国家标准 GB/T36643一2018 信息安全技术网络安全威胁信息格式规范 Informationsecuritytechnology一Cyherseeuritythreatinformationformat 2018-10-10发布 2019-05-01实施国家市场监督管理总局发布币国国家标准化管理委员会国家标准
GB/36643一2018 目次前言引言范围 2 规范性引用文件术语和定义缩略语网络安全威胁信息模型 5.1概述 5.2威胁信息维度 5.3威胁信息组件网络安全威胁信息组件 6,1概述 6.2可观测数据 6.3攻击指标 6.4安全事件 13 6,5攻击活动 6.6攻击方法 15 6.7应对措施 16 6.8威胁主体 17 6.9攻击目标 18 附录A(资料性附录)采用JsO表示的完整网络安全威胁信息示例 20 参考文献 28
GB/36643一2018 前言本标准按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准起草单位:电子技术标准化研究院、北京赛西科技发展有限责任公司、北京天际友盟信息技术有限公司、北京奇安信科技有限公司科学院信息工程研究所、公安部第三研究所、信息安全测评中心,国家计算机网络应急技术处理协调中心、中电长城网际系统应用有限公司、电子科技网络信息安全有限公司、阿里巴巴(北京)软件服务有限公司、百度在线网络技术(北京)有限公司、北京神州绿盟信息安全科技股份有限公司、北京启明星辰信息安全技术有限公司,神州网云(北京)信息技术有限公司,远江盛邦(北京)网络安全科技股份有限公司、北京君源创投投资管理有限公司、北京派网、北京天融信网络安全技术有限公司软件有限公司、深信服科技股份有限公司、科学院软件研究所、上海交通大学、北京工业大学、,西安电子科技大学、北京邮电大学、北腾讯云计算(北京)有眼责任公司、京中电普华信息技术有限公司人民公安大学,武汉大学本标准主要起草人;蔡磊,叶润国、杨建军、刘贤刚、范科峰、冈京华、鲍旭华、刘威欲、冯侦探金湘宇、,董晓康、杨大路、杨泽明、李克鹏、李强,宋超、孙薇、贺新朋、李宗祥、孙波,梁露露,宋好好王惠莅、刘慧晶、孙成胜、权晓文、李建华、雷晓锋,裴庆棋、易锦刘玉岭,李衍、史博、孙朝晖、周毅、邹荣新、曾志峰、叶建伟、杨震、马占宇、翟湛鹏、曹占峰、姜政伟、杜彦辉,王丽娜
GB/T36643一2018 引言随着网络攻防对抗博弈的日益加剧,网络攻击方式和攻击手法呈现出多样性、复杂性特点,网络安全威胁具有越来越明显的普遍性和持续性,且攻击者获取攻击工具越来越便利,导致网络攻击成本大大降低、检测网络攻击的难度却越来越大传统的网络安全防护方案仅仅依靠各个组织独立实施垂直的防护机制,在应对这些复杂网络攻击时显得越来越低效,亟待采取新的技术手段来提升整体网络安全防护能力网络安全威胁信息共享和利用是提升整体网络安全防护效率的重要措施,旨在采用多种技术手段，通过采集大规模、多渠道的碎片式攻击或异常数据,集中地进行深度融合、归并和分析,形成与网络安全防护有关的威胁信息线索,并在此基础上进行主动、协同式的网络安全威胁预警、检测和响应,以降低网络安全威胁的防护成本,并提升整体的网络安全防护效率网络安全威胁信息的共享和利用是实现关键信息基础设施安全防护的重要环节,有利于实现跨组织的网络安全威胁信息的快速传递,进而实现对复杂网络安全威胁的及时发现和快速响应规范网络安全威胁信息的格式和交换方式是实现网络安全威胁信息共享和利用的前提和基础,因此它在推动刚络安全威胁信息技术发腮和产业化应用方面具有重要意义 IN
GB/36643一2018 信息安全技术网络安全威胁信息格式规范范围本标准规定了网络安全威胁信息模型和网络安全威胁信息组件,包括网络安全威胁信息中各组件的属性和属性值格式等信息本标准适用于网络安全威胁信息供方和需方之间进行网络安全威胁信息的生成、共享和使用,网络安全威胁信息共享平台的建设和运营可参考使用规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T18336.1一2015信息技术安全技术信息技术安全评估准则第1部分;简介和一般模型 GB/T20274.1一2006信息安全技术信息系统安全保障评估框架第1部分;简介和一般模型 GB/T250692010信息安全技术术语 GB/T284582012 信息安全技术安全漏洞标识与描述规范术语和定义 GB/T18336.1一2015,GB/T20274.l一2006和GB/T25069一2010界定的以及下列术语和定义适用于本文件 3.1 网络安全/网络空间安全cybersecurity 在网络空间中对信息保密性,完整性和可用性的保持 [ISO/IEC27032:2012,定义4.20] 3.2 威胁 threat 可能对系统或组织造成危害的不期望事件的潜在原由 [GB/T292462017，定义2.83 3.3 威胁信息 threatinformation -种基于证据的知识,用于描述现有或可能出现的威胁,从而实现对威胁的响应和预防注，威胁信息包括上下文,攻击机制,攻击指标,可能影响等信息 3.4 脆弱性 rability Vulner 可能被一个或多个威胁利用的资产或控制的弱点 [GB/T29246一2017，定义2.891
GB/T36643一2018 3.5 攻击链eyherki chain -个用来描述包含多个攻击步骤的多步攻击模型注:常见的多步攻击模型包括信息收集、工具研发、工具投放、脆弱性利用、后门安装、命令与控制、攻击目标达成等七个步骤缩略语下列缩略语适用于本文件 DNs;域名解析系统(DomainNameSystenm) P互联网协议(InternetProtocol JsON;Javaseript对象标记语言(gavaSeriptObjectNotation) MD5;消息摘要算法第五版(MessageDigestAlgorithm5 PE;可移植的可执行文件(PortableExecutable) URL;统一资源定位符(UniformResourcel.oeator) TTP:战术、技术和程序(Tactics，Techniques，andProcedures) 5 网络安全威胁信息模型 5.1概述本标准给出一种结构化方法描述网络安全威胁信息,目的是实现各组织间网络安全威胁信息的共享和利用,并支持网络安全威胁管理和应用的自动化要实现这些目标,则需要一种通用模型来实现对网络安全威胁信息的统一描述,确保网络安全威胁信息描述的一致性,从而提升威胁信息共享的效率、互操作性,以及提升整体的网络安全威胁态势感知能力 5.2威胁信息维度本标准定义了一个通用的网络安全威胁信息模型(以下简称“威胁信息模型”) 威胁信息模型从对象,方法和事件3个维度,对网络安全威胁信息进行了划分,采用包括可观测数据(Observaton),攻击指标(Indicator),安全事件(Ineident),攻击活动(Campaign)威胁主体(ThreatAeor),攻击目标(Ex loiTarget),攻击方法(TTP)应对措施(CourseOfAetion)在内的八个威胁信息组件描述网络安全威胁信息威胁信息模型中的8个组件可以划分到3个域中对象域;描述网络安全威胁的参与角色,包括两个组件;“威胁主体”(一般是攻击者)和“攻击目 a 标”(一般是受害者); 方法域;描述网络安全威胁中的方法类元素,包括两个组件;“攻击方法”(攻击者实施人侵所采 b 用的方法、技术和过程),以及“应对措施”(包括针对攻击行为的预警、检测、防护、响应等动作); 事件域;在不同层面描述网络安全威胁相关的事件,包括四个组件;“攻击活动”(以经济或政治为攻击目标)“安全事件”对信息系统进行渗透的行为)、“攻击指标”(对终端或设备实施的单步攻击)和“可观测数据”在网络或主机层面捕获的基础事件) 5.3威胁信息组件图1给出了威胁信息模型,它包括8个威胁信息组件,每个组件包含要素本身属性和与其他组件的关系信息,是构成威胁信息模型的关键要素其中:
