GB∕T 36643-2018
基本信息
标准号: GB∕T 36643-2018
中文名称:信息安全技术 网络安全威胁信息格式规范
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:51897KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 36643-2018 信息安全技术 网络安全威胁信息格式规范
GB∕T36643-2018
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T36643—2018
信息安全技术
网络安全威胁信息格式规范
Information security technology-Cyber security threat information format2018-10-10发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-05-01实施
规范性引用文件
术语和定义
缩略语
网络安全威胁信息模型
威胁信息维度
威胁信息组件
网络安全威胁信息组件
可观测数据
攻击指标
安全事件
攻击活动
攻击方法
应对措施·
威胁主体
攻击目标
附录A(资料性附录)
参考文献
采用JSON表示的完整网络安全威信息示例GB/T36643—2018
本标准按照GB/T1.1一2009给出的规则起草。GB/T36643-2018
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究院、北京赛西科技发展有限责任公司、北京天际友盟信息技术有限公司、北京奇安信科技有限公司、中国科学院信息工程研究所、公安部第三研究所、中国信息安全测评中心、国家计算机网络应急技术处理协调中心、中电长城网际系统应用有限公司、中国电子科技网络信息安全有限公司、阿里巴巴(北京)软件服务有限公司、百度在线网络技术(北京)有限公司、北京神州绿盟信息安全科技股份有限公司、北京启明星辰信息安全技术有限公司、神州网云(北京)信息技术有限公司、远江盛邦(北京)网络安全科技股份有限公司、北京君源创投投资管理有限公司、北京派网软件有限公司、深信服科技股份有限公司、中国科学院软件研究所、北京天融信网络安全技术有限公司、腾讯云计算(北京)有限责任公司、上海交通大学、北京工业大学、西安电子科技大学、北京邮电大学、北京中电普华信息技术有限公司、中国人民公安大学、武汉大学本标准主要起草人:蔡磊、叶润国、杨建军、刘贤刚、范科峰、闵京华、鲍旭华、刘威歆、冯侦探、金湘宇、董晓康、杨大路、杨泽明、李克鹏、李强、宋超、孙薇、贺新朋、李宗洋、孙波、梁露露、宋好好、王惠莅、刘慧晶、孙成胜、权晓文、李建华、雷晓锋、裴庆祺、易锦、刘玉岭、李衍、史博、孙朝晖、周毅、邹荣新、曾志峰、叶建伟、杨震、马占宇、翟湛鹏、曹占峰、姜政伟、杜彦辉、王丽娜。GB/T36643-—2018
随着网络攻防对抗博奔的日益加剧,网络攻击方式和攻击手法呈现出多样性、复杂性特点,网络安全威胁具有越来越明显的普遍性和持续性,且攻击者获取攻击工具越来越便利,导致网络攻击成本大大降低、检测网络攻击的难度却越来越大。传统的网络安全防护方案仅仅依靠各个组织独立实施垂直的防护机制,在应对这些复杂网络攻击时显得越来越低效,垂待采取新的技术手段来提升整体网络安全防护能力。
网络安全威胁信息共享和利用是提升整体网络安全防护效率的重要措施,旨在采用多种技术手段,通过采集大规模、多渠道的碎片式攻击或异常数据,集中地进行深度融合、归并和分析,形成与网络安全防护有关的威胁信息线索,并在此基础上进行主动、协同式的网络安全威胁预警、检测和响应,以降低网络安全威胁的防护成本,并提升整体的网络安全防护效率。网络安全威胁信息的共享和利用是实现关键信息基础设施安全防护的重要环节,有利于实现跨组织的网络安全威胁信息的快速传递,进而实现对复杂网络安全威胁的及时发现和快速响应。规范网络安全威胁信息的格式和交换方式是实现网络安全威胁信息共享和利用的前提和基础,因此它在推动网络安全威胁信息技术发展和产业化应用方面具有重要意义。N
1范围
信息安全技术
网络安全威胁信息格式规范
GB/T36643—2018
本标准规定了网络安全威胁信息模型和网络安全威胁信息组件,包括网络安全威胁信息中各组件的属性和属性值格式等信息。
本标准适用于网络安全威胁信息供方和需方之间进行网络安全威胁信息的生成、共享和使用,网络安全威胁信息共享平台的建设和运营可参考使用。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。信息技术安全技术信息技术安全评估准则第1部分:简介和一般GB/T18336.12015
GB/T20274.1—2006
GB/T250692010
GB/T28458—2012
3术语和定义
信息安全技术信息系统安全保障评估框架第1部分:简介和一般模型信息安全技术术语
信息安全技术
安全漏洞标识与描述规范
GB/T18336.1—2015、GB/T20274.1—2006和GB/T25069—2010界定的以及下列术语和定义适用于本文件。
网络安全/网络空间安全
cybersecurity
在网络空间中对信息保密性、完整性和可用性的保持。[ISO/IEC27032:2012,定义4.20]3.2www.bzxz.net
