STIX含義:網絡威脅情報的標準化結構表達語言,威脅情報的一個標準。
STIX Whitepater 官網地址:http://stixproject.github.io/getting-started/whitepaper/
概要:本文基於個人理解對網絡威脅情報交換標準格式STIX的理解,翻譯的官網(stix)白皮書。
翻譯目的:理解原生STIX開發組織(MITRE)對stix的解釋,補充對stix的理解、減少理解偏差。
STIX作用:威脅情報作用是在攻防時間線上失衡的解決方案(失衡:攻擊發生後,發現攻擊時間晚,發現後作出防禦更晚,所有安全設備添加該類攻擊的防禦措施就long long alter了),那麼想把一手的網絡情報信息推給相關廠商、用戶、安全設備等,就要有相應的情報格式標準、這個標準能讓大家共識,這個標準就是STIX。然後通過傳輸協議TAXII推送情報完成閉合。
STIX官網白皮書翻譯目錄
1 Introduction介紹 3
2 Background背景 3
3 Current Approaches現狀 4
4 History發展歷史 4
5 What is STIX? 5
6 Use Cases 實用案例 5
7 Guiding Principles 指導原則 7
7.1 Expressivity 展現 7
7.2 Integrate rather than Duplicate整合而不是複製 7
7.3 Flexibility 靈活性 7
7.4 Extensibility 可擴展 7
7.5 Automatability 8
7.6 Readability 易讀性 8
8 Architecture 結構 8
9 STIX Structure 結構描述 9
9.1 Observables 可觀察信息 9
9.3 Incidents 事件 9
9.4 TTP(戰術、技術、過程) 10
9.5 Campaign (動機)攻擊事件/團伙 10
10 Implementations 實現方式 12
11 Usage 使用者 12
12 Conclusion and Future Work 結論和未來發展 13
13 Acknowledgments 感謝 13
14 References 參考 14
Abstract簡述
大的組織(企業,政府等)越來越需要威脅情報來提升自身的網絡安全防禦能力,威脅情報最重要的是與他人or組織共享情報數據。
STIX是威脅情報的一種結構化語言,特點是靈活、可擴展、可自動化、容易讀(識別),快速傳達威脅情報信息。
歡迎感興趣和願意分享的組織和人,通過https://www.mitre.org/網站,郵件來討論和分享情報。
授權信息
STIX, TAXII, CybOX, MAEC, CAPEC, CVE, CWE and CCE 是MITRE的知識產權。
美國政府支持的非盈利性組織。
反饋
白皮書官網地址:http://stixproject.github.io/getting-started/whitepaper/
1 Introduction介紹
Stix是建立在多個行業、學術界、政界、專家等積極的反饋與共享情報數據基礎之上的,包括安全運營中心,安全管理人員,決策者和生產者等通過各種共享模型。完善共享和構建完善的系統結構需要不斷努力。
2 Background背景
網絡攻防技術變的越來越複雜。傳統網絡安全方法集中於分析發現弱點和修補漏洞,這些對未來的網絡安全防禦是不夠的。有效防禦已知和未知的網絡攻擊,需要理解對手的行爲,能力,意圖和結合自身系統的弱點,通過對對手和自己的雙方理解,才能理解我們所面臨的威脅的薄弱點和風險度,從而做出明智的防禦決策。
