STIX2.1发布已有时日,相对于STIX2.0,该版本的SDO由12个增加到18个。笔者曾针对STIX2.0做了最短遍历路径分析,以指出在该标准下需要关注的焦点SDO,那么采用最短路径分析对STIX2.1的SDO进行分析,焦点SDO会是哪一个?让我们再一次进行分析。
第一步,从STIX2.1的关系图谱中,我们可以看到Report、Opinion、Note、Grouping与其他的SDO没有任何连接线,因此,我们的分析可以简化到14个SDO。
第二步,合并路径。对于路径图,我们针对两个SDO之间的多重关系进行路径合并,采用唯一连接进行表示。可以得到关系表如下:
针对所有SDO间的路径进行最短路径分析,并以任意SDO出发做遍历路径分析,得到下表:
(有兴趣的爱好者,可以采用BFS或者DFS进行验算。)
从最终结果我们可以看到,STIX2.1任意两个SDO之间最长路径为3,以任意SDO作为出发点所得到的遍历最短路径为14,此时出发点为Malware,而次长路径为Tool和Intrusion Set,其遍历路径长度均为15。
通过以上分析,笔者认为针对Malware的分析将成为新标准下的焦点(分析基于无权重无向图)。那么,Malware的直接关联是怎样的,让我们展开其关系图:
借助关系表分析:
Malware在STIX2.1中具有直接关联关系的SDO竟然高达12项,这意味着除去自身以外在有直接关联关系的14个SDO中,仅有1项无直接连接,这一项是Observed Data,而Observed Data可通过Infrastructure、Intrusion Set或 Indicator与Malware形成路径值为2的关联。看到这里,笔者释然,这非常容易理解,由于STIX2.1更加的结构化,而这种关系是结构化数据分解的结果(这个逻辑非常像第三范式)。基于这一发现,笔者推测STIX2.1的修订者期望推进关联关系在威胁情报中使用上的应用,以使用关系数据能够提供的更强大的连接分析能力,同时解决由于信息缺失所造成的情报定义困难。
小结:采用路径分析,可以让我们获得该标准表面以外的更多信息。