GB/36643一2018 “可观测数据”,与主机或网络相关的有状态的属性或可测量事件,是威胁信息模型中最基础的 a 组件; b “攻击指标”,用来识别一个特定“攻击方法”的技术指标,它是多个“可观测数据”的组合,是用来检测“安全事件”的检测规则; “安全事件”,依据对应指标(“攻击指标”)检测出的可能影响到特定组织的网络攻击事件，具体的网络攻击事件可涉及到“威胁主体”、“攻击方法”和“应对措施"等信息; d “攻击活动”,“威胁主体”采用具体的“攻击方法”实现一个具体攻击意图的系列攻击动作,整个攻击活动会产生一系列“安全事件”; “威胁主体”,“攻击活动”中发起活动的主体,“威胁主体”使用相关方法(“攻击方法”)达到攻击意图 “攻击目标”,被“攻击方法”所利用的软件、系统、网络的漏洞或弱点,对于每个攻击目标,都有相应的有效措施(“应对措施”)进行抑制; “攻击方法”,对“威胁主体”实施攻击过程中所使用方法的描述,每种“攻击方法”都会采取漏洞 g 利用的方式来利用“攻击目标”上的漏洞或弱点类型鱼,当安全事件发生后,也可能会采取相应的"应对撒 h)“应对措施”,应对具体“攻击目标”有效措施施”进行事后的安全事件处置本标准中定义的威胁信息模型应灵活、可扩展，主要表现在威胁信息模型中定义的各个威胁信息组件都是可选的,它既可以独立使用也可以任意方式组合,比如,在特定应用场景下,可以只使用威胁信息模型中相关的组件,而无需使用全部的组件威胁信息模型的灵活和可扩展特性使得其适合在各种独立的应用场景中使用事件域攻击指标攻击活动所属相关数据方法体现相关方法对应指标发起活动安全事件可观测数据对应方法发起主体方法域威胁主体便用方法攻击方法漏洞利用采取措施攻击目标有效措施应对措施对象域图1威胁信息模型 8个威胁信息组件的具体格式规范应符合第6章给出的细节要求采用本标准的网络安全威胁信息格式的完整网络安全威胁信息示例参见附录A
GB/T36643一2018 6 网络安全威胁信息组件 6.1概述本章对威胁信息模型中的8个威胁信息组件进行了格式规范,具体包括各组件的属性以及属性值格式各组件属性的格式用JsON数据类型表示,包括String(字符串)JSONArray(JSON数组)和 JSONObjeetJsON对象)等数据类型 6.2可观测数据 6.2.1概述在威胁信息模型中,“可观测数据”是最基础的组件,用于描述与主机或网络相关的各种带状态的数据或可测量的事件 “可观测数据”在形式上是一个逻辑表达式,其逻辑关系按照以下规则组织 “可观测数据”表达式按照树状结构组织; a b) 每个非叶节点表示子节点的关系,包括“或”关系和“与”关系两种; c 每个叶节点是判别式,表示一个具体检查项例如文件名是否包含指定字符串,注册表项是否为指定内容等共有等于,不等于,包含和不包含4类判别方式 6.2.2字段描述本标准定义的可观测数据包括:DNS基本记录,电子邮件基本记录、文件下载基本记录文件信息基本记录,进程信息基本记录、网址访问基本记录、注册表信息基本记录、用户信息基本记录、系统信息基本记录等可观测数据包括如下内容 a)标识号,共享范围内全局唯一的标识; 引用标识号,引用在其他地方的“可观测数据” b 时间戳,与标识号共同使用,指定本地条目的版本,或是与引用标识号共同使用,指定外部条目 c 的版本版本,使用的标准版本; d 名称,“可观测数据”的简单名称 e o 描述,采用文本形式详细描述本条目; 简要描述,采用文本形式简要描述本条目; 8 关系,“可观测数据”与其他组件之间的关系; h 判别式,用带逻辑预算关系的判别式表示单一“可观测数据”,或者多个可观测数据”的组合,其组合关系如6.2.1所示; 对象类型,“可观测数据”的类型名称,除了对应6.2.3中的所有对象类型外,也可以根据实际场景进行扩展可观测数据的各字段描述见表1 表1可观测数据对象字段描述字段名字段描述字段格式字段必要性标识号 String 必选项 idrel 引用标识号 String 可选项 imestamp 时间戳 String 可选项
GB/36643一2018 表1(续》字段名字段描述字段格式字段必要性版本 version String 必选项名称可选项 title String 可选项描述 description String 简要描述 String 可选项 short_description reationship 关系 String 可选项 object constraint 判别式 String 可选项 Value object_type 对象类型 String 可选项 6.2.3具体可观测数据 6.2.3.1DNS基本记录 DNS基本记录主要记录与DNS域名解析相关的观测值,包括如下内容: 域名解析主机,提供域名解析服务的服务器名称 aa b 域名解析记录,DNS服务可以为一个给定域名提供映射的P地址信息,即域名解析记录; DNS记录类型,DNS服务可以提供多种查询和反查询服务,包括描述IPv4地址信息的主机记 c 录,描述服务器的名称服务器记录,描述邮件服务器的邮件交换记录等本字段指明具体的记录类型 DNS基本记录的各字段描述见表2 表2DNS基本记录字段名字段措述字段格式字段必要性域名解析主机可选项 name_server String IPv4域名解析记录 String 可选项 record dns_type DNS记录类型 String 可选项 6.2.3.2电子邮件基本记录电子邮件基本记录主要记录与电子邮件相关的观测值,包括如下内容邮件附件多用途互联网邮件扩展类型,电子邮件附件的多用途互联网邮件扩展类型,可表明宜 a 用哪种应用程序打开文件; 邮件附件名称,电子邮件附件的文件名称,标明该附件文件的文件名称和类型; b 邮件附件内容,电子邮件附件的内容,表明附件文件中的全部信息; 密件抄送地址,电子邮件密件抄送的地址,表明邮件密件抄送的全部收件人; d 邮件正文文本,电子邮件正文的文本,表明正文的全部文本内容邮件抄送地址,电子邮件抄送的地址,表明邮件抄送的全部收件人邮件发送者,电子邮件的发件人,表明邮件发送人的邮箱地址; g h 邮件引用,回复电子邮件时引用的原文,表明原邮件正文的内容邮件主题,电子邮件的主题,表明电子邮件内容的标志性信息
GB/T36643一2018 邮件接收者,电子邮件的收件人,表明全部收件人的邮箱地址电子邮件基本记录字段描述见表3 表3电子邮件基本记录字段名字段描述字段格式字段必要性邮件附件多用途互联网邮件扩 is_multipart String 可选项展类型可选项 attachmentname 邮件附件名称 String String 可选项邮件附件内容 attachmentcontent bcc_refs 密件抄送地址 Js(ONArray 可选项 body 邮件正文文本 String 可选项 cc_refs JSONArray 邮件抄送地址可选项邮件发送者可选项 from_ref String 邮件引用可选项 quote String 邮件主题可选项 subiect String JsONArray 邮件接收者可选项 to_refs 6.2.3.3文件下载基本记录文件下载基本记录主要记录与文件下载相关的观测值,包括如下内容文件下载历史名称,文件下载历史的文件名称,表明下载文件的文件名称和类型， a b) 文件下载浏览器名称,文件下载所用浏览器的名称,表明文件下载的方式; 文件下载字节数,文件下载的字节数,表明下载文件的大小 c d 文件下载名称,文件下载的文件名称 e 文件下载开始时间,记录的文件下载的开始时间,通常精确到秒文件下载基本记录字段描述见表4 表4文件下载基本记录字段名字段描述字段格式字段必要性 historicname 文件下载历史名称可选项 String 可选项文件下载浏览器名称 browser String fle_byte 文件下载字节数 String 可选项 file_name 文件下载名称 String 可选项 start_time 文件下载开始时间 String 可选项 6.2.3.4文件信息基本记录文件信息基本记录主要记录与文件信息相关的观测值,包括如下内容文件名称,文件的名称,表明文件的名称和文件类型; a 文件路径,文件的路径,表明文件所在的文件夹名称; b 文件完整路径,文件的完整路径,表明文件存储的绝对路径; c
