GB/T28517-2012
网络安全事件描述和交换格式
Networkincidentobjectdescriptionandexchangeformat
- 中国标准分类号(CCS)L09
- 国际标准分类号(ICS)35.020
- 实施日期2012-10-01
- 文件格式PDF
- 文本页数52页
- 文件大小1,021.51KB
以图片形式预览网络安全事件描述和交换格式
网络安全事件描述和交换格式
国家标准 GB/T28517一2012 网络安全事件描述和交换格式 Networkineidentohbjectdeseriptionandexchangeformat 2012-06-29发布 2012-10-01实施 国家质量监督检监检疫总局 发布 国家标准花管理委员会国家标准
GB/T28517一2012 目 次 前言 引言 范围 规范性引用文件 术语和定义、缩略语 术语和定义 3.l 3.2缩略语 符号约定 安全事件描述和交换格式的基础数据类型 5.1整数 5.2实数 ,.3字符和字符串 豆.4字节 5.5枚举类型 5.6日期-时间 5.7NTP时间戳 5.8端口列表 . 邮政地址 5.10个人或组织 11电话和传真号码 . . 12电子邮件 5.13统一资源标识 5.14唯一标识 安全事件描述和交换格式 6.1概述 6.2IODEF文档类 6.3安全事件类 事件标识类 6.4 可选标识类 6.5 相关活动类 6.6 6.7其他数据类 6.8联系类 6.9注册机构标识类 14 6.10时间类 6.1l1 期望类 15 16 6.12攻击方法类
GB/T28517一2012 1" .13评估类 6 20 G. 14历史类 21 6.15异常现象数据类 24 G. .16流类和系统类 我.1节点类 25 6.18服务类 21 1 G. 记录类 28 6.20分析器类 36 32 安全事件描述和交换格式的扩展和实现指南 32 7.!扩展机制" 7.2扩展原则 32 7.3IODEF的扩充实例 32 实现指南 40 附录A资料性附录)安全事件描述和交换格式实例 A.1红色代码检测通告 42 A.2带有XM1签名的IoDEF文档 44 A.3使用xML加密的IOoDEF文档的例子 45 参考文献
GB/T28517一2012 前 言 本标准按照GB/T1.1一2009给出的规则起草
本标准是主要参照IETF(互联网工程任务组)RFC5070,结合我国计算机网络应急响应体系建设 的实际情况而制定的
本标准由工业和信息化部提出
本标准由通信标准化协会归口
本标准起草单位;国家计算机阿络应忽技术处理协调中心.请华大学
本标谁主要起草人;黄元飞,袁春阳,段海新,孙蔚敏、杨臻、周勇林、焦绪录、纪玉春,梁履,吴俊华 孙彬
GB/T28517一2012 引 言 随着互联网的发展,计算机网络安全事件突破了国家或地区的边界,跨越多个组织,各应急响应组 织间的合作也突破了国界、语言和文化的约束
在此背景下,我国特成立了国家计算机网络应急技术处 理协调中心(CNCERT/CC),负责协调国内各计算机安全应急响应组共同处理国家公共互联网上的安 全事件;相关电信运营企业、安全服务商、国有大型公司、教育科研机构以及国家有关部门也逐步成立了 计算机安全应急响应组(简称应急响应组或CSIRT)
为了提高各应急响应组对安全事件的响应能力 和预防能力,规范我国各应急响应组之间安全事件的描述和交换格式,特制定本标准(IODEF)
oDer主要用于各应忽响应组的事件处理系统(H3)之同信息交换,是一种表示层的通悄协议
其应用环境如图1所示 应急响应组(CSIRT 事件处理系统S) 解 本地事件 其他应急利应组 IODEF 报告数据库 网络服务商 通信协议 用户 块 其他组织 统计棋块 预警、统计报告 图1安全事件描述交换格式的应用环境 -般情况下,应急响应组需要某种软件工具把安全事件相关的信息生成IODEF的事件报告,然后 通过通信协议(如HTTP,SMTP等)发送给其他相关的组织;当CSIRT收到其他CSIRT,网络服务商、 用户或其他组织发送过来的IODEF文档时,一般需要经过事件处理系统中的IODEF解析模块或独立 的IODEF解析程序生成符合CSIRT内部定义的数据格式,然后保存到本地事件报告数据库中,并进人 事件处理的流程
GB/T28517一2012 网络安全事件描述和交换格式 范围 本标准规定了一种描述计算机网络安全事件的通用数据格式,以便于计算机安全应急响应组间进 行网络安全事件交换,并提供了XML的参考实现
本标准适用于计算机安全应急响应组间进行计算机网络安全事件交换,也可供建设和维护计算机 网络安全事件处理系统时参考
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 凡是不注日期的引用文件,其最新版本(包括所有的修改单)使用于本文件 件
GB/T12406-2008表示货币和资金的代码(Iso4217;2001,IDTy IETFRFC1305网络时间协议规范和执行(NetworkTimeProtocol(Version3)Specification, Implementation) IE:TFRFC2030对于IPv4,IPv6和Os的简单网络定时协议第4版(simpleNetworkTinme Protocol(SNTP)Version4forIPv4,lIPv6and(O)SI IETFRFC2256对于使用LADPv3的X.500使用者计划的概述(AsummaryoftheX.500(96) UserSchemaforusewithLDAPv3) IETFRFC2396 统 -资源标识符(URI);一般句法(UniformmResourceldentifiers(URI):Generie Syntax IE:TFRFC2822英特网信息格式(InternetMessageFormat) 术语和定义、缩略语 3.1术语和定义 下列术语和定义适用于本文件
3.1.1 攻击attack 对系统安全的袭击,主要来源于人为的、技术上的威胁
例如,企图逃避安全服务和违背系统安全 策略的一次技术上的攻击行为
攻击可能是主动的,也可能是被动的;可能是来自内部人员,也可能是来自外部人员
3.1.2 攻击者attacker 为达到某种(些)目的而尝试一次或多次攻击的个体
在本标准中,攻击者由其网络标识,发起网络 或计算机攻击的组织以及物理位置信息(可选)来描述
3.1
3 ineident 计算机安全应急响应组eomputerseeurity responseteam;CSIRT 处理计算机网络安全事件和创建安全事件报告的组织
CSIRT也可能涉及证据的收集和保管,安
GB/T28517一2012 全事件请求等活动
CSIRT由其身份标识机构名称、公开密钥等来描述 3.1.4 损失damage 攻击给目标系统产生的有意或者无意的后果
损害的描述可以包括对攻击的实际结果的自由形式 的文本描述,如果可能,还可以包括有关被损害的系统、子系统或者服务的结构化信息
3.1.5 异常现象 event 操纵目标的一种行为,其目的是引起目标的状态发生改变
从起源角度看,异常现象可以被定义为 在系统或阿络中任何引发报警的可载察到的现象
例如,在10s内连续3次登录失败的异常现象,可 能表示出现强行登录攻击事件
3.1.6 证据evidence 与异常现象相关的信息,该信息用来证明或支持异常现象相关的结论
对于安全事件(incident). 可能包括但不局限于如下内容;由人侵检测系统(IDs)创建的数据转储(dump)文件,来自系统日志文 件的数据、内核统计信息、高速缓存,内存、临时文件系统或者其他引起报警或在安全事件发生后收集的 数据
在存储、归档证据,特别是需要保持证据的完整性时.必须高度小心并采取特殊的规则,必要的时 候,应当加密存储证据
按照证据收集和存档的原则,必须严格保护证据的安全
必须详细记录证据保 管链,证据应当按照当地的法律进行收集、存档和保护是非常必要的
3.1.7 安全事件ineident 涉及违反安全策略的安全性异常现象
安全事件可以定义为单次攻击或者一组攻击,可以根据攻 击的方法,攻击者的身份,受害者、站点、目标和时间等特性将此单次攻击或此组攻击从其他的攻击中区 分开来
3.1.8 影响impact 用来描述根据用户或机构对攻击的结果的表述,例如资金上的损失或者时间花费等方面的代价
3.1.9 目标target 计算机或网络逻辑实体(如账号,进程或数据),物理实体(组件,计算机、网络或国际互联网).
