)領(lǐng)域
[0001 ]本發(fā)明涉及一種網(wǎng)絡(luò)威脅情報(bào)共享模型。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)威脅情報(bào)(CyberThreat Intelligent�,CTI)是為了保護(hù)網(wǎng)絡(luò)空間資源免受威脅的侵害,利用安全專家�����、專業(yè)團(tuán)體的經(jīng)驗(yàn)��、技能生成的關(guān)于安全和威脅的相關(guān)信息�,包含漏洞、威脅�、特征�、名單、屬性����、解決建議等內(nèi)容的知識載體�,是近年來隨著APT攻擊的興起而順勢發(fā)展的一個(gè)新方向�,隨著網(wǎng)絡(luò)空間新威脅層出不窮,網(wǎng)絡(luò)威脅情報(bào)的研究越來越備受關(guān)注�,美國高度重視網(wǎng)絡(luò)空間威脅情報(bào)發(fā)展,在策略方面積極推動(dòng)相關(guān)情報(bào)政策出臺和標(biāo)準(zhǔn)制訂�����,使政府機(jī)構(gòu)能夠更好地協(xié)調(diào)并分享情報(bào)信息�����,2015年美國成立了新機(jī)構(gòu)“網(wǎng)絡(luò)威脅情報(bào)整合中心”(CTIIC)��,用于避免機(jī)構(gòu)間壁皇造成的信息交互弊端����,補(bǔ)充處理安全事件時(shí)缺乏溝通的短板。CTIIC通過“跨部門協(xié)作共同對抗外來的網(wǎng)絡(luò)威脅����,CTIIC雖然不會(huì)直接處理網(wǎng)絡(luò)攻擊事件,但會(huì)支持國家網(wǎng)絡(luò)安全和通信集成中心以及美國網(wǎng)絡(luò)司令部的運(yùn)作����,在面對攻擊和各種策略部署中起到指導(dǎo)和監(jiān)管的作用�����。2015年��,美國出臺了CISA《網(wǎng)絡(luò)安全情報(bào)共享法案》��,旨在實(shí)現(xiàn)關(guān)于網(wǎng)絡(luò)安全漏洞信息的共享���,以幫助企業(yè)和政府更好地應(yīng)對越演越烈的數(shù)據(jù)泄漏威脅。
[0003]全球有關(guān)網(wǎng)絡(luò)威脅情報(bào)技術(shù)研究最知名機(jī)構(gòu)MITRE公司��,2012年MITRE公司提出了STIX V1.0作為網(wǎng)絡(luò)威脅情報(bào)的表達(dá)格式����,并于2013年提出TAXII作為網(wǎng)絡(luò)威脅情報(bào)的交換機(jī)制,目前已在美國政府和業(yè)界得到應(yīng)用���,成為全球網(wǎng)絡(luò)威脅情報(bào)共同遵循的事實(shí)標(biāo)準(zhǔn)之
O
[0004]另外����,為了加快對情報(bào)的轉(zhuǎn)換流程����,MANDIANT公司基于多年的數(shù)字取證技術(shù)的積累,將使用多年的情報(bào)規(guī)范開源后形成0pen10C(0pen Indicator of Compromise)框架�。Open1C最大的特色是機(jī)器可讀,本身是一個(gè)記錄�、定義以及共享安全情報(bào)的格式,它可以幫助用戶借助機(jī)器可讀的形式實(shí)現(xiàn)不同類型威脅情報(bào)的快速共享�����。Open1C本身是開放��、靈活的框架��,因此用戶隨時(shí)可以根據(jù)發(fā)現(xiàn)添加新的情報(bào)���,完善10C��。
[0005]目前�����,國內(nèi)在網(wǎng)絡(luò)威脅情報(bào)方面的研究主要存在各部門之間的數(shù)據(jù)缺乏統(tǒng)一規(guī)范�����,格式多樣�、文檔結(jié)構(gòu)不規(guī)律,情報(bào)發(fā)布和交換的效率不高等問題�,另一方面,由于當(dāng)前網(wǎng)絡(luò)威脅情報(bào)存在數(shù)據(jù)規(guī)模大���、種類繁多的特點(diǎn)���,需要對網(wǎng)絡(luò)威脅情報(bào)進(jìn)行自動(dòng)化的關(guān)聯(lián)分析,提供高效的存儲(chǔ)和檢索�,實(shí)現(xiàn)對網(wǎng)絡(luò)威脅情報(bào)的自動(dòng)化處理。