threat
可能对系统或组织造成危害的不期望事件的潜在原由。[GB/T29246—2017,定义2.83]。3.3
威信息
threatinformation
一种基于证据的知识,用于描述现有或可能出现的威胁,从而实现对威胁的响应和预防。注:威胁信息包括上下文、攻击机制、攻击指标、可能影响等信息。3.4
脆弱性
vulnerability
可能被一个或多个威胁利用的资产或控制的弱点。[GB/T29246—2017,定义2.89]1
GB/T36643—2018
攻击链cyberkill chain
一个用来描述包含多个攻击步骤的多步攻击模型。注:常见的多步攻击模型包括信息收集、工具研发、工具投放、脆弱性利用、后门安装、命令与控制、攻击目标达成等七个步骤。
4缩略语
下列缩略语适用于本文件。
DNS:域名解析系统(DomainNameSystem)IP:互联网协议(InternetProtocol)JSON:Javascript对象标记语言(JavaScriptObjectNotation)MD5:消息摘要算法第五版(MessageDigestAlgorithm5)PE:可移植的可执行文件(PortableExecutable)URL:统一资源定位符(UniformResourceLocator)TTP:战术、技术和程序(Tactics,Techniques,andProcedures)5网络安全威胁信息模型
5.1概述
本标准给出一种结构化方法描述网络安全威胁信息,目的是实现各组织间网络安全威胁信息的共享和利用,并支持网络安全威胁管理和应用的自动化。要实现这些自标,则需要一种通用模型来实现对网络安全威胁信息的统一描述,确保网络安全威胁信息描述的一致性,从而提升威胁信息共享的效率、互操作性,以及提升整体的网络安全威胁态势感知能力。5.2威胁信息维度
本标准定义了一个通用的网络安全威胁信息模型(以下简称“威胁信息模型”)。威胁信息模型从对象、方法和事件3个维度,对网络安全威胁信息进行了划分,采用包括可观测数据(Observation)、攻击指标(Indicator)、安全事件(Incident)、攻击活动(Campaign)、威胁主体(ThreatActor)、攻击目标(ExploitTarget)、攻击方法(TTP)、应对措施(CourseOfAction)在内的八个威胁信息组件描述网络安全威胁信息。威胁信息模型中的8个组件可以划分到3个域中:a)对象域:描述网络安全威胁的参与角色,包括两个组件:“威胁主体”(一般是攻击者)和“攻击目标”(一般是受害者);
b)方法域:描述网络安全威中的方法类元素,包括两个组件:“攻击方法”(攻击者实施入侵所采用的方法、技术和过程),以及“应对措施(包括针对攻击行为的预警、检测、防护、响应等动作);
事件域:在不同层面描述网络安全威胁相关的事件,包括四个组件:攻击活动”(以经济或政治为攻击目标)、“安全事件”(对信息系统进行渗透的行为)、“攻击指标”(对终端或设备实施的单步攻击)和“可观测数据”(在网络或主机层面捕获的基础事件)。5.3威胁信息组件
图1给出了威胁信息模型,它包括8个威胁信息组件,每个组件包含要素本身属性和与其他组件的关系信息,是构成威胁信息模型的关键要素。其中:2
GB/T36643-—2018
“可观测数据”,与主机或网络相关的有状态的属性或可测量事件,是威胁信息模型中最基础的组件:
“攻击指标”,用来识别一个特定“攻击方法”的技术指标,它是多个“可观测数据”的组合,是用来检测“安全事件”的检测规则;“安全事件”,依据对应指标(“攻击指标”)检测出的可能影响到特定组织的网络攻击事件,一个具体的网络攻击事件可涉及到“威胁主体”、“攻击方法”和“应对措施”等信息;“攻击活动”“威胁主体”采用具体的“攻击方法”实现一个具体攻击意图的系列攻击动作,整个攻击活动会产生一系列“安全事件”;“威胁主体”,“攻击活动”中发起活动的主体,“威胁主体”使用相关方法(“攻击方法”)达到攻击意图;
“攻击目标”,被“攻击方法”所利用的软件、系统、网络的漏洞或弱点,对于每个攻击目标,都有相应的有效措施(“应对措施”)进行抑制;“攻击方法”,对“威胁主体”实施攻击过程中所使用方法的描述,每种“攻击方法”都会采取漏洞利用的方式来利用“攻击目标”上的漏洞或弱点类型;“应对措施”,应对具体“攻击目标”有效措施,当安全事件发生后,也可能会采取相应的“应对措施”进行事后的安全事件处置。本标准中定义的威胁信息模型应灵活、可扩展,主要表现在威胁信息模型中定义的各个威信息组件都是可选的,它既可以独立使用,也可以任意方式组合,比如,在特定应用场景下,可以只使用威胁信息模型中相关的组件,而无需使用全部的组件。威胁信息模型的灵活和可扩展特性使得其适合在各种独立的应用场景中使用。
攻由据动
相关方法
发超精期
减路主体
对象城
联国车件
安全事性
发越主体
使用方)
润利用
致击标
放志指标
方法保现
对肉指粉
对惠方法
政市方
果敢情递
有装措障
图1威胁信息模型
关数貂
可取黑数
应对措施
事件域
方性城
8个威胁信息组件的具体格式规范应符合第6章给出的细节要求。采用本标准的网络安全威胁信息格式的完整网络安全威胁信息示例参见附录A。3
GB/T36643—2018
6网络安全威胁信息组件
6.1概述