GB/36643一2018 ) 文件MD5值,文件的MD5值如果对文件有任何改动,其MD5值也会发生变化; 文件证书发布者,颁发本标准证书的组织 ee 文件导出函数,文件导出的函数,提供给第三方使用的文件导出函数 f 文件导人函数,文件导人的函数,用来实现第三方文件的数据导人 g h) 文件导人名称,文件导人的名称,表明所导人的第三方文件名称; 文件编译时间,文件编译的时间,通常精确到秒; j PE文件资源信息名称,PE文件资源信息的名称资源包含多种形式的数据,如字符串,图片等等; PE文件资源信息大小,PE文件资源信息的总字节 k 文件段名称,文件段的名称,是由ANsI字符组成的字符串文件PE类型,文件所属的PE类型,例如EXE,DLL、OCX、SYS,COM等 m n PE版本公司名称,PE文件版本信息中所标明的公司名称; PE版本标准描述,PE文件版本信息中给出的描述信息; o PE版本标准版本,PE文件版本信息中所标明的文件版本号 p PE版本合法版权,PE文件版本信息中所标明的合法版权声明 q PE版本原始文件名,PE文件版本信息中所标明的原始文件名 PE版本产品名称,PE文件版本信息中所标明的产品名称信息; PE版本产品版本,PE文件版本信息中所标明的产品版本号信息; 文件SHAl,文件的SHAl值 SHA1值的作用与MD5值一样,为一种文件指纹:; U 文件SHA256,文件的sHA 值 SHA256值的作用与MD5值一样,为一种文件指纹 25 w)文件大小,文件的字节数,表明文件所占用存储空间的大小文件数字签名描述,文件的数字签名描述,用于验证文件的来源和完整性 x 文件信息基本记录字段描述见表5 表5文件信息基本记录字段描述字段名字段格式字段必要性文件名称 name String 可选项文件路径可选项 patlh String 可选项文件完整路径 String complete_path MD5 文件MD5值 String 可选项 certpublisher 文件证书发布者 String 可选项 export_funetion 文件导出函数 JSONArray 可选项文件导人函数 JsONArray 可选项 impor_function 文件导人名称 import_name String 可选项文件编译时间 compilationtinme 可选项 String PE_resource_name PE文件资源信息名称可选项 String PE_resouree_size PE文件资源信息大小 String 可选项 String 可选项 ile_segement 文件段信息 PE_type 文件PE类型 String 可选项 PE_company PE版本公司名称 String 可选项
GB/T36643一2018 表5(续字段名字段描述字段格式字段必要性 PE_description PE版本标准描述 String 可选项 E版本标准版本可选项 PE_file_version String PE PE版本合法版权可选项 _copyright String PE_originalL_name PE版本原始文件名可选项 String PE_product PE版本产品名称 String 可选项 PE_product_version PE版本产品版本 String 可选项 SHAl 文件SHA1 String 可选项 SHA256 文件SHA256 String 可选项文件大小可选项 file_size String 文件数字签名描述 String 可选项 fle-signature 6.2.3.5进程信息基本记录进程信息基本记录主要记录与进程相关的观测值,包括如下内容进程本地IP,进程所使用的本地主机IP地址 a 进程本地端口,进程所使用的本地主机端口号; b 进程传输协议,进程所使用的传输层协议,包括TCP协议和UDP协议进程远程IP,进程所连接的远程主机IP地址进程远程端口,进程所连接的远程主机端口号; 进程名称,进程所显示的完整名称进程用户名,进程在运行主机上所属的用户名: g o 进程参数,进程运行所指定的参数; ,进程的路径表示进程相关的可执行文件在磁盘中的存储位置; 进程标识符,进程的标识符,用于唯一标识一个进程的数值父进程路径,父进程的路径,表示父进程相关的可执行文件在磁盘中的存储位置; k 父进程MD5,父进程的MD5值,用于唯一标明父进程信息，进程开始时间,进程开始运行的时间,通常精确到秒 m 进程结束时间,进程结束运行的时间,通常精确到秒 n 进程信息基本记录见表6 表6进程信息基本记录字段名字段必要性字段描述字段格式进程本地IP 可选项 String local_ip localport 进程本地端口 String 可选项 locaL_protocol 进程端口协议 String 可选项进程远程IP JSONArray 可选项 remote_lP remote_port 进程远程端口 JSONArray 可选项
GB/36643一2018 表6(续》字段名字段描述字段格式字段必要性 name 进程名称 String 可选项进程用户名 username JSONArray 可选项 IsON 进程参数可选项 Darametet Array 进程路径可选项 path String 可选项 pid 进程标识符 String path 父进程路径 String 可选项 parentprocess_p8 parent_process_MD5 父进程MD5 String 可选项 start_time 进程开始时间 String 可选项 end_timme 可选项进程结束时间 String 6.2.3.6网址访问基本记录网址访问基本记录主要记录与网址访问相关的观测值,包括如下内容主机历史记录,访问主机的历史记录 a b)网址历史记录,访问网址的历史记录网址访问基本记录见表7 表7网址访问基本记录字段名字段描述字段格式字段必要性 JsOArray historichost 主机历史记录可选项 historie_domain 网址访问记录 JsONArray 可选项 6.2.3.7 注册表信息基本记录注册表信息基本记录主要记录与注册表相关的观测值,包括如下内容注册表键路径,注册表键在注册表结构中的访问路径; aa b 注册表存储路径,注册表文件的存储路径; 注册表项类型注册表项的类型,包括二进制、DwORD值、字符串值三种类型 e 注册表键名称,注册表键的名称 d 注册表键值,注册表键的赋值 e 注册表信息基本记录见表8 表8注册表信息基本记录字段名字段描述字段格式字段必要性 registry_key_path 注册表键路径可选项 String egistry_path 注册表存储路径 String 可选项 registry_type 注册表项类型 JSONArray 可选项
GB/T36643一2018 表8(续字段名字段描述字段格式字段必要性 registry_key_name 注册表健名称 String 可选项 registry_key_value 注册表键值 String 可选项 6.2.3.8用户信息基本记录用户信息基本记录主要记录与用户相关的信息包括如下内容 a 用户名称,登录系统的注册用户名称; b)用户组名称,用户所在的用户组的名称用户信息基本记录各字段信息见表9 表9用户信息基本记录字段名字段描述字段格式字段必要性 user 用户名称 String 可选项用户组名称可选项 group String 6.2.3.9系统信息基本记录系统信息基本记录主要记录与操作系统相关的信息,包括如下内容: 操作系统信息,操作系统的信息,如操作系统名称及版本等信息 a 主机名,运行操作系统的主机名称 b IP地址,运行操作系统的主机IP地址 c 产品名称,操作系统所在主机的产品名称; d 系统用户,操作系统所在主机的系统用户 e 系统信息基本记录见表10 表10系统信息基本记录字段名字段描述字段格式字段必要性操作系统信息 OS String 可选项主机名可选项 hostname String IP地址可选项 String 产品名称 String 可选项 product 系统用户 JSONArray 可选项 user 6.3攻击指标 “攻击指标”是指在特定的网络环境中,用来识别出一个特定“攻击方法”的“可观测数据”组合它由映射到“攻击方法”的一个或多个“可观测数据”组成,并附加相关的元数据攻击指标组件包括如下内容 10
