什么是STIX?

STIX（Structured Threat Information Expression）是一种用于交换网络威胁情报（cyber threat intelligence，CTI）的语言和序列化格式。

由 OASIS【Organization for the Advancement of Structured Information Standards 结构化信息标准促进组织 】的CTI TC【Cyber Threat Intelligence (CTI) Technical Committee(TC) 网络威胁情报信息技术委员会】维护

使用场景

主要用于以下场景：

• 协同威胁分析、
• 自动化威胁情报交换、
• 自动化威胁检测和响应

核心概念

STIX是定义网络威胁情报分类的模式，该分类由以下对象表示:

STIX是由节点和边组成的连通图，节点是 SDO、SCO，边是SRO

• SDO 领域对象，表示威胁分析人员在了解威胁情况时通常会创建或使用的行为和构造【behaviors and constructs】，在STIX 2.1中共定义了19类SDO。
• SCO 可观测对象，威胁情报中具体的可观察对象，用于刻画基于主机或基于网络的信息。
• SRO: 用于表示SDO之间、SC