共享网络威胁信息的上下文过滤

    

      准确及时地分析网络攻击对于有效预防、检测和响应至关重要[1]。这变得相当具有挑战性，特别是在复杂的信息和通信技术基础设施导致漏洞数量增加的情况下。工业物联网范式加剧了这种情况，使得传统的安全方法变得不合适或受到相当大的挑战[2]。另一方面，威胁行动方正变得更加聪明和具有难以置信的战略意义，利用先进和不断发展的攻击技术。网络攻击的目标范围从中小型企业（SME）到关键基础设施服务，使大量行业处于风险之中。一些例子包括WannaCry[3]和Petya[4]勒索案，以及Mirai僵尸网络[5]案，所有这些都波及或影响了许多私营和公共部门。

1。介绍

       网络威胁信息共享是实现协同安全的必要过程，但也带来了一些挑战。一个关键的挑战是共享的威胁信息过多。因此，需要提前过滤这种信息。虽然过滤领域的现状主要依赖于基于关键词和领域的搜索，但这些方法需要大量的人工参与，并且很少有领域专业知识。最近的研究表明，需要收集业务信息来填补过滤方面的空白，尽管这导致了基于这些信息的利用来提供粗粒度的过滤。本文提出了一种新颖的上下文过滤方法，该方法利用业务流程的标准化和多级上下文信息。上下文信息描述了从组织角度来看给定威胁信息可操作的条件。因此，它可以通过测量共享威胁信息的上下文和消费组织的上下文之间的等价性来自动过滤。该论文直接有助于过滤挑战，间接有助于自动定制威胁信息共享。此外，本文还提出了一个网络威胁信息共享生态系统的架构，该生态系统按照所提出的过滤方法运行，并定义了有利于过滤方法的特征。

       为了应对这种威胁，组织不断尝试成熟其安全能力。然而，仅靠组织的努力几乎不可能实现安全目标[6]。组织需要通过共享网络威胁信息(CTI)进行合作[7]。根据SANS在[8]中的一项调查，几乎81%共享CTI的组织回答说，CTI提高了他们的安全性和对威胁的响应。CTI可以以CTI产品(CTIP)的形式共享，这是一条包含威胁相关信息的消息，可用于控制正在发生的、即将发生的或未来的威胁。为了支持CTIP共享的组织，已经开发了许多CTIP存储库，例如OTX的alienwareault[9]。CTIP存储库允许组织发布和使用CTIPs也就是说，它使CTIP共享成为可能。洛克希德·马丁公司、国家标准与技术研究所(NIST)信息技术实验室(ITL)和欧洲议会等领先的网络安全组织也认同CTIP共享开发协作安全的必要性。特别是，洛克希德·马丁公司提出了一种信息共享方法，该方法利用从过去的攻击中获得的知识，以妥协指标(IoC)的形式进行交流[10]。NISTITL出版了关于美国各组织之间合作和共享安全相关信息的指南[11]。欧洲议会和理事会于2016年7月6日发布了《网络和信息系统指令》，以支持和促进各组织之间的战略合作和信息交流[12]。

      CTIP共享带来了许多与安全相关的好处，但也带来了许多挑战[11]。根据NIST的CTI共享指南，一个非常重要的挑战是过滤共享ctip的能力[11]。过滤允许组织只检索和处理与其相关的CTIPs。当CTIP包含的威胁相关信息与组织的背景相关时(例如，。位置、域、业务流程)。预计相关的CTIP可对使用它的组织采取行动[11，13，14]。当CTIP的内容的利用(即，。它包含的威胁相关信息)导致控制正在发生的、即将发生的或未来的威胁的决策或行动。文献[13–18]广泛指出了滤波以避免过载和“从噪声中提取信号”的必要性。过滤的缺乏压倒了组织的处理能力[11]，需要专业知识来手动缩小共享CTIP[14]。CTIP的过载导致组织不愿意参与威胁信息共享生态系统，尤其是中小企业，它们占欧洲[19]和美国[20]所有组织的99%。

      常用的过滤方法包括关键词搜索和领域标记。关键词搜索涉及根据特定的关键词(例如，。网络钓鱼，视窗，万纳瑞，美国)。大多数CTIP存储库都提供关键词搜索[14]。领域标记涉及将共享的CTIPs分类到领域，例如金融和教育，最大的目标是将它们呈现给属于同一领域的组织[21]。关键词搜索是劳动密集型的，容易出错，并且需要专业知识来定义正确的关键词[13–15]，而使用领域标记是不够的，因为目前的方法只将CTIP划分为几个任意的、不够具体的高级领域。最近在CTIP过滤方面的研究表明，商业信息是一种已经存在的领域知识，或者可以由具有领域知识的人员创建(然后由安全人员使用)[13，22]。特别是，上下文业务信息被挑选出来作为有希望的[11，13，23]。使用上下文业务信息通过消除任意域，支持更精细的粒度分类，提供了对域标记的改进。然而，迄今为止几乎没有产生什么结果。因此，毫无疑问，需要开发一种基于上下文业务信息的新过滤方法。