隨着攻擊技術的發展,出現了多種複雜的攻擊場景。攻擊者的目的不僅僅是搞破壞了,轉向了更有政治、商業目的性的攻擊。(如:storm worn勒索病毒是有潛伏期針對性的攻擊)。這種攻擊稱爲APT,可以通過下圖的kill chain可解釋這種攻擊,攻擊分爲兩大類Left of Hack(攻擊前)和Right of Hack(攻擊後)。整個攻擊按從左到右的順序逐步展開,Recon偵查即是掃描發現目標的弱點,Weaponize彈藥即是攻擊載荷、攻擊工具,deliver傳輸即是通過某種手段將攻擊載荷(payload)傳到可觸發點,然後exploit(執行滲透),拿到系統的control控制權限,進入滲透目標系統後將要執行execute和建立持續maintain控制通道(後門,木馬等),有了控制通道即可展開目的性的攻擊。
APT可持續性攻擊促使安全防禦需要更加積極主動,處理失陷安全事件的代價是非常昂貴的(如:1已造成的破壞後的損失,2找出攻擊事件的惡意代碼並清理不是一件容易的事)。所以最好是藉助網絡威脅情報在攻擊前(Left of Hack)就將攻擊拒之門外。
網絡威脅情報與傳統情報類似(確定對手能力、行爲、意圖),網絡情報的含義是標記已經發生和未來可能發生的網絡攻擊行爲。
威脅情報內容包括:
1 已發生or未來可能發生的網絡攻擊行爲
2 如何檢測和識別這些攻擊行爲
3 應對信息
4攻擊者信息
5 攻擊目標
6 TTP(戰術、技術、過程)
從安全本質上防禦與攻擊處於相對平衡的水平,瞭解攻擊者可能會在未來利用什麼樣的漏洞和弱點,採取了什麼行動等,全面瞭解對手可能構成的威脅,可提供更有效的決策防禦方案。
在人工智能的浪潮下應該具備一種有靈活和有彈性的安全感知態勢。APT攻擊本質上是在入侵後嘗試入侵,根據每次嘗試的成功或失敗來調整他們的操作。在滲透攻擊模型中,防禦者最好在某個階段打破攻擊鏈來阻止對手。網絡攻防是安全技術的博弈的過程,但防禦者比入侵者有更多的內在優勢,在防禦系統中建設有彈性、有阻止or能緩解入侵的系統,來防禦or增加入侵的成本。
由於任何組織都沒有足夠的相關的網絡情報知識用於威脅態勢感知,各家情報各自爲營,量不全是威脅情報的一個難題,解決這項難題是通過可信的合作伙伴和社區組織來共享威脅情報,把各家的情報共享出來大家一起用。通過信息共享好處是合作伙伴們都能拿到相對全面的、豐富的上下文情報數據。這不僅僅是在理念上有效,落地實際生產中也有實際效果。例子:組織A已遭到某種攻擊,但是組織B還未發現有該攻擊的跡象,那麼如果組織A把針對該攻擊的相關情報共享出來,組織B就可以利用相關情報來發現、檢測、防禦該攻擊。AB組織屬於同一行業類時該類情報尤爲重要。
因威脅方法是複雜不斷變化的、事件發生速度和共享情報時的海量數據(人處理慢和情報週期問題),所以應該用自動化去幫助人工手動完成。自動化的去完成情報數據的整合,清理,融合等後用於實際的防禦系統中,但是目前防禦系統是建立在各種安全產品之上的,不同的產品要自動化的使用共享情報,那麼就需要標準化、結構化的共享信息格式,使的各產品能自動的使用情報。
人們希望通過機讀情報和人讀情報交換共享數據有部分情報會增加人工分析和判斷(情報中有不適合自動化處理的情報需要人工處理),通過情報的來源和情報質量判斷情報的真實性。
綜上所述,共享情報需要具有靈活性、可擴展性、可自動化和可讀性的威脅知識的一種結構化表示。一個開源社區提供瞭解決方案—STIX(標準化結構化表達威脅情報知識)。
3 Current Approaches現狀
目前情報共享方式多是通過門戶網站和加密電子郵件等的非結構化交換,主要交換的數據是人讀情報,相對簡單的情報指標數據,問題是不能很好的集成和連貫的靈活性,不能滿足安全事件智能感知與防禦系統。STIX來彌補和解決這些問題。
4 History發展歷史
Stix最初是根據IDXWG電子郵件安全和威脅情報專家討論研究發展而來的,起草了結構化威脅信息架構,定義了結構化網絡威脅信息中包含的個組件、內容等。STIX結構使用XML Schema實現的,在共享領域發展很快。
