YD/T 1827-2008
基本信息
标准号: YD/T 1827-2008
中文名称:网络安全事件描述和交换格式
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:5449023
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1827-2008.Network Incident Object Description Exchange Format.
1范围
YD/T 1827规定了计算机安全事件描述和交换格式(IODEF)的术语、事件描述格式,并提供XML的参考实现。
YD/T 1827适用于在我国提供计算机安全事件应急响应服务的各种应急响应组,也可供其他建设、使用计算机安全事件处理系统或安全事件交换系统的组织参考。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些档的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 19716-2005信息技术信 息安全管理实用规则(idt ISO/IEC 17799:2000)
GB/T 19715.1-2005信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型
(idt ISO/IEC TR 13335.1:1996)
GB/T 19715.2-2005信息技术信息技术安全管理指南第2部分:管理和规划信息技术安全
(idt ISO/IEC TR 13335.2:1997)
ISO/IEC TR 13335.3:1998信息技术信息技术安全管理指南第3部分:信息技术安全管理技术
ISO/EC TR 13335.4:2000信息技术信息技术安全管理指南第4部分:防护措施的选择
ISO/EC TR 13335.5:2001信息技术 信息技术安全管理指南第5部分:网络安全管理指南
draft-ietf- inch-iodef-04安全事件描述交换格式数据模型和XML实现
RFC 1305网络时间协议规范和执行
RFC 2030对于IPv4、IPv6和OSI的简单网络定时协议第4版
RFC 2256对于使用LADPv3的X 509使用者计划的概述
1范围
YD/T 1827规定了计算机安全事件描述和交换格式(IODEF)的术语、事件描述格式,并提供XML的参考实现。
YD/T 1827适用于在我国提供计算机安全事件应急响应服务的各种应急响应组,也可供其他建设、使用计算机安全事件处理系统或安全事件交换系统的组织参考。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些档的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 19716-2005信息技术信 息安全管理实用规则(idt ISO/IEC 17799:2000)
GB/T 19715.1-2005信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型
(idt ISO/IEC TR 13335.1:1996)
GB/T 19715.2-2005信息技术信息技术安全管理指南第2部分:管理和规划信息技术安全
(idt ISO/IEC TR 13335.2:1997)
ISO/IEC TR 13335.3:1998信息技术信息技术安全管理指南第3部分:信息技术安全管理技术
ISO/EC TR 13335.4:2000信息技术信息技术安全管理指南第4部分:防护措施的选择
ISO/EC TR 13335.5:2001信息技术 信息技术安全管理指南第5部分:网络安全管理指南
draft-ietf- inch-iodef-04安全事件描述交换格式数据模型和XML实现
RFC 1305网络时间协议规范和执行
RFC 2030对于IPv4、IPv6和OSI的简单网络定时协议第4版
RFC 2256对于使用LADPv3的X 509使用者计划的概述
标准图片预览
标准内容
ICS 33 020
中华人民共和国通信行业标准
YD/T 1827-2008
网络安全事件描述和交换格式
Network Incident Object Description Exchange Format2008-07-28 发布
2008-11-01实施
中华人民共和国工业和信息化部发布前
2规范性引用文件.
3术语和缩略语
4符药定和格式·
安全事件捕述与交换格式的基础数据类型,5
6安全事件描述与交换格式·
7安全事件描述交换格式的展和实现指南附录A(资料性附录)事件描述实例参考文献
iiKAoNiKAca
YD/T 1827-2008
YD/T1827-2008
本标准是参照国家标准和RFC有关文档,结合我国计算机网络安全和应急响应的特点制定的。本标准的附最A为资料性附录。
本标准由中国通信标准化协会提出并归口。本标准起草单位:国家计算机网络应急技术处理协调中心、清华大学本标主耍起草人;袁春阳、段游新、周勇林、黄元飞、焦绪录、杨晟,孙蔚敏、纪玉
臻、粱
春、吴俊华、孙彬
iiKAoNiKAca-
YD/T 1827-2008
制定木标准的H的是为计算机安全应急响应(ComputerSecurityIncidentResponscTean,以下简称应急响应组或CSIRT)之间的安全事件交换提供绕一的安全事件描述方汰和交换格式:随者互联网的发展,计觉机安全事件破了国家战地区的边养,跨越多个组织,各应愈响应组织问的合作也突破了国养、语言和文化的约束。在我国,国家计算机网络与信息安全管理中心成泛了国家计算机网络应急技术处理协调中心(简称CNCERT/CC),负责国内各部门行业与机构的计算机安全应急响应组的协调工作。各商业网络运营商、大型公司、教育科研机构以及国家相关部门也遂步成立了计党机安全应急组。为了提高各CSIRT对计算机安全事件的响应能力和预防能力,规范我国各CSTRT之间计算机安事件的描述和相关件交换格式,特制定安全事件推述交换格式(IncidentObjcclDescriptionExchange Format, IODEF)
安个事件描述交换格式(IODEF)土要用丁各应急响应组事件处理系统(IncidfenlHandlingSystem)之间的信息交换,是一种表示层的信协议,它的应用还境如图1所示:以急询应(CSRT)
作件处理系统(IIS)
本地市牛
报型效据库
统认模
预警、很告
安全事件交换避式(IIDEF)
通信办议
图1安全事件描逐交焕格式的应用环境其他应呵应组
网路服务商
此他组织
一般情况下,应急响应组需要某种软价工兵把安全件相关的信息生成ODFF的卡件报告,然后避过任意的通信办议(比如HITTP、SMTP等)发送给其仙朴关的组织:当CSIRT收到他CSIRT、网络服务商、用户或其他组织发送过来的IODEF文挡时,一般需要经过事件处理系统中的IODEF解析模块或独立的IODEF解析程序生成符合CSIRT内部定义的数据格式,然后保存到本地李件报告数据序·中,并进入事件处理的流程心。
1范围
网络安全事件描述和交换格式
YD/T 1827-2008
本标准规定了计算机安全事件描述和交换格式(IODEF)的术语、求件描述格式,并提供XML的参考实现。
本标准适用了在我国提供计算机安全事件应急响应服务的各种应急响应组,也可供其他建设、使用计算机安全事件处理系统或安伞事件交换系统的纽织参考。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些档的最新版本。凡是不注口期的引用文件,其最新版本适用于本标准。GB/T 19716-200S
GB/T 19715.1-2(05
GB/T 19715.2-2005
ISO/IEC TR 13335.3:1998
ISO/IECTR 13335.4:2000
信息技术信息安全管押实用规则(idtISO/EC17799:2000)信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型(idt ISO/IEC TR 13335.1:1996)信息技术信息技术安全管理指南第2部分:管理和规划信息技术安全(idtt IS0/IEC TR 13335.2:1997>信息技术信息技术安全管理指南第3部分:信息技术安全管理技术信息技术信息技术安全管理指南第4部分:防护措施的选择信息技术信息技术安全管理指南第5部分:网络安企管理指南ISO/IEC TR 13335.5:20011
draft-ietf-inch-iodef-04
RHC 1305
RFC2030
RFC2256
RFC2822
RFC2396
3术语和缩略语
3.1术语和定义
安全件描述交换格式数据模型和XML实现网络时间协议规范和执行
对于IPv4、IPv6和OSI的简单网络定时协议第4版对于使用LADPv3的X.509使用者计划的概述英特网信息格式
统一资源标认符(URI):一般句法下列术语利定义适用于本标准。3.1.1攻击Attack
指对系统安全的击,生要来源丁人为的、坡术上的威,例如,企图逃避安全服务和违背系统安垒策略的一次技术上的攻击行为。攻击可能是主动的,也可能是被动的;可能是内部人员,也可能是外部人员3.1.2攻击者Attacker
指为达到某种H的而尝试次或多次攻击的个体。在IODEF中,攻击者由其网络标识,发起网络或计算机攻击的组织以及物埋位置信息(可选)来描述。1
YD/T 1827-2008
3.1.3计算机安全应急响应组CSIRT-iiKAoNiKAca-
指处理计算机安全事件和创建安全事件报告的机构。CSIRT也可能涉及证据的收集利保管,安全事件清求等活动。CSTRT出其身份标识、机构名称、公开密例等来描述。3.1.4损失Damage
指攻击给目标系统产生的有意或者无意的后果。损害的描述叫以包括对攻击的实际结集的自由形式的文本描述,如果可能,还可以包括有关被损害的系统、子系统或者服务的结构化情息。3.1.5 活动 Event
指操纵目标的一种行为,其目的是引起且标的状态发生改变。从起源角度看,活动可以被定义为布引发报警的系统或网络中任何可观察到的现象。例如,在10秒钟内连续3次登录失败的活动,可能表小出现强行登录攻击事件。
3.1.6证据Evidence
指与活动(Bvent)相关的信息,该信总用来证明或支持活动相关的结论:对了安全事件(incidcnt),可能包括但不局限于如下内容:由侵入检测系统(IDs)创建的数据转储(dump)文件、来白系统日志文件的数据、内核统计信息、高速缓存、内存、临时义件系统或者其他引起报替或在安全事件发生后收集的数据。
