注册
登录一、网络安全威胁信息数据类型
| 序号 | 编码 | 名称 | 类型 | 说明 | 等级 |
|---|---|---|---|---|---|
| 01 | CCTGA-BL-PMALWARE | 计算机恶意程序 | File | Windows、Linux、MAC等PC计算机上运行的恶意程序。 | 一级 |
| 02 | CCTGA-BL-MMALWARE | 移动恶意程序 | File | Android、IOS、WindowsPhone、Symbian等移动智能终端上运行的恶意程序。 | 一级 |
| 03 | CCTGA-BL-IMALWARE | 物联网恶意程序 | File | 物联网恶意程序 | 一级 |
| 04 | CCTGA-BL-PMURL | 计算机放马地址 | URL | 即放马地址,计算机恶意程序文件下载的URL地址 | 二级 |
| 05 | CCTGA-BL-MMURL | 移动恶意程序传播地址 | URL | 移动恶意程序的文件下载URL地址 | 二级 |
| 06 | CCTGA-BL-IMURL | 物联网恶意程序传播地址 | URL | 物联网恶意程序的文件下载URL地址 | 二级 |
| 07 | CCTGA-BL-PMCCURL | 计算机恶意控制端地址 | URL | 计算机恶意程序所用控制端服务器的URL地址 | 三级 |
| 08 | CCTGA-BL-MMCCURL | 移动恶意控制端地址 | URL | 移动恶意程序所用控制服务器的URL地址 | 三级 |
| 09 | CCTGA-BL-IMCCURL | 物联网恶意控制端地址 | URL | 物联网恶意程序所用控制服务器的URL地址 | 三级 |
| 10 | CCTGA-BL-PHISHINGURL | 钓鱼网站地址 | URL | 钓鱼网站的URL地址 | 二级 |
| 11 | CCTGA-BL-PMIP | 计算机放马服务器IP地址 | IP | 计算机恶意程序传播服务器的IP地址 | 二级 |
| 12 | CCTGA-BL-MMIP | 移动恶意程序传播服务器IP地址 | IP | 移动恶意程序所用控制服务器的IP地址 | 二级 |
| 13 | CCTGA-BL-IMIP | 物联网恶意程序传播服务器IP地址 | IP | 物联网恶意程序所用控制服务器的IP地址 | 二级 |
| 14 | CCTGA-BL-PHISHINGIP | 钓鱼网站服务器IP地址 | IP | 钓鱼网站服务器的IP地址 | 二级 |
| 15 | CCTGA-BL-PMCCIP | 计算机恶意控制服务器IP地址 | IP | 计算机恶意程序所用控制端服务器的IP地址 | 三级 |
| 16 | CCTGA-BL-MMCCIP | 移动恶意控制服务器IP地址 | IP | 移动恶意程序所用控制服务器的IP地址 | 三级 |
| 17 | CCTGA-BL-IMCCIP | 物联网恶意控制服务器IP地址 | IP | 物联网恶意程序所用控制服务器的IP地址 | 三级 |
| 18 | CCTGA-BL-EMAIL | 恶意邮箱账户 | 恶意程序所用的邮箱账户 | 三级 | |
| 19 | CCTGA-BL-PHONENUM | 恶意手机号 | PhoneNum | 恶意程序所用的手机号 | 三级 |
| 20 | CCTGA-BL-BOTNET | 僵尸网络数据 | Botnet | 僵尸网络感染主机数据 | 四级 |
| 21 | CCTGA-BL-SOCIALACC | 社交账号数据 | SocialAcc | 社交账号数据 | 三级 |
| 22 | CCTGA-BL-DDoSIP | DDoS攻击主机服务器地址 | DDoSIP | DDoS攻击主机服务器地址 | 四级 |
| 23 | CCTGA-BL-DRDoSIP | 反射型DDoS攻击服务器地址 | DRDoSIP | 反射型DDoS攻击服务器地址 | 三级 |
| 24 | CCTGA-BL-SPNUM | SP服务号码 | SPNum | 移动互联网服务内容应用服务的直接提供者 | 三级 |
数据等级说明
| 等级 | 说明 |
|---|---|
| 一级 | 无网络信息的网络安全威胁信息数据 |
| 二级 | 通过网络传播恶意程序、钓鱼网站的网络安全威胁信息数据 |
| 三级 | 通过恶意程序分析产生网络安全威胁信息数据 |
| 四级 | 通过恶意程序监测得出的僵尸网络数据 |
