前面給大家介紹了 STIX是一種描述網(wǎng)絡(luò)威脅信息的結(jié)構(gòu)化語(yǔ)言 ，那么怎么用這種語(yǔ)言來(lái)描述網(wǎng)絡(luò)威脅信息呢?在遇到惡意軟件的時(shí)候用，它與惡意軟件描述語(yǔ)言MAEC又有怎樣的區(qū)別和配合呢?

本文介紹了惡意軟件屬性枚舉和特征描述(MAEC)及結(jié)構(gòu)化威脅信息表達(dá)(STIX)與語(yǔ)言在惡意軟件特征及惡意軟件元數(shù)據(jù)交換環(huán)境中的運(yùn)用。通過(guò)描述語(yǔ)言之間的關(guān)系并詳細(xì)介紹每種語(yǔ)言獲取惡意軟件相關(guān)信息的能力，本文回答了“何時(shí)使用MAEC，何時(shí)使用STIX，以及何時(shí)使用兩者”的問(wèn)題。

MAEC是什么

這種語(yǔ)言在國(guó)際范圍內(nèi)，提供公眾免費(fèi)使用。MAEC 是一種高逼真度信息標(biāo)準(zhǔn)化的語(yǔ)言，基于惡意軟件的行為、 工件和攻擊模式等屬性，進(jìn)行編碼和信息交流。

通過(guò)消除當(dāng)前惡意軟件描述中的歧義和不準(zhǔn)確性，減少對(duì)簽名的依賴，MAEC 旨在改善惡意軟件的信息交流，這包括人與人、 人工具、 工具和工具與人之間的溝通;減少研究人員對(duì)惡意軟件分析中發(fā)生重復(fù)工作;能夠利用以前觀察到的惡意軟件實(shí)例特征，實(shí)現(xiàn)更快的應(yīng)對(duì)策略。

STIX與MAEC有什么區(qū)別

MAEC 和STIX 在設(shè)計(jì)時(shí)使用了截然不同的用例，因此在獲取惡意軟件信息時(shí)扮演的角色也不相同。MAEC 旨在提供全面的、結(jié)構(gòu)化的獲取惡意軟件樣本詳細(xì)信息的方法，因此使用對(duì)象主要是惡意軟件分析師。STIX 是為了獲取各種網(wǎng)絡(luò)威脅相關(guān)的信息，包括惡意軟件的基本信息。因此它的受眾更多樣化。

MAEC 內(nèi)容也可以嵌入到STIX 中，使兩種語(yǔ)言相互補(bǔ)充。若同時(shí)使用，它們可以獲取詳細(xì)的惡意軟件信息和網(wǎng)絡(luò)威脅相關(guān)的信息，可在惡意軟件和更大的網(wǎng)絡(luò)威脅環(huán)境之間建立有用的、更細(xì)粒度的關(guān)系。

另一方面，CybOX 為MAEC 和STIX 獲取與每種語(yǔ)言相關(guān)的可觀察物提供共同的基礎(chǔ)。雖然CybOX 不能作為一種獨(dú)立的語(yǔ)言來(lái)獲取有意義的惡意軟件上下文，但它在MAEC 和STIX 中的使用使這兩種語(yǔ)言在獲取惡意軟件相關(guān)的可觀察物方面可以互通。

STIX和MAEC在描述惡意軟件方面的應(yīng)用

STIX 和MAEC 均可獨(dú)立用以獲取惡意軟件信息。然而，在某些情況下，最好是將MAEC 內(nèi)容嵌入到STIX 文檔中。表1 中分別列出了這三種方式(MAEC、STIX、嵌入STIX 的MAEC)獲取的惡意軟件信息的類型。表中還列出了每種情況的上下文及目標(biāo)受眾。

流程圖是為了進(jìn)一步幫助讀者了解在哪些情況下應(yīng)使用MAEC、STIX 或嵌入STIX 的MAEC。

用STIX描述網(wǎng)絡(luò)威脅信息

STIX 能夠以標(biāo)準(zhǔn)化和結(jié)構(gòu)化的方式獲取更廣泛的網(wǎng)絡(luò)威脅信息，包括詳細(xì)的指標(biāo)、活動(dòng)、威脅源起方和TTP(戰(zhàn)術(shù)、技術(shù)和程序)。STIX 還可以提供關(guān)于惡意軟件樣本、族或類別的基本識(shí)別信息。因此，概況的網(wǎng)絡(luò)威脅信息可與明確的惡意軟件樣本進(jìn)行直接關(guān)聯(lián)(例如，STIX 指標(biāo)可與具體的待檢測(cè)惡意軟件樣本進(jìn)行關(guān)聯(lián))。然而，獨(dú)立的STIX 內(nèi)容設(shè)計(jì)并不包括惡意軟件本身的詳細(xì)特征;只適合STIX 以這種方式來(lái)獲取更廣泛的適用數(shù)據(jù)，如被人們所熟知的利用惡意軟件的威脅源起方。

在惡意軟件相關(guān)信息方面，STIX 能夠獨(dú)立獲取和交換以下信息：

• 提供一個(gè)或多個(gè)惡意軟件樣本的輕量級(jí)描述的TTP
• 與一個(gè)或多個(gè)惡意軟件樣本相關(guān)的指標(biāo)，如對(duì)某個(gè)被惡意軟件樣本丟棄的文件的描述
• 利用了一個(gè)或多個(gè)惡意軟件樣本的安全事件
• 與一個(gè)或多個(gè)惡意樣本相關(guān)的活動(dòng)
• 利用一個(gè)或多個(gè)惡意軟件樣本的威脅源起方

STIX 能夠獲取所描述的惡意軟件的類型(如實(shí)例或族)、名稱，以及通過(guò)TTP 組件架構(gòu)提供的惡意軟件簡(jiǎn)介。一般來(lái)說(shuō)，創(chuàng)建STIX 包應(yīng)包括多個(gè)TTP，每個(gè)被識(shí)別的惡意軟件實(shí)例、族或類別都有一個(gè)TTP。其他的高級(jí)STIX 實(shí)體(如指標(biāo))可參考這些惡意軟件相關(guān)的TTP 來(lái)提供相關(guān)惡意軟件實(shí)體的基本上下文。