在存诺、问档证据,特别是需要保持证据的完整性时,必须商度小心并采取特殊的规则,必要的时候,应当加密存储证据。按照证收集和布档的原厕,必须“格保护证据的安全。必须详细记录证据保管链,证站应当接照当地的法律进行收集、存档和保扩是非常必要的。3.1.7安全事件Incident
指涉及违反安全策略的安全性事件。安全事件可以定义为单次攻击或者-一组攻击,可以根据攻击临方法,击者的身份、受害者、站点、目标和时间等特性将此单次攻击或此组攻击从其他的攻市中区分开来。
3.1.8影响Impact
出来描述根据用户或机构对攻击的结果的表述,例如资金上的损失或者时间花费等方而的代价。3.1.9目标 Target
指计算机或网络逆辑实体(如账、逊程或数据)、物理实体(组件,计算机、网络或国际互联网):3.1.10受害者Victi
指在安全中件报告中所描述的遭受到攻山的个人或组织。在IOD正H,变害者通常月其网络身份标识。组织或者物理位置等信息来捕述,3.1.11漏洞Vulnerability
指在系统的设计,实现或者运行和管埋中的嵌缺陷或弱点,这些陷或弱点可能会被利用,以灾破系统的安策略。
大多数系统都有其些类型的漏洞,但是这并不意味着系统不能使用。并不是每个漏都会导致政击,也并不是每次改击都会成功。攻击是否成功和漏洞的危险程度、攻击的力度以及采用应对措施的有效性有关。如渠政击需要利用的漏洞非常难实现,那么这样的瀑洞是可以容恐的。如果攻出者从攻击中获得的收施非常小,此时即使足非常容易被利用漏洞也是可以穿恐的。然而,漏洞系统被大品的用户利用来实距政击,此时某些攻丧者可能从中获益不少。2
3.1.12安全事件处理系统Incident Handle SystemYD/T 1827-200B
对计算机网络安全事件、资产、漏洞、威胁、风险、预、安全策略、安全知识等安全要素进行收集、分析、管理,并提供计算机安全事件响应的流程管理软件系统。3.1.13XML模式 Schema
一种基于XML的语法或规范,用来定义XML文档的标记方式,对XML文档的词汇表和语法进行约束和形式化。
3.2缩略语
下列缩略语适用于本标准。
Computer Security Incident Response TeamIncident Object Description Exchange FormatIncident Handle System
Extensible Markup Language
Document Type Definition
Intusion Detection System
Intrusion Detection Message ExchangeFormatCommon Vulnerabilities and ExposuresFully Qualified Domain Name
4符号约定和格式
计算机安全应急响应组
安全事件描述与交换格式
事件处理系统
可扩展的标记语言
文档类型定义
入侵检测系统
入侵检测信息交换格式
通用漏洞披露,一种常见的漏洞描述字典完整域名
本标准使用类图来描述数据模型。在类图中,各符号图例含义见表1。表1类图的图例说明
符号图例
HODEE-LOCH
类IODEF-Document是聚合类,包含有子类含义
类IncidentID是聚合父类必须包含的单个子类,只能存在一个实例类Contact是聚合父类必须包含的子类,可以存在多个实例,个数不限类DetectTime是聚合父类可能包含的子类,最多存在一个实例类AlternativcID是聚合父类可能包含的子类,最多存在一个实例,类AlternativeID本身是聚合类类Expectation是案合父类可能包含的子类,可以存在多个实例,类Expectation本身是案合类5安全事件描述与交换格式的基础数据类型5.1整数
由INTEGER数据类型表示整数属性,整数数据必须以10或者16为基底编码。以10为基底的整数编码使用阿拉伯数字“0”到“9”,以及可选符号“+”或者“_”。例如,“123\“-456”
YD/T 1827-2008
-iiiKAoNiiKAca
以16为基底的编码使用阿拉伯数学“0”到“9”,以及“”到“f”(或者它们的大写形式),并H在前面加上字符“0x”例如,“0xla2h”,5.2实数
由REAL数据炎型来描述实数(浮点)属性。实数数据必须以1U为所底低编码。实数编码和POSX函数例库中的“strtod”-样:一个可选符号后跟一个非空的小数位数串,可选地包含一个基数\符,然后足一个可选的指数部分。一个指数部分由个“e”或者“E”,后跟一个可选的符号,接下来是-个或考多个小数位数。例,“123.45e02”,“-567,89e-03”。与本标准兼容的应用程序必须支持“”和“,”基数字符。5.3字符和字符串
由CHARACTER数据类型来描述单字符属性,由STRING数据类型描述已知长度的多字符属性,字符和字符串数据没有特殊的格式要求。除了偶尔需要使用转义学符来表示特殊的字符5.4字节
字节数据类型BYTE用了捕述二进制数据。5.5枚举类型
户ENUM数据类型描述枚举炎型,枚举类型是山可接受的值构成的一个有序列表。每个值代表一个关键字。在本标准中,校类型关键字被用作属性值。5.6白期一时间
内本标准的DATETIME数据类型描述日期一时间串。5.7NTP 时间戳
由NTPSTAMP数据类型描述NTP时间戳。在RFC1305和IRFC2030中有详细的描述。个NTP时间戳足一个64比特的无符号定点数字。前32比特是数部分,后32比特为小数(分数)部分。IODEF文档必须将NTP时间戳编鸿为2个32比特的「六进制值,使用“,”分隔。例如,0x12345678.0x87654321”。
