标准搜索结果: 'GB/T 36643-2018'
| 标准编号 | GB/T 36643-2018 (GB/T36643-2018) | | 中文名称 | 信息安全技术 网络安全威胁信息格式规范 | | 英文名称 | Information security technology -- Cyber security threat information format | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 34,363 | | 发布日期 | 2018-10-10 | | 实施日期 | 2019-05-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 36643-2018
Information security technology -- Cyber security threat information format
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术
网络安全威胁信息格式规范
2018-10-10发布
2019-05-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 网络安全威胁信息模型 2
5.1 概述 2
5.2 威胁信息维度 2
5.3 威胁信息组件 2
6 网络安全威胁信息组件 4
6.1 概述 4
6.2 可观测数据 4
6.3 攻击指标 10
6.4 安全事件 12
6.5 攻击活动 13
6.6 攻击方法 15
6.7 应对措施 16
6.8 威胁主体 17
6.9 攻击目标 18
附录A(资料性附录) 采用JSON表示的完整网络安全威胁信息示例 20
参考文献 28
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国电子技术标准化研究院、北京赛西科技发展有限责任公司、北京天际友盟信
息技术有限公司、北京奇安信科技有限公司、中国科学院信息工程研究所、公安部第三研究所、中国信息
安全测评中心、国家计算机网络应急技术处理协调中心、中电长城网际系统应用有限公司、中国电子科
技网络信息安全有限公司、阿里巴巴(北京)软件服务有限公司、百度在线网络技术(北京)有限公司、北
京神州绿盟信息安全科技股份有限公司、北京启明星辰信息安全技术有限公司、神州网云(北京)信息技
术有限公司、远江盛邦(北京)网络安全科技股份有限公司、北京君源创投投资管理有限公司、北京派网
软件有限公司、深信服科技股份有限公司、中国科学院软件研究所、北京天融信网络安全技术有限公司、
腾讯云计算(北京)有限责任公司、上海交通大学、北京工业大学、西安电子科技大学、北京邮电大学、北
京中电普华信息技术有限公司、中国人民公安大学、武汉大学。
本标准主要起草人:蔡磊、叶润国、杨建军、刘贤刚、范科峰、闵京华、鲍旭华、刘威歆、冯侦探、
金湘宇、董晓康、杨大路、杨泽明、李克鹏、李强、宋超、孙薇、贺新朋、李宗洋、孙波、梁露露、宋好好、
王惠莅、刘慧晶、孙成胜、权晓文、李建华、雷晓锋、裴庆祺、易锦、刘玉岭、李衍、史博、孙朝晖、周毅、
邹荣新、曾志峰、叶建伟、杨震、马占宇、翟湛鹏、曹占峰、姜政伟、杜彦辉、王丽娜。
引 言
随着网络攻防对抗博弈的日益加剧,网络攻击方式和攻击手法呈现出多样性、复杂性特点,网络安
全威胁具有越来越明显的普遍性和持续性,且攻击者获取攻击工具越来越便利,导致网络攻击成本大大
降低、检测网络攻击的难度却越来越大。传统的网络安全防护方案仅仅依靠各个组织独立实施垂直的
防护机制,在应对这些复杂网络攻击时显得越来越低效,亟待采取新的技术手段来提升整体网络安全防
护能力。
网络安全威胁信息共享和利用是提升整体网络安全防护效率的重要措施,旨在采用多种技术手段,
通过采集大规模、多渠道的碎片式攻击或异常数据,集中地进行深度融合、归并和分析,形成与网络安全
防护有关的威胁信息线索,并在此基础上进行主动、协同式的网络安全威胁预警、检测和响应,以降低网
络安全威胁的防护成本,并提升整体的网络安全防护效率。
网络安全威胁信息的共享和利用是实现关键信息基础设施安全防护的重要环节,有利于实现跨组
织的网络安全威胁信息的快速传递,进而实现对复杂网络安全威胁的及时发现和快速响应。
规范网络安全威胁信息的格式和交换方式是实现网络安全威胁信息共享和利用的前提和基础,因
此它在推动网络安全威胁信息技术发展和产业化应用方面具有重要意义。
信息安全技术
网络安全威胁信息格式规范
1 范围
本标准规定了网络安全威胁信息模型和网络安全威胁信息组件,包括网络安全威胁信息中各组件
的属性和属性值格式等信息。
本标准适用于网络安全威胁信息供方和需方之间进行网络安全威胁信息的生成、共享和使用,网络
