6.2.3.2电子邮件基本记录

GB/T 366432018

表3电子邮件基本记录

文件下载基本记录主要记录与文件下载相关的观测值，包括如下内容： a）文件下载历史名称，文件下载历史的文件名称，表明下载文件的文件名称和类型； b）文件下载浏览器名称，文件下载所用浏览器的名称，表明文件下载的方式； c）文件下载学节数，文件下载的学节数，表明下载文件的大小； d）文件下载名称，文件下载的文件名称； e）文件下载开始时间，记录的文件下载的开始时间，通常精确到秒。 文件下载基本记录字段描述见表4。

过滤器标准6.2.3.4文件信息基本记录

文件信息基本记录主要记录与文件信息相关的观测值，包括如下内容： a）文件名称，文件的名称，表明文件的名称和文件类型； b）文件路径，文件的路径，表明文件所在的文件夹名称； ）文件完整路径，文件的完整路径，表明文件存储的绝对路径：

GB/T366432018

d）文件MD5值，文件的MD5值。如果对文件有任何改动，其MD5值也会发生变化； e）文件证书发布者，颁发本标准证书的组织； 文件导出函数，文件导出的函数，提供给第三方使用的文件导出函数； g）文件导人函数，文件导人的函数，用来实现第三方文件的数据导人； h）文件导入名称，文件导人的名称，表明所导人的第三方文件名称； ） 文件编译时间，文件编译的时间，通常精确到秒： PE文件资源信息名称，PE文件资源信息的名称。资源包含多种形式的数据，如字符串、图 等等； k）PE文件资源信息大小，PE文件资源信息的总字节； 1）文件段名称，文件段的名称，是由ANSI字符组成的字符串； m）文件PE类型，文件所属的PE类型，例如EXE、DLL、OCX、SYS、COM等； n) PE版本公司名称，PE文件版本信息中所标明的公司名称； o）PE版本标准描述，PE文件版本信息中给出的描述信息； P）PE版本标准版本，PE文件版本信息中所标明的文件版本号； q）PE版本合法版权，PE文件版本信息中所标明的合法版权声明； r）PE版本原始文件名，PE文件版本信息中所标明的原始文件名； s）PE版本产品名称，PE文件版本信息中所标明的产品名称信息； PE版本产品版本，PE文件版本信息中所标明的产品版本号信息； u）文件SHA1，文件的SHA1值。SHA1值的作用与MD5值一样，为一种文件指纹； v）文件SHA256，文件的SHA256值。SHA256值的作用与MD5值一样，为一种文件指纹； W）文件大小，文件的字节数，表明文件所占用存储空间的大小； x）文件数学签名描述，文件的数字签名描述，用于验证文件的来源和完整性。 文件信息基本记录字段描述见表5。

表5文件信息基本记录

6.2.3.5进程信息基本记录

进程信息基本记录主要记录与进程相关的观测值，包括如下内容： a) 进程本地IP，进程所使用的本地主机IP地址； b）进程本地端口，进程所使用的本地主机端口号； c) 进程传输协议，进程所使用的传输层协议，包括TCP协议和UDP协议； d) 进程远程IP，进程所连接的远程主机IP地址； e) 进程远程端口，进程所连接的远程主机端口号： D 进程名称，进程所显示的完整名称； g 进程用户名，进程在运行主机上所属的用户名； h) 进程参数，进程运行所指定的参数； 1) 进程路径，进程的路径，表示进程相关的可执行文件在磁盘中的存储位置； D 进程标识符，进程的标识符，用于唯一标识一个进程的数值； k）父进程路径，父进程的路径，表示父进程相关的可执行文件在磁盘中的存储位 D) 父进程MD5，父进程的MD5值，用于唯一标明父进程信息； m）进程开始时间，进程开始运行的时间，通常精确到秒； n）进程结束时间，进程结束运行的时间，通常精确到秒。 进程信息基本记录见表6

表6进程信息基本记录

注册表信息基本记录主要记录与注册表相关的观测值，包括如下内容： 注册表键路径，注册表键在注册表结构中的访问路径； 注册表存储路径，注册表文件的存储路径； 注册表项类型，注册表项的类型，包括二进制、DWORD值、字符串值三种类型； d）注册表键名称，注册表键的名称； e）注册表键值，注册表键的赋值。 注册表信息基本记录见表8。