GB/36643一2018 标识号,共享范围内全局唯一的标识; a b 引用标识号,引用在其他地方的“攻击指标” 注当使用引用标识号时,本地“攻击指标”只是一个引用,不包含任何具体内容时间戳,与标识号共同使用,指定本地条目的版本,或是与引用标识号共同使用,指定外部条目的版本; 版本,使用的标准版本; d 名称,“攻击指标”的简单命名 e 类型,“攻击指标”的类型攻击指标类型既可以使用现有类型列表中的值,也可以使用类型扩 fD 展机制自行定义; 别名,“攻击指标”的可选标识(别名); g h) 描述,采用文本形式详细描述本条目 i 简要描述,采用文本形式简要描述本条目; 时间,“攻击指标”发生的有效时间范围; j kk 可观测数据,与本条目对应的“可观测数据” 攻击方法,与本条目相关的“攻击方法” m攻击阶段,本条目在攻击链中对应的攻击阶段; 检测机制,检测机制是一种方法,用于有效识别满足“攻击指标”的特定“可观测数据” n 潜在影响,在“攻击指标”发生的场景下,对系统可能产生的潜在影响这通常是用于本地使用 o 而非共享的一个字段; 应对措施,推荐对本次攻击进行修复的“应对措施” p 可信度,本条目的可信度级别 q 相关攻击指标,与本条目相关的其他“攻击指标" 信息来源,本条目的产生者,描述信息来源细节 S 攻击指标组件的各字段描述见表11 表11攻击指标字段描述字段名字段描述字段格式字段必要性标识号必选项 String 引用标识号可选项 idref String 时间戳 String 可选项 timestamp 版本 String 必选项 version itle 名称 String 可选项 type 可选项类型 String 别名 aliases String 可选项 description 描述可选项 String 简要描进可选项 shortdescription String observable 可观测数据 String 可选项 alidL_fronm String 可选项有效时间起始 alidL_to 有效时间(结束) String 可选项 indiecated_TTP 攻击方法 JSONArray 可选项 1
GB/T36643一2018 表11(续字段名字段描述字段格式字段必要性攻击阶段 kil_chain_phases String 可选项检测机制可选项 testmechanisms String 潜在影响可选项 likely_impact String suggestedof_coa 应对措施 JsONArray 可选项 confidenee 可信度 String 可选项 rrelated_indieators 相关攻击指标 JSONArray 可选项 information_source 信息来源 String 可选项 6.4安全事件 “安全事件”是指检测中发现的可能影响到特定组织的一系列独立的“攻击指标”的实例安全事件包括如下内容标识号,共享范围内全局唯一的标识 a b)引用标识号,引用发生在其他地方的“安全事件”; 注当使用引用标识号时,本地“安全事件"只是一个引用,不包含任何具体内容时间戳,与标识号共同使用,指定本地条目的版本,或是与引用标识号共同使用,指定外部条目 c 的版本; 版本,使用的标准版本; d e 位置链接,给出一个URL链接,指向事件发生的网址; 名称,“安全事件”的简单命名 f) 外部标识号,当“安全事件”同时发生在本地和外部系统时,用该字段指出同一事件在外部系统 g 中的标识号; 时间,“安全事件”发生的有效时间范围: h 描述,采用文本形式详细描述本条目; 简要描述,采用文本形式简要描述本条目类别,用于描述本次“安全事件”所属类别的一个集合; k 关系者,和本次“安全事件”有关的各种角色信息,包括报告者,响应者,协作者,受害者 m影响资产,描述在本次“安全事件”中受影响的资产信息影响评估,描述在本次“安全事件”中造成影响的评估结果 n 状态,描述本次“安全事件”的当前状态可以使用预定义的状态类型,也可以由使用者自定义 o 类型相关指标,和本次“安全事件”有关的其他指标信息,包括相关攻击指标、相关攻击方法,相关威 p 胁主体、相关安全事件; 预期效果,描述本次“安全事件”的预期效果可以使用预定义的状态类型,也可以由使用者自定义类型; 获取权限,指出这次事件是否涉及攻击者取得了某种安全权限，发现方法,这次事件是怎样被发现的 s 应对措施,受害者为消除本次“安全事件”的影响已采取和待执行应对措施; t 可信度,本条目的可信度级别 u 12
GB/36643一2018 联系人,本次“安全事件”相关的组织或个人联系人; V w 历史,对本次“安全事件”处置或行动的相关历史日志; x)信息来源,本条目的产生者,描述信息来源细节安全事件组件的字段描述见表12 表12安全事件字段描述字段名字段描述字段格式字段必要性标识号必选项 id String 引用标识号可选项 idref String 时间戳 String 可选项 timestamp 版本 String 必选项 version url 位置链接 String 可选项可选项 title 名称 String 外部标识号可选项 external_id String validfrom 有效时间(起始可选项 String valid_to 有效时间(结束可选项 String description 描述 String 可选项 short_deseription 简要描述可选项 String categories 类别 JsONArray 可选项 partieipator 关系者 JsONObjeet 可选项影响资产可选项 affecte_assets String 影响评估可选项 impact_assessment String 可选项状态 status String relatedindicators JsONArray 可选项相关指标 intended_effeet 预期效果 String 可选项 security_compromise 获取权限 String 可选项 discovery_method 发现方法 String 可选项应对措施可选项 COA_requested JSONArray confidence 可信度可选项 String JsOArray contact 联系人可选项 history 历史火 JsONArray 可选项 info_source 信息来源 String 可选项 6.5攻击活动 “攻击活动”是指“威胁主体”实现一个具体意图的系列动作攻击活动组件包括如下内容标识号,共享范围内全局唯一的标识 a b)引用标识号,引用发生在其他地方的“攻击活动” 注当使用引用标识号时,本地"攻击活动”只是一个引用,不包含任何具体内容 13