二、网络安全威胁信息数据披露与交换机制
网络安全威胁信息数据的披露机制分为三级:公开披露、半公开披露和内部披露。
(1)公开披露:网络安全威胁信息数据将以明文形式公开披露。
(2)半公开披露:网络安全威胁信息数据中的关键字段不以明文形式披露,而是以MD5等摘要形式公布。
(3)内部披露:网络安全威胁信息数据将以明文形式定向披露给成员单位。
(2)半公开披露:网络安全威胁信息数据中的关键字段不以明文形式披露,而是以MD5等摘要形式公布。
(3)内部披露:网络安全威胁信息数据将以明文形式定向披露给成员单位。
其中对于内部披露的网络安全威胁信息数据,将通过加密方式(如PGP加密)进行披露。
CCTGA成员单位无法通过公开披露方式获取的数据,需要通过网络安全威胁信息数据交换的方式获取,并且获取的数据量与成员单位的贡献值成正比,这是网络安全威胁信息数据交换机制的基本原则。
网络安全威胁信息数据交换机制如下:
(1)用户上传钓鱼类型数据(包括钓鱼网站地址和钓鱼网站服务器IP地址)获取的积分可以用来兑换所有类型数据。
(2)用户上传非钓鱼类型数据获取的积分可以用来兑换非钓鱼类型数据。
(3)用户若想兑换钓鱼类型数据(包括钓鱼网站地址和钓鱼网站服务器IP地址),只能通过上传相同仿冒对象的钓鱼类型数据获取的积分来兑换该数据。
(2)用户上传非钓鱼类型数据获取的积分可以用来兑换非钓鱼类型数据。
(3)用户若想兑换钓鱼类型数据(包括钓鱼网站地址和钓鱼网站服务器IP地址),只能通过上传相同仿冒对象的钓鱼类型数据获取的积分来兑换该数据。
三、网络安全威胁数据交换过程的评分机制
CCTGA将把非明文形式公开的数据,都以半公开披露的形式进行公布,即不公布关键信息的明文数据,但是公布关键信息的MD5等摘要数据。CCTGA成员单位可以通过半公开披露的数据中,寻找并下载想要的数据。
成员单位按照CCTGA的数据格式要求,上传网络安全威胁信息数据后,可获得相应的积分,并根据积分换取平台上半公开披露数据对应的明文数据。在这个过程中,CCTGA会要求成员单位注明其数据是否能用于二次共享,即是否能够共享给除CNCERT外的其他成员单位。
CCTGA通过3个方面来评定上传网络安全威胁信息的新数据积分,即数据属性、新颖性、持续性、完整性和共享范围,其中:
(1)数据属性:根据第一章中数据等级进行划分,数据的得分与数据的等级成正比。
| 数据序号 | 数据类型编码 | 数据名称 | 具体评分内容 |
|---|---|---|---|
| 1 | CCTGA-BL-PMALWARE | 计算机恶意程序 | 报送新家族的恶意程序文件:5分/个 |
| 报送已有家族未知变种的恶意程序文件:2分/个 | |||
| 报送已有家族已有变种的恶意程序文件:1分/个 | |||
| 报送恶意程序具备完整分析报告:10分/份 | |||
| 2 | CCTGA-BL-MMALWARE | 移动恶意程序 | 报送新家族的恶意程序文件:10分/个 |
| 报送已有家族未知变种的恶意程序文件:4分/个 | |||
| 报送已有家族已有变种的恶意程序文件:2分/个 | |||
| 报送恶意程序具备完整分析报告:20分/份 | |||
| 具有信息窃取、远程控制、恶意扣费、诱骗欺诈属性的恶意程序,得分*1.5 | |||
| 3 | CCTGA-BL-IMALWARE | 物联网恶意程序 | 报送新家族的恶意程序文件:5分/个 |
| 报送已有家族未知变种的恶意程序文件:2分/个 | |||
| 报送已有家族已有变种的恶意程序文件:1分/个 | |||
| 报送恶意程序具备完整分析报告:10分/份 | |||
| 4 | CCTGA-BL-PMURL | 计算机放马地址 | 报送在已有域名下的URL:2分/条 |
| 报送新域名下的URL:4分/条 | |||
| 5 | CCTGA-BL-MMURL | 移动恶意程序传播地址 | 报送在已有域名下的URL:4分/条 |
| 报送新域名下的URL:8分/条 | |||
| 6 | CCTGA-BL-IMURL | 物联网恶意程序传播地址 | 报送在已有域名下的URL:4分/条 |
| 报送新域名下的URL:8分/条 | |||
| 7 | CCTGA-BL-PMCCURL | 计算机恶意控制端地址 | 报送在已有域名下的URL:10分/条 |
| 报送新域名下的URL:20分/条 | |||
| 8 | CCTGA-BL-MMCCURL | 移动恶意控制端地址 | 报送在已有域名下的URL:20分/条 |