5.8端口列表
由PORTLIST数据类型撑述网络端口列表,它山个以这号分隔的数字和范围(N-M衣示端口号N至端口号M,包括M)的序列组成,叮以在一个单独的序列中使用数字和范用的任意组合。例如“5-25,37.4243,53,69-119,123-514”
5.9邮政地址
由POSTAL数据类型描述邮政地址。POSTAL数据格式在RFC2256的5.17-5.19有详细说明。其格式如下:
建筑物,街道,邮政编码,城市,国家;或者邮政信箱,邮政编码,城市,国家。5.10个人或组织
由NAME数据类型描述个人或者纠织的名称。格式如下:名姓,或者姓名
NAME数据类型的格式参见RFC2256的5.4。5.11电话和传真号码
巾PHONE数据类型捕述电话号码。电话和传真号码遵循ITU推荐的表达格式:+(国际电码)(本地)(电话号码)4
PHONE数据类型的格式参见RFC2256的5.21。5.12、电子邮件
YD/T 1827-2008
由EMAIL数据炎型描述电子邮件地址。EMAIL数据类型的格式参见RFC2822的3.4.1。5.13统一资源标识
出URI数据类型描述统一资源标识符(URI)。URI数据类型的格式在RFC2396中说明。5.14惟一标识
由UID数据类型描述IODEF文档的某个特定创建者(例如某个CSIRT)的惟一标识符。由GUID数据类型描述全局惟一的标识符。UID和GUID数据类型是出字母数字串构成。6安全事件描述与交换格式
6.1安全事件的描述方法
本章详细描述安全事件描述交换格式所定义的类(Class)。对于每一个类,首先给出其语义,并用类图求表现和其他类之问的关系,然后用XML的文档类型定义(DTD)和模式(Schema)两种形式给出该类的具体描格式。
对于每个类的描述包括6个部分:一类说明:简要描述类的具休含义;一类图:以图形的方式说明类的构成:一子类:描述该类所包含的子类,是否是必需的,存在实例个数及其简要说明:一属性:用丁说明该类所具有的属性名及其含义;一Schema定义:给出该类xMLSchema实现片段;DTD定义:给出该类XMIL DTD实现片段。6.2文档(IODEF-Document)
类说明
IODER-Document类在IODEF数据模型是顶层类,所~有IODEF文档都是IODEF-Document的实。类图
IODEF-Document 白
Inciden
图2IODEF-Dacument类
一Incidcnt:只能包括一个子类,包含所有与安全事件相关信息的安全事件类属性
versin:必需,符串。IODEF文档所遵循的本标准的版本号。本标准以下讨论的格式以TETFINCHT作组草案draft-ietf-inch-iodef-04.txt为参考,版本号为04。Schemu定义
xssequencex
5
YD/T1827-2008
DTD定义
6.3安全事件(Incident)
类说明
iiKAoiKAca-
每一个报告给CSIRT或者由CSIRT处理的安全事件,由Incident类的一个实例来猫述。Incident类为通常交换的安全事件数据提供一个标准的表示法,并且把所描述的活动和一个惟一的标识符联系起来。Incident类概述安全事件活动以及某CSIRT信息处理的详细信息,也对构成incident的安全事件进行分类。Incident的许多聚合类也会出现在EventData中,尽管出现的次数不同。然而,它们的语义是有区别的。Incident中的聚合类反映的是整个安全事件的相关信息,而EventData中的聚含类仅仅提供所描述的给定动作或者系统节点的相关信息。IncidentData类和EventData类的聚合类是互补关系。前者提供概要信息,而后者提供更加明确的细节。例如,在incident中描述安全事件的总体影响可能是拒绝服务,但,在EventData描述中也可能会提及被彻底毁坏的机器。另一个例子,可以在IncidentData类中提供一个组织的联系信息,而在EventData类中提供更加明确的单个主机的联系信息。类图
IncidentID
Aitematye
ReletetActivit
escirrin
neideat
A856851C0
AddibionalDane
图3Incident类
YD/T1827~2008
IncidentD:\-个。文档的产生方指派给安全事件的事件跟踪号,或者惟一标识符。一AltcrnativeID:零个或者个。由其他CSRT用来引用文档4所描述的同一活动的一列安全事件跟踪号。
RelatedActivity:零个或者一个。引用相关安全事件的-列安全事件跟踪号一Description:霉个或者多个,字符衍串类型安全事件活动的白由形式的文本描述。一Contact:个或多个。安全串件有关的参与方的联系信息。一ReportTime:一个。报告安全事件的时问。DetectTime:零个或者一个。安个事作活动最初被检测山的时问。一Startlime:零个战者一个:安全事件活动开始的时间。一EndTime;零个或者一-个:安个事件活动结束的时间。一Expcctation:零个或多个。文档接收者将执行的预期动作。一Mcthod:零个或者多个。入侵者所使用的技术(警如工具,漏洞)。一Assessment:一个或者多个。评估安全事件活动影响的描述。一EveniData:零个或者多个。导致安全事件的活动数据的详细信息。一History:零个或者:个,记录在处理安企事件的期间,发生的重要的事件或者采取的行动。一ActditionalData:零个或者多个。使用不能在别的地方描述的信息来扩展数据模型的区域。属性免费标准下载网bzxz
