5　威脅信息表達模型概述

本標準給出了一種結構化方法描述網絡安全威脅信息。采用結構化方法描述網絡安全威脅信息的主要目的是實現各組織間網絡安全威脅信息的共享和利用，并支持網絡安全威脅管理和應用的自動化。要達成這些目標則需要一種通用機制來規范網絡安全威脅信息格式，實現網絡安全威脅信息描述的一致性，從而提升威脅信息共享的效率、互操作性，以及提升整體的網絡安全威脅態勢感知能力。

本標準給出了一種通用的網絡安全威脅信息表達模型（以下簡稱“威脅信息表達模型”），從對象、方法和事件三個維度建立描述體系，對網絡安全威脅信息進行了劃分，采用包括可觀測數據、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊目標、攻擊方法、應對措施在內的八個組件構建整個網絡安全威脅信息表達模型：

a) 對象域：描述網絡安全威脅的參與角色，包括兩個組件：“威脅主體”（一般是攻擊者）和“攻擊目標”（一般是受害者）；

b) 方法域：描述網絡安全威脅中的方法類元素，包括兩個組件：“攻擊方法”（攻擊者實施入侵所采用的方法、技術和過程），以及“應對措施”（包括針對攻擊行為的預警、檢測、防護、響應等動作）；

c) 事件域：在不同的層面描述網絡安全威脅相關的事件，包括四個組件：“攻擊活動”（以經濟或政治為攻擊目標）“安全事件”（對完整信息系統進行滲透的行為）、“攻擊指標”（對終端或設備實施的單步攻擊）和“可觀測數據”（在網絡或主機層面捕獲的基礎事件）。

圖1給出了網絡安全威脅信息表達模型八大組件及相互關系，每個組件包含要素本身屬性和與其它組件的關系信息，是構成網絡安全威脅信息表達模型的關鍵要素。圖1中，“可觀測數據”是指與主機或網絡相關的有狀態的屬性或可測量事件，是威脅信息表達模型中最基礎的組件。“攻擊指標”是指在特定的網絡環境中，用來識別一個特定“攻擊方法”，它是多個“可觀測數據”的組合，是用來檢測“安全事件”的檢測規則。“安全事件”是依據對應指標（“攻擊指標”）檢測出的可能影響到特定組織的網絡攻擊事件，一個具體的網絡攻擊事件可涉及到“威脅主體”、“攻擊方法”和“應對措施”等信息。“攻擊活動”是指“威脅主體”采用具體的“攻擊方法”實現一個具體攻擊意圖的系列攻擊動作，整個攻擊活動會產生一系列“安全事件”。“威脅主體”是“攻擊活動”中發起活動的主體，“威脅主體”使用相關方法（“攻擊方法”）達到攻擊意圖。“攻擊目標”是被“攻擊方法”所利用的軟件、系統、網絡的漏洞或弱點，對于每個攻擊目標，都有相應的有效措施（“應對措施”）進行抑制。“攻擊方法”是對“威脅主體”實施攻擊過程中所使用方法的描述，每種“攻擊方法”都會采取漏洞利用的方式來利用“攻擊目標”上的漏洞或弱點類型。“應對措施”是指應對具體“攻擊目標”有效措施，當安全事件發生后，也可能會采取相應的“應對措施”進行事后的安全事件處置。

本標準給出的網絡安全威脅信息表達模型靈活、可擴展，主要表現在網絡安全威脅信息模型中定義的各個威脅信息組件都是可選的，它既可以獨立使用，也可以任意方式組合，比如，在特定應用場景下，可以只使用威脅信息表達模型中相關的組件，而無需使用全部的組件。網絡安全威脅信息表達模型的這種靈活和可擴展特性使得其適合在各種獨立的應用場景中使用。

圖 1 威脅信息表達模型

第六章對網絡安全威脅信息表達模型八大威脅信息組件進行詳細描述。關于各威脅信息組件的格式描述示例參見附錄A，關于完整的網絡安全威脅信息表達示例參見附錄B。