       在本文中，我们提出了一种新颖的、自动化的、上下文化的共享网络威胁信息过滤方法。为此，业务流程的上下文信息被用来定义CTIP的上下文(即，。威胁相关信息相关的上下文)以及组织的上下文。过滤是基于前面提到的上下文之间的等价性来执行的。在这样做时，组织只接收其上下文与其上下文相同的CTIPs。换句话说，他们将收到可能对他们具有可操作性的CTIPs。建议的方法应该在服务器端实现(即，。在CTIP存储库中)来培养可信度、隐私性，并使组织从过滤过程中解脱出来，允许他们将精力集中在仅消费接收到的ctip上。为了促进采用提议的方法，该文件还概述了可用于建立CTIP共享生态系统的行业标准和开源数据交换协议。标准的使用促进了共享语义的使用(例如，。与任意域相反)，使得过滤更加可靠。提议的方法处理了[11]中确定的气候技术倡议共享的挑战，因为各组织应找到一种有效的方法来确定适用的气候技术倡议(即可操作)到他们的环境中。

      论文的其余部分组织如下:第2节介绍了提出建议方法的必要背景。第3节详细介绍了建议的过滤方法。第4节提出了两种语境之间的等效性度量。在第5节中，通过一个提议的CTIP共享生态系统展示了提议的方法的适用性。第6节讨论了相关工作并报告了结果，第7节总结了论文。

2。背景

本节描述了理解后续讨论和建议方法所必需的概念。

2.1。结构化威胁信息表达语言

       网络威胁信息应以标准化、结构化的格式表示，以实现CTI共享自动化[11]。这种需求导致了表达语言的发展。STIX，也被称为结构化威胁信息表达(STIX)语言[24]，是常用的[25，26]。在欧洲，STIX被执行委员会2017年12月11日第2017/2288号决定[27]确认为信息标准。STIX最初是由美国政府和劳工部开发的。目前，它由结构化信息标准促进组织(OASIS)维护[28]。

       STIX是一种结构化语言，用于创建、共享和持续消费ctip[29]。在当前的STIX2.1版本中，CTIPs是使用JavaScript对象符号(JSON)格式化的。CTIP将一组不同的STIX物件以及它们之间的描述关系联系在一起。STIX对象是STIX域对象(SDO)或STIX网络可观测对象(SCO)的实例，而关系是STIX关系对象(SRO)的实例[29]。单个STIX对象CTIP的一个例子是单个恶意软件的报告，而事件报告将需要多对象CTIP。在CTI领域有各种不同的SDO来表示不同的概念。例如，恶意软件SDO代表恶意软件，指示器SDO代表即将到来或正在进行的攻击，身份SDO代表个人或组织。SDO中还有许多SCO可以用来提供更多与基于主机或网络的工件相关的技术细节，例如IP地址和URL。至于SRO，有两种类型:关系SRO和观察SRO。前者代表SDO和SCO之间的关系。“观察SRO”允许组织传达在其环境中观察到共享CTIP中包含的STIX物体。换句话说，目击SRO表明CTIP在观察到的环境中是可操作的。

      图1用STIX语言描述了一个CTIP的图形示例(为了简单起见，只描述了SDO和SRO的部分细节)。这个例子是一个事件报告，描述了“荷马”使用恶意软件“毒铁杉”攻击“柏拉图”，该恶意软件连接到在IP地址“123.456.789.987”中运行的服务器。指标SDO揭示了一个系统被恶意软件“毒毒芹”危害。最后，CTIP的创造者是“柏拉图”——这个恶意软件的第一个受害者。

图1。网络威胁信息产品的STIX语言图形表示。

       如前所述，一个“看见”SRO允许组织向CTIP共享社区反馈，CTIP的SDO或SCO也在他们的环境中出现。根据OASIS的说法，社区意识到在其他地方也发现了CTIP的SDO或SCO是至关重要的[30]。图2描绘了与图1的指示器SDO相关的瞄准SRO的示例.该观察SRO表明上述示例的指示器SDO是在“亚里士多德”的环境中发现的。

图2。瞄准STIX关系对象的示例。

2.2。业务流程上下文

       所提出的过滤方法利用业务流程的上下文(称为业务流程上下文)来实现过滤。BPC表示法是由Ivezic等人提出的。[31]而且它是以行业标准为基础的，例如ISO3166规定了国家及其分支机构名称的代码。在[31]中，BPC用于设置在系统集成情况下交换的消息规范的上下文。这些样板消息规范非常庞大，因为它们包含所有数据元素，涵盖了许多环境中的许多集成案例。因此，需要付出很大努力来确定适用于特定集成情况的消息规范的数据元素，这是指示样板消息规范使用位置的上下文。使用BPC，可以根据预期的集成情况来分析消息规范。换句话说，BPC指定了在特定的集成情况下需要消息规范的哪些数据元素。[31]中使用了六个上下文方面来描述集成案例，包括为什么、何时、谁、在哪里、什么和如何。