3.1.10 受害者vietim 在安全事件报告中所描述的遭受到攻击的个人或组织
在本标准中,受害者通常用其网络身份标 识、组织或者物理位置等信息来描述
3.1.11 漏洞vulnerability 在系统的设计,实现或者运行和管理中的缺陷或弱点,这些缺陷或弱点可能会被利用,以突破系统 的安全策略
大多数系统都有某些类型的漏洞,但是这并不意味着系统不能使用
并不是每个漏洞都会导致攻 击,也并不是每次攻击都会成功
攻击是否成功和漏洞的危险程度、攻击的力度以及采用应对措施的有 效性有关
如果攻击需要利用的漏洞非常难实现,那么这样的漏洞是可以容忍的
如果攻击者从攻击 中获得的收益非常小,此时即便是非常容易被利用的漏洞也是可以容忍的
然而,漏洞系统被大量的用 户利用来实施攻击,此时某些攻击者可能从中获益
GB/T28517一2012 3.1.12 安全事件处理系统incidemthandlesystem 对计算机网络安全事件、资产、漏洞、威胁、风险、预警、安全策略、安全知识等安全要素进行收集、分 析、管理,并提供安全事件响应的流程管理软件系统
3.1.13 XML模式XMLscheman -种基于XML的语法或规范,用来定义XML文档的标记方式,是对XML文档的词汇表和语法 进行约束和形式化
3.2缩略语 下列缩略语适用于本文件
CsIRT 计算机安全应急响应组 ComputerSecuritylncidentResponseTeam CVE commonVulnerabilitiesandExposures 通用漏洞批漏,一种常见的漏洞 描述字典 文档类型定义 DTD DoeumentTypeDefinition 完整域名 FQDN FullyQualifiedDomainName IDMEF 人侵检测信息交换格式 lntrusionDetectionMessageExchangeFormat D5 人侵检测系统 IntrusionDetectionSystem ms neidentHandleSystem 事件处理系统 IoDEF 安全事件描述和交换格式 IncidentObjectDescriptionandExchangeFormat XxMn 可扩展的标记语言 ExtensibleMarkupLanguage 符号约定 本标准使用类图来描述数据模型
在类图中,各符号图例含义见表1
表1类图的图例说明表 符号图例 1oDE-Dcumcnt 类IoDEF:-Doeument是聚合类,包含有子类 IncidemtID 类IncidentlD是聚合父类必须包含的单个子类,只能存在一个实例 Contact 类Contact是聚合父类必须包含的子类,可以存在多个实例,个数不限 DetectIime 类DeteetTime是聚合父类可能包含的子类,最多存在一个实例 类AlternativeID是聚合父类可能包含的子类,最多存在一个实例,类Alterna 由 AlternativelD iveD本身是聚合类 类Expeetation是聚合父类可能包含的子类,可以存在多个实例,类Expe Expcctation xpectatiom 本身是聚合类
GB/T28517一2012 安全事件描述和交换格式的基础数据类型 5.1整数 由INTEGER数据类型表示整数属性,整数数据必需以10或者16为基底编码
例如,“123”, 以10为基底的整数编码使用阿拉伯数字“0”到“9”,以及可选符号“十”或者“一 456” 以16为基底的编码使用阿拉伯数字“o”到“g”,以及“a”到“”(或者它们的大写形式),并且在前面 加上字符“0x”
例如,“Oxla2b” 5.2实数 由REAL.数据类型来描述实数(浮点)属性
实数数据必需以10为基底编码
实数编码和POSIX函数例库中的“strtod”一样;一个可选符号后跟一个非空的小数位数串,可选 地包含一个基数字符,然后是一个可选的指数部分
一个指数部分由一个“e”或者“E”,后跟一个可选 的符号,接下来是一个或者多个小数位数
例如,“123.45e02”,“一567,89e-03” 与本标准兼容的应用程序必需支持“”和“,”基数字符
5.3字符和字符串 由CHARAcTER数据类型来描述单字符属性由STRING数据类型描述已知长度的多字符 属性
字符和字符串数据没有特殊的格式要求,除了偶尔需要使用转义字符来表示特殊的字符
5.4字节 字节数据类型BYTE用于描述二进制数据
5.5枚举类型 由ENUM数据类型描述枚举类型,枚举类型是由可接受的值构成的一个有序列表
每一个值代 表一个关键字
在本标准中,枚举类型关键字被用作属性值
5.6日期-时间 由本标准的DATETIME数据类型描述日期-时间串 5.7NTP时间戳 由NTPsTAMP数据类型描述NTP时间戳,在IETFRFC1305和IETFRFC2030中有详细的 规定
一个NTP时间戳是一个64比特的无符号定点数字
前32比特是整数部分,后32比特为小数 (分数)部分
IoDEF文档必须将NTP时间戳编码为两个32比特的十六进制值,使用“.”分隔
例如 0x12345678.0x87654321” 5.8端口列表 由PORTLIST数据类型描述网络端口列表,它由一个以逗号分隔的数字和范围(N-M表示端口号 N至端口号M,包括M)的序列组成,可以在一个单独的序列中使用数字和范围的任意组合
例如“5- 25,37,42,43,53,69-l19,123-514”
GB/T28517一2012 邮政地址 由POSTAL数据类型描述邮政地址 如用英语表示,其格式如下 建筑物,街道,邮政编码,城市,国家,或者邮政信箱,邮政编码,城市,国家 如用汉语表示,其格式如下 国家,城市,街道,建筑物,邮政编码,或者国家,城市,邮政信箱,邮政编码 P0STAL数据格式见IETFRFC2256的5.175.19. 5.10个人或组织 由NAME数据类型描述个人或者组织的名称
如用英语表示,其格式如下 姓 如用汉语表示,其格式如下: 姓 NAME数据类型的格式见IETFRFC2256的5.4
5.11 电话和传真号码 由PHONE数据类型描述电话号码
电话和传真号码遵循ITU规定的表达格式 +(国际电码)(本地代码)(电话号码) PHoNE数据类型的格式见IETFRFC2256的5.21
5.12电子邮件 由EMAI1数据类型描述电子邮件地址
EMAIL数据类型的格式见IETFRFC2822的3.4.1
5.13统一资源标识 由URI数据类型描述统一资源标识符(UR)
URI数据类型的格式在IETFRFC2396中规定 5.14唯一标识 由UID数据类型描述IODEF文档的某个特定创建者例如某个CSIRT)的唯一标识符
由GUID 数据类型描述全局唯一的标识符
UD和GUD数据类型是由字母数字串构成
安全事件描述和交换格式 6.1概述 本章详细描述安全事件描述和交换格式所定义的类(Class)
对于每一个类,首先给出其语义,并 用类图来表现和其他类之间的关系,然后用XM的文档类型定义(DTD)和模式(Schema)两种形式给 出该类的具体描述格式
对于每个类的描述包括6个部分 -类说明:简要描述类的具体含义; -类图;以图形的方式说明类的构成; -子类;描述该类所包含的子类,是否是必须的,存在实例个数及其简要说明, -属性:用于说明该类所具有的属性名,及其含义;
GB/T28517一2012 -Schema定义;给出该类XMLSehemma实现片段; -DTD定义;给出该类XMLDTD实现片段