5 What is STIX?
STIX是一種用於描述網絡威脅信息的結構化語言,是一種語言,一種規範的標準,用於表示網絡威脅信息的規範,捕獲,表示和通信。以結構化的結構實現,支持自動化高效的使用情報。
威脅情報事件信息包括:
• Analyzing cyber threats 威脅分析
• Specifying indicator patterns for cyber threat 威脅標記信息
• Managing cyber threat response activities 應對防禦
• Sharing cyber threat information 共享情報
STIX提供了一種通用機制,可以在實用環境內處理結構化網絡威脅信息,從而提高一致性,效率,互操作性和整體態勢感知能力。
STIX提供了一個統一的架構,將各種各樣的網絡威脅信息集成在一起,包括:
• Cyber Observables 可觀察的知識(如文件類哈希等)
• Indicators 威脅指標
• Incidents 事件實例
• Adversary Tactics, Techniques, and Procedures (including attack patterns, malware, exploits, kill chains, tools, infrastructure, victim targeting, etc.) 即是 TTP
• Exploit Targets (e.g., vulnerabilities, weaknesses or configurations) 滲透目標(如:利用漏洞、弱點、不合理配置)
• Courses of Action (e.g., incident response or vulnerability/weakness remedies or mitigations) 解決方案(如:漏洞和不合理配置該如何解決)
• Cyber Attack Campaigns 攻擊組織
• Cyber Threat Actors 攻擊者(攻擊源)
STIX結構靈活並可擴展,尤其是結構的靈活可選性,可以實用與任何場景實用,單個實例用到哪個部分就從哪裏取數據實用。
6 Use Cases 實用案例
STIX旨在支持一系列涉及網絡威脅管理的核心案例。下面簡單的實例各部分實例場景。
(UC1)網絡威脅分析(威脅風險評估)
網絡安全分析師從多個數據源(結構化和非結構化數據)中抽取相關IOC(行爲、意圖、影響範圍、攻擊組織、生效時間等)信息,試圖能定性網絡威脅事件。例如:魚叉釣魚攻擊,安全分析師可以從各數據源中分析可疑郵件中的附件和鏈接是否惡意,郵件發送給了誰,附件觸發後的行爲等(沙箱功能),釣魚目標是誰,是哪個攻擊組織、攻擊意圖是什麼等。
(UC2)威脅IOC信息(威脅事件的作證指標、上下文等)
IOC知識是安全風險的可觀察信息和相關的上下文信息,用於解釋證明攻擊事件、用於防禦處理事件、用於優先決策選擇。例如:在定位魚叉釣魚攻擊事件中,分析師可觀察量(郵件來源,主題,嵌入隱藏url,附件,附件的行爲等),這些基礎信息是爲了解釋Kill Chain的最好證據,通過基礎數據可還原出TTP,這樣安全分析師就可以做相應的應急處理和防禦策略(如,添加相應的Sort入侵檢測規則,Yara病毒檢測規則,oval等)。
(UC3)應急響應與防禦處置
網絡決策者和網絡運營人員互相協同努力,以預防或檢測網絡威脅活動,並調查和評估可能發生該類網絡攻擊的概率和風險度。預防行動方案本質上是補救性的,以減少可能成爲利用目標的漏洞,弱點或錯誤配置。在安全事件發生或即將發生後,可以查找最合適的應急響應反方案。例如,在確定的具有確定指標的網絡釣魚攻擊的情況下,網絡決策者和網絡運營人員一起工作以充分了解網絡中的網絡釣魚攻擊的影響和風險。明確行動方針並實施適當的預防性或偵探性行動方案。
(UC3.1)網絡威脅防禦
網絡決策者對已爆發的威脅做相關的預防性方案,安全運營者負責實施,來預防和緩解已知的網絡威脅事件的發生。例如:魚叉釣魚攻擊,網絡決策者先評估安全風險和安全應對防禦策略,在威脅影響度和預防成本的權衡下做決策,決定運營者是否增加相應的防禦方案(如在郵件網關增加對應的檢測機制來阻止威脅事件的發生)。
(UC3.2)威脅檢測
網絡運營者通過網絡監控來檢測已發生事件,通過態勢感知預測將會發生的網絡威脅,可通過自動化、手動完成。例如:已有釣魚攻擊發生,網絡運營者可以從情報的特定IOC信息中取出相應的作證信息,解釋網絡已受到該攻擊。