安全威胁信息共享平台的建设和运营可参考使用。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.1-2015 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般
模型
GB/T 20274.1-2006 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型
GB/T 25069-2010 信息安全技术 术语
GB/T 28458-2012 信息安全技术 安全漏洞标识与描述规范
3 术语和定义
GB/T 18336.1-2015、GB/T 20274.1-2006和GB/T 25069-2010界定的以及下列术语和定义适
用于本文件。
3.1
网络安全/网络空间安全 cybersecurity
在网络空间中对信息保密性、完整性和可用性的保持。
[ISO/IEC 27032:2012,定义4.20]
3.2
威胁 threat
可能对系统或组织造成危害的不期望事件的潜在原由。
[GB/T 29246-2017,定义2.83]。
3.3
威胁信息 threatinformation
一种基于证据的知识,用于描述现有或可能出现的威胁,从而实现对威胁的响应和预防。
注:威胁信息包括上下文、攻击机制、攻击指标、可能影响等信息。
3.4
脆弱性 vulnerability
可能被一个或多个威胁利用的资产或控制的弱点。
[GB/T 29246-2017,定义2.89]
3.5
攻击链 cyberkilchain
一个用来描述包含多个攻击步骤的多步攻击模型。
注:常见的多步攻击模型包括信息收集、工具研发、工具投放、脆弱性利用、后门安装、命令与控制、攻击目标达成等
七个步骤。
4 缩略语
下列缩略语适用于本文件。
DNS:域名解析系统(DomainNameSystem)
IP:互联网协议(InternetProtocol)
PE:可移植的可执行文件(PortableExecutable)
5 网络安全威胁信息模型
5.1 概述
本标准给出一种结构化方法描述网络安全威胁信息,目的是实现各组织间网络安全威胁信息的共
享和利用,并支持网络安全威胁管理和应用的自动化。要实现这些目标,则需要一种通用模型来实现对
网络安全威胁信息的统一描述,确保网络安全威胁信息描述的一致性,从而提升威胁信息共享的效率、
互操作性,以及提升整体的网络安全威胁态势感知能力。
5.2 威胁信息维度
本标准定义了一个通用的网络安全威胁信息模型(以下简称“威胁信息模型”)。威胁信息模型从对
象、方法和事件3个维度,对网络安全威胁信息进行了划分,采用包括可观测数据(Observation)、攻击
指标(Indicator)、安全事件(Incident)、攻击活动(Campaign)、威胁主体(ThreatActor)、攻击目标(Ex-
ploitTarget)、攻击方法(TTP)、应对措施(CourseOfAction)在内的八个威胁信息组件描述网络安全威
胁信息。威胁信息模型中的8个组件可以划分到3个域中:
a) 对象域:描述网络安全威胁的参与角色,包括两个组件:“威胁主体”(一般是攻击者)和“攻击目
标”(一般是受害者);
b) 方法域:描述网络安全威胁中的方法类元素,包括两个组件:“攻击方法”(攻击者实施入侵所采
用的方法、技术和过程),以及“应对措施”(包括针对攻击行为的预警、检测、防护、响应等动
作);
c) 事件域:在不同层面描述网络安全威胁相关的事件,包括四个组件:“攻击活动”(以经济或政治
为攻击目标)、“安全事件”(对信息系统进行渗透的行为)、“攻击指标”(对终端或设备实施的单
步攻击)和“可观测数据”(在网络或主机层面捕获的基础事件)。
5.3 威胁信息组件
图1给出了威胁信息模型,它包括8个威胁信息组件,每个组件包含要素本身属性和与其他组件的
关系信息,是构成威胁信息模型的关键要素。其中:
a) “可观测数据”,与主机或网络相关的有状态的属性或可测量事件,是威胁信息模型中最基础的
组件;
b) “攻击指标”,用来识别一个特定“攻击方法”的技术指标,它是多个“可观测数据”的组合,是用
来检测“安全事件”的检测规则;
c) “安全事件”,依据对应指标(“攻击指标”)检测出的可能影响到特定组织的网络攻击事件,一个
具体的网络攻击事件可涉及到“威胁主体”、“攻击方法”和“应对措施”等信息;
d) “攻击活动”,“威胁主体”采用具体的“攻击方法”实现一个具体攻击意图的系列攻击动作,整个
攻击活动会产生一系列“安全事件”;
e) “威胁主体”,“攻击活动”中发起活动的主体,“威胁主体”使用相关方法(“攻击方法”)达到攻击
意图;
f) “攻击目标”,被“攻击方法”所利用的软件、系统、网络的漏洞或弱点,对于每个攻击目标,都有