IoDEF文档类 类说明 IODEF文档(IODEEF-Docun cument)类在IODEF数据模型是顶层类,所有IODEF文档都是IODEF Document的实例
类图 IODEF-Document t类如图2所示
ODE-Dcumem Incident 图 oDEF-Deument类 2 子类 Ineident:只能包括一个子类
包含所有与安全事件相关信息的安全事件类
属性 version;必需,字符串
IODEF文档所遵循的本标准的版本号
本标准以下讨论的格式以IETF RFC5070为参考
Schemma定义 xs;elementname="ODEF-Doceument" xs:complexType》 xs:sequence xs:elementref="Ineident") 7/xs:sequence xs;attributename="version"type="xs;string"ixed="o4") 《/xs:complexType /xs:element》 DTD定义 !ELEMENTIODEF-Doeument(Incident)》 6.3安全事件类 类说明 每一个报告给CsIRT,或者由csIRT处理的安全事件,由安全事件(Incident)类的一个实例来描 述
Ineident类为通常交换的安全事件数据提供一个标准的表示法,并且把所描述的活动和一个唯一 的标识符联系起来
lneident类概述安全事件活动以及某CsIRT信息处理的详细信息,也对构成incident的安全事件 进行分类
ncidenl的许多聚合类也会出现在EventData中,尽管出现的次数不同
然而,它们的语义是有区 别的
lncident中的聚合类反映的是整个安全事件的相关信息,而EvenData中的聚合类仅仅提供所 描述的给定动作或者系统节点的相关信息
IncidenData类和EvenData类的聚合类是互补关系
前 者提供概要信息,而后者提供更加明确的细节
例如,在Incident中描述安全事件的总体影响可能是拒 绝服务,但,在EventDaa描述中也可能会提及被彻底毁坏的机器
另一个例子,可以在IneidentData 类中提供一个组织的联系信息,而在EventData类中提供更加明确的单个主机的联系信息
GB/T28517一2012 类图 Ineident类如图3所示
IncidentID AlernativelD 庄 BcelatcdActiity DcCniption Contnet RepoTime DetectTime SatTime Incident EndTime Expectation Metho0 AsscSsment EventData ----------------- History AddtionalDat 图3Ineident类 子类 neidentID;一个
文档的产生方指派给安全事件的事件跟踪号,或者唯一标识符; AlternativeID零个或者一个
由其他csIRT用来引用文档中所描述的同一活动的一列安全 事件跟踪号 RelatedActivity;零个或者一个
引用相关安全事件的一列安全事件跟踪号; Description;零个或者多个,字符串类型
安全事件活动的自由形式的文本描述; 个或多个
安全事件有关的参与方的联系信息 COntact 报告安全事件的时间 ReportTime: Detect'Tinme;零个或者一个
安全事件活动最初被检测出的时间, 安全事件活动开始的时间; StartTime;零个或者 EndTime:零个或者一个
安全事件活动结束的时间
GB/T28517一2012 xpectation;零个或多个
文档接收者将执行的预期动作; Method;零个或者多个
人侵者所使用的技术譬如工具,漏洞); Assessment:;一个或者多个
评估安全事件活动影响的描述 EventData;零个或者多个
导致安全事件的异常现象数据的详细信息; History;零个或者1个
记录在处理安全事件的期间,发生的重要的事件或者采取的行动 AdditionalData:零个或者多个
使用不能在别的地方描述的信息来扩展数据模型的区域
属性 se(目的:必需,枚举类型 purpos 说明;指出IODEF文档的目的
本属性被定义为一个枚举列表: handling;发送本IODEF-文档的目的是期望接收者处理安全事件; 发送本oDeP-文档.只用于统计目的" statistics warning发送本IoDEF-文档.只是作为一个警告 other;发送IoDEF-文档目的将在AdditionalData元素中指明
Restriction(限制);可选,枚举类型
说明指出IoDEF-Dcument的发送者期望接收者应该遵守的保密原则,当然文档的接收者 自由决定是否遵守这个原则
逻辑上,子类可以继承父类的这个属性值
由于多数高层类都有re striction属性,这就有可能设置细粒度的保密策略
如果子类加紧或者放松保密规则,子类可以不 考虑父类的保密规则
对一个没有指定restrietion属性值的类,可以在其指定了restriction属性 值的最邻近的祖先类中得出该类的restrietion属性值
restriction属性被定义为一个枚举类型值
缺省值为“private” public;对信息没有任何级别的限制 needto-know;信息可以被和安全事件有关的其他方共享(举例来说,多个受害站点能 够相互通告); private:信息不能被共享; default;按照通信各方预先安排的信息保密规则决定是否可共享信息 Sehema定义 xs;elementnanme="Ineident" xs:complexType xs:sequence hneidentID" xs:elementref "AlternativeID"minOccurs="0"八 Xs:elementref "o"八 "RelatedActivity"minOccurs= elementref X -"o" "maxOccurs="unboundedl") ltTl escription"minOccurs一 ontact"maxOccurs "unbounded") ell minOccurs="0"八 ccurs= "unbounded" curs maxO)ccurS 'unbounded"八y emen maxOccurs unbounded"/ xS;element sessment”max(O)ccurS "unbounded"八) EN 《xSelementrel ventData"minOccurs '0"max(OccurS "History"minOccurs= xS;elementref6
GB/I28517一2012 xs:elementref="AdditionalData"minOccurs="o"maxOccurs="unbounded") /xs:sequenee xs;attributeref="restrietion"default="default" xs;attributeref一 "purpose"use- -"required" /xs;complexTy ype> /xs:element DTD定义 !ELEMENTIneident(IncidentID,AlternativeID?,RelatedActivity?,Description*,Con tact+,ReportTime,DetectTime?,StartTime?,EndTime?,Expectation关,Method关,Assess ment,EventData*,History?,AdditionalData* 事件标识类 类说明 事件标识(IncidentlD)类的内容代表一个安全事件跟踪号(UD),该UID在一个CsIRT中是唯 -的
