A Comparative Analysis of Cyber-Threat Intelligence Sources, Formats and Languages

Ramsdale, Andrew; Shiaeles, Stavros; Kolokotronis, Nicholas

doi:10.3390/electronics9050824

Cited by 58 publications

(55 citation statements)

References 21 publications

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…Ramsdale et al [14] analyzed the capabilities of the aforementioned CTI formats to convey various CTI types, and also reviewed a variety of internal CTI sources (e.g., systems logs and network events, traffic profiles, security monitoring applications and systems, forensic analysis), and externally sourced CTI feeds and open source intelligence (OSINT). The authors indicate that while support for STIX is apparent in many platforms, they observe a trend towards directly using the APIs offered by the platforms and custom JSON or platform-specific formats whenever they appear to be a better fit for the use case at hand.…”

Section: Cyber Threat Intelligence Sharingmentioning

confidence: 99%

Sharing Machine Learning Models as Indicators of Compromise for Cyber Threat Intelligence

Preuveneers

Joosen

2021

JCP

View full text Add to dashboard Cite

Cyber threat intelligence (CTI) sharing is the collaborative effort of sharing information about cyber attacks to help organizations gain a better understanding of threats and proactively defend their systems and networks from cyber attacks. The challenge that we address is the fact that traditional indicators of compromise (IoC) may not always capture the breath or essence of a cyber security threat or attack campaign, possibly leading to false alert fatigue and missed detections with security analysts. To tackle this concern, we designed and evaluated a CTI solution that complements the attribute and tagging based sharing of indicators of compromise with machine learning (ML) models for collaborative threat detection. We implemented our solution on top of MISP, TheHive, and Cortex—three state-of-practice open source CTI sharing and incident response platforms—to incrementally improve the accuracy of these ML models, i.e., reduce the false positives and false negatives with shared counter-evidence, as well as ascertain the robustness of these models against ML attacks. However, the ML models can be attacked as well by adversaries that aim to evade detection. To protect the models and to maintain confidentiality and trust in the shared threat intelligence, we extend our previous research to offer fine-grained access to CP-ABE encrypted machine learning models and related artifacts to authorized parties. Our evaluation demonstrates the practical feasibility of the ML model based threat intelligence sharing, including the ability of accounting for indicators of adversarial ML threats.

show abstract

Section: Cyber Threat Intelligence Sharingmentioning

confidence: 99%

Sharing Machine Learning Models as Indicators of Compromise for Cyber Threat Intelligence

Preuveneers

Joosen

2021

JCP

View full text Add to dashboard Cite

show abstract

“…Na mesma perspectiva, um trabalho recente [17], fornece uma análise comparativa de fontes, formatos e linguagens de CTI. Diversas fontes de CTI são apresentadas e examinadas e, com base nos resultados da avaliação em conjunto com uma pesquisa bibliográfica, alguns padrões de CTI foram selecionados para análise posterior.…”

Section: Trabalhos Correlatosunclassified

“…Abordagem Método Referência Estudo, análise e comparação de formatos e protocolos utilizados no contexto de eventos de segurança Divisão entre formatos e protocolos e proposição de critérios de avaliação para cada categoria Revisão sistemática da literatura [39] Estudo do panorama geral do tema CTI e proposta de uma nova ferramenta de TI Estudo e avaliação de ferramentas de TI de código aberto visando comparar funcionalidades com uma nova ferramenta proposta no trabalho Análise de documentação oficial e literatura acadêmica [24] Análise e comparação do mercado de plataformas de compartilhamento de inteligência de ameaça Comparar 22 plataformas de TI, incluindo código aberto e fechado, considerando diferentes quesitos de avaliação Revisão sistemática da literatura [40] Explorar as capacidades de formatos e linguagens de TI disponíveis Selecionar padrões proeminentes e avaliar a capacidade de transmissão e correlação desses padrões quando aplicados a diferentes fontes de dados Análise de documentação e utilização prática das ferramentas [17] Apresentar um framework para análise e comparação de plataformas de compartilhamento de inteligência de ameaça Realizar uma revisão da literatura para obter critérios de avaliação relevantes e combina-los em uma ferramenta de avaliação Demonstração prática da ferramenta desenvolvida em três TIPs [18] Proposta de plataforma para produção de inteligência de ameaça de qualidade Utilização da plataforma MISP em conjunto com módulos de enriquecimento, análise e classificação Desenvolvimento de protótipo funcional [44] Desenvolvimento de sistema para produção de inteligência de ameaça…”

Section: Focounclassified

“…Nesse contexto, novos sistemas automatizados com a capacidade de consumir uma grande quantidade de dados, fornecer recursos de defesa sofisticados e responder a incidentes em tempo real estão sendo desenvolvidos e comumente referidos como plataformas de Threat Intelligence (TI -Inteligência de Ameaça)[17] [18]. Essas plataformas devem incluir processos automáticos de transformação de dados e produção de inteligência para garantir um modelo de defesa mais eficiente, proativo e oportuno[19].…”

unclassified

“…Essas plataformas devem incluir processos automáticos de transformação de dados e produção de inteligência para garantir um modelo de defesa mais eficiente, proativo e oportuno[19]. Além disso, devido à heterogeneidade dos dados inseridos no contexto de CTI, esforços consideráveis têm sido feitos no sentido de padronizar os dados[17] e torná-los compatíveis entre os diferentes sistemas[20]. A interoperabilidade dos dados é importante para facilitar a coleta e análise automática dos dados e o compartilhamento de inteligência contra ameaças cibernéticas[21].No entanto, a diversidade de iniciativas em relação ao tema ocasionou o crescimento de um mercado heterogêneo de plataformas CTI e diversos sistemas e ferramentas, com diferentes objetivos, capacidades e níveis de desempenho foram disponibilizados de mercado de Threat Intelligence Platforms (TIPs -Plataformas de Inteligência de Ameaça)[18].…”

unclassified

See 2 more Smart Citations

Metodologia integrativa para produção de inteligência de ameaças cibernéticas utilizando plataformas de código aberto

Silva¹

View full text Add to dashboard Cite

show abstract

Towards AI-Based Reaction and Mitigation for e-Commerce - the ENSURESEC Engine

Pawlicki

Kozik

Puchalski

et al. 2021

Intelligent Computing Theories and Application

View full text Add to dashboard Cite

A Comparative Analysis of Cyber-Threat Intelligence Sources, Formats and Languages

Cited by 58 publications

References 21 publications

Sharing Machine Learning Models as Indicators of Compromise for Cyber Threat Intelligence

Sharing Machine Learning Models as Indicators of Compromise for Cyber Threat Intelligence

Metodologia integrativa para produção de inteligência de ameaças cibernéticas utilizando plataformas de código aberto

Towards AI-Based Reaction and Mitigation for e-Commerce - the ENSURESEC Engine

Contact Info

Product

Resources

About