本章对威胁信息模型中的8个威胁信息组件进行了格式规范,具体包括各组件的属性以及属性值格式。各组件属性的格式用JSON数据类型表示,包括String(字符串)、JSONArray(JSON数组)和JSONObject(JSON对象)等数据类型。6.2可观测数据
6.2.1概述
在威胁信息模型中,“可观测数据”是最基础的组件,用于描述与主机或网络相关的各种带状态的数据或可测量的事件。“可观测数据”在形式上是一个逻辑表达式,其逻辑关系按照以下规则组织:a)“可观测数据”表达式按照树状结构组织:每个非叶节点表示子节点的关系,包括“或”关系和“与”关系两种,b)
每个叶节点是判别式,表示一个具体检查项。例如文件名是否包含指定字符串,注册表项是否为指定内容等。共有等于、不等于、包含和不包含4类判别方式。6.2.2
字段描述
本标准定义的可观测数据包括:DNS基本记录、电子邮件基本记录、文件下载基本记录、文件信息基本记录、进程信息基本记录、网址访问基本记录、注册表信息基本记录、用户信息基本记录、系统信息基本记录等。可观测数据包括如下内容:标识号,共享范围内全局唯一的标识;a
引用标识号,引用在其他地方的“可观测数据”;时间截,与标识号共同使用,指定本地条目的版本,或是与引用标识号共同使用,指定外部条目c)
的版本;
版本,使用的标准版本
名称,“可观测数据”的简单名称;描述,采用文本形式详细描述本条目:简要描述,采用文本形式简要描述本条目;关系,“可观测数据”与其他组件之间的关系;判别式,用带逻辑预算关系的判别式表示单一“可观测数据”,或者多个可观测数据”的组合,其组合关系如6.2.1所示;
对象类型,“可观测数据”的类型名称,除了对应6.2.3中的所有对象类型外,也可以根据实际j
场景进行扩展。
可观测数据的各字段描述见表1。表1可观测数据对象字段描述
字段名
timestamp
字段描述
标识号
引用标识号
时间截
字段格式
String
String
String
字段必要性
必选项
可选项
可选项
version
description
short_description
字段名
relationship
具体可观测数据
DNS基本记录
constraint
object.type
表1(续)
字段捕述
简要措述
判别式
对象类型
字段格式
String
String
String
String
String
String
String
DNS基本记录主要记录与DNS域名解析相关的观测值,包括如下内容:a
域名解析主机,提供域名解析服务的服务器名称;GB/T36643—2018
字段必要性
必选项
可选项
可选项
可选项
可选项
可选项
可选项
域名解析记录,DNS服务可以为一个给定域名提供映射的IP地址信息,即域名解析记录;DNS记录类型,DNS服务可以提供多种查询和反查询服务,包括描述IPv4地址信息的主机记录,描述服务器的名称服务器记录,描述邮件服务器的邮件交换记录等。本字段指明具体的记录类型。
DNS基本记录的各字段描述见表2。表2DNS基本记录
字段名
name_server
record
dns_type
电子邮件基本记录
字段插述
域名解析主机
IPv4城名解析记录
DNS记录类型
字段格式
String
String
String
电子邮件基本记录主要记录与电子邮件相关的观测值,包括如下内容:a
字段必要性
可选项
可选项
可选项
邮件附件多用途互联网邮件扩展类型,电子邮件附件的多用途互联网邮件扩展类型,可表明宜用哪种应用程序打开文件;
邮件附件名称,电子邮件附件的文件名称,标明该附件文件的文件名称和类型;邮件附件内容,电子邮件附件的内容,表明附件文件中的全部信息;密件抄送地址,电子邮件密件抄送的地址,表明邮件密件抄送的全部收件人:邮件正文文本,电子邮件正文的文本,表明正文的全部文本内容;邮件抄送地址,电子邮件抄送的地址,表明邮件抄送的全部收件人;邮件发送者,电子邮件的发件人,表明邮件发送人的邮箱地址;邮件引用,回复电子邮件时引用的原文,表明原邮件正文的内容;邮件主题,电子邮件的主题,表明电子邮件内容的标志性信息;GB/T36643—2018
邮件接收者,电子邮件的收件人,表明全部收件人的邮箱地址。电子邮件基本记录字段描述见表3。表3
字段名
is_multipart
attachment_name
attachment_content
bee_refs
c_refs
from_ref
subjeet
to_refs
文件下载基本记录
电子邮件基本记录
字段描述
邮件附件多用途互联网邮件扩
展类型
邮件附件名称
邮件附件内容
密件抄送地址
邮件正文文本
邮件抄送地址
邮件发送者
邮件引用
邮件主题
邮件接收者
字段格式
String
String
String
JSONArray
String
JSONArray
String
String
String
JSONArray
文件下载基本记录主要记录与文件下载相关的观测值,包括如下内容:a)
字段必要性
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
文件下载历史名称,文件下载历史的文件名称,表明下载文件的文件名称和类型;文件下载浏览器名称,文件下载所用浏览器的名称,表明文件下载的方式:文件下载字节数,文件下载的字节数,表明下载文件的大小;文件下载名称,文件下载的文件名称;文件下载开始时间,记录的文件下载的开始时间,通常精确到秒。文件下载基本记录字段描述见表4。表4
字段名