【發(fā)明內(nèi)容】
[0006]為了克服現(xiàn)有技術(shù)的缺點(diǎn)����,本發(fā)明提供了一種網(wǎng)絡(luò)威脅情報(bào)共享模型,旨在解決當(dāng)前在網(wǎng)絡(luò)威脅情報(bào)自動(dòng)化處理和跨部門信息共享之間存在的缺乏統(tǒng)一規(guī)范����、情報(bào)共享效率低和情報(bào)由于共享帶來的泄密風(fēng)險(xiǎn)的問題。本發(fā)明首先提出了一個(gè)威脅情報(bào)共享模型���,為實(shí)現(xiàn)跨部門網(wǎng)絡(luò)威脅情報(bào)的共享提供統(tǒng)一規(guī)范和標(biāo)準(zhǔn)��,包括了數(shù)據(jù)共享格式標(biāo)準(zhǔn)�、共享協(xié)議標(biāo)準(zhǔn)等;針對共享效率低的問題提出了混合式共享技術(shù),即集中共享�、點(diǎn)對點(diǎn)共享等模式滿足不同情報(bào)共享應(yīng)用的需求;針對共享帶來的泄密風(fēng)險(xiǎn)的問題,提出了情報(bào)共享等級分類方法�����,根據(jù)不同分類限制情報(bào)的共享范圍�����,降低因?yàn)檫^度共享帶來的泄密隱患��。
[0007]本發(fā)明所采用的技術(shù)方案是:一種網(wǎng)絡(luò)威脅情報(bào)共享模型�����,包括縱向貫穿威脅情報(bào)共享的數(shù)據(jù)層�、平臺層����、共享層和應(yīng)用層,其中:數(shù)據(jù)層實(shí)現(xiàn)情報(bào)數(shù)據(jù)匯集功能;平臺層實(shí)現(xiàn)來自各部門數(shù)據(jù)的存儲(chǔ)���、數(shù)據(jù)格式的轉(zhuǎn)換�、分布式處理功能;共享層實(shí)現(xiàn)情報(bào)信息內(nèi)容共享、分區(qū)域共享�、自動(dòng)化共享功能,包括共享接口���、情報(bào)標(biāo)準(zhǔn)化規(guī)范建立;應(yīng)用層為共享模型的用戶提供訪問界面��,用戶通過界面進(jìn)行訪問注冊后�,根據(jù)注冊權(quán)限進(jìn)行共享平臺的操作��。
[0008]與現(xiàn)有技術(shù)相比�,本發(fā)明的積極效果是:
[0009]1、網(wǎng)絡(luò)威脅情報(bào)共享模型
[0010]本發(fā)明提出了一種基于大數(shù)據(jù)的威脅辨析和情報(bào)自動(dòng)化處理為主要手段的網(wǎng)絡(luò)威脅情報(bào)共享模型����,并且提出了情報(bào)共享等級劃分算法,為跨部門�、跨組織的威脅情報(bào)共享提供了技術(shù)支撐,使得重要的安全情報(bào)可以在多個(gè)部門間快速傳遞�,提升緊急安全事件響應(yīng)與安全防范的能力,改善由于攻防信息的不對稱帶來的防御被動(dòng)和滯后的局面��。
[0011]2�、兼顧安全與效率的混合式共享技術(shù)
[0012]本發(fā)明提供混合共享技術(shù),其特點(diǎn)就是在提供共享模式時(shí)充分考慮了情報(bào)共享帶來的泄漏風(fēng)險(xiǎn)問題��,采用情報(bào)等級評估算法對情報(bào)的密級進(jìn)行等級評估,并提供靈活的共享模式供用戶選擇����,針對高密級情報(bào)為用戶提供了點(diǎn)對點(diǎn)的共享,針對低密級情報(bào)可以采取集中或者星型共享模式����。這樣混合式共享技術(shù)使系統(tǒng)在情報(bào)共享上做到了安全與高效����。
[0013]3、支持自定義的情報(bào)共享接口
[0014]本發(fā)明提出的情報(bào)格式標(biāo)準(zhǔn)主要使用XML來實(shí)現(xiàn)����,XML語言提供了豐富、靈活的格式來將數(shù)據(jù)表示成可機(jī)讀的形式����。并支持用戶根據(jù)自己的需要添加新的屬性描述。
【附圖說明】
[0015]本發(fā)明將通過例子并參照附圖的方式說明�����,其中:
[0016]圖1為網(wǎng)絡(luò)攻擊流程圖�����;
[0017]圖2為網(wǎng)絡(luò)威脅情報(bào)共享安全模型;
[0018]圖3為跨部門的情報(bào)共享流程圖��。
【具體實(shí)施方式】
[0019]典型的網(wǎng)絡(luò)攻擊流程如圖1所示���,它一般包括準(zhǔn)備期����、入侵期和收益期�,細(xì)分為如下七個(gè)階段:
[0020](I)準(zhǔn)備期的兩個(gè)階段:
[0021 ]階段丨一偵察:攻擊者對目標(biāo)進(jìn)行研究,識別和選擇�,典型的方法包括使用互聯(lián)網(wǎng)爬蟲收集例如會(huì)議記錄、電子郵件地址��、社會(huì)關(guān)系等信息��,或用特殊方法收集信息���;
[0022]階段2—武器化:攻擊者將包含漏洞的遠(yuǎn)程木馬使用自動(dòng)化的工具改裝并植入特定的載體�����,如客戶端常用的I3DF或者off ice等數(shù)據(jù)文件格式�����;
[0023](2)入侵期的三個(gè)階段:
[0024]階段3—裝載:將武器化后的載體傳輸?shù)侥繕?biāo)環(huán)境�����。根據(jù)洛克希德一馬丁公司的計(jì)算機(jī)事件響應(yīng)小組(LM-CIRT)的報(bào)告���,APT攻擊者使用的三種最流行的交付載體是電子郵件附件���、網(wǎng)站頁面及U盤���;
[0025]階段4一利用:載體傳遞到受害者主機(jī)后��,以主動(dòng)或被動(dòng)方式觸發(fā)惡意代碼�����。在大數(shù)情況下攻擊者利用應(yīng)用程序或操作系統(tǒng)的漏洞完成這一步驟����,但用戶也有可能在不知情的情況下主動(dòng)執(zhí)行這些代碼;
[0026]階段5—安裝:攻擊者在受害者系統(tǒng)安裝遠(yuǎn)程訪問木馬或者后門�����,為在受害者環(huán)境中進(jìn)行持續(xù)性活動(dòng)創(chuàng)造條件�;
[0027](3)收益期的兩個(gè)階段:
[0028]階段6—指揮和控制:受控主機(jī)與攻擊者之間建立數(shù)據(jù)與控制信道,通常惡意軟件更加依賴于人工指令而不是自動(dòng)對環(huán)境作出反應(yīng)��。一旦這類信道建立成功�,攻擊者即可以自由進(jìn)出受害者主機(jī)的目標(biāo)環(huán)境。
[0029]階段7一達(dá)成目標(biāo):攻擊者按照預(yù)定計(jì)劃和目標(biāo)采取行動(dòng)�,如將竊取的資料匯總、壓縮和加密后傳輸?shù)绞芎φ攮h(huán)境之外�����,破壞受害者數(shù)據(jù)的完整性和業(yè)務(wù)可用性等�����,或者攻擊者只是將受害主機(jī)作為一個(gè)跳板���,以在將來攻擊其它目標(biāo)����。
[0030]如攻擊流程所示,攻擊的每個(gè)當(dāng)前環(huán)節(jié)都是后續(xù)環(huán)節(jié)的充分條件����。如果防御者檢測并阻斷了其中一步,那么攻擊者就必須放棄或者尋找其它合適的TTP以繼續(xù)攻擊進(jìn)程����,從攻擊流程來看,越早發(fā)現(xiàn)攻擊者的蹤跡���,就能越早控制攻擊進(jìn)程���,使攻擊陷入被動(dòng),這也是網(wǎng)絡(luò)威脅情報(bào)在攻防博弈過程中的價(jià)值所在���。網(wǎng)絡(luò)威脅情報(bào)以基于大數(shù)據(jù)的威脅辨析�、情報(bào)自動(dòng)化處理為主要手段�,通過跨部門�、跨組織邊界的威脅情報(bào)共享,使得重要的安全情報(bào)可以在多個(gè)組織間迅速傳遞��,從而極大縮短檢測到響應(yīng)的時(shí)間延遲��,提升緊急安全事件響應(yīng)與安全防范的能力。
[0031 ]網(wǎng)絡(luò)威脅情報(bào)共享安全模型如圖2所示�����,網(wǎng)絡(luò)威脅情報(bào)共享模式以共享為核心���,圍繞威脅情報(bào)產(chǎn)品應(yīng)具有及時(shí)性��、相關(guān)性���、準(zhǔn)確性、專業(yè)性和可控性的特征�,通過縱向貫穿威脅情報(bào)共享四個(gè)層次,即數(shù)據(jù)層�����、平臺層��、共享層和應(yīng)用層���。建立跨部門的一體化安全威脅情報(bào)共享平臺���,為網(wǎng)絡(luò)空間防御��、安全治理和應(yīng)急響應(yīng)提供情報(bào)服務(wù)���。