(UC3.3)威脅響應
網絡運營人員響應網絡威脅的檢測,調查已發生或正在發生的事件,嘗試識別實際威脅的性質並執行具體的方案來緩解攻擊或糾正系統配置。 如:運營人員已經知道系統受到了釣魚攻擊,哪些系統、人羣受到了攻擊,安裝了什麼惡意程序,惡意程序將要做什麼等等。然後做出相應補救措施,如病毒查殺。
7 Guiding Principles 指導原則
定義網絡威脅信息的結構化表示的方法中,STIX努力堅持並實施一套社區共識認的核心指導原則。這些原則如下:
7.1 Expressivity 展現
爲了完全支持網絡安全領域內與威脅情報相關的場景實例的多樣性,STIX的目標是在所有實例中提供彙總的表達覆蓋,而不是專門針對一個或兩個場景的結構。STIX旨在爲網絡威脅域內的所有相關信息提供完整的表達能力。
7.2 Integrate rather than Duplicate整合而不是複製
Stix情報集是將適當的情報集成進來,而不是複製情報數據。
STIX構成模式:
1 可觀察(顯性)的網絡威脅信息表達,STIX 1.1版提供了鬆散耦合機制和默認實現,以便適當地利用以下組成模式
2 常見攻擊模式枚舉和分類
3 惡意軟件屬性枚舉和特徵
4 常見漏洞報告框架
5 OASIS客戶信息質量
7.3 Flexibility 靈活性
爲了支持各種實例和不同信息的置信度,STIX旨在提供儘可能多的靈活性。STIX允許用戶使用與給定上下文相關的標準化表示,儘可能避免強制性,固定性的功能策略。
7.4 Extensibility 可擴展
爲了支持一系列具有可能不同描述細節的案例,並保證stix的改進和演變,STIX設計有意構建特定用途的擴展機制,用於本地化用戶,用戶驅動細化和進化,以及易於集中精煉和發展。
7.5 Automatability
STIX設計方法有意尋求最大化結構和一致性,以支持機器可處理的自動化。
7.6 Readability 易讀性
STIX的設計內容結構不僅是機器可消耗的和可處理的,而且儘可能的是人類可讀的、易讀的。這種人類可讀性對於在開發和採用的早期階段的清晰度和可理解性以及在不同環境中持續使用而言是必要的。
8 Architecture 結構
下面是STIX結構圖,每個核心件可獨立也可重複使用,下面基於每個核心件的含義和內容來介紹和說明他們之間的互相關係。通過箭頭標記鏈接各件的關係(【*】表示核心件之間的關係,*表示一次也可能是多次)。他們之間的聯繫結構通過XML Schema語言標準來實現的,有8個核心件:可觀察,指證(證據),事件,TTP,滲透目標,應對行爲,攻擊者,攻擊事件/攻擊團伙(動機)。
下面簡要介紹各組件:
9 STIX Structure 結構描述
9.1 Observables 可觀察信息
Observables是stix結構中基礎的結構,主要是計算機和網絡中有狀態的屬性、可觀察量。如:文件(名稱、大小、hash、類型等),服務啓動、註冊表操作、應用服務的通信過程等。
STIX用CybOX表示observables,CybOX是足夠靈活的標準化的語言,作用編碼和傳遞observables信息。將會成爲網絡中可觀察信息的最佳抽象模型,用於觀察和分析可觀察量信息。
9.2 Indicators 安全指標信息(證據上下文)
安全指標信息是一個or多個observable信息的集合,表示網絡安全事件中行爲和特殊信息的上下文,這些信息能關聯到TTP的具體細節中。其中包含的數據分類有對事件定義的準確度,時間有效性,影響範圍,攻擊目標,應對行動,已發生的攻擊事件,信息來源,關聯信息,建議處理方案等。
9.3 Incidents 事件
事件是攻擊組織活動的實例,事件的發現和響應都是指標信息。事件指標信息包括:攻擊時間、受影響資產、影響範圍、嚴重程度、可觀察信息、攻擊者、應急響應、阻斷後續行爲、處置方案、事件日誌、行爲記錄等。
9.4 TTP(戰術、技術、過程)
TTP這個術語來自軍事領域用於描述對手(攻擊者)相關的信息。如:用惡意軟件竊取信用卡信息【戰術】。向受害者發送針對性的電子郵件,附件中帶有惡意代碼,當受害者打開附件執行了惡意代碼後,觸發惡意程序捕獲相關信用卡信息,捕獲成功後通過c2控制通道把獲取的信息發送到指定的服務器【技術】。通過社工找到相關受害者,製作使人容易信服的郵件(僞造郵件),繞過防禦系統,使的受害者觸發相關漏洞,執行滲透動作,建立c2通道【過程】。
TTP包括:
對手行爲(攻擊方式、惡意軟件、漏洞利用)
資源利用(攻擊工具、基礎設施、角色)
受害者信息(who?where?what?)