| 报送新域名下的URL:40分/条 | |||
| 9 | CCTGA-BL-IMCCURL | 物联网恶意控制端地址 | 报送在已有域名下的URL:20分/条 |
| 报送新域名下的URL:40分/条 | |||
| 10 | CCTGA-BL-PHISHINGURL | 钓鱼网站地址 | 报送仿冒证券银行类钓鱼网站URL:10分/条 |
| 报送仿冒除证券银行类的金融钓鱼网站URL:8分/条 | |||
| 报送仿冒政府部门钓鱼网站URL:10分/条 | |||
| 报送其他类型钓鱼网站URL:4分/条 | |||
| 11 | CCTGA-BL-PMIP | 计算机放马服务器IP地址 | 报送在公共服务器类型的IP地址:2分/个 |
| 报送在非公共服务器类型的IP地址:4分/个 | |||
| 12 | CCTGA-BL-MMIP | 移动恶意程序传播服务器IP地址 | 报送在公共服务器类型的IP地址:8分/个 |
| 报送在非公共服务器类型的IP地址:16分/个 | |||
| 13 | CCTGA-BL-IMIP | 物联网恶意程序传播服务器IP地址 | 报送在公共服务器类型的IP地址:8分/个 |
| 报送在非公共服务器类型的IP地址:16分/个 | |||
| 14 | CCTGA-BL-PHISHINGIP | 钓鱼网站服务器IP地址 | 报送仿冒证券银行类钓鱼网站IP:20分/个 |
| 报送仿冒除证券银行类的金融钓鱼网站IP:16分/个 | |||
| 报送仿冒政府部门钓鱼网站IP:20分/个 | |||
| 报送其他类型钓鱼网站IP:8分/个 | |||
| 15 | CCTGA-BL-PMCCIP | 计算机恶意控制服务器IP地址 | 报送在公共服务器类型的IP地址:20分/个 |
| 报送在非公共服务器类型的IP地址:40分/个 | |||
| 16 | CCTGA-BL-MMCCIP | 移动恶意控制服务器IP地址 | 报送在公共服务器类型的IP地址:40分/个 |
| 报送在非公共服务器类型的IP地址:80分/个 | |||
| 17 | CCTGA-BL-IMCCIP | 物联网恶意控制服务器IP地址 | 报送在公共服务器类型的IP地址:40分/个 |
| 报送在非公共服务器类型的IP地址:80分/个 | |||
| 18 | CCTGA-BL-EMAIL | 恶意邮箱账户 | 报送恶意程序所用的邮箱账户:20分/个 |
| 报送恶意程序所用的邮箱账户+密码:40分/个 | |||
| 19 | CCTGA-BL-PHONENUM | 恶意手机号 | 报送恶意程序所用的手机号:40分/个 |
| 20 | CCTGA-BL-BOTNET | 僵尸网络数据 | 报送僵尸网络感染主机的IP地址:10分/个 |
| 21 | CCTGA-BL-SOCIALACC | 社交账号 | 报送社交账号及相关信息:10分/个 |
| 22 | CCTGA-BL-DDoSIP | DDoS攻击主机服务器地址 | 报送DDoS攻击主机服务器地址:10分/个 |
| 23 | CCTGA-BL-DRDoSIP | 反射型DDoS攻击服务器地址 | 报送反射型DDoS攻击服务器地址:20分/个 |
| 24 | CCTGA-BL-SPNUM | SP服务号码 | 报送SP数据及恶意样本:40分/个 |
(2)新颖性:根据成员单位是否首次上传数据,即根据数据的新颖程度来评定数据的等级。
| 数据新颖等级 | 说明 | 系数 |
|---|---|---|
| 一级(新增) | 网络安全威胁信息共享平台中的新数据,数据真实有效 | 1 |
| 二级(已存在) | 网络安全威胁信息共享平台已存在的数据 | 0 |
| 三级(误报) | 误报的数据 | -0.5 |
(3)活跃度:
| 连续上传有效数据 | 活跃度系数 |
|---|---|
| 20自然周 | 4倍 |
| 10自然周 | 3倍 |
| 5自然周 | 2倍 |
| 0自然周 | 1倍 |
“活跃度”是根据企业连续提交一级数据的情况而定的,目的是鼓励企业连续不断地报送有效的网络安全威胁信息数据。当连续发布一级数据的过程中断之后,活跃度从最低级开始计算。
(4)共享范围:
| 共享范围 | 共享范围系数 |
|---|---|
| 不与成员单位共享 | 0.75 |
| 与成员单位共享 | 1 |
通过综合考虑网络安全威胁信息数据提交的数据属性、新颖性、活跃度以及共享范围,成员单位上传一条网络安全威胁信息数据的得分计算如下: