2024/03/01 實驗室新交辦事務(禮拜三生出來) 1 input網路拓樸 攻擊情資 output有可能受到的足跡 (找出可能的威脅) 2 找相關paper是做這些事情 然後簡述 關鍵字: 網路拓樸 attack path input檔案是cti 找辦法提取整個c分向的架構(in out 如何呈現) 網路拓樸（Network topology） --------------------------------------------------------------------------- 構成網路的成員間特定的排列方式，一般分為物理的、真實的、配線上的結構，或邏輯的、虛擬的、程式設計上的。如果兩個網路的連接結構相同，我們就説它們的網路拓樸相同，儘管它們各自內部的物理接線、節點間距離可能會有不同。 威脅情資(threat intelligence) --------------------------------------------------------------------------- 或稱網路威脅情資、資安情資(cyber threat intelligence,CTI) ，指的是與網路攻擊相關的資訊，經由專業團隊收集、轉換、分析、解釋等處理過程，提供資安決策過程所需要的基礎。 威脅情資依其內涵，分為3個層次，每個層次都可為企業的資安計畫帶來效益。 1. 戰略型威脅情資(Strategic Threat Intelligence): 無技術細節，由 CXO 層級使用；用於辨別誰會想攻擊? 為何想攻擊? 2. 實戰型威脅情資(Operational Threat Intelligence): 需要技術背景，由SOC 主管、分析研究員等使用；用於理解攻擊者的TTP (戰術 Tactics 、技術 Techniques、流程 Procedures) 3. 戰術型威脅情資(Tactical Threat Intelligence): 需要技術背景，通常是 SOC 人員使用；以入侵指標(indicator of compromise, IoC)，監看特定攻擊事件 利用以上兩者找出潛在威脅(論文探查) --------------------------------------------------------------------------- [Citadel](https://www.sciencedirect.com/science/article/abs/pii/S1389128621001262) * 這是一種系統架構，可以評估 CTI 數據，考慮網路拓撲、組織資產和當前防禦策略，並在支援 SDN 的網路中自動執行網路級防禦 * Citadel 的架構由以下模組組成：（1） SDN 控制器、（2） 拓撲管理器 （SDN-TM）、（3） 流管理員 （SDN-FM）、（4） 異常檢測管理器 （ADM）、（5） 資產管理器、（6） CTI 管理員 （CTIM）、（7） 網路防禦管理員 （SDN-CDM） 和 （8） 網路防禦服務。  * 論文中也提到2019前CTI可信度量表並沒有一個標準，因此他們透過搜尋跟處理來自開源供應商約12700個CTI數據指標來建構一個自定義的CTI數據集 * 演算法1首先CTI資料的可信度，大於一個閥值才能繼續，它使用 CTI 中的抽象目標資產、網路指標和威脅資訊數據查找asset_library中的所有相關資產。選擇與 CTI 數據中的資產類型、資產標籤、CVE 和 CWE 匹配的任何目標資產（第 6 行）。然後，該演算法嘗試為每個資產創建服務鏈（第 9 行到第 12 行）。資產可以是網路、子網、主機或服務。如果為網路（全域級別）創建了服務鏈，則可以忽略其他服務鏈。在創建服務鏈時，該函數會找到自動化的操作過程，並選擇符合條件且優先順序更高的操作過程（第 22 行和第 23 行）。該函數從CTI數據中檢索防禦鏈定義，並找到相關的安全服務，這些服務可以是本研究中提出的基於SDN控制器的防禦服務，也可以是部署在組織網路中的VNF。考慮拓撲和主動防禦服務構建了服務鏈（第 24 行）。該函數檢查流規則的一致性或鏈ID是否已存在（第25行和第26行）。使用網路服務頭（NSH），每個服務鏈都有一個唯一的ID（NSH服務路徑索引），這樣服務鏈的流規則就不會造成流衝突。  補充資料 --------------------------------------------------------------------------- 軟體定義網路 (SDN)(Software-Defined Networking) * 軟體定義網路 (SDN) 是一類技術，可以透過軟體管理網路。SDN 技術使 IT 管理員能夠使用軟體應用程式設定他們的網路。SDN 軟體是可互操作的，這意味著它應該能夠與任何路由器或交換器一起合作，無論它是由哪個廠商製造。 * 從技術上講，SDN 是透過將控制平面與資料平面分開來實現的。「平面」是一個網路詞彙，指網路處理序發生位置的抽象概念。控制平面是指引導網路流量的網路處理序，而資料平面是周遊網路的實際資料。控制平面透過建立網路路由和傳達應該使用的通訊協定來做到這一點。