类图 IneidentID类如图4所示
lncidenlD 图4Ineident类 子类 无 属性 restriction:可选,枚举类型,见6.3中对这个属性的定义; name;必需,GUID类型
产生IODEF-Document的cCsIRT的标识符
Schema定义 name="IncidentID"t dlement "ype="InecidentIDType" Xs:e rcomplexType "IncidentIDType"mixed="true""》 《xs:C name xs;attributename name xs;attributeref restriction /xs;complexType DTD定义 !ELEMENTIncidentID井PCDATA)> 6.5可选标识类 类说明 可选标识(AlternativeID)类引用其他组织实体(例如其他csIRT)的事件编号,用来在IoDEF Document中跟踪不同组织对同一安全事件的处理活动
因此,被列出作为AlternativeID的跟踪号的 事件,是指由其他的CsIRT从不同的角度,检测到的同样的事件
如果希望表示的不是同一个安全事件,而是相关的安全事件(譬如同样的方法或者人侵者),则其安 全事件跟踪号用在下面将要讨论的RelatedActivity类描述 类图 AlternativelID类如图5所示
GB/T28517一2012 AltermativelD ncidentID 图5AternatieD类 子类 hncidenlD;一个或多个,表示由其他csIRT分配给在IODEP-Document中描绘的同样的活 动的唯一标识符
属性 可选,枚举类型,见lneident类的restrietion属性说明
restriction Schema定义 xs:elementname="AlternativelD" lexType xs:comp xS;Sequence xs;elementref="IncidentID"maxOccurs="unbounded"八 /xS:Seguence xs;attributeref="restriction"/八 /xs:complexType /xs;element》 DTD定义 !ELEMENTAlternativelD(IncidentlD十》 6.6相关活动类 类说明 相关活动(RelatedActivity)类引用在1oDEF文档中所描述的与安全事件有关的其他安全事件跟 踪号,或者安全事件的唯一标识符
这些引用可能是本地安全事件跟踪号,也可能是其他csIRT的安 全事件跟踪号
类图 RelatedAetivity类如图6所示
RCAIVS IcD 图6RelatedAetiity类 子类 lneidentlD;:IneidentlD;一个或者多个,表示CSIRT分配安全事件的唯一标识符
属性 restrietion;可选,枚举类型,见6.3中对这个属性的定义 Schema定义 "RelatedActivity") xs:elemmentname一 xs:complexType xs;sequence xs:elementref="IncidentlD"maxOccurs="unbounded"八 《/xs xs;sequence xs;attributeref="restriction"八 /xs:complexType 10
GB/T28517一2012 /xs:element DTD定义 !ELEMENTRelatedActivity(IncidentID+ 6.7其他数据类 其他数据(AdditionalData)类作为一个扩展机制,用于描述那些不能在数据模型中描述的信息
对 于那些相对简单的信息,提供原子数据类型整数、字符串等)和一种机制来对他们的含义做注解
通过 封装整个符合另外DTD(例如DMEF)的xMI文档..AditiomalData类可以用于扩展数据模型,DTD 或Sschema以支持专门扩展(在第7章将详细讨论DTD的扩展)
AdditionalData不像xML是自描述的
特别是.Additional数据必须能够给出数据的含义 在 aning"属性中描述了这一信息
由于这些描述超出本标准的范围,需要一些额外的协调来保证使 me8 用AdditionalIData类的文档接收者,能够弄清楚定制扩展的意思 类图 AdditionalData类如图7所示
AdditionalDaaype AdiitonaIDla a 图 Data类 AdditionalD 属性 restrietion;可选,枚举类型,见6.3对该属性的定义
ype;必需,枚举类型
元素内容的数据类型.这个属性所允许的值如下所示,缺省值为"trine" oolean,元素包含一个布尔值,也就是串"ru”或者"alee” byte:元素内容是一个8比特字节; :元索内容是一个字符; character datetime:元素内容是一个日期-时间串 ;元素内容是一个整数; nteger ntpstamp;元素内容是一个NTP时间戳; portlist:;元素内容是一个端口列表; real;元素内容是一个实数; string:元素内容是一个字符串 xml;元素内容是XMI-标记的(XMI-tagged)数据
meaning;可选,字符串类型
该类中用户自定义的数据的语义的描述 Schema定义 xs:elementname="AdditionalData"type="AdditionalDataType") -"AdditionalDataType") xs:complexTypename=" Xs:sequence -"0" xs;anynamespace="井#any"processContents="ax"minOccurs= "max- d" Occurs="unbounded 7/xs:sequence d"八 f="dype" xs;attributeref use="required " xs;attributename="meaning"type="xs:string" /xs;complexType' 11
GB/T28517一2012 /xs:element》 DTD定义 !ELEMENTAdditionalData(关 6.8联系类 类说明 联系(Contact)类描述安全事件有关的组织和个人的联系信息,Contaet类封装了对有关方的命名 详细说明了能够通知到他们的联系信息,以及标识了它们在安全事件中的角色
个人和组织都可以作为联系(Contact),也可以通过使用类的递归定义将个人和组织结合在一起 然后用“type”属性决定了所提供的联系信息的类型
Contaect类的递归定义,即Contact类聚合到Contact类,提供了一种不需要在类中显式地使用标识 符来关联信息的方法
当将人以组织来分组,建议将人的实例嵌套到该类的组织的实例中 类图 Contact类如图8所示 MultilingTexType Name any 0.,co MultilingTextType Description RegistnyHandle PostalAddress Contact Telephone Tme2onc Contact 图8Contact类 子类 Name;零个或者一个,NAME类型