historic_name
browser
ile byte
file_name
start_time
文件信息基本记录
文件下载基本记录
字段捐述
文件下载历史名称
文件下载浏览器名称
文件下载字节数
文件下载名称
文件下载开始时间
字段格式
String
String
String
String
String
文件信息基本记录主要记录与文件信息相关的观测值,包括如下内容:a)
文件名称,文件的名称,表明文件的名称和文件类型;文件路径,文件的路径,表明文件所在的文件夹名称;文件完整路径,文件的完整路径,表明文件存储的绝对路径;学段必要性
可选项
可选项
可选项
可选项
可选项
GB/T36643—2018
文件MD5值,文件的MD5值。如果对文件有任何改动,其MD5值也会发生变化;文件证书发布者,颁发本标准证书的组织;文件导出函数,文件导出的函数,提供给第三方使用的文件导出函数;文件导人函数,文件导人的函数,用来实现第三方文件的数据导人,文件导人名称,文件导人的名称,表明所导人的第三方文件名称;文件编译时间,文件编译的时间,通常精确到秒;PE文件资源信息名称,PE文件资源信息的名称。资源包含多种形式的数据,如字符申、图片等等;
PE文件资源信息大小,PE文件资源信息的总字节;文件段名称,文件段的名称,是由ANSI字符组成的字符串;文件PE类型,文件所属的PE类型,例如EXE、DLL、OCX、SYS、COM等;PE版本公司名称,PE文件版本信息中所标明的公司名称:PE版本标准描述,PE文件版本信息中给出的描述信息;PE版本标准版本,PE文件版本信息中所标明的文件版本号;PE版本合法版权,PE文件版本信息中所标明的合法版权声明;PE版本原始文件名,PE文件版本信息中所标明的原始文件名:PE版本产品名称,PE文件版本信息中所标明的产品名称信息;PE版本产品版本,PE文件版本信息中所标明的产品版本号信息;文件SHAI,文件的SHA1值。SHA1值的作用与MD5值一样,为一种文件指纹;文件SHA256,文件的SHA256值。SHA256值的作用与MD5值一样,为一种文件指纹文件大小,文件的字节数,表明文件所占用存储空间的大小;文件数字签名描述,文件的数字签名描述,用于验证文件的来源和完整性。文件信息基本记录字段描述见表5。表5
5文件信息基本记录
字段名
complete-path
cert_publisher
export_function
importfunction
import_name
compilation_time
PE_resource_name
PE_resource_size
file_segement
PE_type
PE_company
文件名称
文件路径
字段撒述
文件完整路径
文件MDS值
文件证书发布者
文件导出函数
文件导入函数
文件导入名称
文件编译时间
PE文件资源信息名称
PE文件资源信息大小
文件段信息
文件PE类型
PE版本公司名称
字段格式
String
String
String
String
String
JSONArray
JSONArray
String
String
String
String
String
String
String
字段必要性
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
GB/T36643—2018
字段名
PE_description
PE_file_version
PE_copyright
PE_original_name
PE_produet
PE_product_yersion
SHA256
file_size
file_signature
进程信息基本记录
表5(续)
字段措述
PE版本标准描述
PE版本标准版本
PE版本合法版权
PE版本原始文件名
PE版本产品名称
PE版本产品版本
文件SHAI
文件SHA256
文件大小
文件数字签名描述
字段格式
String
String
String
String
String
String
String
String
String
String
进程信息基本记录主要记录与进程相关的观测值,包括如下内容:a)
进程本地IP,进程所使用的本地主机IP地址;进程本地端口,进程所使用的本地主机端口号;进程传输协议,进程所使用的传输层协议,包括TCP协议和UDP协议;进程远程IP,进程所连接的远程主机IP地址;进程远程端口,进程所连接的远程主机端口号;进程名称,进程所显示的完整名称;进程用户名,进程在运行主机上所属的用户名;进程参数,进程运行所指定的参数;字段必要性
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
进程路径,进程的路径,表示进程相关的可执行文件在磁盘中的存储位置;进程标识符,进程的标识符,用于唯一标识一个进程的数值;父进程路径,父进程的路径,表示父进程相关的可执行文件在磁盘中的存储位置;父进程MD5,父进程的MD5值,用于唯一标明父进程信息;进程开始时间,进程开始运行的时间,通常精确到秒;进程结束时间,进程结束运行的时间,通常精确到秒。进程信息基本记录见表6。
字段名
localLip
localport
local protocol
remote_ip
remote_port
进程信息基本记录
学段描述
进程本地IP
进程本地端口
进程端口协议