[0032](— )數(shù)據(jù)層:實(shí)現(xiàn)情報(bào)數(shù)據(jù)匯集功能,主要包括參與情報(bào)共享的各成員在協(xié)同機(jī)制下分享的情報(bào)數(shù)據(jù)����,這些數(shù)據(jù)可以來自不同的數(shù)據(jù)庫,運(yùn)行于不同的操作協(xié)議或網(wǎng)絡(luò)協(xié)議之上�。如從政府、公安和組織機(jī)構(gòu)情報(bào)生產(chǎn)者產(chǎn)生的信譽(yù)情報(bào)��、事件情報(bào)等���,數(shù)據(jù)的格式可以是結(jié)構(gòu)化數(shù)據(jù)�����、可機(jī)讀數(shù)據(jù)011^���,03¥��,^(^)���,也可以是未預(yù)先定義格式的非結(jié)構(gòu)化數(shù)據(jù)����。
[0033](二)平臺層:實(shí)現(xiàn)來自各部門數(shù)據(jù)的存儲(chǔ)、數(shù)據(jù)格式的轉(zhuǎn)換���、分布式處理功能���。支持大數(shù)據(jù)的高可擴(kuò)展存儲(chǔ),通過提供一致性用戶存儲(chǔ)訪問接口���,實(shí)現(xiàn)工作流配置和數(shù)據(jù)實(shí)時(shí)處理引擎�����。
[0034](三)共享層:共享層主要解決地理位置分散�、技術(shù)層面上數(shù)據(jù)結(jié)構(gòu)異構(gòu)情報(bào)數(shù)據(jù)在共享方面存在的問題��。實(shí)現(xiàn)情報(bào)信息內(nèi)容共享�、分區(qū)域共享、自動(dòng)化共享等功能�,包括共享接口、情報(bào)標(biāo)準(zhǔn)化規(guī)范建立��,包括情報(bào)格式標(biāo)準(zhǔn)、交換協(xié)議標(biāo)準(zhǔn)���、情報(bào)共享模式��、共享流程�、情報(bào)共享分級以及情報(bào)安全標(biāo)準(zhǔn)�。其中情報(bào)共享分級是指建立情報(bào)評估體系,根據(jù)情報(bào)數(shù)據(jù)的涉密等級�,可對被共享的情報(bào)進(jìn)行分類,以控制共享范圍���,可分為如下四類:
[0035]紅色:該情報(bào)只能在經(jīng)過認(rèn)證的組織內(nèi)共享��。
[0036]黃色:該情報(bào)可以在上線的所有組織成員內(nèi)共享����。
[0037]橙色:該情報(bào)可以在上線的友好組織成員內(nèi)共享�����,或者外部限定的組織內(nèi)進(jìn)行共享���。
[0038]綠色:該情報(bào)可被廣泛共享���。
[0039]下面主要針對共享模式、共享標(biāo)準(zhǔn)化和共享流程三個(gè)方面開展論述:
[0040](I)共享模式
[0041]為了適應(yīng)不同情報(bào)共享的需求����,在確保情報(bào)共享的同時(shí)防止情報(bào)泄密的風(fēng)險(xiǎn),本發(fā)明提出了混合共享模式�,即提供點(diǎn)對點(diǎn)、星型和集中共享三種方式供用戶選擇���,并支持用戶選擇一種或者多種混合共享的工作模式��。如針對高密級的情報(bào)�����,只能在經(jīng)過認(rèn)證的組織間進(jìn)行交換����,這種采用點(diǎn)對點(diǎn)共享模式比較好���,而針對低密級的情報(bào)����,采取集中的共享方式能夠更好地支持情報(bào)的快速傳播,混合式共享技術(shù)的特點(diǎn)是通過多種共享模式的組合使系統(tǒng)在情報(bào)共享上真正做到了安全與高效�。
[0042](2)共享標(biāo)準(zhǔn)化