表8注册表信息基本记录

GB/T36643—2018

6.2.3.8用户信息基本记录

用户信息基本记录主要记录与用户相关的信息，包括如下内容： a）用户名称，登录系统的注册用户名称； b）用户组名称，用户所在的用户组的名称。 用户信息基本记录各字段信息见表9。

表9用户信息基本记录

6.2.3.9系统信息基本记录

系统信息基本记录主要记录与操作系统相关的信息，包括如下内容： 操作系统信息，操作系统的信息，如操作系统名称及版本等信息 b）主机名，运行操作系统的主机名称； c）IP地址，运行操作系统的主机IP地址； d）产品名称，操作系统所在主机的产品名称； e）系统用户，操作系统所在主机的系统用户。 系统信息基本记录见表10

表10系统信息基本记录

“攻击指标”是指在特定的网络环境中，用来识别出一个特定“攻击方法”的“可观测数据”组合。 射到“攻击方法”的一个或多个“可观测数据”组成，并附加相关的元数据。攻击指标组件包括如 ：

a）标识号，共享范围内全局唯一的标识； b）引用标识号，引用在其他地方的“攻击指标”； 注：当使用引用标识号时，本地“攻击指标”只是一个引用，不包含任何具体内容。 时间截，与标识号共同使用，指定本地条目的版本，或是与引用标识号共同使用，指定外部条目 的版本； d) 版本，使用的标准版本； e）名称，“攻击指标的简单命名； b 类型，“攻击指标”的类型。攻击指标类型既可以使用现有类型列表中的值，也可以使用类型扩 展机制自行定义； 别名，“攻击指标”的可选标识（别名）； h） 描述，采用文本形式详细描述本条目； i 简要描述，采用文本形式简要描述本条目； D 时间，“攻击指标”发生的有效时间范围； k）可观测数据，与本条目对应的“可观测数据”； 1) 攻击方法，与本条目相关的“攻击方法”； m）攻击阶段，本条目在攻击链中对应的攻击阶段； n) 检测机制，检测机制是一种方法，用手有效识别满足“攻击指标”的特定“可观测数据” 潜在影响，在“攻击指标”发生的场景下，对系统可能产生的潜在影响。这通常是用于本地使用 而非共享的一个字段； p) 应对措施，推荐对本次攻击进行修复的“应对措施”； q）可信度，本条目的可信度级别； r）相关攻击指标，与本条目相关的其他“攻击指标”； ) 信息来源，本条目的产生者，描述信息来源细节。 攻击指标组件的各字段描述见表11

a）标识号，共享范围内全局唯一的标识； b）引用标识号，引用在其他地方的“攻击指标”； 注：当使用引用标识号时，本地“攻击指标”只是一个引用，不包含任何具体内容。 时间截，与标识号共同使用，指定本地条目的版本，或是与引用标识号共同使用，指定外部条目 的版本； d) 版本，使用的标准版本； e）名称，“攻击指标”的简单命名； 类型，“攻击指标”的类型。攻击指标类型既可以使用现有类型列表中的值，也可以使用类型扩 展机制自行定义； g） 别名，“攻击指标”的可选标识（别名）； h）描述，采用文本形式详细描述本条目； 简要描述，采用文本形式简要描述本条目； 时间，“攻击指标”发生的有效时间范围； k）可观测数据，与本条目对应的“可观测数据”； 1）攻击方法，与本条目相关的“攻击方法”； m）攻击阶段，本条目在攻击链中对应的攻击阶段； 检测机制，检测机制是一种方法，用手有效识别满足“攻击指标”的特定“可观测数据” 潜在影响，在“攻击指标”发生的场景下，对系统可能产生的潜在影响。这通常是用于本地使用 而非共享的一个字段； p） 应对措施，推荐对本次攻击进行修复的“应对措施”； q）可信度，本条目的可信度级别； r）相关攻击指标，与本条目相关的其他攻击指标”； s）信息来源，本条目的产生者，描述信息来源细节。 攻击指标组件的各字段描述见表11

表11攻击指标字段描述

V）联系人，本次“安全事件”相关的组织或个人联系人； W）历史，对本次“安全事件”处置或行动的相关历史日志； x）信息来源，本条目的产生者，描述信息来源细节。 安全事件组件的字段描述见表12。