       每个证书颁发机构由多个上下文维度指定。例如，上下文维度“位置”指定了上下文方面“位置”。每个上下文维度的允许值集来自分类方案。例如，分类方案“ISO3166”为上下文维度“位置”(即，。CA“在哪里”)。这些值被称为分类方案节点，它们被组织在专门化层次结构中。也就是说，低级节点(子节点)被分组到高级节点(父节点)下。图3描述了所有前面提到的概念是如何链接在一起的(由于空间限制，只描述了部分上下文维度、分类方案和分类方案节点)。需要注意的是，CA“当”在[31]中没有使用。

图3。业务流程上下文结构的示例。

       在建议的方法中，业务流程控制在JSON中序列化。图4描述了在JSON中序列化的业务流程的一个BPC的例子.本文提出了一种路径语法来表示每个CA值。路径分隔符是双反斜杠。路径中的第一个元素应该是对应CA的上下文维度，第二个元素是分类方案，其余的是遵循分层路径的分类方案节点。上下文路径中的所有元素都表示为字符串值。一个证书颁发机构可以包含多个值。例如，图4中的上下文方面“如何”包含两个与相应业务流程中涉及的应用程序相关的值。如果CA值指向层次结构中最深的叶节点，则认为该CA已完全定义。关于本文中使用和说明的上下文方案，如果ca的上下文路径分别包含7、3、4、3和3个元素，则完全定义了“什么”、“为什么”、“谁”、“在哪里”和“如何”。例如，基于上下文方案“ISO3166-2”，CA“Where”的上下文路径可以是“Location\\ISO3166-2\\Greece(GR)”。该上下文路径包含3个元素。在图4的例子中，CAs“为什么”、“在哪里”和“如何”被完全定义，而CAs“什么”和“谁”被部分定义。

图4。在JSON中序列化的业务流程的一个BPC的例子。

3。一种新的上下文过滤方法

       建议基于组织和CTIP上下文的等效性来执行上下文化过滤。如果这两个上下文是等价的，则CTIP被认为是相关的，并且可以被推送到相应的组织。通过这种方式，组织收到了预期可以对其采取行动的CTIPs。

       为了定义组织和CTIP的背景，使用了业务流程控制。组织的环境由所有业务流程的业务流程控制组成。CTIP的环境由与CTIP相关的所有业务流程的业务流程控制组成。每个CTIP都与该CTIP中描述的威胁信息所影响或针对的业务流程相关。例如，包含恶意软件SDO的CTIP与发现恶意软件的业务流程相关。

       为了实现所提出的方法，通过用户定义的STIX对象(即。自定义STIX对象)。为此，定义了一个业务流程控制软件定义对象来描述一个或多个业务流程控制。BPCSDO由一组CAs以及STIX元数据(即，。ID，版本)。每个证书颁发机构包含所有描述的业务流程控制中心的相应证书颁发机构值。除了sro，所有STIX对象都可以有上下文。sro不能分配上下文，因为它们不传达任何CTI概念。它们仅用于将SDO和SCO链接在一起。STIX对象的上下文是通过将BPCSDO链接到该STIX对象来定义的。

       根据STIX的说法，身份SDO用于描述CTIP的一个组织。在建议的方法中，它还用于描述注册到CTIP存储库的组织。在这种情况下，组织的上下文由BPCSDO定义，该BPCSDO链接到图5所示的组织注册中心的身份SDO.CTIP的背景是属于所有CTIP社会发展组织和社会合作组织的社会发展中心的结合。气候技术倡议在CTIP登记册中。组织和CTIP登记处都在CTIP储存库中。

图5。CTIP共享生态系统中的业务流程上下文表示。

      过滤是基于组织和CTIP的上下文之间的等价性来执行的，即。在两个BPCSDOs之间。一个BPCSDO链接到组织注册表中的身份SDO，另一个链接到CTIP注册表中描述CTIP的STIX对象。两个BPCSDOs之间的等价性(即，。BPCs)基于下一节中描述的度量。该度量基于业务流程控制软件开发组织的证书颁发机构值，不考虑STIX元数据(例如，。STIX版本)。当与CTIP的任何STIX对象等价时，整个CTIP被推到组织中(例如，。图1中的报告)。这种最少等价的方法旨在最小化假阴性，这意味着一个组织即使与CTIP的至少一个对象等价，也不会获得CTIP奖。直觉上，组织可能会收到更高的误报率。然而，这种情况很少发生，因为组织会收到至少包含一个具有相同上下文的STIX对象的CTIPs。因此，至少这个STIX对象对接收组织是可操作的。在最好的情况下，整个CTIP将是可操作的，并将揭示对其他业务流程的威胁，这些威胁可能是组织在他们的业务流程控制SDO中有意或无意遗漏描述的。

       过滤应涵盖两个BPCSDOs之间的等价性不是绝对的情况，即。它们的CA值并不完全相同。原因是组织可能没有提供完整的上下文，或者他们希望执行风险评估或上下文更改(即，。BPC更改)。此外，筛选应该考虑到组织可能对某些ca比其他ca更感兴趣的偏好(例如，。认证中心“在哪里”)。由于这些原因，建议的方法为CAs引入了一个阈值和权重。权重允许组织设置CA首选项，而阈值仅允许组织在其等价度量高于该阈值水平时接收CTIPs。组织可以根据需要调整阈值和权重。