进程远程IP
进程远程端口
字段格式
String
String
String
JSONArray
JSONArray
字段必要性
可选项
可选项
可选项
可选项
可选项
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T36643—2018
信息安全技术
网络安全威胁信息格式规范
Information security technology-Cyber security threat information format2018-10-10发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-05-01实施
规范性引用文件
术语和定义
缩略语
网络安全威胁信息模型
威胁信息维度
威胁信息组件
网络安全威胁信息组件
可观测数据
攻击指标
安全事件
攻击活动
攻击方法
应对措施·
威胁主体
攻击目标
附录A(资料性附录)
参考文献
采用JSON表示的完整网络安全威信息示例GB/T36643—2018
本标准按照GB/T1.1一2009给出的规则起草。GB/T36643-2018
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究院、北京赛西科技发展有限责任公司、北京天际友盟信息技术有限公司、北京奇安信科技有限公司、中国科学院信息工程研究所、公安部第三研究所、中国信息安全测评中心、国家计算机网络应急技术处理协调中心、中电长城网际系统应用有限公司、中国电子科技网络信息安全有限公司、阿里巴巴(北京)软件服务有限公司、百度在线网络技术(北京)有限公司、北京神州绿盟信息安全科技股份有限公司、北京启明星辰信息安全技术有限公司、神州网云(北京)信息技术有限公司、远江盛邦(北京)网络安全科技股份有限公司、北京君源创投投资管理有限公司、北京派网软件有限公司、深信服科技股份有限公司、中国科学院软件研究所、北京天融信网络安全技术有限公司、腾讯云计算(北京)有限责任公司、上海交通大学、北京工业大学、西安电子科技大学、北京邮电大学、北京中电普华信息技术有限公司、中国人民公安大学、武汉大学本标准主要起草人:蔡磊、叶润国、杨建军、刘贤刚、范科峰、闵京华、鲍旭华、刘威歆、冯侦探、金湘宇、董晓康、杨大路、杨泽明、李克鹏、李强、宋超、孙薇、贺新朋、李宗洋、孙波、梁露露、宋好好、王惠莅、刘慧晶、孙成胜、权晓文、李建华、雷晓锋、裴庆祺、易锦、刘玉岭、李衍、史博、孙朝晖、周毅、邹荣新、曾志峰、叶建伟、杨震、马占宇、翟湛鹏、曹占峰、姜政伟、杜彦辉、王丽娜。GB/T36643-—2018
随着网络攻防对抗博奔的日益加剧,网络攻击方式和攻击手法呈现出多样性、复杂性特点,网络安全威胁具有越来越明显的普遍性和持续性,且攻击者获取攻击工具越来越便利,导致网络攻击成本大大降低、检测网络攻击的难度却越来越大。传统的网络安全防护方案仅仅依靠各个组织独立实施垂直的防护机制,在应对这些复杂网络攻击时显得越来越低效,垂待采取新的技术手段来提升整体网络安全防护能力。
网络安全威胁信息共享和利用是提升整体网络安全防护效率的重要措施,旨在采用多种技术手段,通过采集大规模、多渠道的碎片式攻击或异常数据,集中地进行深度融合、归并和分析,形成与网络安全防护有关的威胁信息线索,并在此基础上进行主动、协同式的网络安全威胁预警、检测和响应,以降低网络安全威胁的防护成本,并提升整体的网络安全防护效率。网络安全威胁信息的共享和利用是实现关键信息基础设施安全防护的重要环节,有利于实现跨组织的网络安全威胁信息的快速传递,进而实现对复杂网络安全威胁的及时发现和快速响应。规范网络安全威胁信息的格式和交换方式是实现网络安全威胁信息共享和利用的前提和基础,因此它在推动网络安全威胁信息技术发展和产业化应用方面具有重要意义。N
1范围
信息安全技术
网络安全威胁信息格式规范
GB/T36643—2018
本标准规定了网络安全威胁信息模型和网络安全威胁信息组件,包括网络安全威胁信息中各组件的属性和属性值格式等信息。
本标准适用于网络安全威胁信息供方和需方之间进行网络安全威胁信息的生成、共享和使用,网络安全威胁信息共享平台的建设和运营可参考使用。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。信息技术安全技术信息技术安全评估准则第1部分:简介和一般GB/T18336.12015
GB/T20274.1—2006
GB/T250692010
GB/T28458—2012
3术语和定义
信息安全技术信息系统安全保障评估框架第1部分:简介和一般模型信息安全技术术语
信息安全技术
安全漏洞标识与描述规范
GB/T18336.1—2015、GB/T20274.1—2006和GB/T25069—2010界定的以及下列术语和定义适用于本文件。
网络安全/网络空间安全
cybersecurity
在网络空间中对信息保密性、完整性和可用性的保持。[ISO/IEC27032:2012,定义4.20]3.2www.bzxz.net
threat
可能对系统或组织造成危害的不期望事件的潜在原由。[GB/T29246—2017,定义2.83]。3.3
威信息
threatinformation
一种基于证据的知识,用于描述现有或可能出现的威胁,从而实现对威胁的响应和预防。注:威胁信息包括上下文、攻击机制、攻击指标、可能影响等信息。3.4