purpose(H的):必需,枚类型。说明:指出IODFF文的目的。木属性被定义为一个枚举列表:一handling:发送本IODEF-文档的H的是期望接收者处理安全事件:一statistics:发送本IODEF-文档,只用十统计日的:一warning:发送本IODFF-文档,只是作为一个警告;otlier:发送IODEF-文档目的将在AdditionalData元素十指明。Restrictio(限制):可选,枚类型。说明:指出IODFF-Document的发送者期望接收者应该遵了的保密原则,当然文档的接收白由决定是否遵宁这个原测。逻辑上,产类可以继承父类的这个属性值。由丁多数高层类都有restriction属性,这就有可能设置细粒度的保密策略。如果子类加紧或者放松保密规则,子类可以不考虑父类的保密规则。对一个没有指定restricti.on属性值的类,可以在其指定了restriction属性值的最邻近的祖先类中得出该类的restriction属性值。restriction属性被定义为一个枚举类型值,缺省值为“private”。一public:对信息没有任何级别的限制;一nccd-to-know:信息可以被和安全事件有关的其他方共享(举例来说,多个受害站点能够相互通告),
一private:信息不能被共享
一default:按照通信各方预先安排的信息保密规则,决定是否可共享信息。Schema定义
YD/T 1827-2008
xs:element>
DTD定义
6.4事件标识(IncidentID)
类说明
事件标识(IncidentID)的内容代表一个安全事件跟踪号(UID),该UID在CSIRT的上下文中是惟一的。
identD
图4ncidentD类
restriction:可选,枚举类型,参见6.3中对这个属性的定义;8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1827-2008
网络安全事件描述和交换格式
Network Incident Object Description Exchange Format2008-07-28 发布
2008-11-01实施
中华人民共和国工业和信息化部发布前
2规范性引用文件.
3术语和缩略语
4符药定和格式·
安全事件捕述与交换格式的基础数据类型,5
6安全事件描述与交换格式·
7安全事件描述交换格式的展和实现指南附录A(资料性附录)事件描述实例参考文献
iiKAoNiKAca
YD/T 1827-2008
YD/T1827-2008
本标准是参照国家标准和RFC有关文档,结合我国计算机网络安全和应急响应的特点制定的。本标准的附最A为资料性附录。
本标准由中国通信标准化协会提出并归口。本标准起草单位:国家计算机网络应急技术处理协调中心、清华大学本标主耍起草人;袁春阳、段游新、周勇林、黄元飞、焦绪录、杨晟,孙蔚敏、纪玉
臻、粱
春、吴俊华、孙彬
iiKAoNiKAca-
YD/T 1827-2008
制定木标准的H的是为计算机安全应急响应(ComputerSecurityIncidentResponscTean,以下简称应急响应组或CSIRT)之间的安全事件交换提供绕一的安全事件描述方汰和交换格式:随者互联网的发展,计觉机安全事件破了国家战地区的边养,跨越多个组织,各应愈响应组织问的合作也突破了国养、语言和文化的约束。在我国,国家计算机网络与信息安全管理中心成泛了国家计算机网络应急技术处理协调中心(简称CNCERT/CC),负责国内各部门行业与机构的计算机安全应急响应组的协调工作。各商业网络运营商、大型公司、教育科研机构以及国家相关部门也遂步成立了计党机安全应急组。为了提高各CSIRT对计算机安全事件的响应能力和预防能力,规范我国各CSTRT之间计算机安事件的描述和相关件交换格式,特制定安全事件推述交换格式(IncidentObjcclDescriptionExchange Format, IODEF)
安个事件描述交换格式(IODEF)土要用丁各应急响应组事件处理系统(IncidfenlHandlingSystem)之间的信息交换,是一种表示层的信协议,它的应用还境如图1所示:以急询应(CSRT)
作件处理系统(IIS)
本地市牛
报型效据库
统认模
预警、很告
安全事件交换避式(IIDEF)
通信办议
图1安全事件描逐交焕格式的应用环境其他应呵应组
网路服务商
此他组织
一般情况下,应急响应组需要某种软价工兵把安全件相关的信息生成ODFF的卡件报告,然后避过任意的通信办议(比如HITTP、SMTP等)发送给其仙朴关的组织:当CSIRT收到他CSIRT、网络服务商、用户或其他组织发送过来的IODEF文挡时,一般需要经过事件处理系统中的IODEF解析模块或独立的IODEF解析程序生成符合CSIRT内部定义的数据格式,然后保存到本地李件报告数据序·中,并进入事件处理的流程心。
1范围
网络安全事件描述和交换格式
YD/T 1827-2008
本标准规定了计算机安全事件描述和交换格式(IODEF)的术语、求件描述格式,并提供XML的参考实现。