        图6中的流程图显示了如上所述的过滤方法。作为开始，给阈值一个默认值，给CAs一个平衡权重(即，。所有CAs在等效性测量中扮演同样重要的角色)。每当发布新的CTIP或某个组织成为CTIP共享生态系统的成员时，就会触发建议的过滤方法。在发布新CTIP的情况下，会对每个组织执行筛选。为此，将解析组织注册中心中的BPCSDO，并将其与新发布的CTIP的所有STIX对象的BPCSDO进行比较。如果一个组织成为CTIP共享生态系统中的新成员，将检查CTIP注册表中的所有STIX对象，因为该组织需要了解其环境面临的所有现有威胁。

图6。表示建议的过滤方法的工作流程的流程图。

4.等效性测量

      如图7中的代码所示，两个BPC(𝐵𝑃𝐶1及𝐵𝑃𝐶2） 如果它们相似，则它们是等价的(𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦) 高于特定阈值。等价是一个布尔值，True表示两个BPC等价，False表示相反。这个𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 阈值的范围从0到小于1（包括0，但不包括1），如下所述。

图7。用于估计两个业务流程上下文之间的等价性的方法。

       这个𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦, 如等式（1）所示，估计两个BPC(𝐵𝑃𝐶1及𝐵𝑃𝐶2） 他们很相像。这个𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 是一个递增函数，即其值越大，BPC的相似程度就越大。这个𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 值的范围从0到小于1（即渐近到1），并且基于两个BPC的CA的相似性（即。

        变量𝑛 表示可用于定义BPC的CA的最大数目。在使用[31]定义BPC的情况下，n为5，因为CA“When”未使用。重量（即：。，𝑤𝑒𝑖𝑔ℎ𝑡 ) 定义每个CA在计算𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 并且可以由组织注册表中的每个组织自定义。所有权重之和必须等于1，且每个权重必须在[0,1]范围内。CA可以包含多个值。在这种情况下𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 函数使用适当的CA值来最大化𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 值，并忽略此CA的所有其他值。例如𝐵𝑃𝐶1及𝐵𝑃𝐶2如下所述，每个CA“What”分别包含一个和两个值。在本例中𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 函数将使用BPC2的CA的第一个值“Industry\\NAICS 2012\\Manufacturing”，因为它与BPC1的CA的值相同。选择此CA值的原因是它最大化了𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 价值事实上，它提供了比使用第二个值更大的相似性。

•BPC1的CA“什么”：“Industry\\NAICS 2012\\Manufacturing”

•BPC2的CA“什么”：[“Industry\\NAICS 2012\\Manufacturing”，“Industry\\NAICS 2012\\Information”]

       这个𝑐𝑎_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦, 如等式（2）所示，估计两个CA值(𝐶𝐴 , 𝐶𝐴 ) 他们很相像。CA值由上下文路径表示，如第2.2节所述。这个𝑐𝑎_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 基于元素级别的匹配项计算。将第一上下文路径中的每个元素按照其各自的顺序与第二上下文路径中的对应元素进行比较。如果两个元素表示相同的字符串值（即字符串比较），则该过程将继续，比较下一个元素，以此类推。该过程将继续，直到比较较短路径中的所有元素或找到差异为止。在第一种情况下，𝑝 指定了最后一个元素的位置+1。在后一种情况下，𝑝 指定了两个不同元素的位置。𝑝 然后用于计算𝑐𝑎_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦, 如式（2）所示：

        图8显示了𝑐𝑎_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 反对变数𝑝. 后一个变量是区分具有不同上下文路径长度的案例的关键参数。路径越大，距离越远𝑐𝑎_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 因此𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦. 应当指出的是𝑐𝑎_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 值渐近为1，这导致𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 值也渐近为1。这是为了允许将来在CAs中增加内容，以及在第2.2节所述的层次结构中进行更深入的研究而制定的。应该注意的是，机器学习技术的应用可能会导致线性图，而不会针对所提出的方法提供更好的结果𝑐𝑎_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 方程式如图8所示，𝑐𝑎_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 事实上，无论变量p如何，都能有效区分案例。

图8。地图𝑐𝑎_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦针对变量的值𝑝.

       方程式（1）中使用的阈值设置下限𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 值，超过该值，两个BPC被视为等效。阈值范围从0到最大值𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 价值当阈值设置为0时，所有BPC都被视为等效。当设置为最大值时𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 值，仅当两个BPC相同时才授予等效性。组织可以根据其偏好更改阈值。这个𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 当所有CA值完全定义和匹配时，对于给定的权重分配，该值处于其最大值。例如，当使用[31]中定义的BPC时，最大𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 当两个BPC的CA“Where”、“What”、“Who”、“Who”、“Why”和“How”分别由3、7、4、3和3个元素组成，并且它们的值完全相同时，两个BPC之间会发生差异。根据方程式（2），其𝑐𝑎_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 值分别为0.75、0.875、0.8、0.75和0.75。根据方程式（1），最大𝑏𝑝𝑐_𝑠𝑖𝑚𝑖𝑙𝑎𝑟𝑖𝑡𝑦 如果给定的等权重为0.785，则该值如等式（3）所示：