GB/T36643一2018 时间戳,与标识号共同使用,指定本地条目的版本,或是与引用标识号共同使用,指定外部条目的版本; 版本,使用的标准版本 d 名称,“攻击活动”的简单命名 e 描述,采用文本形式详细描述本条目 f 简要描述,采用文本形式简要描述本条目 g h 命名,对“攻击活动”的命名,可能是内部命名也可能是外部命名; 预期效果,描述本“攻击活动”的预期效果可以使用预定义的状态类型,也可以由使用者自定义类型; 状态,描述本次“攻击活动”的当前状态,例如正在进行,历史,或未来可以使用预定义的状态类型,也可以由使用者自定义类型; k 相关安全事件,与本条目对应的“安全事件”; 相关威胁主体,与本条目相关的“威胁主体”; 相关攻击方法,与本条目相关的“攻击方法”; m 相关攻击活动,与本条目相关的其他“攻击活动” n 可信度,本条目的可信度级别 o 相关活动,描述与这次“攻击活动”相关的一系列活动,是一个抽象类型,可以有各种扩展; P 信息来源,本条目的产生者,描述信息来源细节 Q 攻击活动组件各字段描述见表13 表13攻击活动字段格式描述字段名字段描述字段格式字段必要性标识号必选项 String idref 引用标识号可选项 String timestamp 时间截 String 可选项版本 String 必选项 version title 名称 String 可选项 deseription 可选项描述 String shor_descriptionm 简要描述 String 可选项可选项 aliases 命名 String 预期效果可选项 intendedeffect String 状态可选项 status String JsONArray 相关安全事件可选项 relatedincidents attributed_to 相关威胁主体 JsONArray 可选项 Related_TTPs 相关攻击方法 JSONArray 可选项 assoeiated_campaigns 相关攻击活动 JSONArray 可选项可信度 confidence String 可选项相关话动可选项 aetivity String informationsource 信息来源可选项 String 14
GB/36643一2018 6.6攻击方法 “攻击方法”是指对“威胁主体”的行为或攻击手法的描述攻击方法组件包括如下内容标识号,共享范围内全局唯一的标识; a 引用标识号.引用发生在其他地方的“攻击方法” b) 注:当使用引用标识号时,本地“攻击方法”只是一个引用,不包含任何具体内容时间戳,与标识号共同使用,指定本地条目的版本,或是与引用标识号共同使用,指定外部条目的版本版本,使用的标准版本; d 名称,“攻击方法”的简单命名 ee f 描述,采用文本形式详细描述本条目简要描述,采用文本形式简要描述本条目; g h)预期效果,描述本“攻击方法”的预期效果可以使用预定义的状态类型,也可以由使用者自定义类型; 攻击行为,描述攻击者用来实现本次“攻击方法”的行为,例如使用恶意软件或人侵程序等攻击资源,用来描述攻击者实现本次“攻击方法”的所依赖的资源,包括恶意工具等 j k 攻击目标,描述作为攻击目标的人,组织或漏洞等信息 D 相关攻击目标,与本条目对应的“攻击目标” m相关攻击方法,与本条目对应的“攻击方法”; n)攻击阶段,本条目在攻击链中对应的攻击阶段信息来源,本条目的产生者,描述信息来源细节; o p)攻击链,攻击链提供的对这一“攻击方法”的具体参考信息攻击方法组件各字段描述见表14 表14攻击方法字段描述字段描述字段名字段格式字段必要性标识号 String 必选项引用标识号可选项 idref String 可选项时间散 timestamp String 版本 String 必选项 version itle 名称 String 可选项 description 描述 String 可选项简要描述可选项 short_description String 预期效果 intended_effeet String 可选项 behaior 攻击行为可选项 String JsOArray 攻击资源可选项 resources 攻击目标 JsONArray 可选项 Victim_targeting exploit_targets 相关攻击目标 JsONArray 可选项 related_TTPs 相关攻击方法 JsONArray 可选项 kill_chain_phases 攻击阶段 String 可选项 15
GB/T36643一2018 表14(续字段名字段描述字段格式字段必要性 information_source 信息来源 String 可选项 kil_chains 攻击链 String 可选项 6.7应对措施 “应对措施”是指对威胁的具体应对方法应对措施组件包括如下内容标识号,共享范围内全局唯一的标识; a 引用标识号,引用发生在其他地方的“应对措施” b) 注当使用引用标识号时,本地“应对措施”只是一个引用,不包含任何具体内容 c 时间戳,与标识号共同使用,指定本地条目的版本,或是与引用标识号共同使用,指定外部条目的版本版本,使用的标准版本; d 名称,“应对措施”的简单命名 e' fD 阶段,本应对措施所属的阶段,例如;采取补救措施或者正在响应威胁类型,描述“应对措施”的类型 g 描述,采用文本形式详细描述本条目; h 简要描述,采用文本形式简要描述本条目; 对象,描述该“应对措施”实施的对象参数,“应对措施”的技术参数用于和类型字段关联,并定义自动化的“应对措施” k 结构化描述,采用结构化形式对“应对措施”进行规范化描述,用于应对措施实施的自动化 m影响,描述实施本“应对措施”可能会造成的影响可以使用预定义的状态类型,也可以由使用者自定义类型; 成本,描述实施本“应对措施”可能会需要的成本可以使用预定义的状态类型,也可以由使用 n 者自定义类型效果,描述实施本“应对措施”可能会产生的效果可以使用预定义的状态类型,也可以由使用 o 者自定义类型; 信息来源,本条目的产生者,描述信息来源细节 p 相关应对措施,可能与本条目相关的其他“应对措施” q 应对措施组件各属性字段描述见表15 表15应对措施字段描述字段名字段描述字段格式字段必要性标识号必选项 String 引用标识号可选项 idrelf String 时间戳 String 可选项 imestamp 版本 String 必选项 version title 名称 String 可选项 stage 阶段 String 可选项 16
GB/36643一2018 表15(续字段名字段描述字段格式字段必要性类型 JsSONArray 可选项 type 描述 description String 可选项简要描述可选项 short_deseription String JsON 对象可选项 obiective Array 参数可选项 parameter_observables String structured_cO? 结构化描述 String 可选项影响 String 可选项 impact 成本 String 可选项 cost 效果可选项 effiecacy String information_source 信息来源 String 可选项 JsOArray relatedC(OAs 相关应对措施可选项 6.8威胁主体 “威胁主体”是指实施网络安全威胁行为的主体,及其可能的意图和历史行为威胁主体组件包括如下内容标识号,共享范围内全局唯一的标识 aa 引用标识号,引用发生在其他地方的“威胁主体” b) 注当使用引用标识号时,本地“威胁主体"只是一个引用,不包含任何具体内容时间截,与标识号共同使用,指定本地条目的版本,或是与引用标识号共同使用,指定外部条目的版本; d版本,使用的标准版本名称,“威胁主体”的简单命名 e f 描述,采用文本形式详细描述本条目简要描述,采用文本形式简要描述本条目 h) 身份,描述“威胁主体”的身份,可以使用预定义的类型,也可以由使用者自定义类型，类型,描述“威胁主体”的类型,可能会同时用多个字段描述,可以使用预定义的类型,也可以由使用者自定义类型; 动机捕述"威胁主体"的动机,可能会同时用多个字段描述,可以使用预定义的类型,也可以由 i 使用者自定义类型; 经验,描述“威胁主体”使用手法的熟练程度,从而判断对方的经验水平可能会同时用多个字 k 段描述,可以使用预定义的类型,也可以由使用者自定义类型 D 预期效果,描述本“威胁主体”的预期效果可以使用预定义的状态类型,也可以由使用者自定义类型; 计划支持,描述“威胁主体”的计划支持可能会同时用多个字段描述,可以使用预定义的类 m 型,也可以由使用者自定义类型相关攻击方法,与本条目对应的“攻击方法”; n 相关攻击活动,与本条目对应的“攻击活动”; o 17