可以將控制平面想象成在城市道路交叉口運作的交通信號燈群組。資料平面則更像是在道路上行駛、在路口停下並遵守交通信號燈的汽車。在僅使用實體硬體的網路設定中，每個單獨的路由器或交換器都必須單獨設定。控制平面與資料平面和底層網路硬體緊密交織在一起。透過 SDN，控制平面與資料平面和實際硬體分離，從而可以從中央位置設定控制平面。 網路功能虛擬化 (NFV)(Network Function Virtualization) * 傳統上，管理網絡所需的功能和服務是由特殊具有嵌入式軟體的專用硬體所提供。 這些功能包括所有網絡中通用的功能，例如路由器，防火牆以及在移動蜂窩網絡中使用的特定應用程式的負載平衡器，例如PGW（分組數據網絡閘道器）或MME（移動管理引擎）。網絡功能虛擬化（NFV）是一種將這些功能虛擬化的新技術，將它們從依賴硬體轉變為純粹以軟件來實現。這些功能現在可以是容器或虛擬機中的應用程式，透過管理程序並在通用的現成x86服務器設備上運行。 服務功能鏈 (SFC)(Service Function Chaining) * 透過SDN功能在虛擬網路中建立一組由虛擬連結串連起來有序的網路功能，而這些網路功能就是VNF，像是防火牆、防毒軟體、Network Address Translation（NAT）和入侵偵測等…。  * 主要優點是可以自動地建立虛擬網路連接，以處理連接服務的流量。因此SFC將會是一種可以靈活地實現網路服務的方式，由網路運營商提供各式各樣的網路功能，由SDN管理SFC，並將這些網路功能依需求加入，實現在Layer4到Layer7的網路服務。 Openflow * SDN 最主要就是來解決這種問題，如下圖所示，SDN 架構主要把網路分成「控制層」跟「資料層」，簡單說就是抽離出一個統一的管理端來對各個 Switch 做設定，而要實現這種架構就必須要統一所有 Switch 的設定方式，這個方式就是 Openflow  * OpenFlow 是 SDN 架構中 Controller 跟 OpenFlow Switch 溝通的重要 Protocol，主要就是用來控制 OpenFlow Switch 中的各個元件，如圖中畫的 Controller 透過一個 Channel 溝通控制 Flow Table、Group Table、Meter Table。另外雖然只要是 OpenFlow Switch 都可以透過 OpenFlow 來操作，但是設定之後封包的 Pipeline 運作流程則視各家廠商的實作會有所不同，一些 OpenFlow Switch 同時也能處理非 OpenFlow 協議，這種混合式的 Switch 可能在封包轉送過程中就會用一些資訊來判別該封包是否要走向 OpenFlow 的 Pipeline。因此在實務使用上還是需要了解 Switch 本身的實作情境來調整。  CAPEC(Common Attack Pattern Enumeration and Classification) * 常見攻擊模式的公開目錄。 MITRE ATT&CK(MITRE Adversarial Tactics, Techniques, and Common Knowledge) * 定義了APT對企業網絡採用的常見策略、技術和程式。 STIX(Structured Threat Information eXpression) * MITRE 公司 (The MITRE Corporation) 所定義與開發出用來快速能達到表示事件相關性與涵蓋性之語言，以表達出架構性的網路威脅資訊。STIX 語言將包含網路威脅資訊的全部範圍，並盡可能地達到完整表示、彈性化、可延展性、自動化與可解讀性等特性。 * 從Kill Chain (攻擊鏈)可知道一次網路攻擊可能分成好幾個步驟，亦可從中了解最新的攻擊行為與如何防範  * 為了能夠滿足架構性網路威脅資訊之涵蓋範圍，STIX 提供了一個通用的機制，以增進架構穩定性、效率、相互合作性與整體情境感知 (Situational Awareness)；同時，STIX 提供統一的架構，可將以下的威脅資訊做關聯： 1. 網路可觀性 (Cyber Observation)。 2. 事件跡象 (Indicators)。 3. 惡意的行為的手法、技術與過程 (Tactics, Techniques, and Procedures，簡稱TTPs ，包含攻擊特徵、惡意軟體、暴露之弱點、kill chains、使用工具、事件架構、受害目標等)。 4. 暴露目標 (Exploit Targets，例如弱點、漏洞等) 5. 防範行動 (Course of Action，簡稱COA，包含事件應變或弱點補救措施)。 6. 網路攻擊活動 (Cyber Attack Campaigns)。 7. 網路威脅者 (Cyber Threat Actor)。   * 弱點訊息範例  * STIX 最初始的應用是利用 XML 架構作為普及、可攜和架構化的機制，以達到各角色間細節、合作和精準化，並有提供實作架構。許多國外機關組織已利用 STIX 進行情報與資訊分享，諸如美國國土安全部 (The U.S. Department of Homeland Security)、US-CERT等。