联系的名称,联系信息可以是一个组织,也可以是某个 人,type属性规定联系信息的类型;组织或者个人; -Deseription;零个或者一个,STRRING类型
联系信息的自由形式的描述
当指个人的时候 通常是这个人的组织头衔; RegistryHandle;零个或者多个
在注册处理机构名称(比如运营商及管理员在APNIC注册 的Handle),该子类必须对接收方有意义,组织内部的处理机构名称对于组织之外的通信没有 12
GB/T28517一2012 什么意义 PostalAddress;零个或者一个
联系人或组织的邮政地址; Email:零个或者多个
联系人或组织的电子邮件地址; Telephone:零个或者多个
联系电话号码 -Fax;零个或者一个
传真号码 Timezone: e:零个或者一个
联系人或组织所在的时区; Contact零个或者多个
联系信息的递归定义,主要是考虑对数据进行分组
例如有多个联 系人的组织
属性 n,可选,枚举类型
restriction 见6.3对该属性的定义
contactrole;必需,枚举类型
说明指出联系信息的角色,这个属性被定义为一个枚举列表 -creator;生成IoDEF文档的实体; admin;:主机或者网络的管理员 tech;主机或者网络的技术联系; irt;参与事件处理的csIRT; ee;保持告知安全事件处理的实体 type;必需,枚举类型
说明;说明联系信息的类型,这一属性被定义为一个枚举列表 -person:个人; -organization;组织
Schema定义 xs:elementname="Contact"》 xs:complexType》 Xs:sequence -"o" xs:elementref="Name"minOccurs一 "Deseription"min(Occurs="0"八 xs:elementrel "RegistryHandlle"minOceurs="o") xs:elementref "o"八 Xs:elementrel 'PostalAddress"minOccurs= Xselementre ""maxOcurs="unbounded") 'Email"minOccurs 'maxOceurs="unbounded"八 element elephone"minOccurs element minOccurs maxOccurs "nbounded") X "0" elementname X imeZone"type= xs:string'minOccurs "Contacet"minOceurs="o"maxOcecurs= elementref ="unbounded") X sequence "contactrole"use="required" Xsattri tribute "contactype"use="required") xs:attributeref Xsattributerefrestriction/ K /x xXs:complexType /x /xs;elemenn) DD定义 GB/T28517一2012 注册机构标识类 类说明 注册机构标识(RegistryHandle)类表示一个指向lInternet注册机构或者特定团体的数据信息
具 体信息由在元素内容中指定的名称,和在registrytype属性中指定的所属数据库组成
类图 RegistryHandle类如图9所示
Re9tande 图9RegistryHHandle类 子类 无
属性 rxietrype;必需,枚举类型
说明;是指安全事件处理机构或个人所属的数据库
缺省值为“loeal”,可选值有: internice;互联网信息中心; pnic;亚太网络信息中心; -arin:美国互联网号码登记处; laenie:拉丁美洲和加勒比海地区IP地址登记处; ipe:法语“ReseauxIPEuropeen”即欧洲IP网络“EuropeanIPNetworks” i;TERNEA可信介绍人; -local:CSIRT本地数据库 sehema定义 -"RegistryHandle") xselementname mixed="true" exType xs:comple
nal"default="local"八 xe:attibuterl="egistrytype 'use="optiona /x exT xs;comple ype /xs:element》 DTD定义 !ELEMENTRegistryHandle(#PCDATA 6.10时间类 类说明 本标准使用不同的类来表示时间戳,它们的定义是相同的,但是为了表达语义上差别,每一个命名 不同
每个类的元素内容是依照DATETIME数据类型格式的时间戳
StartTime类表示活动开始的时间戳; EndTime类表示活动结束的时间戳 DetectTime类表示某活动第一次被检测出的时间戳; ReportTime类表示报告检测出的活动的时间截 -DateTime是时间戳的通用表示
类图和子类:上述每个类元素都是DATETIME数据类型,无子类,因此省略类图
心
GB/T28517一2012 属性 ntpstamp;可选,NTPTIMESTAMP类型
NTP时间戳表示元素内容里的时间戳
由于这个属性冗余的ntpstamp属性的使用是可选的
不建议在元素内容和属性中都包含时间戳;如果元素内容和属性都使用了时间戳,他们的值必须相同
6.11期望类 类说明 期望(Expeetation)类表示文档的发送者期望接受者所采取的行动,比如阻止攻击行为、,通知用 户等
类图 Expecion类如图10所示
Descripion 由 Contact Eaton StatTime EndTime 图10Expeetion类 子类 -De esecription:一个或者多个,STRING类型
所期望的动作的自由形式的描述 StartTime;零个或者一个
开始处理事件动作的时间,如果这个时间比Inedent类中指明的 ReportTinme还早的话,表示应当尽早完成期望所采取的行动
如果不存在这个元素,就表示 由接收者决定何时执行; EndTime;零个或者一个
动作应当完成的时间
如果动作在此时还没有完成,动作将不再 执行 Contact;零个或者一个
动作预期的参与方
属性 restrietion,可选,枚举类型
见6.3中对该属性的定义
priority可选枚举类型 说明:指出动作的预设优先级,本属性是一个没有缺省值的枚举列表 -low;低优先级; tmedtium;中优先级; high;高优先级
expeet;可选,枚举类型 说明;对所请求的动作类型分类,本属性是一个没有缺省值的枚举列表 -nothing:不需要任何动作,对信息不采取任何动作; contact-site联系在接收者的顾客名单上的站点 和文档的发起人联系; contact-me bloek阻塞或者调查在文档接收者的顾客名单上的机器; 15