攻擊預期影響
相關攻擊鏈 kill chain
處理指導
信息來源等
TTP在網絡情報中是核心信息,它與指標,事件,活動,攻擊者,攻擊目標有着密切的關聯關係。
9.5 Campaign (動機)攻擊事件/團伙
攻擊團伙的動機是攻擊者攻擊意圖的實例,通過事件or TTP中能獲取到該信息。
該事件可能已發生也可能即將發生,包括:攻擊的預期效果,相關TTP,相關攻擊團伙,攻擊意圖,中招後處理辦法等。
9.6 Threat Actors 攻擊者(攻擊源)
ThreatActors是表示網絡攻擊威脅的行動者(或攻擊者)的特徵。包括:意圖和已實現的行爲。(身份特徵,可移動機,預期效果,相關歷史事件,處置指導,信息來源等)
9.7 Exploit Targets 攻擊目標
ExploitTargets是軟件,系統,網絡或配置中的漏洞或弱點.是能被攻擊者利用的,在TTP中體現利用。ExploitTargets包括漏洞標識或特徵,弱點標識或特徵,配置標識或特徵,防禦特徵,ExploitTarget信息的來源,處理指南等。
9.8 Courses of action 應對行動
針對威脅採取的具體行動措施,有事後處理和預防。解決漏洞利用、阻止攻擊或提高攻擊門檻。包括:被滲透後的查殺修補,IPS規則、補救成本、預期效果、措施指導等。
9.9 Data Markings 數據標記
STIX結構的一致要求是能夠表示數據的標記,該構造不作爲STIX架構圖中的單獨實體傳達,而是作爲上述所有頂層構造中的交叉結構存在。
STIX採用靈活的通用方法,而不是採用單一標記方法,有兩個方法:1指定獨立於被標記的結構(指向它們的位置),而不是嵌入到任何地方 2,它允許將任何數據標記結構的定義和使用簡單地作爲基礎類型結構的抽象。
10 Implementations 實現方式
STIX是利用XML Schema作爲一種普遍存在的,可移植的,結構化的機制,通過討論和改進,開發支持各種應用程序,例如API,語言翻譯,語言綁定等。通過各開源社區和專家們的討論修改迭代,最終會實現最有效的解決方案。後續可能會有其他表達語言如web,json等。
11 Usage 使用者
各組織中面臨着共享威脅情報信息的挑戰,所以stix引起了大家的注意和興趣。下面是一開始使用stix的組織:
美國國土安全部,通過taxii使用stix
國土安全部實用stix向合作伙伴發佈威脅情報信息
DHS國家網絡安全和通信集成中心正在逐步實施基於STIX的所有網絡威脅相關運營產品的生產
2012年第二季度,金融服務信息共享和分析中心(FS-ISAC)同意實施STIX架構(包括CybOX),以便在金融服務領域的成員中實現網絡威脅信息共享。截至2013年5月,FS-ISAC利用STIX建立了一個運營威脅信息庫,可供所有約4200個成員組織使用
2013年7月,微軟宣佈他們將利用STIX通過新的MAPP for Responders計劃共享威脅信息
2013年9月,惠普宣佈推出基於STIX的全新威脅中心威脅情報共享環境。日本IPA(日本信息技術促進局)目前正在開展一項積極的可行性研究,將STIX架構的元素(CybOX,MAEC等)應用爲網絡可觀測量和威脅信息的國際交換格式
日本IPA(日本信息技術促進局)目前正在開展一項積極的可行性研究,將STIX架構的元素(CybOX,MAEC等)應用爲網絡可觀測量和威脅信息的國際交換格式
此外,STIX正在積極考慮在各種不同的美國和國際公共-公共,公私-私人,私人-網絡威脅信息共享,支持多家供應商之間進行使用。
12 Conclusion and Future Work 結論和未來發展
需要更開放的網絡安全防禦協同方法。網絡威脅是在攻擊者和防禦者之間轉移攻防平衡的重要指標信息。有效的成熟的網絡威脅情報信息是標準化的表達方式,STIX努力做成標準化方法。原則是最大限度的提高表達性、靈活性、可擴展性、自動化和可讀性。
STIX提供全方位的網絡威脅信息: 可觀察量,指標,事件,TTP,漏洞利用目標,應對行動,威脅行動者和活動,爲網絡安全防禦提供支持。
STIX會聽取社區意見,完善框架設計,開發支持實用的程序,來更好的解決網絡威脅信息共享問題。
歡迎感興趣的夥伴們加入討論、研發、改進,使用和支持stix。
意見反饋:[email protected]
13 Acknowledgments 感謝
HS SED是STIX的開發和維護組織,該組織是美國國土安全部贊助的。
感謝爲STIX討論做出貢獻的組織,包括:
• MITRE Corporation
• United States Computer Emergency Readiness Team (US-CERT)
• DHS Cyber Information Sharing and Collaboration Program (CISCP)
• DHS National Cybersecurity and Communications Integration Center (NCCIC)
• Enhanced Shared Situational Awareness (ESSA)
• National Institute of Standards and Technology (NIST)
• Financial Services Information Sharing and Analysis Center (FS-ISAC)
• CERT Coordination Center (CERT/CC)
• Research and Engineering Networking Information Sharing and Analysis Center (REN-ISAC)
• Industrial Control System Information Sharing and Analysis Center (ICS-ISAC)
• Electricity Sector Information Sharing and Analysis Center (ES-ISAC)
• National Health Information Sharing and Analysis Center (NH-ISAC)
• Department of Defense Cyber Crime Center (DC3)
• National Cyber Investigative Joint Task Force Analytical Group (NCIJTF-AG)
• Depository Trust & Clearing Corporation (DTCC)
• Goldman Sachs
• American Express
• USAA
• GE
• Siemens
• Visa
• Microsoft
• HP
• Check Point
• CrowdStrike, Inc.