GB/T 366432018

表12安全事件字段描述

“攻击活动”是指“威胁主体”实现一个具体意图的系列动作。攻击活动组件包括如下内容： a）标识号，共享范围内全局唯一的标识； b）引用标识号，引用发生在其他地方的“攻击活动”； 注：当使用引用标识号时，本地“攻击活动”只是一个引用，不包含任何具体内容

GB/T366432018

c）时间截，与标识号共同使用，指定本地条目的版本，或是与引用标识号共同使用，指定外部条目 的版本； d) 版本，使用的标准版本； e) 名称，“攻击活动”的简单命名； f) 描述，采用文本形式详细描述本条目； g) 简要描述，采用文本形式简要描述本条目； h）命名，对“攻击活动”的命名，可能是内部命名也可能是外部命名； 预期效果，描述本“攻击活动”的预期效果。可以使用预定义的状态类型，也可以由使用者自定 义类型； j) 状态，描述本次“攻击活动”的当前状态，例如正在进行，历史，或未来。可以便用预定义的状态 类型，也可以由使用者自定义类型； k) 相关安全事件，与本条目对应的“安全事件” 相关威胁主体，与本条目相关的“威胁主体”； m）相关攻击方法，与本条目相关的“攻击方法” n）相关攻击活动，与本条目相关的其他“攻击活动”； o）可信度，本条目的可信度级别； p）相关活动，描述与这次“攻击活动”相关的一系列活动，是一个抽象类型，可以有各种扩展； q）信息来源，本条目的产生者，描述信息来源细节。 攻击活动组件各字段描述见表13

表13攻击活动字段格式描述

GB/T366432018

GB/T36643—2018

“攻击方法”是指对“威胁主体”的行为或攻击手法的描述。攻击方法组件包括如下内容： a）标识号，共享范围内全局唯一的标识； b）引用标识号，引用发生在其他地方的“攻击方法”； 注：当使用引用标识号时，本地“攻击方法”只是一个引用，不包含任何具体内容。 ) 时间截，与标识号共同使用，指定本地条目的版本，或是与引用标识号共同使用，指定外部条目 的版本； d）片 版本，使用的标准版本； e）名称，“攻击方法”的简单命名； D 描述，采用文本形式详细描述本条目； g） 简要描述，采用文本形式简要描述本条目； h 预期效果，描述本“攻击方法”的预期效果。可以使用预定义的状态类型，也可以由使用者自定 义类型； i) 攻击行为，描述攻击者用来实现本次“攻击方法”的行为，例如使用恶意软件或入侵程序等； 2 攻击资源，用来描述攻击者实现本次“攻击方法”的所依赖的资源，包括恶意工具等； k）攻击目标，描述作为攻击目标的人、组织或漏洞等信息； 1) 相关攻击目标，与本条目对应的“攻击目标”； m）相关攻击方法，与本条目对应的“攻击方法”； n）攻击阶段，本条目在攻击链中对应的攻击阶段； 0）1 信息来源，本条目的产生者，描述信息来源细节； p）攻击链，攻击链提供的对这一“攻击方法”的具体参考信息。 攻击方法组件各字段描述见表14

表14攻击方法字段描述

“应对措施”是指对威胁的具体应对方法。应对措施组件包括如下内容： a）标识号，共享范围内全局唯一的标识； b）引用标识号，引用发生在其他地方的“应对措施”； 注：当使用引用标识号时，本地“应对措施”只是一个引用，不包含任何具体内容。 c）时间截，与标识号共同使用，指定本地条目的版本，或是与引用标识号共同使用，指定外部条目 的版本； d）片 版本，使用的标准版本； e) 名称，“应对措施”的简单命名； 阶段，本应对措施所属的阶段，例如：采取补救措施或者正在响应威胁； g) 类型，描述“应对措施”的类型； 描述，采用文本形式详细描述本条目； i) 简要描述，采用文本形式简要描述本条目； 对象，描述该“应对措施”实施的对象； k) 参数，“应对措施”的技术参数。用于和类型字段关联，并定义自动化的“应对措施” 结构化描述，采用结构化形式对“应对措施”进行规范化描述，用于应对措施实施的自动化； m）影响，描述实施本“应对措施”可能会造成的影响。可以使用预定义的状态类型，也可以由使用 者自定义类型； n）成本，描述实施本“应对措施”可能会需要的成本。可以使用预定义的状态类型，也可以由使用 者自定义类型； 0）效果，描述实施本“应对措施”可能会产生的效果。可以使用预定义的状态类型，也可以由使用 者自定义类型； p）信息来源，本条目的产生者，描述信息来源细节； q）相关应对措施，可能与本条目相关的其他“应对措施”。 应对措施组件各属性字段描述见表15

