术语解读：GB/T 36643-2018 网络安全威胁信息格式规范

GB/T 36643-2018 信息安全技术 网络安全威胁信息格式规范

Information security technology – Cyber security threat information format

主要内容

1. 基本框架：
   • 组件划分：该标准从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施等八个组件进行描述。这八个组件涵盖了网络安全威胁的各个方面，从威胁的表现形式、攻击的特征到涉及的主体和目标，以及应对的方法等，全面且系统地对威胁信息进行了梳理和定义。
   • 域的划分：将这些组件划分为对象、方法和事件三个域。这种划分方式有助于更清晰地理解和组织网络安全威胁信息，使不同类型的信息能够按照其本质属性进行归类和管理。
2. 具体格式规范：标准对八个威胁信息组件的具体格式提出了详细的要求。
   • 对于可观测数据，规定了其数据类型、来源、时间戳等方面的格式要求，确保可观测数据的准确性和可追溯性。
   • 攻击指标方面，明确了各种攻击指标的定义、取值范围和表示方法，以便准确地描述攻击的特征和强度。
   • 在安全事件的格式规范中，包括事件的发生时间、地点、类型、影响范围等信息的记录方式，为安全事件的分析和处理提供了统一的格式标准。
   • 攻击活动的格式要求涉及活动的发起者、目标、时间跨度、攻击步骤等方面的描述规范，有助于全面了解攻击活动的全貌和发展过程。
   • 对于威胁主体，规定了其身份信息、组织关系、攻击动机等方面的记录格式，便于对威胁主体进行识别和分析。
   • 攻击目标的格式规范明确了目标的类型、属性、价值等信息的记录方式，以便更好地评估攻击的影响和危害。
   • 攻击方法的格式要求包括攻击的技术手段、工具、策略等方面的描述规范，为防范和应对攻击提供了技术参考。
   • 应对措施的格式规范则规定了针对不同类型的威胁所采取的应对策略、措施和效果评估等方面的记录方式，为网络安全防护提供了指导。
3. 信息表达模型：通过对八个组件的描述和域的划分，最终构建出一个完整的网络安全威胁信息表达模型。这个模型为网络安全威胁信息的收集、整理、分析和共享提供了统一的框架和标准，使得不同组织和系统之间的威胁信息能够相互理解和交流，提高了网络安全威胁信息的利用效率和防护效果。
4. 实际应用示例：标准的附录中给出了完整的网络安全威胁信息示例，为使用者提供了具体的参考和借鉴，帮助他们更好地理解和应用标准中的格式规范。

术语和定义

1 网络安全/网络空间安全cyber security

在网络空间中对信息保密性、完整性和可用性的保持。

2 威胁 threat

可能对系统或组织造成危害的不期望事件的潜在原由。

3 威胁信息 threat information

一种基于证据的知识，用于描述现有或可能出现的威胁，从而实现对威胁的响应和预防。

注：威胁信息包括上下文、攻击机制、攻击指标、可能影响等信息。

4 脆弱性 vulnerability

可能被一个或多个威胁利用的资产或控制的弱点。

5 攻击链 cyber kill chain

一个用来描述包含多个攻击步骤的多步攻击模型。

注：常见的多步攻击模型包括信息收集、工具研发、工具投放、脆弱性利用、后门安装、命令与控制、攻击目标达成等七个步骤。

下列缩略语适用于本文件。

DNS：域名解析系统（Domain Name System）

IP：互联网协议（Internet Protocol）

JSON：Javascript 对象标记语言（JavaScript Object Notation）

MD5：消息摘要算法第五版（Message Digest Algorithm 5）

PE：可移植的可执行文件（Portable Executable）

URL：统一资源定位符（Uniform Resource Locator）

TTP：战术、技术和程序（Tactics, Techniques, and Procedures）