GB/T28517一2012 investigate;调查与文档相关的安全事件; -other:其他情况 Schema定义 xs:elementname= "Expectation" xs;complexType xs:sequence' xs:elementref="Description"maxOccurs="unbounded") xs:elementref="Contact"minOccurs="o" "StartTime"minOccurs="o"八 Xs:elementrel "EndTime"minO)ccurs="o"八 elementref xs;sequence' attributeref="restriction"default="default"/) XS;at 'priority"八 Xs;attributere xsattributeref expee") /xs:complexType> /xs:element》 DT定义 !ELEMENTExpectation(Des escription,Contact?,StartTime?,EndTime?) 6.12攻击方法类 类说明 攻击方法(Method)类提供攻击者所使用的方法
Method类可以引用著名的通用漏洞披露 (cvE),列举出攻击者在攻击中所使用的工具,并提供有关人侵活动的自然语言形式的描述 类图 Method类如图11所示 name Mehod Descnipton I-OO 图11Method类 子类 Classifieation:零个或者多个
一般用攻击所用漏洞数据库中的漏洞名称或编号; Description:零个或者多个,STRING类型
在安全事件中所使用的攻击方法的自然语言 描述; 个,STRING类型
是Classification类的元素,表示引用的数据库的名称,在origin name: 属性中指定引用数据库的名称 uul一个,URI类型
是Classifeaton类的元素,表示指向由name引用的漏洞其他相关信息 的URL
16
GB/T28517一2012 属性 Classifieation属性 origin;是必需,枚举类型
引用的数据库的名称,允许值如下所示 bugtraqidBugtraq: -cve;通用漏洞披露 certcc:CERT/cC协调中心漏洞目录; vendor;制造商,其名字应当在name类中指定 loceal;本地数据库; -other:其他
Sechema定义 〈xs;eementname="Method" xs:complexType xs;sequence xs:elementref="Classification"minOccurs="o"maxOccurs="unbounded") xs;elementref="Deseription"maxOeeurs="unbounded") /xs;sequence /xs:complexType /xs;element xs:elementname="Classification" xs:complexType xs;sequence e" xs:elementre="name" xs;elementref="urI" 《/XSseguence xs:attributeref="origin"default="other"八 /xs:complexType' /xs:element DTD定义 !ELEMENTMethod(Classification关,Description十 ELEMENTClassification(name,url 6.13评估类 类说明 评估(Assessment)类描述安全事件活动的技术与非技术方面的影响
类图 Assessment类如图12所示
17
GB/T28517一2012 Impact 0.,o Timelmp3ct Asscssment Mometarylmpact Confidence 图12Assessmment类 子类 -Impact;零个或者多个
安全事件活动对计算机和网络的技术影响的子类;其元素内容可以为 空,或者包含技术影响的自由形式的描述 Timelmpact;零个或者多个
安全事件活动用时间度量的影响的子类;其元素内容是一个具 体说明影响的数值(实数REAL).它是关于时间的函数,本属性描述明确的单位和度量标准, Monetarylmpact;零个或者多个
安全事件活动用货币度量的影响的子类;元素内容是一个 具体说明影响的数值(实数REAL),它是关于金钱的函数,这个属性描述明确的货币和货币度 量标准 Confidence;零个或者一个
在评估中的信心估计的子类;这个元素应当仅在csIRT能够产 生有意义信息的时候才使用
如果必须给出粗略的评估时,应当使用“low”,“mecdium”或 “high”作为等级值
注;以上四个子类都是用于安全时间的影响评估,通过各自的属性进行描述,具体见属性部分 属性 Assessment属性 restrietion;可选,枚举类型
见6.3中对该属性的定义
lmpact类属性 severity;可选,枚举类型
对活动的相对严重性的估计,可供选取的值如下所示,该属性没有 缺省值 -low;低严重性; medium;中等程度严重性; high;高严重性
completion;可选,枚举类型
IODEF文档的创建者是否相信活动成功的一个信号,可选值如 下所示,该属性没有缺省值 failed;攻击企图没有成功 reeded;攻击企图成功了 SuCC e;必需,枚举类型
可以给出一个大致的影响类型,可供选取的值如下所示,缺省值 Impacttyp unknOWn admin; ;企图得到或者已经得到的管理特权 :企图或者成功完成拒绝服务攻击; dos ile:企图或者成功地对文件进行未授权操作; -recon:企图或者成功进行网络探测; 18
GB/T28517一2012 user:企图或者成功得到的用户权限; -none;活动没有任何(技术)影响; unknown;影响未知; -other:不属于以上范略的任何情况
Timelr Impact类属性 eeerity. 可选,枚举类型
对事件影响的严重性估计,可供选取的值如下所示,该属性没有缺 ser 省值: low;低严重性; -medium: n;中等醒度严"重性; high;高严重性
metrit必需",枚举类型
捕速事件影响的尺座,可供选择的值如下,该属性没有缺省值 labor恢复活动的总共的人员时间例如,两个雇员每人工作4h,就是8h) elapsed:从开始恢复到完成总共经历的时间; downtime;某些提供的服务中断(不能得到持续的时间
units;必需,枚举类型
定义时间度量单位
可供选择的值如下,缺省值为“hours" seconds;秒; minutes:分; hours;小时 days:天
NMonetarylmpact类属性 severity;可选,枚举类型
对事件影响的严重性估计,可供选取的值如下所示,该属性没有缺 省值: low;低严重性; medium;中等程度严重性; high;高严重性
curreney;必需,枚举类型
事件造成的经济损失,在GB/T12406一2008中定义了可供选取的 许可值,该属性没有缺省值
Confidenee类属性 rating;必需,枚举类型
指示C'SIRT对安全时间的评估信心,可选值如下,缺省值为“nunmerie” -low;低; 一medium:中; igh;高; numerie:CSIRT提供的表明其对评估的信心的概率值; unknown;未知
注意;如果rating属性没有被设置为“numerie",则元素内容可以为空
否则,必须提供一个信 心值
Schem定义 -"Assessment"y xXs:elementname= xs;complexType Xs:sequence xs;elementref="Inm "minOccurs="o"maxOccurs="unbounded"八 lmpact s:elenmenrd="Timelmpac"minOcurs="0"maxOcurs="unbounded"/ xs:elememtrl="Monetarylmpact"minOccurs="o"maxOccurs="unboundl 19