GB/T36643一2018 相关威胁主体,与本条目对应的“威胁主体”; p 9可信度,本条目的可信度级别信息来源,本条目的产生者,描述信息来源细节 r 威胁主体组件各字段描述见表16 表16威胁主体字段描述字段描述字段名字段格式字段必要性标识号必选项 String 引用标识号可选项 idref String String 可选项 timestamp 时间截版本 String 必选项 version title 名称 String 可选项 deseription 描述可选项 String 简要描述可选项 short_description String 身份 dentity 可选项 String 类型可选项 String type 动机可选项 motivation String String 经验可选项 sophistication intendedeffect 预期效果 String 可选项 planning_and_operational_sup 计划支持可选项 String por observedTTPs 相关攻击方法 JsONArray 可选项 associated_campaigns 相关攻击活动 JSONArray 可选项相关威胁主体可选项 associatedactors Js(ONArray 可信度可选项 confidence String 信息来源可选项 nformation_source String 6.9攻击目标 “攻击目标”是指被“攻击方法”所利用的脆弱性攻击目标组件包括如下内容: 标识号,共享范围内全局唯一的标识; a b) 引用标识号,引用发生在其他地方的“攻击目标”; 注:当使用引用标识号时,本地“攻击目标”只是一个引用,不包含任何具体内容时间戳,与标识号共同使用,指定本地条目的版本,或是与引用标识号共同使用,指定外部条目 c 的版本版本,使用的标准版本 d 名称,“攻击目标”的简单命名 e f 描述,采用文本形式详细描述本条目; 简要描述,采用文本形式简要描述本条目; 日 h 漏洞列表,“攻击目标”利用的漏洞列表利用的漏洞列表应满足GB/T28458一2012; 18
GB/36643一2018 弱点类型,“攻击目标”所利用漏洞的弱点类型相关应对措施,与本条目相关,可能起到修复作用的“应对措施” kk 信息来源,本条目的产生者,描述信息来源细节; D 相关攻击目标,与本条目可能相关的其他的“攻击目标” 攻击目标组件各字段描述见表17 表17攻击目标字段描述字段名字段描述字段格式字段必要性标识号必选项 id String 可选项 idref 引用标识号 String 时间截 String 可选项 timestamp 版本 String 必选项 version title 名称 String 可选项描述 description String 可选项简要描述可选项 short_description String vulnerability JsONArray 漏洞列表可选项 weakness 弱点类型 String 可选项 potentiaLcOAs 相关应对措施 JsONArray 可选项 information_source 信息来源 String 可选项 related_exploit_targets 相关攻击目标 JSONArray 可选项 19
GB/T36643一2018 附录 A 资料性附录) 采用JsON表示的完整网络安全威胁信息示例概述 A.1 本附录给出了一个采用本标准所规定的网络安全威胁信息格式描述的“永恒之蓝”勒索蠕虫网络安全威胁信息示例,目的是演示本标准所规范的网络安全威胁信息格式的使用方法本示例采用JSON 作为数据交换格式注意,为确保示例的简洁性和可读性,本示例并没有将“永恒之蓝”勒索蠕虫的所有信息全部描述出来 A.2攻击活动组件示例 "id""ce -e2ela340-4415-4ba8-9671-f7343fbf0836" campaign "idref" imestamp";"2017-05-l4T06:32;45Z" "1.0" verS1On "itle":"“永恒之蓝”勒索蠕虫的攻击活动” “永恒之蓝”生成的蠕虫病毒,通过window、系统的445文件共享蹦口进行传 description';"基于播,往联网的计算机中植人勒索程序计算机系统在感染后,勒索蠕虫在后台进行文件加密,完成加密后将弹出勒索通知的窗口,要求用户支付价值300美元的比特币才能解锁,不能按时支付赎金的系统会被销毁数据同时,受害主机会自动随机扫描网络内开放445端口的、有漏洞的其他主机,并通过sM 协议将该勒索蠕虫再植人到新的目标主机中,扩散传播速度极快 " short_deseription";"基于windows系统445端口传播,加密文件,索要赎金 " aliases intendedefect";"Theft" Ongoing StatuS relatedTTP";["ttp-5e9db36-4ale-4dd4-bb32-255leda974a"]. "ineident-34098fee-860f-48ae-8e50-ebd3cc5e4lda"," related_ineidents" incident-613f2e26-407d48c7-9eca-b8e91d99d",”incident-f88d31f6-486f44da-b317-01333bdeOb82"] ["threatactor-5e57e739-391a-4eb3-b6be-7d15cea92d5ed"] attributed_to _ampuign",[口 associated "high" confidence" activity" "information se""XX公司XX团队" source A.3攻击方法组件示例 20
GB/36643一2018 --5ee9db36-4ale-4dd4-bb32-255leda97f4a" "d""tp- "idref""" "imestamp":"2017-05-14To632:45Z" "version'";"1.0" "itle";"“永恒之蓝”勒索蠕虫的攻击方法" "deseription";"勒索蠕虫通过漏洞远程执行时,会从资源文件夹下释放一个压缩包此压缩包在内存中通过密码(wNery@2ol7)解密并释放文件这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件这些文件会释放到了本地目录,并设置为隐藏然后,继续扫面网络中的其他主机,若发现存在SMB漏洞(MS17-010)的windows系统、则继续传播解压后在本机的文件,对用户主机的文件进行加密,并弹出索要赎金的提示框 " short_deserijption";"攻击存在SMB漏洞(MS17-010)的Windows系统,加密文件,索要赎金" iintendedeffect";"Theft" "behavior";"加密用户常用文件,索要赎金" Ms17-010补丁的wmdows系统" 未安装 reSOurceS "所有连接阿联网的计算机"] V1ct1mtargetlng 'arget-b346b4b3-f4b7-4235-b659-f985f65f0009"]. exploit_targets related "kil_chain_phases":"ActionsonObjective" "information_source";"XX公司Xx团队" "kil_chains A.4安全事件组件示例示例1: "id";"incident--34098fce860f-48ae-8e50-ebd3ccbe4lda" idref timestamp";"2017-05-l4To632;45Z" version""1.0" 'url":"" 'title" "“水恒之蓝"勒索蠕虫的安全事件1连接开关域名" eXternalid validfrom";"2017-05-12T15;00;00Z" ,"2017-05-14Tu6;32;45Z" validto" 勒索蠕虫启动后，立即访问一个特殊域名开关域名):http:/ description www. n,如果能访同到这个域名,则退出运行,不会触发任何恶意行为如果访 iugerfsodp9ifjaposdfhgosurfaewT aewrwergwea.com，问不到,则执行后续的勒索和传播行为 "short_description";"访向开关域名" eategorie";["辅虫","勒索软件"]， 'partieipator":[ "reporter";"DarienHuss" "fectedLaset";"受感染的计算机" "mpacLassessnent";"决定勒索病毒是否产生恶意行为并继续传播" 21
