43、自动化事件响应中的可操作网络威胁情报

自动化事件响应中的可操作网络威胁情报

1. 模式构建与匹配基础

在网络安全事件响应中，为了将事件与相关的网络威胁情报（CTI）自动关联起来，需要构建和匹配攻击模式。在构建模式时，分析师要确定时间间隔 p.T 和相关的 CTI 报告 p.CTI = rR 。时间窗口的确定可能需要基于攻击类型的启发式方法，因为攻击通常是短时的，但巧妙的隐身技术可能会延长其持续时间。此外，还可以添加其他元数据，如名称、描述、严重程度等，这些可选字段可以从任何相关的 CTI 中收集。

模式以 JSON 格式呈现，事件 ID 在正则表达式中用字母表示，按照它们在事件类型数组中出现的顺序。构建好的任何模式都会添加到模式数据库中，用于后续的模式匹配。

在运行时，有了模式数据库后，我们的目标是将模式与网络入侵检测系统（NIDS）提供的事件进行匹配。我们将事件建模为非空的事件集合。不同的 NIDS 可能以不同的方式表示事件 e ，但我们假设它们至少包含时间戳 e.time 、涉及的主机集合 e.hosts 和类型 e.type 。对于一组事件 I ，我们定义其时间为 I.time = max{e.time | e ∈ I} ，涉及的主机为 I.hosts = ∪e∈I e.hosts ，类型为 I.type = {e.type | e ∈ I} 。

为了定义匹配模式的概念，我们考虑一个模式