脆弱性
vulnerability
可能被一个或多个威胁利用的资产或控制的弱点。[GB/T29246—2017,定义2.89]1
GB/T36643—2018
攻击链cyberkill chain
一个用来描述包含多个攻击步骤的多步攻击模型。注:常见的多步攻击模型包括信息收集、工具研发、工具投放、脆弱性利用、后门安装、命令与控制、攻击目标达成等七个步骤。
4缩略语
下列缩略语适用于本文件。
DNS:域名解析系统(DomainNameSystem)IP:互联网协议(InternetProtocol)JSON:Javascript对象标记语言(JavaScriptObjectNotation)MD5:消息摘要算法第五版(MessageDigestAlgorithm5)PE:可移植的可执行文件(PortableExecutable)URL:统一资源定位符(UniformResourceLocator)TTP:战术、技术和程序(Tactics,Techniques,andProcedures)5网络安全威胁信息模型
5.1概述
本标准给出一种结构化方法描述网络安全威胁信息,目的是实现各组织间网络安全威胁信息的共享和利用,并支持网络安全威胁管理和应用的自动化。要实现这些自标,则需要一种通用模型来实现对网络安全威胁信息的统一描述,确保网络安全威胁信息描述的一致性,从而提升威胁信息共享的效率、互操作性,以及提升整体的网络安全威胁态势感知能力。5.2威胁信息维度
本标准定义了一个通用的网络安全威胁信息模型(以下简称“威胁信息模型”)。威胁信息模型从对象、方法和事件3个维度,对网络安全威胁信息进行了划分,采用包括可观测数据(Observation)、攻击指标(Indicator)、安全事件(Incident)、攻击活动(Campaign)、威胁主体(ThreatActor)、攻击目标(ExploitTarget)、攻击方法(TTP)、应对措施(CourseOfAction)在内的八个威胁信息组件描述网络安全威胁信息。威胁信息模型中的8个组件可以划分到3个域中:a)对象域:描述网络安全威胁的参与角色,包括两个组件:“威胁主体”(一般是攻击者)和“攻击目标”(一般是受害者);
b)方法域:描述网络安全威中的方法类元素,包括两个组件:“攻击方法”(攻击者实施入侵所采用的方法、技术和过程),以及“应对措施(包括针对攻击行为的预警、检测、防护、响应等动作);
事件域:在不同层面描述网络安全威胁相关的事件,包括四个组件:攻击活动”(以经济或政治为攻击目标)、“安全事件”(对信息系统进行渗透的行为)、“攻击指标”(对终端或设备实施的单步攻击)和“可观测数据”(在网络或主机层面捕获的基础事件)。5.3威胁信息组件
图1给出了威胁信息模型,它包括8个威胁信息组件,每个组件包含要素本身属性和与其他组件的关系信息,是构成威胁信息模型的关键要素。其中:2
GB/T36643-—2018
“可观测数据”,与主机或网络相关的有状态的属性或可测量事件,是威胁信息模型中最基础的组件:
“攻击指标”,用来识别一个特定“攻击方法”的技术指标,它是多个“可观测数据”的组合,是用来检测“安全事件”的检测规则;“安全事件”,依据对应指标(“攻击指标”)检测出的可能影响到特定组织的网络攻击事件,一个具体的网络攻击事件可涉及到“威胁主体”、“攻击方法”和“应对措施”等信息;“攻击活动”“威胁主体”采用具体的“攻击方法”实现一个具体攻击意图的系列攻击动作,整个攻击活动会产生一系列“安全事件”;“威胁主体”,“攻击活动”中发起活动的主体,“威胁主体”使用相关方法(“攻击方法”)达到攻击意图;
“攻击目标”,被“攻击方法”所利用的软件、系统、网络的漏洞或弱点,对于每个攻击目标,都有相应的有效措施(“应对措施”)进行抑制;“攻击方法”,对“威胁主体”实施攻击过程中所使用方法的描述,每种“攻击方法”都会采取漏洞利用的方式来利用“攻击目标”上的漏洞或弱点类型;“应对措施”,应对具体“攻击目标”有效措施,当安全事件发生后,也可能会采取相应的“应对措施”进行事后的安全事件处置。本标准中定义的威胁信息模型应灵活、可扩展,主要表现在威胁信息模型中定义的各个威信息组件都是可选的,它既可以独立使用,也可以任意方式组合,比如,在特定应用场景下,可以只使用威胁信息模型中相关的组件,而无需使用全部的组件。威胁信息模型的灵活和可扩展特性使得其适合在各种独立的应用场景中使用。
攻由据动
相关方法
发超精期
减路主体
对象城
联国车件
安全事性
发越主体
使用方)
润利用
致击标
放志指标
方法保现
对肉指粉
对惠方法
政市方
果敢情递
有装措障
图1威胁信息模型
关数貂
可取黑数
应对措施
事件域
方性城
8个威胁信息组件的具体格式规范应符合第6章给出的细节要求。采用本标准的网络安全威胁信息格式的完整网络安全威胁信息示例参见附录A。3
GB/T36643—2018
6网络安全威胁信息组件
6.1概述
本章对威胁信息模型中的8个威胁信息组件进行了格式规范,具体包括各组件的属性以及属性值格式。各组件属性的格式用JSON数据类型表示,包括String(字符串)、JSONArray(JSON数组)和JSONObject(JSON对象)等数据类型。6.2可观测数据
6.2.1概述
