欢迎光临
我们一直在努力

洋葱式信息安全观察:STIX2.1SDO路径分析

STIX2.1发布已有时日,相对于STIX2.0,该版本的SDO由12个增加到18个。笔者曾针对STIX2.0做了最短遍历路径分析,以指出在该标准下需要关注的焦点SDO,那么采用最短路径分析对STIX2.1的SDO进行分析,焦点SDO会是哪一个?让我们再一次进行分析。

第一步,从STIX2.1的关系图谱中,我们可以看到Report、Opinion、Note、Grouping与其他的SDO没有任何连接线,因此,我们的分析可以简化到14个SDO。

第二步,合并路径。对于路径图,我们针对两个SDO之间的多重关系进行路径合并,采用唯一连接进行表示。可以得到关系表如下:

针对所有SDO间的路径进行最短路径分析,并以任意SDO出发做遍历路径分析,得到下表:

(有兴趣的爱好者,可以采用BFS或者DFS进行验算。)

从最终结果我们可以看到,STIX2.1任意两个SDO之间最长路径为3,以任意SDO作为出发点所得到的遍历最短路径为14,此时出发点为Malware,而次长路径为Tool和Intrusion Set,其遍历路径长度均为15。

通过以上分析,笔者认为针对Malware的分析将成为新标准下的焦点(分析基于无权重无向图)。那么,Malware的直接关联是怎样的,让我们展开其关系图:

借助关系表分析:

Malware在STIX2.1中具有直接关联关系的SDO竟然高达12项,这意味着除去自身以外在有直接关联关系的14个SDO中,仅有1项无直接连接,这一项是Observed Data,而Observed Data可通过Infrastructure、Intrusion Set或 Indicator与Malware形成路径值为2的关联。看到这里,笔者释然,这非常容易理解,由于STIX2.1更加的结构化,而这种关系是结构化数据分解的结果(这个逻辑非常像第三范式)。基于这一发现,笔者推测STIX2.1的修订者期望推进关联关系在威胁情报中使用上的应用,以使用关系数据能够提供的更强大的连接分析能力,同时解决由于信息缺失所造成的情报定义困难。

小结:采用路径分析,可以让我们获得该标准表面以外的更多信息。

赞(1) 打赏
未经允许不得转载:黑客技术网 » 洋葱式信息安全观察:STIX2.1SDO路径分析
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