5.建议的CTIP共享生态系统实施建议的过滤方法

       

       在本节中，提出了一个能够有效实施过滤方法的CTIP共享生态系统，其架构如图9所示。该生态系统包括以下组件：CTIP存储库、数据库、订阅者（即参与组织），以及基于标准的消息队列遥测传输（MQTT）代理[32]。开放源代码工具可用于数据库和MQTT代理，并鼓励广泛参与。在我们的实验室实现中，mongoDB用于数据库，Eclipse蚊子用于MQTT代理[33]。

图9。提议的CTIP共享生态系统的架构。

       CTIP存储库由CTIP注册中心、组织注册中心和过滤模块组成。CTIP注册管理机构负责在数据库中存储和检索ctip。组织注册管理机构管理用户信息，包括他们的通信渠道、证书颁发机构权重、阈值、身份SDO和业务流程控制SDO。CTIP滤波模块负责实现所提出的滤波方法，以便根据等效性度量将ctip推送到适当的用户。

        订户和CTIP存储库之间的通信应通过渠道进行。为此，应该使用通过通道实现发布-订阅消息模式的MQTT代理。MQTT代理允许订户之间通过通道进行通信(就MQTT域而言，通道称为主题)。一旦订阅了某个频道，他们就可以接收其他人发布到该频道的所有内容。

       应该有两种类型的沟通渠道——公共和私人。前者涉及一个公共频道，后者涉及几个私人频道。公共频道由CTIP存储库和所有订户使用，而每个专用频道仅由CTIP存储库和特定订户使用。公共频道用于订阅目的。那里不允许有其他活动(即，。出版气候技术倡议)。这使得能够实现过滤。否则，发布到公共频道的所有CTIPs将自动推送给所有订户，而无需先进行过滤。专用信道用于交换CTIPs和用户信息，如其身份SDO和业务流程控制SDO。通过私人渠道交换用户信息可以确保除了CTIP存储库之外，没有其他人会收到这些信息。另一方面，在私人渠道中交换ctip确保了与ctip的创建、发布和消费相关的订户行为的匿名性。这样的沟通政策保护了组织的声誉，并鼓励更多的参与。

       提出的CTIP共享生态系统的机制分为五个阶段。这五个阶段用UML行为图表示在下面的五个图中。为了简单起见，只包括交换消息参数的必要信息。

        第一个阶段是CTIP存储库订阅，如图10所示。特别是，CTIP存储库通过“公共频道”订阅。如前所述，公共频道只能用于订阅目的。为此，可以修改MQTT代理的代码来实施这样的策略，但是这超出了本文的范围。

图10。CTIP存储库订阅阶段(阶段1)的UML行为图。

      下一阶段涉及组织的订阅，如图11所示.为此，一个组织(即。“subscriber_x”)首先订阅“PublicChannel”。之后，专用信道(例如，。“channel_x”)由CTIP存储库创建，通道的名称返回给组织。CTIP存储库和这个特定的组织都订阅了这个“channel_x”(不应该允许任何其他人订阅这个频道)。然而，频道的名称对所有其他组织都是可见的，因为它是通过公共频道发送的(即，。“公共频道”)。数字证书可以用来保护这些信息；然而，这超出了本文的范围。在每个专用信道中，相应的订户可以发布CTIPs及其身份SDO、业务流程控制SDO、CAs权重和阈值。

图11。组织订阅阶段(阶段2)的UML行为图。

      下一阶段是CTIP出版物，如图12所示。订户通过他们的私有通道将CTIP发布到MQTT代理，然后通过相同的通道将它们转发到CTIP存储库。之后，CTIP存储库将ctip存储到数据库中。

图12。CTIP出版阶段(阶段3)的UML行为图。

        图13显示了CTIP滤波阶段。在这个阶段，CTIP存储库执行过滤，详见第3节，如图5和图6所示.如果授予了等同权限，则该过程转到阶段5，否则，它将继续执行组织注册表中的下一个组织或CTIP注册表中的STIX对象，直到检查完所有这些对象。

图13。过滤阶段(阶段4)的UML行为图。

       下一个阶段是CTIP推动，如图14所示。在这个阶段，CTIP被推向组织，在那里它是可操作的。这是通过将CTIP发布到相应的私人频道来实现的。

图14。CTIP推动阶段(阶段5)的UML行为图。

6。讨论

       将业务流程控制集成到CTI领域能够实现所提出的方法。此外，使用行业标准，包括用于定义业务流程控制的STIX和上下文方案、MQTT以及相应的开源工具，有助于广泛采用。所提出的过滤方法是通过原型CTIP共享生态系统实现的。在实验室开发这一生态系统的过程中，有效的CTI过滤方法应满足的特征得到了识别和记录。具体来说，这些特征是过滤应该:

