网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

?“袋装”型：你可能已经在使用这种IOC，很多组织会订阅一些威胁情报，这些订阅的feed通常会投递一些MD5或者ip地址列表，一“袋装”的IOC可以代表这些入侵指示器（indicator）的一个集合。

4.如何描述威胁情报？

?一个IOC通常由三个部分组成，分别是IOC

元数据部分、参考部分以及定义部分。下面

使用Mandiant的IOC编辑器来了实际了解一

下这些组成部分。

4.如何描述威胁情报？

?元数据：

IOC元数据描述了以下信息，例如本IOC的名称（Evil.exe[BACKDOOR]）、作者([email protected])以及简述?参考：

在IOC的参考里面，可以有调查事件的名称或者case编号，IOC成熟度的评论和信息（例如Alpha, Beta,Public Release等等）这些信息有助于你理解这个IOC适合放到你的威胁情报库中的什么位置。这个参考字段通常的用法是用于把IOC关联到特定的威胁组织（好比如APT1）。当于第三方共享IOC

信息时，删除特定的参考字段的做法并不常见。

4.如何描述威胁情报？

?定义：

?这是IOC的核心内容了，包括了调查人员决定编写IOC的关键内容。例如，可能包括一个文件的MD5值，注册表路径或一些在进程内存中发现的线索，所谓的指示器（indicator）会列在这个定义字段里，或者组合到表达式里面，这些表达式通常由两个术语和一些布尔型逻辑符组成。OpenIOC的其中一个特性令它特别有用，就是它可简单的组合一些and，or

的逻辑条件判断符。

4.如何描述威胁情报？

Indicator of Compromise (IOC)标准—in computer

forensics is an artifact observed on a network or in

an operating system that with high confidence

indicates a computer intrusion.

1.CybOX（Cyber Observable eXpression）

2.STIX（Structured Threat Information eXpression）

3.OpenIOC

4.如何描述威胁情报？

?CybOX

?Cyber Observable eXpression (CybOX) 规范定义了一个表征计算机可观察对象与网络动态和实体的方法。可观察对象包括文件，HTTP会话，X509证书，系统配置项等。这种可观察对象由于具有某个特定值，往往作为判断威胁存在与否的指标。IP地址也是一种可观察的对象，通常作为判断恶意企图的指标。

?STIX

?Structured Threat Information eXpression (STIX) 提供了基于标准XML的语法描述威胁情报的细节和威胁内容的方法。STIX的数据结构中，对于表象特征(Obsevables),使用CybOX 来描述。STIX规范可以描述威胁情报中多方面的特征，包括威胁因素，威胁活动，安全事故等。它极大程度利用DHS规范来指定各个STIX实体中包含的数据项的格式。

?OpenIOC

4.如何描述威胁情报？

被FireEye 10亿美金收购的专业安全威胁情报公

司Mandiant，在2013年发布了其成名作关于中

国黑客攻击的APT1报告。

其在发布APT1报告同期发布的附件文件

Mandiant_APT1_Report_Appendix.zip 中除对APT

攻击中包含的恶意代码家族的分析和SSL证书之

外，还包含使用其力推的OpenIOC格式的相关可

机读的IOC文件。

随后，MITRE也根据Mandiant的报告，提供了使

用业内更加公认的STIX 1.1.1格式的机读文件。

4.如何描述威胁情报-APT1-BISCUIT-OpenIOC

格式

4.如何描述威胁情报-APT1-恶意域名-STIX

格式

2.如何描述威胁情报

-OpenIOC duqu

5.威胁情报平台举例