在威胁信息模型中,“可观测数据”是最基础的组件,用于描述与主机或网络相关的各种带状态的数据或可测量的事件。“可观测数据”在形式上是一个逻辑表达式,其逻辑关系按照以下规则组织:a)“可观测数据”表达式按照树状结构组织:每个非叶节点表示子节点的关系,包括“或”关系和“与”关系两种,b)
每个叶节点是判别式,表示一个具体检查项。例如文件名是否包含指定字符串,注册表项是否为指定内容等。共有等于、不等于、包含和不包含4类判别方式。6.2.2
字段描述
本标准定义的可观测数据包括:DNS基本记录、电子邮件基本记录、文件下载基本记录、文件信息基本记录、进程信息基本记录、网址访问基本记录、注册表信息基本记录、用户信息基本记录、系统信息基本记录等。可观测数据包括如下内容:标识号,共享范围内全局唯一的标识;a
引用标识号,引用在其他地方的“可观测数据”;时间截,与标识号共同使用,指定本地条目的版本,或是与引用标识号共同使用,指定外部条目c)
的版本;
版本,使用的标准版本
名称,“可观测数据”的简单名称;描述,采用文本形式详细描述本条目:简要描述,采用文本形式简要描述本条目;关系,“可观测数据”与其他组件之间的关系;判别式,用带逻辑预算关系的判别式表示单一“可观测数据”,或者多个可观测数据”的组合,其组合关系如6.2.1所示;
对象类型,“可观测数据”的类型名称,除了对应6.2.3中的所有对象类型外,也可以根据实际j
场景进行扩展。
可观测数据的各字段描述见表1。表1可观测数据对象字段描述
字段名
timestamp
字段描述
标识号
引用标识号
时间截
字段格式
String
String
String
字段必要性
必选项
可选项
可选项
version
description
short_description
字段名
relationship
具体可观测数据
DNS基本记录
constraint
object.type
表1(续)
字段捕述
简要措述
判别式
对象类型
字段格式
String
String
String
String
String
String
String
DNS基本记录主要记录与DNS域名解析相关的观测值,包括如下内容:a
域名解析主机,提供域名解析服务的服务器名称;GB/T36643—2018
字段必要性
必选项
可选项
可选项
可选项
可选项
可选项
可选项
域名解析记录,DNS服务可以为一个给定域名提供映射的IP地址信息,即域名解析记录;DNS记录类型,DNS服务可以提供多种查询和反查询服务,包括描述IPv4地址信息的主机记录,描述服务器的名称服务器记录,描述邮件服务器的邮件交换记录等。本字段指明具体的记录类型。
DNS基本记录的各字段描述见表2。表2DNS基本记录
字段名
name_server
record
dns_type
电子邮件基本记录
字段插述
域名解析主机
IPv4城名解析记录
DNS记录类型
字段格式
String
String
String
电子邮件基本记录主要记录与电子邮件相关的观测值,包括如下内容:a
字段必要性
可选项
可选项
可选项
邮件附件多用途互联网邮件扩展类型,电子邮件附件的多用途互联网邮件扩展类型,可表明宜用哪种应用程序打开文件;
邮件附件名称,电子邮件附件的文件名称,标明该附件文件的文件名称和类型;邮件附件内容,电子邮件附件的内容,表明附件文件中的全部信息;密件抄送地址,电子邮件密件抄送的地址,表明邮件密件抄送的全部收件人:邮件正文文本,电子邮件正文的文本,表明正文的全部文本内容;邮件抄送地址,电子邮件抄送的地址,表明邮件抄送的全部收件人;邮件发送者,电子邮件的发件人,表明邮件发送人的邮箱地址;邮件引用,回复电子邮件时引用的原文,表明原邮件正文的内容;邮件主题,电子邮件的主题,表明电子邮件内容的标志性信息;GB/T36643—2018
邮件接收者,电子邮件的收件人,表明全部收件人的邮箱地址。电子邮件基本记录字段描述见表3。表3
字段名
is_multipart
attachment_name
attachment_content
bee_refs
c_refs
from_ref
subjeet
to_refs
文件下载基本记录
电子邮件基本记录
字段描述
邮件附件多用途互联网邮件扩
展类型
邮件附件名称
邮件附件内容
密件抄送地址
邮件正文文本
邮件抄送地址
邮件发送者
邮件引用
邮件主题
邮件接收者
字段格式
String
String
String
JSONArray
String
JSONArray
String
String
String
JSONArray
文件下载基本记录主要记录与文件下载相关的观测值,包括如下内容:a)
字段必要性
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
文件下载历史名称,文件下载历史的文件名称,表明下载文件的文件名称和类型;文件下载浏览器名称,文件下载所用浏览器的名称,表明文件下载的方式:文件下载字节数,文件下载的字节数,表明下载文件的大小;文件下载名称,文件下载的文件名称;文件下载开始时间,记录的文件下载的开始时间,通常精确到秒。文件下载基本记录字段描述见表4。表4
字段名
historic_name
browser
ile byte
file_name
start_time
文件信息基本记录
文件下载基本记录
字段捐述
文件下载历史名称
文件下载浏览器名称
文件下载字节数
文件下载名称
文件下载开始时间
字段格式
String
String
String