GB/T36643一2018 status";"Open" "elatedL_indieator";["ndieator一-8e2e2d2b-17d4-4ebf938F98eel!6bscd3"]. intended_effee";"Theft" "security_compromise";"Yes" "discovery_method" "elatedLincident";["mneident-6132e26-407d48c7-9eca-b8e9ldf99de9"," ineident--f88d31f6-486f44da-b317-01333bdeOb82"]， "coA_requested",[口 'confidenee";"high" 'contact" "history":[， "nfo_source" ";"Xx公司xx团队" 示例2 "id","incident-613f2e26-407d48c7-9eca-b8e91d99de9" "idref" "2017-05-14To6;32;45Z" 'timestamp" "version";"1.0" 'url title";"“永恒之蓝”勒索蠕虫的安全事件2 -加密并勒索"， 'externalid"" 'valid_from":"2017-05-12T15:00:00Z" "valid_to";"2017-05-14To6:32;45Z", "description";"执行tasksche.exe,解压资源文件,从t.wnry文件中加载动态链接库,进行文件加密,弹出勒索对话框 " shorLdescription";"加密文件,索要赎金" "蠕虫","勒索软件"]， categories" 'partieipator aaffected_assets";"受感染的计算机" ssment ["ndicator-8e2e2d2b-17d4-teb[-938f98ee46b3cd3f"] lI1dlla01 Yes" "incident-34098fce-86of-48ae8e50-ebd3cc5el1da"," ncidents incidentf88d31f6-486f44da-b317-01333bdeOb82"]， ested";["coa--34098fce-860f-48ae-8e50-ebd3cc5e4lda"]， 'COArequested" 'confidenee";"high" contact "history" "info_source";"XX公司XX团队”" 22
GB/36643一2018 示例3 "id":"incident--f88d31f6-486f-44da-b317-01333bdeob82", "idref" 'timestamp";"2017-05-14TO6;32;45Z", "version";"1.0" 'ur" 'title";"“永恒之蓝”勒索蠕虫的安全事件3- 横向传播" externalid”" "alidLfrom";"2017-0512T15.00.00z" validto";"2017-05-14To6;32;45Z” deseription";".,判断是否处于内网环境,如果是内网,扫描10.0.0.0一10.255.255.255，172.16.0.0~172.31.255.255 192.168.0.0~192.168.255.255范围内的主机并进行感染传播;如果是外网,则随机产生IP地址并进行感染传播;2.投递载荷祖山组成 ,包括32位和64位两个版本;3.执行shellcxle并调用d," 由shellcode和 "short_deseription";"扫描网络,投递载荷", "蠕虫","勒索软件"]， categorie T111T '与受感染计算机连接的计算机" affecte( assessment indicators 11tPdeG "Theft" compromise metod related_ineidents";["incident--34098fce-860f-48ae-8e50-ebd3cc5e41da"," incident--613f2e26-407d-48c7-9eca- abSe91d99de9"]. "COA_requested";["coa--34098fce-860f48ae-8e50-ebd3cc5e4lda"] confidence";"high" 'contact" "history" "info_sourcee";"xx公司xx团队" A.5威胁主体示例 "d" ;"threatactor-5e57e739-391a-4eb3-b6be-7dl5ca92d5ed" "idref" timestamp";"2017-05-14To6:32;45Z" version";"l.0" "“永恒之蓝”勒索蠕虫的威胁主体" title "description";"不明黑客组织/个人,利用“永恒之蓝”网络武器,通过windows系统的445文件共享端口,传播勒索程序计算机系统在感染后即被锁定,所有文件被加密,用户被要求支付价值300美元的比特币才能解锁,不能按时支付赎金的系统会被销毁数据 " "short_desceription""不明黑客组织/个人" "dentity""" 23
GB/T36643一2018 "type" FinaneialorEconomic motivation rimeActor-Malware IDeveloper" soDhistication r .and_operational_support" ee9db36-4ale-4dd4-bb32-255leda97f4a"]， tp--5e6 "ampaign-e2ela340-4415-4ba8-9671-f7343fbf0836"]. associated_campaigns aSs0ciatedactors confidence median "informmationsource" ""XX公司XX团队" A.6攻击目标示例示例1: "d";"arget-b346blb3-flb7-4235-b659-985f65fo009" "idref" "imestamp";"2017-05-14To6;32;45Z" 'version";"1.0 "itle""“永恒之蓝”勒索蠕虫的攻击目标" deseription";"xx省xX市Xx加袖站5台加油卡自助服务终计算机." "shortdescription";"XX省XX市XX加油站计算机" C"cVE-2017-0143"，"cVE-2017-0144"，"cVE2017-0145"，"CVE2017-0146"，"cVE-2017- 'vulnerability" 