相应的有效措施(“应对措施”)进行抑制;
g) “攻击方法”,对“威胁主体”实施攻击过程中所使用方法的描述,每种“攻击方法”都会采取漏洞
利用的方式来利用“攻击目标”上的漏洞或弱点类型;
h) “应对措施”,应对具体“攻击目标”有效措施,当安全事件发生后,也可能会采取相应的“应对措
施”进行事后的安全事件处置。
本标准中定义的威胁信息模型应灵活、可扩展,主要表现在威胁信息模型中定义的各个威胁信息组
件都是可选的,它既可以独立使用,也可以任意方式组合,比如,在特定应用场景下,可以只使用威胁信
息模型中相关的组件,而无需使用全部的组件。威胁信息模型的灵活和可扩展特性使得其适合在各种
独立的应用场景中使用。
图1 威胁信息模型
8个威胁信息组件的具体格式规范应符合第6章给出的细节要求。采用本标准的网络安全威胁信
息格式的完整网络安全威胁信息示例参见附录A。
6 网络安全威胁信息组件
6.1 概述
本章对威胁信息模型中的8个威胁信息组件进行了格式规范,具体包括各组件的属性以及属性值
格式。各组件属性的格式用JSON数据类型表示,包括String(字符串)、JSONArray(JSON数组)和
JSONObject(JSON对象)等数据类型。
6.2 可观测数据
6.2.1 概述
在威胁信息模型中,“可观测数据”是最基础的组件,用于描述与主机或网络相关的各种带状态的数
据或可测量的事件。“可观测数据”在形式上是一个逻辑表达式,其逻辑关系按照以下规则组织:
a) “可观测数据”表达式按照树状结构组织;
b) 每个非叶节点表示子节点的关系,包括“或”关系和“与”关系两种;
c) 每个叶节点是判别式,表示一个具体检查项。例如文件名是否包含指定字符串,注册表项是否
为指定内容等。共有等于、不等于、包含和不包含4类判别方式。
6.2.2 字段描述
本标准定义的可观测数据包括:DNS基本记录、电子邮件基本记录、文件下载基本记录、文件信息
基本记录、进程信息基本记录、网址访问基本记录、注册表信息基本记录、用户信息基本记录、系统信息
基本记录等。可观测数据包括如下内容:
a) 标识号,共享范围内全局唯一的标识;
b) 引用标识号,引用在其他地方的“可观测数据”;
c) 时间戳,与标识号共同使用,指定本地条目的版本,或是与引用标识号共同使用,指定外部条目
的版本;
d) 版本,使用的标准版本;
e) 名称,“可观测数据”的简单名称;
f) 描述,采用文本形式详细描述本条目;
g) 简要描述,采用文本形式简要描述本条目;
h) 关系,“可观测数据”与其他组件之间的关系;
i) 判别式,用带逻辑预算关系的判别式表示单一“可观测数据”,或者多个可观测数据”的组合,其
组合关系如6.2.1所示;
j) 对象类型,“可观测数据”的类型名称,除了对应6.2.3中的所有对象类型外,也可以根据实际
场景进行扩展。
可观测数据的各字段描述见表1。
表1 可观测数据对象字段描述
字段名 字段描述 字段格式 字段必要性
id 标识号 String 必选项
idref 引用标识号 String 可选项
timestamp 时间戳 String 可选项
表1(续)
字段名 字段描述 字段格式 字段必要性
version 版本 String 必选项
title 名称 String 可选项
description 描述 String 可选项
short_description 简要描述 String 可选项
object
relationship
constraint
object_type
关系 String 可选项
判别式 String 可选项
对象类型 String 可选项
6.2.3 具体可观测数据
6.2.3.1 DNS基本记录
DNS基本记录主要记录与DNS域名解析相关的观测值,包括如下内容:
a) 域名解析主机,提供域名解析服务的服务器名称;
b) 域名解析记录,DNS服务可以为一个给定域名提供映射的IP地址信息,即域名解析记录;
c) DNS记录类型,DNS服务可以提供多种查询和反查询服务,包括描述IPv4地址信息的主机记
录,描述服务器的名称服务器记录,描述邮件服务器的邮件交换记录等。本字段指明具体的记
录类型。
DNS基本记录的各字段描述见表2。
表2 DNS基本记录
字段名 字段描述 字段格式 字段必要性
name_server 域名解析主机 String 可选项
record IPv4域名解析记录 String 可选项
dns_type DNS记录类型 String 可选项
6.2.3.2 电子邮件基本记录
电子邮件基本记录主要记录与电子邮件相关的观测值,包括如下内容:
a) 邮件附件多用途互联网邮件扩展类型,电子邮件附件的多用途互联网邮件扩展类型,可表明宜
用哪种应用程序打开文件;
b) 邮件附件名称,电子邮件附件的文件名称,标明该附件文件的文件名称和类型;