String
String
文件信息基本记录主要记录与文件信息相关的观测值,包括如下内容:a)
文件名称,文件的名称,表明文件的名称和文件类型;文件路径,文件的路径,表明文件所在的文件夹名称;文件完整路径,文件的完整路径,表明文件存储的绝对路径;学段必要性
可选项
可选项
可选项
可选项
可选项
GB/T36643—2018
文件MD5值,文件的MD5值。如果对文件有任何改动,其MD5值也会发生变化;文件证书发布者,颁发本标准证书的组织;文件导出函数,文件导出的函数,提供给第三方使用的文件导出函数;文件导人函数,文件导人的函数,用来实现第三方文件的数据导人,文件导人名称,文件导人的名称,表明所导人的第三方文件名称;文件编译时间,文件编译的时间,通常精确到秒;PE文件资源信息名称,PE文件资源信息的名称。资源包含多种形式的数据,如字符申、图片等等;
PE文件资源信息大小,PE文件资源信息的总字节;文件段名称,文件段的名称,是由ANSI字符组成的字符串;文件PE类型,文件所属的PE类型,例如EXE、DLL、OCX、SYS、COM等;PE版本公司名称,PE文件版本信息中所标明的公司名称:PE版本标准描述,PE文件版本信息中给出的描述信息;PE版本标准版本,PE文件版本信息中所标明的文件版本号;PE版本合法版权,PE文件版本信息中所标明的合法版权声明;PE版本原始文件名,PE文件版本信息中所标明的原始文件名:PE版本产品名称,PE文件版本信息中所标明的产品名称信息;PE版本产品版本,PE文件版本信息中所标明的产品版本号信息;文件SHAI,文件的SHA1值。SHA1值的作用与MD5值一样,为一种文件指纹;文件SHA256,文件的SHA256值。SHA256值的作用与MD5值一样,为一种文件指纹文件大小,文件的字节数,表明文件所占用存储空间的大小;文件数字签名描述,文件的数字签名描述,用于验证文件的来源和完整性。文件信息基本记录字段描述见表5。表5
5文件信息基本记录
字段名
complete-path
cert_publisher
export_function
importfunction
import_name
compilation_time
PE_resource_name
PE_resource_size
file_segement
PE_type
PE_company
文件名称
文件路径
字段撒述
文件完整路径
文件MDS值
文件证书发布者
文件导出函数
文件导入函数
文件导入名称
文件编译时间
PE文件资源信息名称
PE文件资源信息大小
文件段信息
文件PE类型
PE版本公司名称
字段格式
String
String
String
String
String
JSONArray
JSONArray
String
String
String
String
String
String
String
字段必要性
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
GB/T36643—2018
字段名
PE_description
PE_file_version
PE_copyright
PE_original_name
PE_produet
PE_product_yersion
SHA256
file_size
file_signature
进程信息基本记录
表5(续)
字段措述
PE版本标准描述
PE版本标准版本
PE版本合法版权
PE版本原始文件名
PE版本产品名称
PE版本产品版本
文件SHAI
文件SHA256
文件大小
文件数字签名描述
字段格式
String
String
String
String
String
String
String
String
String
String
进程信息基本记录主要记录与进程相关的观测值,包括如下内容:a)
进程本地IP,进程所使用的本地主机IP地址;进程本地端口,进程所使用的本地主机端口号;进程传输协议,进程所使用的传输层协议,包括TCP协议和UDP协议;进程远程IP,进程所连接的远程主机IP地址;进程远程端口,进程所连接的远程主机端口号;进程名称,进程所显示的完整名称;进程用户名,进程在运行主机上所属的用户名;进程参数,进程运行所指定的参数;字段必要性
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
可选项
进程路径,进程的路径,表示进程相关的可执行文件在磁盘中的存储位置;进程标识符,进程的标识符,用于唯一标识一个进程的数值;父进程路径,父进程的路径,表示父进程相关的可执行文件在磁盘中的存储位置;父进程MD5,父进程的MD5值,用于唯一标明父进程信息;进程开始时间,进程开始运行的时间,通常精确到秒;进程结束时间,进程结束运行的时间,通常精确到秒。进程信息基本记录见表6。
字段名
localLip
localport
local protocol
remote_ip
remote_port
进程信息基本记录
学段描述
进程本地IP
进程本地端口
进程端口协议
进程远程IP
进程远程端口
字段格式
String
String
String
JSONArray
JSONArray
字段必要性
可选项
可选项
可选项
可选项
可选项
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。