• 在服务器端执行。在服务器端执行过滤使组织脱离这样的过程，使他们能够集中精力处理CTIPs。这样可以避免他们浪费时间和资源。

• 基于推动技术(而不是拉动)。推送CTIPs是过滤的第二个关键特性。推送与过滤相结合，使组织能够及时获得可操作的CTIPs。在没有推动的情况下，组织必须定期轮询新发布的CTIPs，这是一种低效的计算模型。

• 利用私人通信渠道。私有渠道允许组织私下交换他们的敏感信息(例如，。身份软件开发办公室或业务流程控制软件开发办公室)以及与CTIP存储库的联系电话。私人渠道也保持了组织行动的匿名性。例如，如果受害者的身份SDO不在CTIP，CTIP是通过私人渠道发布的，没有人知道谁发布了具体的CTIP。但是，组织可以将其身份SDO包含在CTIPs中，以向社区传达受害情况，但这是可选的。这种隐私保护组织声誉，促进信任，并鼓励更多人参与生态系统。

       还应该注意的是，本文利用了MQTT数据传输协议，因为虽然TAXII服务器是作为STIX框架的一部分提出的，也满足这三个特征，但它还没有实现[34]。因此，为了探索这些特性的潜力，提议的CTIP共享生态系统利用了MQTT数据传输协议。

相关著作

       与所提出的方法相比，在文献中没有发现其他的努力能够提供这样一种基于BPC利用的自动CTIP滤波的具体实现。尽管有人建议在CTIP过滤中使用商业信息，但他们缺乏关于商业信息如何形成的足够细节。例如，SANS在[13]中确实强调了商业信息在CTI过滤中的重要性。有人提出，业务信息由业务背景和技术背景组成。业务上下文被定义为业务流程，包括它们的依赖关系和连接，业务流程之间共享的数据，以及支持业务流程的资产(例如，。软件、硬件、网络设备)。技术背景是由过去的经验以及关于对手和威胁的信息定义的。业务背景被用作过滤器来识别与组织流程相关的ctip，技术背景被用作过滤器来识别与组织可能面临的威胁或对手相关的ctip。然而，SANS的方法是建议形式的假设，需要不同专家领域(如CTI和业务流程专家)的人工和协作努力。

       基于SANS的另一个类似工作的例子在[23]中给出。这项工作提出了一个模型及其相应的工具，该工具利用欧几里德距离根据不同对象的属性来估计它们之间的相似性。该模型依赖于SANS提出的业务环境来定义组织和CTIP的环境。随后，它将组织的环境和CTIPs视为对象。这些对象之间的相似性导致将CTIPs映射到业务流程。这意味着这些特定的业务流程面临着CTIP地图中描述的威胁。但是，他们的业务环境只考虑支持业务流程的资产(例如，。Wifi扩展器)。没有考虑业务环境的其他方面，也没有考虑方法对其他方面的可伸缩性，尤其是与相似性估计相关的方面。

      文献中也有许多利用STIX对象来估计CTIP和组织之间的相关性以实现过滤的努力。一项值得注意的工作是[35]的工作，该工作提出了一个框架和相应的工具来估计CTIP和一个组织之间的相关性。该框架利用网络本体语言在CTIP的STIX对象中进行搜索，以识别相关的行业部门和位置信息。如果信息与收件人的信息匹配，则CTIP与收件人相关。另一个值得注意的努力是[21]，它还建议使用特定特征，如身份SDO中的行业部门，这些特征包含在STIX对象中，以实现过滤(类似于域标记方法)。如果一个CTIP和一个组织具有相同的特征，那么CTIP就与该组织相关。通过使用瞄准SRO，相关性进一步提高。一个CTIP在同一个行业被发现的次数越多，它就越有意义。可以看到，所有这些努力都试图利用商业信息，但仅限于STIX提供的信息，即大约35个行业部门的清单和位置信息。我们的努力已经证明能够解决这些缺点。

       有一些努力侧重于对计算机集成电路进行领域标记，以便向在同一领域运作的组织展示它们。这种努力的一个显著例子是[22]，它提出了CTIPs自动创建和领域标记的TIMiner框架。TIMiner利用单词嵌入和句法依赖方法，从社交媒体、博客和论坛等不同位置自动提取IoCs(在STIX域中，IoC由IndicatorSDO表示)。随后，基于语义特征和一种卷积神经网络深度学习算法，识别出这些局部最优控制的目标域。最后，它用这些IOC创建CTIPs，并用识别的域标记它们。TIMiner使用域标记对CTIPs进行分类，以便在同一域中运行的组织之间定制它们的共享。因此，TIMiner确实通过基于目标域精确自动标记CTIP来执行CTIP过滤和共享。然而，TIMiner使用了任意的高级领域，如金融、政府和教育，而没有考虑与业务流程相关的方面。

7。结论

       本文提出了一种利用业务流程上下文的自动化、上下文化网络威胁信息过滤方法。业务流程控制是提议方法的关键促成因素，它是基于许多业务中使用的标准定义的，包括制造业。利用业务流程的标准化和多级上下文信息提供了对当前方法的改进(例如，。领域标记)以及在过滤中使用粗粒度业务信息的方法。为了实现自动化，将业务流程上下文作为STIX表达语言的新用户定义对象纳入网络威胁信息领域，这也是网络威胁信息领域的标准。在提议的方法中有目的地使用标准，以便为更广泛的采用铺平道路。