GB/T28517一2012 ed"八 xs;elementref="Confidence"min(Occurs="0"八) / xs:sequence xs;attributeref="restriction") /xs;complexTy ype /xs:element》 DTD定义 ELEMENTAssessment(Impact关,Timelmpact关,Monetarylmpact关,Confidence?)》 6.14历史类 类说明 历史(History)类是发生的重要事件,或者事件参与方例如,最初报告人.,调查中的csIRT,或有 关的系统管理员)在处理安全事件期间所采取行动的目记或日志
在日志中维护的细节的程度交由那 些处理安全事件的参与方自行决定
Historylem类是Hlistory日志里的一个条目,在Hlistory日志中记录了在处理当前安全事件期间 所发生的事件,或者特别重要的动作
在日志中条目的细节用自由语言描述,但是也可以分类
类图 History类如图13所示
DateTime a lnci Histoy Histoyltem MultilingTexType Dscriptionm any 图13Histor类 子类 Hlistorylem一个或者多个
在重要的事件或者有关方所采取的行动的历史记录条目 lneidentD;零个或者一个
在由多个参与方产生的历史日志中,IncidentD提供一种方法,指 明哪个CsIRT产生的特定条目,以及引用该组织对该活动的本地安全事件跟踪号
当单个组 织维护历史日志时,可以忽略这个类 Date'Time 条目在历史日志中的时间戳(例如,在Deseription中所描述的动作发生的 时间); Deseription;一个或者多个,SsTRING类型
将在历史日志中记录的动作或者事件的自由形式 的文本描述
属性 History类属性 restriction" 可选,枚举类型,见6.3中对该属性的定义
Historyltem类属性; ;可选,枚举类型,见6.3中对该属性的定义 restriction" istorycat: 可选,枚举类型
对在历史日志条目中纪录的活动或事件的类型分类,条目的细节 心
GB/T28517一2012 是在Deseription类中记录的自由形式的描述,可能的值是一个枚举列表,缺省值为“other” -triaged;安全事件数据由IHS接收和处理; -notifieation;在安全事件中,被发送给有关方的通知,例如,一个CSIRT发送一个消息给 正受攻击的站点管理员; share red-info;与未直接卷人安全事件的人员共享的与事件有关的信息; received-info:有关接收到的安全事件的额外信息; nediation;安全事件已经解决,可以包含一个简短的描述; reme other:其他
Schema定义 xs:elementname="History" pmplexType Xs;cO1 Xs;Sequence xs:elementref="HHistoryltem"maxOccurs="unbounded" /XS:Seguence xs:attributeref="restriction"default="default"八 /xs:complexType /xs:element xs;elementname="Historyltem" xs:complexType xs;sequence xs:elementref="DateTime"/八 xs:elementref="InecidentlID"minOccurs="o" 〈xs;elementref="Deseription"maxOceurs="unbounded") xs:sequence xs:attributeref="restriction"/ (xs;attributename="historycat") /xs:complexType /xs:element》 DTD定义 !ELEMENTHistory(Historyltem+ !ELEMENTHistoryltenm(DateTime,IncidentID?,Deseription十) 6.15异常现象数据类 类说明 异常现象数据(EventData)类描述发生在某个特定主机集合或者网络安全事件涉及的异常现象
这 -描述包括那些引起异常现象的系统以及作为目标的系统,攻击者所使用技术的评估,异常现象对组 织的影响,执行的安全事件处理任务列表,以及任何发现的取证证据
在Incident和EventData的聚合类中,存在有重复出现的类
然而,这些类的语义大不相同
lnc dent的聚合类提供整个安全事件的概要信息,而EventData的聚合类则提供有关安全事件子集的信 息
举例来说,注意到As sseSsment 类被聚合在这两个类中
考虑这样的情况,将数值工赋给Incident: Assessment,Monetarylmpat,并考虑赋值(其中y
GB/T28517一2012 DeteetTime;零个或者 安全事件活动最初被检测出的时间 StartTime;零个或者 安全事件活动开始的时间; EndTinme;零个或者 安全事件活动结束的时间 Method;零个或者多个
人侵者所使用的技术和方法(譬如工具,漏洞); Assessment:一个或者多个
安全事件活动影响的描述; Expeetation;零个或多个
文档接收者将执行的预期动作 EventData;零个或者多个
导致安全事件的异常现象数据的详细信息; Record:零个或者 提供异常现象有关信息的支撑数据(例如,日志文件); AdditionalData;零个或者多个
使用不能在别的地方描述的信息来扩展数据模型的区域
属性 Restrietion:可选,枚举类型 说明;这个属性指出IODEF-Document的发送者期望接收者应该遵守的保密原则,当然文档 的接收者自由决定是否遵守这个原则
逻辑上,子类可以继承父类的这个属性值
由于多数高层 类都有restrietion属性,这就有可能设置细粒度的保密策略
如果子类收紧或者放松保密规则,子 类可以不考虑父类的保密规则
对一个没有指定restrietion属性值的类,可以在其指定了restrie tion属性值的最邻近的祖先类中得出该类的restrietion属性值
restrietion属性被定义为一个枚 举类型值,缺省值为“private” public:对信息没有任何级别的限制 -needto-know;信息可以被和安全事件有关的其他方共享(举例来说,多个受害站点能够 相互通告); 一prte信息不能被共 -default:按照通信各方预先安排的信息披露规则,决定是否可共享信息 Schema定义 xs;elementname="EventData") S xs:complexIype xS;Sequence "o"max unbounded"八 XS:elementrel IDesCrIptiOnmlnOccu1rS 1xccurS= xs:elementref minOccurs="o"maxOccurs="unbounded"八) ContaC "0/ S minOccurs element "o" element min(Occurs ement ccurS "unbounded" ement unbounded") 'unbounded") maXOcCurs mmemT SnT minO0ccurs "0"maxOceurs= element mminOccurs -"unbounded") OeLa Ks:element Record"minOccurs "AditionalData"minOccurs="0"maxOccurs="unbounded"八 XS:elementrel 《/xS;Sequence xs:attributeref一"restriction"default="default"/ 《/xs:complexType /xs:element》 DTD定义 !ELEMENTEventData(Des ,Contact关,DetectTime?,StartTime?,EndTime? scription关 23