本标准适用了在我国提供计算机安全事件应急响应服务的各种应急响应组,也可供其他建设、使用计算机安全事件处理系统或安伞事件交换系统的纽织参考。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些档的最新版本。凡是不注口期的引用文件,其最新版本适用于本标准。GB/T 19716-200S
GB/T 19715.1-2(05
GB/T 19715.2-2005
ISO/IEC TR 13335.3:1998
ISO/IECTR 13335.4:2000
信息技术信息安全管押实用规则(idtISO/EC17799:2000)信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型(idt ISO/IEC TR 13335.1:1996)信息技术信息技术安全管理指南第2部分:管理和规划信息技术安全(idtt IS0/IEC TR 13335.2:1997>信息技术信息技术安全管理指南第3部分:信息技术安全管理技术信息技术信息技术安全管理指南第4部分:防护措施的选择信息技术信息技术安全管理指南第5部分:网络安企管理指南ISO/IEC TR 13335.5:20011
draft-ietf-inch-iodef-04
RHC 1305
RFC2030
RFC2256
RFC2822
RFC2396
3术语和缩略语
3.1术语和定义
安全件描述交换格式数据模型和XML实现网络时间协议规范和执行
对于IPv4、IPv6和OSI的简单网络定时协议第4版对于使用LADPv3的X.509使用者计划的概述英特网信息格式
统一资源标认符(URI):一般句法下列术语利定义适用于本标准。3.1.1攻击Attack
指对系统安全的击,生要来源丁人为的、坡术上的威,例如,企图逃避安全服务和违背系统安垒策略的一次技术上的攻击行为。攻击可能是主动的,也可能是被动的;可能是内部人员,也可能是外部人员3.1.2攻击者Attacker
指为达到某种H的而尝试次或多次攻击的个体。在IODEF中,攻击者由其网络标识,发起网络或计算机攻击的组织以及物埋位置信息(可选)来描述。1
YD/T 1827-2008
3.1.3计算机安全应急响应组CSIRT-iiKAoNiKAca-
指处理计算机安全事件和创建安全事件报告的机构。CSIRT也可能涉及证据的收集利保管,安全事件清求等活动。CSTRT出其身份标识、机构名称、公开密例等来描述。3.1.4损失Damage
指攻击给目标系统产生的有意或者无意的后果。损害的描述叫以包括对攻击的实际结集的自由形式的文本描述,如果可能,还可以包括有关被损害的系统、子系统或者服务的结构化情息。3.1.5 活动 Event
指操纵目标的一种行为,其目的是引起且标的状态发生改变。从起源角度看,活动可以被定义为布引发报警的系统或网络中任何可观察到的现象。例如,在10秒钟内连续3次登录失败的活动,可能表小出现强行登录攻击事件。
3.1.6证据Evidence
指与活动(Bvent)相关的信息,该信总用来证明或支持活动相关的结论:对了安全事件(incidcnt),可能包括但不局限于如下内容:由侵入检测系统(IDs)创建的数据转储(dump)文件、来白系统日志文件的数据、内核统计信息、高速缓存、内存、临时义件系统或者其他引起报替或在安全事件发生后收集的数据。
在存诺、问档证据,特别是需要保持证据的完整性时,必须商度小心并采取特殊的规则,必要的时候,应当加密存储证据。按照证收集和布档的原厕,必须“格保护证据的安全。必须详细记录证据保管链,证站应当接照当地的法律进行收集、存档和保扩是非常必要的。3.1.7安全事件Incident
指涉及违反安全策略的安全性事件。安全事件可以定义为单次攻击或者-一组攻击,可以根据攻击临方法,击者的身份、受害者、站点、目标和时间等特性将此单次攻击或此组攻击从其他的攻市中区分开来。
3.1.8影响Impact
出来描述根据用户或机构对攻击的结果的表述,例如资金上的损失或者时间花费等方而的代价。3.1.9目标 Target
指计算机或网络逆辑实体(如账、逊程或数据)、物理实体(组件,计算机、网络或国际互联网):3.1.10受害者Victi
指在安全中件报告中所描述的遭受到攻山的个人或组织。在IOD正H,变害者通常月其网络身份标识。组织或者物理位置等信息来捕述,3.1.11漏洞Vulnerability
指在系统的设计,实现或者运行和管埋中的嵌缺陷或弱点,这些陷或弱点可能会被利用,以灾破系统的安策略。
大多数系统都有其些类型的漏洞,但是这并不意味着系统不能使用。并不是每个漏都会导致政击,也并不是每次改击都会成功。攻击是否成功和漏洞的危险程度、攻击的力度以及采用应对措施的有效性有关。如渠政击需要利用的漏洞非常难实现,那么这样的瀑洞是可以容恐的。如果攻出者从攻击中获得的收施非常小,此时即使足非常容易被利用漏洞也是可以穿恐的。然而,漏洞系统被大品的用户利用来实距政击,此时某些攻丧者可能从中获益不少。2
3.1.12安全事件处理系统Incident Handle SystemYD/T 1827-200B
对计算机网络安全事件、资产、漏洞、威胁、风险、预、安全策略、安全知识等安全要素进行收集、分析、管理,并提供计算机安全事件响应的流程管理软件系统。3.1.13XML模式 Schema
一种基于XML的语法或规范,用来定义XML文档的标记方式,对XML文档的词汇表和语法进行约束和形式化。
3.2缩略语
下列缩略语适用于本标准。