      利用建议的方法，组织可以接收与其环境相关的网络威胁信息。这些信息应该可以对他们采取行动，因为利用这些信息可以做出决定或采取行动来控制正在发生的、即将发生的或未来的威胁。因此，过滤使组织能够将精力集中在网络威胁信息的实际使用上，而无需花费资源和时间来排除不相关的信息。这一点非常重要，尤其是对于没有多少资源的中小企业。

       还提出了基于开源工具和协议的网络威胁信息共享生态系统。它概述了可用于拟议方法的协议和技术。根据实施生态系统的经验，得出了网络威胁信息过滤与共享系统应具备的必要特征。这些特征包括促进信任、保护隐私和鼓励组织参与网络威胁信息共享。从前瞻性角度来看，后者至关重要:威胁形势不断变化，需要通过网络威胁信息共享加强合作，以支持早期发现和应对新出现的威胁和持续攻击。

       我们未来的研究工作将致力于进一步校准建议的过滤方法，并在现实场景和条件下共享生态系统，这涉及来自不同领域和业务背景的组织的参与。机器学习算法也将用于与所提出的方法进行比较或增强。此外，未来的工作将致力于应用概率模型(如贝叶斯网络)和机器学习算法(如卷积神经网络)，以发现过滤的新潜力，并通过聚类算法和业务流程上下文提供对共享网络威胁信息的见解。

       最后，未来的工作将着眼于在拟议的网络威胁信息过滤方法中利用业务流程中与信息技术相关的方面，如在其中运行的平台和软件。

参考资料：

1. k.哈里森。；白色，g。社区网络事件检测和响应所需的信息共享要求和框架。2012年11月13日至15日在美国马萨诸塞州沃尔瑟姆举行的2012年IEEE国土安全技术会议记录；过去分词（pastparticiple的缩写）。463–469.

2. 深入网络现实:安全有效性报告。可在线查阅:https://www.fireeye.com/currentthreats/annual-treaty-report/security-effective-report.html(2021年3月16日访问)。

3. 陈问。；恶意软件的自动行为分析:WannaCryRansomware的案例研究。2017年12月18日至21日在墨西哥坎昆举行的2017年第16届IEEE机器学习和应用国际会议记录；过去分词（pastparticiple的缩写）。454–460.

4. 易发，《什么是彼佳/非彼佳软件及其再传播》。在信息技术领域——新一代；拉蒂菲，美国，。由…编辑。；斯普林格国际出版:商会，瑞士，2018年；过去分词（pastparticiple的缩写）。93–100.

5. 科里亚斯，c。；贡布拉基斯。；斯塔夫鲁，a。；沃阿斯，j。物联网中的分布式拒绝服务:Mirai未来组合和其他僵尸网络。计算机2017，50，80–84，doi:10.1109/MC.2017.201。

6. 托什，d。；森古普塔，s。；Kamhoua。；Kwiat。；马丁，a。网络威胁信息共享的进化博弈框架。2015年6月8日至12日在英国伦敦举行的2015年IEEE国际通信会议记录；过去分词（pastparticiple的缩写）。7341–7346.

7. Saxena。；盖亚特里，e。网络威胁情报挑战:利用区块链情报和可能的解决方案。板牙。今天继续。2021年，doi:10.1016/j.matpr.2021.06.204。

8. r.布朗。；网络威胁情报(CTI)的演变:2019年SANSCTI调查。桑斯研究所。在线提供:

https://www.sans.org/white-papers/38790/(2021年7月12日访问)。

9. alienfault—开放威胁交换。在线提供:https://otx.alienvault.com/(2021年4月10日访问)。

10. E.M.哈钦斯；法学博士克洛普珀；通过对手战役和入侵杀伤链的分析，情报驱动的计算机网络防御。在线提供:https://www.lockheedmartin.com/content/dam/Lockheed-Martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-defense.pdf(2021年3月17日访问)。

11. 约翰逊，C.S獾，医学博士；华盛顿特区沃尔特米尔；斯奈德，j。；Skorupka。网络威胁信息共享指南；国家标准和技术研究所:美国马里兰州盖瑟斯堡，2016年

12. 欧洲议会和理事会。关于全联盟网络和信息系统高度共同安全措施的指令(欧盟)2016/1148。欧洲联盟官方杂志。2016.在线提供:https://eurlex.europa.eu/eli/dir/2016/1148/oj(2021年3月11日访问)。

13. d.贝拉尼。应用业务和技术背景确定优先顺序并生成相关的网络威胁情报(CTI)。桑斯研究所。可在线查阅:https://www.sans.org/reading-room/白皮书/forensics/importance-business-information-cyber-threat-intelligence-CTI-information-required-collect-37740(2021年3月17日访问)。

14. T.D.瓦格纳；e.帕洛马。；Mahbub。；共享网络威胁情报的相关过滤(短文)。信息安全实践与经验；刘，J.K.，萨马拉提，p.Eds。；斯普林格国际出版:澳大利亚维多利亚州墨尔本，2017年；过去分词（pastparticiple的缩写）。576–586.