[0043]標(biāo)準(zhǔn)化是網(wǎng)絡(luò)威脅情報(bào)在多個(gè)發(fā)布者、使用者間交互和共享的必要前提��。如采用非標(biāo)準(zhǔn)的情報(bào)交換格式及語言�,那么在η個(gè)節(jié)點(diǎn)間共享情報(bào),在最壞情況下需要η X η種轉(zhuǎn)換工具�,這是不可接受的。另外���,使用標(biāo)準(zhǔn)化的方式定義情報(bào)格式�,能夠在最大程度上減少信息語義損失和歧義�����,同樣也可以避免日后因?yàn)榻涌诤鸵?guī)范不同而造成較大的改動(dòng)和不必要的資源浪費(fèi)��。共享標(biāo)準(zhǔn)化涉及的內(nèi)容比較多���,包括情報(bào)格式規(guī)范���、情報(bào)服務(wù)規(guī)范、消息規(guī)范、協(xié)議規(guī)范等��。這里主要針對情報(bào)格式的規(guī)范進(jìn)行說明�。網(wǎng)絡(luò)威脅情報(bào)的形式化表征主要是用于記錄事件發(fā)生的原因、經(jīng)過����、處理過程等�����。形式化的表征通過對網(wǎng)絡(luò)威脅的屬性特征表示來實(shí)現(xiàn)����,每個(gè)屬性實(shí)質(zhì)都是一個(gè)標(biāo)簽,通常我們會(huì)將多個(gè)標(biāo)簽組合到一起作為一個(gè)威脅情報(bào)的表示�����,最終在形式上威脅情報(bào)就是一個(gè)屬性的復(fù)合表達(dá)式��,可通過XML來實(shí)現(xiàn)�。威脅情報(bào)涉及的核心屬性如下:
[0044]1、可觀測行為特征:是威脅情報(bào)中最基本的信息����,比如網(wǎng)絡(luò)堵塞��、系統(tǒng)遭受到的破壞等現(xiàn)象�����,可觀測行為是日后事件處理的關(guān)鍵信息���。
[0045]2、威脅特征指標(biāo):通過查看特征可以判定信息資產(chǎn)是否真的遭受了這個(gè)威脅的攻擊�����。
[0046]3����、安全事件描述:包括惡意攻擊的行為、采用了什么工具���、受害目標(biāo)��、利用了什么弱點(diǎn)���、影響及后果�����、殺傷鏈信息等���。
[0047]4、攻擊意圖描述:對攻擊者意圖特征的描述為什么要發(fā)起這次攻擊��,包括攻擊者特征���、意圖、所屬組織等�。
[0048]5、脆弱性特征描述:攻擊者利用的漏洞等信息����,支持與CVE的特征進(jìn)行關(guān)聯(lián)。
[0049]6��、解決措施描述:針對被攻擊系統(tǒng)所采取的行動(dòng)�,以提升防護(hù)能力,降低突發(fā)安全事件的影響范圍�。
[0050]7、溯源信息庫:攻擊發(fā)起方的具體信息�����,包括組織、國家�、郵箱、賬號等特征�����。
[0051 ] (3)共享流程
[0052]跨部門之間的情報(bào)共享流程如圖3所示�,整個(gè)流程主要包括初始化、獲取初級的情報(bào)數(shù)據(jù)��、對外部獲取的初級情報(bào)數(shù)據(jù)進(jìn)行分析生成高級情報(bào)��,使用分析后的情報(bào)去支持決策以及與外部機(jī)構(gòu)分享情報(bào)的過程�。
[0053]初始化階段:具備情報(bào)分析的關(guān)鍵能力,并與其它部門建立共享協(xié)作關(guān)系��;
[0054]獲取初級情報(bào):對初級共享的情報(bào)進(jìn)行等級評估����,從其它部門獲取初級情報(bào)數(shù)據(jù);
[0055]建立跨部門威脅情報(bào):分析獲取的初級情報(bào)數(shù)據(jù)���,建立新的網(wǎng)絡(luò)情報(bào)的TTPs�����,并完善優(yōu)化已有威脅情報(bào)數(shù)據(jù)庫��。
[0056]支持決策:通過分析獲取新的網(wǎng)絡(luò)威脅情報(bào)���,去支持決策����;
[0057]與其它部門共享情報(bào):對產(chǎn)生的情報(bào)重新進(jìn)行等級評估����,并根據(jù)需要與其它部門進(jìn)行共享�����。
[0058](四)應(yīng)用層:主要為應(yīng)用該共享模型的用戶提供訪問界面�,用戶通過該界面進(jìn)行訪問注冊后,根據(jù)注冊權(quán)限進(jìn)行共享平臺的操作��。
【主權(quán)項(xiàng)】