0147"，"CVE-2017-0148"] 'weakness'" potential_COAs":;["coa--34098fce-860f48ae-8e50-ebd3cc5e4lda"] "information_source";"XX公司XX团队" "relatedexploitLtarget";["target-e916e28-c7at-4dodad56-a8d35789fe", target--5d0092c5-574-4287-9642-33f4c354e56d" 示例2 "id","arget-e916c28-c7al-4dod.ad56-aSd35789fef" "idref" 'timestamp":"2017-05-14To6:32:45Z" 'version" title";,"“水恒之蓝”勒索蠕虫的攻击目标" 'deseription";"XX省XX市出人境业务办理大厅,10台处理业务的计算机 " short_descripion";"xx省xxX市出人境业务办理大厅计算机" 'vulnerability":["CVE-2017-0143"，"CVE2017-0144"，"CVE-2017-0145"，"CVE2017-0146"，"CVE-2017 0147"，"cVE-2017-0148"]， weakness" "potentiaLcOAs";["coa-34098fce-860f-48ae-8e50-ebd3cc5e4lda"] "information_source";"xx公司xx团队" 24
GB/36643一2018 "relatedexploit_target";["target-b346b4b3-f47-4235-b659-f985f65f0009"] 示例3 "id";"target--5d0092c5-5f74-4287-9642-33f4c354e56d", "idref" 'timestamp";"2017-05-14To6:32;45Z" version""l.0" "“水恒之蓝”勒索蠕虫的攻击目标" desceription";"XX省XX大学XX实验室,l5台计算机 " "shortdescription" ,"xx省xx大学Xx实验室计算机" "vulnerability":["CVE-2017-0143"，"CVE-2017-0144"，"CVE-2017-0145"，"CVE-2017-0146"，"CVE2017- 0147"，"CVE-2017-0148"]. 'weakness" "potential_COA、":["coa--34098fce-860f-48ae-8e50-ebd3cc5e4lda"]， "nformation_souree";"XX公司XX团队" related_exploit-targets":["target-ee916e28-c7a4-4d0dad56-a8d357f89fef",”target--b346b4b3-f4b7-4235-b659 985f65f0009"] A.7 攻击指标示例 "id";"indicator--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f" "idref" immestamp";"2017-05-l4To632;45Z" VerSIon “永恒之蓝”勒索蠕虫的攻击指标" ransomwareworm" annaCry “永恒之蓝”勒索蠕虫的攻击指标,涉及到进程,文件、注册表等多类" d11iDT1O1n short_description '201" 17-05-12T5;00:00Z" valid Irom 2017-05-14To632:45Z" alid TO observation-089a6eebcel5-43cc-9494-767639779123" OOyeO ["tp-5ee9db36-4ale-4dd4-bb32-255leda97f4a"] iindicated SL Ilal mDact _coa";["coa-34098fce-860f-48ae-8e50-ebd3ceSe41da"] suggested 'high" confidence" 'related _indieators": source";"XX公司XX团队" "intormation_ 25
GB/36643一2018 应对措施示例 "id";"coa--34098fce-860f-48ae-8e50-ebd3cc5e41da" "idref" timestamp":"2017-05-14T06:32:;45Z" "1.0" verSon "“永恒之蓝”勒索蠕虫的应对措施" 'Respons6 PhysicalAccessRestrietion","Eradication","Patching"] deseriplion""1.拔掉网线再开机,防止继续感染其他计算机;2.用升级后的杀毒软件查杀该蠕虫病毒;3.在确定病毒清除后,迅速更新系统补丁MSCc17-010(对windowsXP/2003等官方已停止服务的系统,微软已推出针对该病毒利用漏洞的特别安全补丁);4.若数据价值较高,在确认攻击者信誉度后,可考虑支付赎金取回 "short_deseription";"断网,查杀蠕虫,打补丁,必要时考虑缴纳赎金" ["所有被怀疑的计算机"] objective "" parameter_observables" tructured_COA" efficacy "nformation_souree";"XX公司Xx团队" "related_cOA";[口 27
GB/T36643一2018 参考文献 [1]GB/T29246一2017信息技术安全技术信息安全管理体系概述和词汇 [2]Iso/IEc27032:2012信息技术安全技术网络安全指南(normationtechmology Se -Guidelinesfor eyb bersecurity curitytechniques [3 Format lntercehange" ETFRFC8259.TheJavaSseriptObjeetNotation(JsON)Data 28

信息安全技术网络安全威胁信息格式规范GB/T36643-2018解读

什么是网络安全威胁信息格式规范？

网络安全威胁信息格式规范是指用于描述网络安全威胁信息的格式规范。它包含了网络安全威胁信息的分类、元数据、数据格式等内容，旨在促进网络安全威胁信息的收集、分析和交换。

为什么需要网络安全威胁信息格式规范？

网络安全威胁日益增多，对网络安全的保护提出了更高的要求。而网络安全威胁信息是网络安全保护的重要组成部分，它的快速、准确、可靠的收集和交换对于及时发现、预警和处置网络安全威胁具有重要意义。因此，规范网络安全威胁信息的格式可以提高信息的准确性和可用性，促进网络安全威胁信息的共享。

GB/T36643-2018的主要内容

《信息安全技术网络安全威胁信息格式规范GB/T36643-2018》对网络安全威胁信息的格式进行了规范，主要包括以下内容：

网络安全威胁信息的分类与元数据
网络安全威胁信息的数据格式
网络安全威胁信息的发布格式
网络安全威胁信息的交换格式
网络安全威胁信息的存储格式

如何使用网络安全威胁信息格式规范？

在使用网络安全威胁信息格式规范时，应按照规范中描述的格式要求进行收集、分析和交换。具体步骤如下：

根据分类和元数据规范收集网络安全威胁信息
根据数据格式规范对网络安全威胁信息进行处理和分析
根据发布和交换格式规范将网络安全威胁信息发送给其他用户或组织
根据存储格式规范保存网络安全威胁信息

总结

网络安全威胁信息格式规范是规范网络安全威胁信息收集、分析和交换的重要标准，GB/T36643-2018 对网络安全威胁信息的分类、元数据、数据格式等内容进行了规范，有助于提高网络安全威胁信息的准确性和可用性，促进网络安全威胁信息的共享。