15. T.D.瓦格纳；Mahbub。；e.帕洛马。；网络威胁情报共享:调查和研究方向。电脑。安全。2019，87，101589，doi:10.1016/j.cose.2019.101589。

16. 西勒伯，c。；华盛顿索尔温。；穆斯曼，a。；Breu。威胁情报共享实践中的数据质量挑战和未来研究方向。载于2016年10月24日在美国纽约州纽约市举行的2016年信息共享和协作安全研讨会会议记录；计算机械协会:美国纽约州纽约市，2016年；过去分词（pastparticiple的缩写）。65–70

17. ENISA。《2018年威胁形势报告》.在线提供:https://www.enisa.Europa.eu/publications/enisa-威胁-景观-报告-2018(2021年3月6日访问)。

18. 波内蒙研究所有限责任公司。威胁情报的价值:北美和英国公司年度研究；波内蒙研究所有限责任公司:美国密歇根州特拉弗斯城，2019年

19. 欧盟委员会创业和中小企业。在线提供:https://ec.europa.eu/growth/smes_en(2021年3月6日访问)。

20. 美国小企业管理局宣传办公室2020年小企业简介。在线提供:https://cdn.advancing.SBA.gov/WP-content/uploads/2020/06/04144224/2020-Small-Business-Economic-Profile-us.pdf(2021年3月17日访问)。

21. 施莱特，d。；博姆，弗。；m.卡塞利。；Pernul，g。测量和可视化网络威胁情报质量。里面的。J.Inf。安全。2021，20，21–38，doi:10.1007/s10207-020-00490-y。

22. 赵，j。；严，问。；李，j。；邵，男。；他，z。；李，b。TIMiner:从社交数据中自动提取和分析分类网络威胁情报。电脑。安全。2020，95，101867，doi:10.1016/j.cose.2020.101867。

23. 徐，y。；杨，y。；他，y。面向业务流程的动态网络威胁情报模型。在2019年8月19日至23日于英国莱斯特举行的2019年IEEE智能世界、泛在智能计算、高级可信计算、可扩展计算通信、云大数据计算、人的互联网和智能城市创新(SmartWorld/SCALCOM/UIC/ATC/CBDCom/IOP/SCI)会议记录中；过去分词（pastparticiple的缩写）。648–653.

24. OASIS网络威胁情报技术委员会STIX简介。在线提供:https://oasis-open.github.io/ctidocumentation/stix/intro(2021年3月6日访问)。

25. 华盛顿索尔温。加州西勒伯，。穆斯曼，美国，。&Breu。.威胁情报共享平台:软件供应商和研究视角的探索性研究。在《2017年经济信息报告》(第8轨——信息隐私和信息安全)中，瑞士圣加仑，2017年2月8日至15日。

26. 兰托斯，k。；斯皮罗斯，a。；帕帕尼科劳，a。；克里萨斯，a。；伊利欧迪斯，c。；Katos。网络安全信息共享生态系统中的互操作性挑战。计算机2020，9，18，doi:10.3390/computers9010018。

27. 欧洲委员会。欧盟委员会2017年12月11日关于确定公共采购中参考的信通技术技术规范的第2017/2288号执行决定；欧盟委员会:比利时布鲁塞尔，2017年。

28. Aviad。；Węcel，k。网络治疗智能建模。商业信息系统；西部阿布拉莫维奇，。Corchuelo，。Eds。；斯普林格国际出版:商会，瑞士，2019年；过去分词（pastparticiple的缩写）。361–370.

29. 2.1版。在线提供:https://docs.oasis-open.org/CTI/stix/v2.1/cs01/stix-v2.1-cs01.html(2021年3月6日访问)。

30. 绿洲观测到一个指示器。在线提供:https://oasis-open.github.io/CTI-documentation/examples/瞄准镜-一个指示器.html(2021年3月6日访问)。

31. 北艾维兹克。；柳比西奇，男。；扬科维奇。；库尔瓦通尤，b。；尼曼，s。；南川，g。消息标准的业务流程上下文。2017年9月8日至15日在西班牙巴塞罗那举行的业务流程管理(行业轨道)会议上；过去分词（pastparticiple的缩写）。100–111.

32. OASIS。消息队列遥测传输。在线提供:https://www.oasisopen.org/committees/tc_home.php?wg_缩写ev=mqtt(2021年3月6日访问)。

33. Eclipse基金会。EclipseMosquitto:一个开源MQTT代理。在线提供:https://mosquitto.org/(2021年5月15日访问)。

34. OASIS。网络威胁情报技术委员会TAXII版.可在线查阅:https://docs.oasisopen.org/CTI/taxiI/v2.1/cs01/taxiI-v2.1-cs01.html(2021年3月17日查阅)。

35. Qamar。；安瓦尔，z。；文学硕士拉赫曼；艾尔·沙尔。；褚，乙。-T。网络威胁情报和信息共享的数据驱动分析。电脑。安全。2017，67，35–58，doi:10.1016/j.cose.2017.02.005。