c) 邮件附件内容,电子邮件附件的内容,表明附件文件中的全部信息;
d) 密件抄送地址,电子邮件密件抄送的地址,表明邮件密件抄送的全部收件人;
e) 邮件正文文本,电子邮件正文的文本,表明正文的全部文本内容;
f) 邮件抄送地址,电子邮件抄送的地址,表明邮件抄送的全部收件人;
g) 邮件发送者,电子邮件的发件人,表明邮件发送人的邮箱地址;
h) 邮件引用,回复电子邮件时引用的原文,表明原邮件正文的内容;
i) 邮件主题,电子邮件的主题,表明电子邮件内容的标志性信息;
j) 邮件接收者,电子邮件的收件人,表明全部收件人的邮箱地址。
电子邮件基本记录字段描述见表3。
表3 电子邮件基本记录
字段名 字段描述 字段格式 字段必要性
is_multipart
邮件附件多用途互联网邮件扩
展类型
String 可选项
attachment_name 邮件附件名称 String 可选项
attachment_content 邮件附件内容 String 可选项
bcc_refs 密件抄送地址 JSONArray 可选项
body 邮件正文文本 String 可选项
cc_refs 邮件抄送地址 JSONArray 可选项
from_ref 邮件发送者 String 可选项
quote 邮件引用 String 可选项
subject 邮件主题 String 可选项
to_refs 邮件接收者 JSONArray 可选项
6.2.3.3 文件下载基本记录
文件下载基本记录主要记录与文件下载相关的观测值,包括如下内容:
a) 文件下载历史名称,文件下载历史的文件名称,表明下载文件的文件名称和类型;
b) 文件下载浏览器名称,文件下载所用浏览器的名称,表明文件下载的方式;
c) 文件下载字节数,文件下载的字节数,表明下载文件的大小;
d) 文件下载名称,文件下载的文件名称;
e) 文件下载开始时间,记录的文件下载的开始时间,通常精确到秒。
文件下载基本记录字段描述见表4。
表4 文件下载基本记录
字段名 字段描述 字段格式 字段必要性
historic_name 文件下载历史名称 String 可选项
browser 文件下载浏览器名称 String 可选项
file_byte 文件下载字节数 String 可选项
file_name 文件下载名称 String 可选项
start_time 文件下载开始时间 String 可选项
6.2.3.4 文件信息基本记录
文件信息基本记录主要记录与文件信息相关的观测值,包括如下内容:
a) 文件名称,文件的名称,表明文件的名称和文件类型;
b) 文件路径,文件的路径,表明文件所在的文件夹名称;
c) 文件完整路径,文件的完整路径,表明文件存储的绝对路径;
d) 文件 MD5值,文件的 MD5值。如果对文件有任何改动,其 MD5值也会发生变化;
e) 文件证书发布者,颁发本标准证书的组织;
f) 文件导出函数,文件导出的函数,提供给第三方使用的文件导出函数;
g) 文件导入函数,文件导入的函数,用来实现第三方文件的数据导入;
h) 文件导入名称,文件导入的名称,表明所导入的第三方文件名称;
i) 文件编译时间,文件编译的时间,通常精确到秒;
j) PE文件资源信息名称,PE文件资源信息的名称。资源包含多种形式的数据,如字符串、图片
等等;
k) PE文件资源信息大小,PE文件资源信息的总字节;
l) 文件段名称,文件段的名称,是由ANSI字符组成的字符串;
m) 文件PE类型,文件所属的PE类型,例如EXE、DLL、OCX、SYS、COM等;
n) PE版本公司名称,PE文件版本信息中所标明的公司名称;
o) PE版本标准描述,PE文件版本信息中给出的描述信息;
p) PE版本标准版本,PE文件版本信息中所标明的文件版本号;
q) PE版本合法版权,PE文件版本信息中所标明的合法版权声明;
r) PE版本原始文件名,PE文件版本信息中所标明的原始文件名;
s) PE版本产品名称,PE文件版本信息中所标明的产品名称信息;
t) PE版本产品版本,PE文件版本信息中所标明的产品版本号信息;
u) 文件SHA1,文件的SHA1值。SHA1值的作用与 MD5值一样,为一种文件指纹;
v) 文件SHA256,文件的SHA256值。SHA256值的作用与 MD5值一样,为一种文件指纹;
w) 文件大小,文件的字节数,表明文件所占用存储空间的大小;
x) 文件数字签名描述,文件的数字签名描述,用于验证文件的来源和完整性。
文件信息基本记录字段描述见表5。
表5 文件信息基本记录
字段名 字段描述 字段格式 字段必要性
name 文件名称 String 可选项
path 文件路径 String 可选项
complete_path 文件完整路径 String 可选项
M......
|