OpenCTI平台中STIX 2.1扩展的可观测值数据模型优化

在威胁情报分析领域，数据模型的标准化和一致性对于信息共享和分析至关重要。OpenCTI平台作为一个领先的开源威胁情报平台，近期对其STIX 2.1扩展中的"observable_values"数据模型进行了重要调整，特别是针对文件可观测对象的哈希值表示方式进行了优化。

背景与问题

在之前的版本中，OpenCTI平台使用了一种数组结构来表示文件的哈希值，每个哈希算法和对应的值都作为一个独立的对象存储在数组中。这种表示方式虽然功能完整，但与STIX 2.1标准中文件可观测对象的推荐格式存在差异，可能导致与其他系统的互操作性问题。

原格式示例：

"hashes": [
    {
        "algorithm": "MD5",
        "hash": "05b5641cf1ffc281430f9e5e3312cd64"
    }
]

改进方案

经过技术团队的评估，决定将哈希值的表示方式调整为更符合STIX 2.1标准的键值对格式。新的格式直接使用哈希算法名称作为键，对应的哈希值作为值，这种结构更加简洁直观，也与其他安全工具的处理方式保持一致。

改进后的格式示例：

"hashes": {
    "MD5": "8dea97f752cc448adf669dabbdeae334",
    "SHA-1": "55f26da3170bf91426e4a3ee5170389a62ef0070",
    "SHA-256": "11e3b5006e43602ed71363d4f2dbac5f37fd5223db63024c2f42b8382a125d46"
}

技术优势

1. 标准化程度更高：新格式更贴近STIX 2.1标准推荐的文件可观测对象表示方法，提高了与其他威胁情报平台的兼容性。

2. 处理效率提升：键值对结构使得特定哈希算法的查找更加高效，不再需要遍历数组来寻找特定算法的哈希值。

3. 数据结构简化：减少了嵌套层级，使整体数据结构更加扁平化，降低了处理复杂度。

4. 可读性增强：直观的键值对形式更符合开发人员的思维习惯，便于理解和调试。

影响范围与迁移建议

这一变更主要影响以下方面：

• 使用OpenCTI平台STIX 2.1扩展进行文件可观测对象处理的集成系统
• 依赖于哈希值数组结构的自定义脚本或工具
• 存储的历史数据可能需要格式转换

对于现有用户，建议：

1. 检查所有依赖哈希值数组结构的代码逻辑，进行相应调整
2. 评估历史数据是否需要迁移到新格式
3. 更新文档中相关的示例和说明

未来展望

这一改进是OpenCTI平台持续优化其数据模型以更好地支持STIX标准的一部分。技术团队将继续监控社区反馈，确保变更带来的价值最大化，同时最小化对现有用户的影响。未来可能会考虑提供兼容层或转换工具，帮助用户平滑过渡到新的数据格式。

通过这样的持续优化，OpenCTI平台将能够为威胁情报社区提供更加标准化、高效的数据处理能力，进一步促进威胁信息的共享和分析。