表15应对措施字段描述

“威胁主体”是指实施网络安全威胁行为的主体，及其可能的意图和历史行为。威胁主体组件包括 内容： a）标识号，共享范围内全局唯一的标识； b）引用标识号，引用发生在其他地方的“威胁主体”； 注：当使用引用标识号时，本地“威胁主体”只是一个引用，不包含任何具体内容。 c）时间截，与标识号共同使用，指定本地条目的版本，或是与引用标识号共同使用，指定外部条目 的版本； d) 版本，使用的标准版本； e）名称，“威胁主体”的简单命名； f) 描述，采用文本形式详细描述本条目； g) 简要描述，采用文本形式简要描述本条目； h) 身份，描述“威胁主体”的身份，可以使用预定义的类型，也可以由使用者自定义类型； 类型，描述“威胁主体”的类型，可能会同时用多个字段描述，可以使用预定义的类型，也可以由 使用者自定义类型； 动机，描述“威胁主体”的动机，可能会同时用多个字段描述，可以使用预定义的类型，也可以由 使用者自定义类型； k) 经验，描述“威胁主体”使用手法的熟练程度，从而判断对方的经验水平。可能会同时用多个字 段描述，可以使用预定义的类型，也可以由使用者自定义类型； 预期效果，描述本“威胁主体”的预期效果。可以使用预定义的状态类型，也可以由使用者自定 义类型； m）计划支持，描述“威胁主体”的计划支持。可能会同时用多个字段描述，可以使用预定义的类 型，也可以由使用者自定义类型； n）相关攻击方法，与本条目对应的“攻击方法”； 0相关攻击活动，与本条目对应的“攻击活动”

p）相关威胁主体，与本条目对应的“威胁主体”； q）可信度，本条目的可信度级别； r）信息来源，本条目的产生者，描述信息来源细节。 威胁主体组件各字段描述见表16

p）相关威胁主体，与本条目对应的“威胁主体”； q）可信度，本条目的可信度级别； r）信息来源，本条目的产生者，描述信息来源细节。 威胁主体组件各字段描述见表16

表16威胁主体字段描迷

“攻击目标”是指被“攻击方法”所利用的脆弱性。攻击目标组件包括如下内容： a 标识号，共享范围内全局唯一的标识； b）引用标识号，引用发生在其他地方的“攻击目标”； 注：当使用引用标识号时，本地“攻击目标”只是一个引用，不包含任何具体内容。 时间截，与标识号共同使用，指定本地条目的版本，或是与引用标识号共同使用，指定外部条目 的版本； d) 版本，使用的标准版本； e) 名称，“攻击目标”的简单命名； f) 描述，采用文本形式详细描述本条目； 简要描述，采用文本形式简要描述本条目； h) 漏洞列表，“攻击目标”利用的漏洞列表。利用的漏洞列表应满足GB/T28458一2012

1) 弱点类型，“攻击目标”所利用漏洞的弱点类型 ） 相关应对措施，与本条目相关，可能起到修复作用的“应对措施”； k） 信息来源，本条目的产生者，描述信息来源细节； 相关攻击目标，与本条目可能相关的其他的“攻击目标”。 攻击目标组件各字段描述见表17

GB/T366432018

GB/T 366432018

表17攻击且标字段描迷

附录A （资料性附录） 采用JSON表示的完整网络安全威胁信息示例

本附录给出了一个采用本标准所规定的网络安全威胁信息格式描述的“永恒之蓝”勒索端虫网络安 全威胁信息示例，目的是演示本标准所规范的网络安全威胁信息格式的使用方法。本示例采用JSON 作为数据交换格式。注意，为确保示例的简洁性和可读性，本示例并没有将“永恒之蓝”勒索蠕虫的所有 信息全部描述出来。

电动汽车标准规范范本A.2攻击活动组件示例

A.3攻击方法组件示例

GB/T 366432018

钢筋工程A.4安全事件组件示例

GB/T 366432018

GB/T 366432018