GB/T28517一2012 Flow关,System关,Method关,A、 ssessment?,EventData关,Record?,AdditionalIData关y 6.16流类和系统类 类说明 流(Flow)类描述一组安全事件,它们可能来源于相同网络的不同系统或应用程序 系统(System)类描述被卷人安全事件中给定的计算机,或者网络技术方面的信息
由这个类描述 的系统,经由systemcat属性按照它们在安全事件中充当的角色加以分类
Node,Service类的含义,与System类中的systemcat属性值有关
如果在System类的systemcat 属性是“ource”,则所描述的聚合类表示引发活动的机器,用户,进程或者服务
如果systemeat属性是 “target”或者“intermediary",则所描述的机器、用户,进程或者服务就是在活动中,目标或者中介的机 器、用户,进程或服务
类图 Flow类和system类如图15所示
Di Node .0cation Eom Flow白 Ssem身 portlisst s 身 ."r Fname 图15Fow类和System类 子类 System类;产生安全事件的源、目的或中间系统(节点或网络). -Node; 描述与安全事件活动有关的主机或者网络的聚合类; -DateTime;零个或者一个
执行名称和地址之间解析的时间戳,如果同时给出了Addres、和 Name,就应当提供这一信息; Address;零个或者多个
是Node的子类,表示设备的网络地址或者硬件地址
除非提供了 名称,至少要指定一个地址 Location:零个或者一个,STRING
是Node的子类,表示设备的物理位置; Name 零个或者一个,STRING
设备的完整域名(FQDN)名称
如果没有给出Address信 ,必须提供Name信息; 息 NodeRole;零个或者多个,设备的预期目的,具有一个属性; -Service; ;零个或者一个,在Node中指定的主机上的目标网络服务; Counter;零个或多个
属性 System类属性: 2
GB/T28517一2012 restriction:可选,枚举类型,见6.3中对该属性的定义
ystemeat:必需,枚举类型
对System类中指明的系统在安全事件活动中的角色进行分 类,可能的值是 sourceSystem是攻击的源; 是受攻击的目标; target;System intermediate:System是在攻击中被利用的中介机器 lnterface;可选,STRING
指明在原始系统上的事件的接口
Spoofed.可选,枚举类型
关于System是否是真正的目标或者只是虚晃的攻击目标,可供 选择的值如下所示,缺省值为“unknown"” y信息的正确性未知 unknown:category ;将主机或者网络归类为源或者目标的category值,很可能是不正确
被归类为源的 yeS Svstem很可能是一个圈套,被归类为目标的system很可能不是预想的受害系统 一o将主机或网络归类为源或者目标的eaegory 值被认为是正确
Schema定义 xs:elementname="Flow" xs:complexType xs:sequence xs;elementref="System"max(Occurs="unbounded"八 /xs:sequence 《/xs:complexType /xs:element xs:elementname="System" xs:complexType xs:sequence xs:elementref="Node"八 xs;elementref=-"Service"min(Oecurs="o"maxOccurs="unbounded"八 "ca -"o" "maxOccurs="unbounded"八 xs:elementref门 Counter"'minOccurs一 xs;sequence attributeref="restriction"/ xs;attributename="nterface"type="xs;string" xs:attributeref="systemcat"/ " xs;atributeref-"spoofed"default="unknown" /xs:complexType> /xs;element) DID定义 !ELEMENTsystem(Node,Service关,Counter关 6.17节点类 类说明 节点(Node)类用来唯一标识主机或者网络设备(例如路由器,交换机. NodeRole类是Node类的子类,描述某特定主机执行的功能(基于一个预先定义的功能列表)
类图 Node类如图16所示 25
网络安全事件描述和交换格式GB/T28517-2012
随着互联网的普及,网络安全问题日益凸显。为了提高网络安全事件处理的效率和准确性,GB/T28517-2012《网络安全事件描述和交换格式》应运而生。
一、网络安全事件描述和交换格式GB/T28517-2012是什么?
GB/T28517-2012是由中华人民共和国国家标准化管理委员会和中华人民共和国信息安全技术国家标准化技术委员会共同制定的行业标准,于2012年发布。该标准规定了网络安全事件描述和交换格式的基本要求、数据格式、数据元素、数据交换等方面的内容,旨在实现不同机构之间网络安全事件信息快速准确交换。
二、网络安全事件描述和交换格式GB/T28517-2012的主要内容
网络安全事件描述和交换格式GB/T28517-2012主要包括以下内容:
- 通用要求:包括标准的适用范围、术语和定义等基本原则。
- 信息描述格式:包括事件基本信息、事件属性、受影响对象、攻击行为、攻击路径、安全防护措施等方面的数据格式和数据元素。
- 数据交换格式:包括XML格式和JSON格式两种交换方式,同时规定了数据交换协议的结构和要求。
- 信息交换流程:包括信息发送、接收、确认、回复等过程。
三、网络安全事件描述和交换格式GB/T28517-2012的作用
网络安全事件描述和交换格式GB/T28517-2012的发布,对于促进网络安全信息共享、提高网络安全事件处理效率和准确性具有重要作用。它可以有效规范网络安全事件的描述和交换流程,实现不同机构之间快速准确地共享安全事件信息,加强网络安全防御能力,提高整个社会的网络安全水平。
四、结论
GB/T28517-2012《网络安全事件描述和交换格式》的出台,为网络安全事件处理提供了更加标准化和规范化的解决方案。通过该标准的实施,可以有效防范网络安全事件的发生和扩散,保障网络环境的安全、稳定和可靠。