1.一種網(wǎng)絡(luò)威脅情報(bào)共享模型���,其特征在于:包括縱向貫穿威脅情報(bào)共享的數(shù)據(jù)層�、平臺層、共享層和應(yīng)用層�,其中:數(shù)據(jù)層實(shí)現(xiàn)情報(bào)數(shù)據(jù)匯集功能;平臺層實(shí)現(xiàn)來自各部門數(shù)據(jù)的存儲(chǔ)、數(shù)據(jù)格式的轉(zhuǎn)換���、分布式處理功能;共享層實(shí)現(xiàn)情報(bào)信息內(nèi)容共享�����、分區(qū)域共享�����、自動(dòng)化共享功能�,包括共享接口����、情報(bào)標(biāo)準(zhǔn)化規(guī)范建立;應(yīng)用層為共享模型的用戶提供訪問界面,用戶通過界面進(jìn)行訪問注冊后��,根據(jù)注冊權(quán)限進(jìn)行共享平臺的操作����。2.根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)威脅情報(bào)共享模型,其特征在于:所述平臺層支持大數(shù)據(jù)的高可擴(kuò)展存儲(chǔ)��,通過提供一致性用戶存儲(chǔ)訪問接口,實(shí)現(xiàn)工作流配置和數(shù)據(jù)實(shí)時(shí)處理引擎����。3.根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)威脅情報(bào)共享模型,其特征在于:所述情報(bào)標(biāo)準(zhǔn)化規(guī)范包括情報(bào)格式標(biāo)準(zhǔn)�、交換協(xié)議標(biāo)準(zhǔn)、情報(bào)共享模式���、共享流程�、情報(bào)共享分級以及情報(bào)安全標(biāo)準(zhǔn)��。4.根據(jù)權(quán)利要求3所述的一種網(wǎng)絡(luò)威脅情報(bào)共享模型��,其特征在于:所述情報(bào)共享分級是指建立情報(bào)評估體系����,根據(jù)情報(bào)數(shù)據(jù)的涉密等級,將被共享的情報(bào)分為紅色����、黃色�、橙色和綠色四類。5.根據(jù)權(quán)利要求3所述的一種網(wǎng)絡(luò)威脅情報(bào)共享模型�����,其特征在于:所述情報(bào)共享模式為混合共享模式,提供點(diǎn)對點(diǎn)����、星型和集中共享三種方式供用戶選擇,并支持用戶選擇一種或者多種混合共享的工作模式��。6.根據(jù)權(quán)利要求3所述的一種網(wǎng)絡(luò)威脅情報(bào)共享模型�����,其特征在于:所述情報(bào)格式標(biāo)準(zhǔn)使用XML語言來實(shí)現(xiàn)��,并采用如下核心屬性來對網(wǎng)絡(luò)威脅情報(bào)進(jìn)行表征:可觀測行為特征���、威脅特征指標(biāo)��、安全事件描述�、攻擊意圖描述���、脆弱性特征描述�����、解決措施描述�、溯源信息庫。7.根據(jù)權(quán)利要求3所述的一種網(wǎng)絡(luò)威脅情報(bào)共享模型���,其特征在于:所述共享流程包括: (1)初始化階段:具備情報(bào)分析的關(guān)鍵能力��,并與其它部門建立共享協(xié)作關(guān)系����; (2)獲取初級情報(bào):對從其它部門獲取的初級情報(bào)數(shù)據(jù)進(jìn)行等級評估���; (3)建立跨部門網(wǎng)絡(luò)威脅情報(bào):通過分析獲取的初級情報(bào)數(shù)據(jù)��,建立新的網(wǎng)絡(luò)情報(bào)的TTPs�����,并完善優(yōu)化已有威脅情報(bào)數(shù)據(jù)庫��; (4)網(wǎng)絡(luò)威脅情報(bào)的利用:通過網(wǎng)絡(luò)威脅情報(bào)去支持決策或與其它部門共享����。
【文檔編號】H04L29/06GK106060018SQ201610335116
【公開日】2016年10月26日
【申請日】2016年5月19日
【發(fā)明人】徐銳, 胥小波, 陳劍鋒, 劉方
【申請人】中國電子科技網(wǎng)絡(luò)信息安全有限公司