Computer Security Incident Response TeamIncident Object Description Exchange FormatIncident Handle System
Extensible Markup Language
Document Type Definition
Intusion Detection System
Intrusion Detection Message ExchangeFormatCommon Vulnerabilities and ExposuresFully Qualified Domain Name
4符号约定和格式
计算机安全应急响应组
安全事件描述与交换格式
事件处理系统
可扩展的标记语言
文档类型定义
入侵检测系统
入侵检测信息交换格式
通用漏洞披露,一种常见的漏洞描述字典完整域名
本标准使用类图来描述数据模型。在类图中,各符号图例含义见表1。表1类图的图例说明
符号图例
HODEE-LOCH
类IODEF-Document是聚合类,包含有子类含义
类IncidentID是聚合父类必须包含的单个子类,只能存在一个实例类Contact是聚合父类必须包含的子类,可以存在多个实例,个数不限类DetectTime是聚合父类可能包含的子类,最多存在一个实例类AlternativcID是聚合父类可能包含的子类,最多存在一个实例,类AlternativeID本身是聚合类类Expectation是案合父类可能包含的子类,可以存在多个实例,类Expectation本身是案合类5安全事件描述与交换格式的基础数据类型5.1整数
由INTEGER数据类型表示整数属性,整数数据必须以10或者16为基底编码。以10为基底的整数编码使用阿拉伯数字“0”到“9”,以及可选符号“+”或者“_”。例如,“123\“-456”
YD/T 1827-2008
-iiiKAoNiiKAca
以16为基底的编码使用阿拉伯数学“0”到“9”,以及“”到“f”(或者它们的大写形式),并H在前面加上字符“0x”例如,“0xla2h”,5.2实数
由REAL数据炎型来描述实数(浮点)属性。实数数据必须以1U为所底低编码。实数编码和POSX函数例库中的“strtod”-样:一个可选符号后跟一个非空的小数位数串,可选地包含一个基数\符,然后足一个可选的指数部分。一个指数部分由个“e”或者“E”,后跟一个可选的符号,接下来是-个或考多个小数位数。例,“123.45e02”,“-567,89e-03”。与本标准兼容的应用程序必须支持“”和“,”基数字符。5.3字符和字符串
由CHARACTER数据类型来描述单字符属性,由STRING数据类型描述已知长度的多字符属性,字符和字符串数据没有特殊的格式要求。除了偶尔需要使用转义学符来表示特殊的字符5.4字节
字节数据类型BYTE用了捕述二进制数据。5.5枚举类型
户ENUM数据类型描述枚举炎型,枚举类型是山可接受的值构成的一个有序列表。每个值代表一个关键字。在本标准中,校类型关键字被用作属性值。5.6白期一时间
内本标准的DATETIME数据类型描述日期一时间串。5.7NTP 时间戳
由NTPSTAMP数据类型描述NTP时间戳。在RFC1305和IRFC2030中有详细的描述。个NTP时间戳足一个64比特的无符号定点数字。前32比特是数部分,后32比特为小数(分数)部分。IODEF文档必须将NTP时间戳编鸿为2个32比特的「六进制值,使用“,”分隔。例如,0x12345678.0x87654321”。
5.8端口列表
由PORTLIST数据类型撑述网络端口列表,它山个以这号分隔的数字和范围(N-M衣示端口号N至端口号M,包括M)的序列组成,叮以在一个单独的序列中使用数字和范用的任意组合。例如“5-25,37.4243,53,69-119,123-514”
5.9邮政地址
由POSTAL数据类型描述邮政地址。POSTAL数据格式在RFC2256的5.17-5.19有详细说明。其格式如下:
建筑物,街道,邮政编码,城市,国家;或者邮政信箱,邮政编码,城市,国家。5.10个人或组织
由NAME数据类型描述个人或者纠织的名称。格式如下:名姓,或者姓名
NAME数据类型的格式参见RFC2256的5.4。5.11电话和传真号码
巾PHONE数据类型捕述电话号码。电话和传真号码遵循ITU推荐的表达格式:+(国际电码)(本地)(电话号码)4
PHONE数据类型的格式参见RFC2256的5.21。5.12、电子邮件
YD/T 1827-2008
由EMAIL数据炎型描述电子邮件地址。EMAIL数据类型的格式参见RFC2822的3.4.1。5.13统一资源标识
出URI数据类型描述统一资源标识符(URI)。URI数据类型的格式在RFC2396中说明。5.14惟一标识
由UID数据类型描述IODEF文档的某个特定创建者(例如某个CSIRT)的惟一标识符。由GUID数据类型描述全局惟一的标识符。UID和GUID数据类型是出字母数字串构成。6安全事件描述与交换格式
6.1安全事件的描述方法
本章详细描述安全事件描述交换格式所定义的类(Class)。对于每一个类,首先给出其语义,并用类图求表现和其他类之问的关系,然后用XML的文档类型定义(DTD)和模式(Schema)两种形式给出该类的具体描格式。
对于每个类的描述包括6个部分:一类说明:简要描述类的具休含义;一类图:以图形的方式说明类的构成:一子类:描述该类所包含的子类,是否是必需的,存在实例个数及其简要说明:一属性:用丁说明该类所具有的属性名及其含义;一Schema定义:给出该类xMLSchema实现片段;DTD定义:给出该类XMIL DTD实现片段。6.2文档(IODEF-Document)