• FireEye/Mandiant
• CyberIQ
• LookingGlass
• iSIGHT Partners
• Red Sky Alliance
• Damballa
• esentire
• Tripwire
• Verisign
• Verizon
• Lockheed Martin
• General Dynamics
• Northrop Grumman
• Booz Allen Hamilton
• Threat Stream
• ThreatGRID
• Bromium
• Reversing Labs
• Cyber2/ThreatConnect
• Internet Identity
• Fortinet
• Fishnet Security
• StegoSystems
• G2, Inc.
• Cyveillance
• Critical Intelligence
• Incident Logic
• Punch Cyber Analytics Group
• NCI Security LLC
• Foreground Security
• SHARKSEER Program
• Public Regional Information Security Event Management (PRISEM)
• NATO
• World Bank
• CERT-EU
• Gendarmerie Nationale (France)
• Trustworthy Software Initiative (TSI) (UK Software Security)
14 References 參考
[1] Cyber Observable eXpression (CybOX). URL https://cybox.mitre.org
[2] 常見攻擊模式枚舉和分類(CAPEC). URL https://capec.mitre.org
[3]惡意軟件屬性枚舉 (MAEC). URL https://maec.mitre.org
[4] 常見的漏洞和風險(CVE). URL https://cve.mitre.org
[5] 常見的弱點列舉 (CWE). URL https://cwe.mitre.org
[6] 通用配置枚舉 (CCE). URL https://cce.mitre.org
[7] 開源漏洞數據庫 (OSVDB). URL http://www.osvdb.org
[8] 常見漏洞報告框架 (CVRF). URL http://www.icasi.org/cvrf/
[9] 智能驅動的計算機網絡防禦通過分析對手運動和入侵鏈; URLhttp://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf
[10] Luc Dandurand, Emmanuel Bouillon and Philippe Lagadec, Luc Dandurand,Emmanuel Bouillon和Philippe Lagadec,“網絡防禦數據協作和交換基礎設施的高級要求”,北約諮詢,指揮和控制機構。
[11] “TAXII: 可靠的指標信息自動交換,” U.S. Department of Homeland Security
[12] 網絡信息共享模型: An Overview,” MITRE Corporation, May 2012.
[13] 網絡戰略的積極防禦戰略, MITRE Corporation, July 2012.
[14] 一種新的網絡防禦手冊, MITRE Corporation, July 2012.
[15] [email protected], Oct 2011 - May 2013
[16] Traffic Light Protocol (TLP). URL http://www.us-cert.gov/tlp/
[17] Julie Connolly, Mark Davidson, Matt Richard, Clem Skorupka, “The Trusted Automated eXchange of Indicator Information (TAXIITM),” November 2012. http://taxii.mitre.org/about/documents/Introduction_to_TAXII_White_Paper_November_2012.pdf
[18] OASIS客戶信息質量 (CIQ) xPRL. URL https://www.oasis-open.org/committees/ciq/
附件:STIX白皮書地址(包括中文版+英文原版)
https://pan.baidu.com/s/1VE1BEfBSU7n8T7LnkjwAIw 提取碼:uy7w