类说明
IODER-Document类在IODEF数据模型是顶层类,所~有IODEF文档都是IODEF-Document的实。类图
IODEF-Document 白
Inciden
图2IODEF-Dacument类
一Incidcnt:只能包括一个子类,包含所有与安全事件相关信息的安全事件类属性
versin:必需,符串。IODEF文档所遵循的本标准的版本号。本标准以下讨论的格式以TETFINCHT作组草案draft-ietf-inch-iodef-04.txt为参考,版本号为04。Schemu定义
xssequencex
YD/T1827-2008
类说明
iiKAoiKAca-
每一个报告给CSIRT或者由CSIRT处理的安全事件,由Incident类的一个实例来猫述。Incident类为通常交换的安全事件数据提供一个标准的表示法,并且把所描述的活动和一个惟一的标识符联系起来。Incident类概述安全事件活动以及某CSIRT信息处理的详细信息,也对构成incident的安全事件进行分类。Incident的许多聚合类也会出现在EventData中,尽管出现的次数不同。然而,它们的语义是有区别的。Incident中的聚合类反映的是整个安全事件的相关信息,而EventData中的聚含类仅仅提供所描述的给定动作或者系统节点的相关信息。IncidentData类和EventData类的聚合类是互补关系。前者提供概要信息,而后者提供更加明确的细节。例如,在incident中描述安全事件的总体影响可能是拒绝服务,但,在EventData描述中也可能会提及被彻底毁坏的机器。另一个例子,可以在IncidentData类中提供一个组织的联系信息,而在EventData类中提供更加明确的单个主机的联系信息。类图
IncidentID
Aitematye
ReletetActivit
escirrin
neideat
A856851C0
AddibionalDane
图3Incident类
YD/T1827~2008
IncidentD:\-个。文档的产生方指派给安全事件的事件跟踪号,或者惟一标识符。一AltcrnativeID:零个或者个。由其他CSRT用来引用文档4所描述的同一活动的一列安全事件跟踪号。
RelatedActivity:零个或者一个。引用相关安全事件的-列安全事件跟踪号一Description:霉个或者多个,字符衍串类型安全事件活动的白由形式的文本描述。一Contact:个或多个。安全串件有关的参与方的联系信息。一ReportTime:一个。报告安全事件的时问。DetectTime:零个或者一个。安个事作活动最初被检测山的时问。一Startlime:零个战者一个:安全事件活动开始的时间。一EndTime;零个或者一-个:安个事件活动结束的时间。一Expcctation:零个或多个。文档接收者将执行的预期动作。一Mcthod:零个或者多个。入侵者所使用的技术(警如工具,漏洞)。一Assessment:一个或者多个。评估安全事件活动影响的描述。一EveniData:零个或者多个。导致安全事件的活动数据的详细信息。一History:零个或者:个,记录在处理安企事件的期间,发生的重要的事件或者采取的行动。一ActditionalData:零个或者多个。使用不能在别的地方描述的信息来扩展数据模型的区域。属性免费标准下载网bzxz
purpose(H的):必需,枚类型。说明:指出IODFF文的目的。木属性被定义为一个枚举列表:一handling:发送本IODEF-文档的H的是期望接收者处理安全事件:一statistics:发送本IODEF-文档,只用十统计日的:一warning:发送本IODFF-文档,只是作为一个警告;otlier:发送IODEF-文档目的将在AdditionalData元素十指明。Restrictio(限制):可选,枚类型。说明:指出IODFF-Document的发送者期望接收者应该遵了的保密原则,当然文档的接收白由决定是否遵宁这个原测。逻辑上,产类可以继承父类的这个属性值。由丁多数高层类都有restriction属性,这就有可能设置细粒度的保密策略。如果子类加紧或者放松保密规则,子类可以不考虑父类的保密规则。对一个没有指定restricti.on属性值的类,可以在其指定了restriction属性值的最邻近的祖先类中得出该类的restriction属性值。restriction属性被定义为一个枚举类型值,缺省值为“private”。一public:对信息没有任何级别的限制;一nccd-to-know:信息可以被和安全事件有关的其他方共享(举例来说,多个受害站点能够相互通告),
一private:信息不能被共享
一default:按照通信各方预先安排的信息保密规则,决定是否可共享信息。Schema定义
xs:element>
DTD定义
6.4事件标识(IncidentID)
类说明
事件标识(IncidentID)的内容代表一个安全事件跟踪号(UID),该UID在CSIRT的上下文中是惟一的。
identD
图4ncidentD类
restriction:可选,枚举类型,参见6.3中对这个属性的定义;8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。