网络安全威胁信息共享平台

一、网络安全威胁信息数据类型


序号 数据编码 数据名称 数据类型 数据内容说明 数据等级
01 ANVA-BL-PMALWARE 计算机恶意程序 File Windows、Linux、MAC等PC计算机上运行的恶意程序。 一级
02 ANVA-BL-MMALWARE 移动恶意程序 File Android、IOS、WindowsPhone、Symbian等移动智能终端上运行的恶意程序。 一级
03 ANVA-BL-IMALWARE 物联网恶意程序 File 物联网恶意程序 一级
04 ANVA-BL-PMURL 计算机放马地址 URL 即放马地址,计算机恶意程序文件下载的URL地址 二级
05 ANVA-BL-MMURL 移动恶意程序传播地址 URL 移动恶意程序的文件下载URL地址 二级
06 ANVA-BL-IMURL 物联网恶意程序传播地址 URL 物联网恶意程序的文件下载URL地址 二级
07 ANVA-BL-PMCCURL 计算机恶意控制端地址 URL 计算机恶意程序所用控制端服务器的URL地址 三级
08 ANVA-BL-MMCCURL 移动恶意控制端地址 URL 移动恶意程序所用控制服务器的URL地址 三级
09 ANVA-BL-IMCCURL 物联网恶意控制端地址 URL 物联网恶意程序所用控制服务器的URL地址 三级
10 ANVA-BL-PHISHINGURL 钓鱼网站地址 URL 钓鱼网站的URL地址 二级
11 ANVA-BL-PMIP 计算机放马服务器IP地址 IP 计算机恶意程序传播服务器的IP地址 二级
12 ANVA-BL-MMIP 移动恶意程序传播服务器IP地址 IP 移动恶意程序所用控制服务器的IP地址 二级
13 ANVA-BL-IMIP 物联网恶意程序传播服务器IP地址 IP 物联网恶意程序所用控制服务器的IP地址 二级
14 ANVA-BL-PHISHINGIP 钓鱼网站服务器IP地址 IP 钓鱼网站服务器的IP地址 二级
15 ANVA-BL-PMCCIP 计算机恶意控制服务器IP地址 IP 计算机恶意程序所用控制端服务器的IP地址 三级
16 ANVA-BL-MMCCIP 移动恶意控制服务器IP地址 IP 移动恶意程序所用控制服务器的IP地址 三级
17 ANVA-BL-IMCCIP 物联网恶意控制服务器IP地址 IP 物联网恶意程序所用控制服务器的IP地址 三级
18 ANVA-BL-EMAIL 恶意邮箱账户 Email 恶意程序所用的邮箱账户 三级
19 ANVA-BL-PHONENUM 恶意手机号 PhoneNum 恶意程序所用的手机号 三级
20 ANVA-BL-BOTNET 僵尸网络数据 Botnet 僵尸网络感染主机数据 四级
21 ANVA-BL-SOCIALACC 社交账号数据 SocialAcc 社交账号数据 三级
22 ANVA-BL-DDoSIP DDoS攻击主机服务器地址 DDoSIP DDoS攻击主机服务器地址 四级
23 ANVA-BL-DRDoSIP 反射型DDoS攻击服务器地址 DRDoSIP 反射型DDoS攻击服务器地址 三级
24 ANVA-BL-SPNUM SP服务号码 SPNum 移动互联网服务内容应用服务的直接提供者 三级

数据等级说明

等级 说明
一级 无网络信息的网络安全威胁信息数据
二级 通过网络传播恶意程序、钓鱼网站的网络安全威胁信息数据
三级 通过恶意程序分析产生网络安全威胁信息数据
四级 通过恶意程序监测得出的僵尸网络数据

二、网络安全威胁信息数据披露与交换机制

网络安全威胁信息数据的披露机制分为三级:公开披露、半公开披露和内部披露。

(1)公开披露:网络安全威胁信息数据将以明文形式公开披露。
(2)半公开披露:网络安全威胁信息数据中的关键字段不以明文形式披露,而是以MD5等摘要形式公布。
(3)内部披露:网络安全威胁信息数据将以明文形式定向披露给成员单位。

其中对于内部披露的网络安全威胁信息数据,将通过加密方式(如PGP加密)进行披露。
ANVA成员单位无法通过公开披露方式获取的数据,需要通过网络安全威胁信息数据交换的方式获取,并且获取的数据量与成员单位的贡献值成正比,这是网络安全威胁信息数据交换机制的基本原则。

网络安全威胁信息数据交换机制如下:

(1)用户上传钓鱼类型数据(包括钓鱼网站地址和钓鱼网站服务器IP地址)获取的积分可以用来兑换所有类型数据。
(2)用户上传非钓鱼类型数据获取的积分可以用来兑换非钓鱼类型数据。
(3)用户若想兑换钓鱼类型数据(包括钓鱼网站地址和钓鱼网站服务器IP地址),只能通过上传相同仿冒对象的钓鱼类型数据获取的积分来兑换该数据。

三、网络安全威胁数据交换过程的评分机制

ANVA将把非明文形式公开的数据,都以半公开披露的形式进行公布,即不公布关键信息的明文数据,但是公布关键信息的MD5等摘要数据。ANVA成员单位可以通过半公开披露的数据中,寻找并下载想要的数据。
成员单位按照ANVA的数据格式要求,上传网络安全威胁信息数据后,可获得相应的积分,并根据积分换取平台上半公开披露数据对应的明文数据。在这个过程中,ANVA会要求成员单位注明其数据是否能用于二次共享,即是否能够共享给除CNCERT外的其他成员单位。

ANVA通过3个方面来评定上传网络安全威胁信息的新数据积分,即数据属性、新颖性、持续性、完整性和共享范围,其中:

(1)数据属性:根据第一章中数据等级进行划分,数据的得分与数据的等级成正比。

数据序号 数据类型编码 数据名称 具体评分内容
1 ANVA-BL-PMALWARE 计算机恶意程序 报送新家族的恶意程序文件:5分/个
报送已有家族未知变种的恶意程序文件:2分/个
报送已有家族已有变种的恶意程序文件:1分/个
报送恶意程序具备完整分析报告:10分/份
2 ANVA-BL-MMALWARE 移动恶意程序 报送新家族的恶意程序文件:10分/个
报送已有家族未知变种的恶意程序文件:4分/个
报送已有家族已有变种的恶意程序文件:2分/个
报送恶意程序具备完整分析报告:20分/份
具有信息窃取、远程控制、恶意扣费、诱骗欺诈属性的恶意程序,得分*1.5
3 ANVA-BL-IMALWARE 物联网恶意程序 报送新家族的恶意程序文件:5分/个
报送已有家族未知变种的恶意程序文件:2分/个
报送已有家族已有变种的恶意程序文件:1分/个
报送恶意程序具备完整分析报告:10分/份
4 ANVA-BL-PMURL 计算机放马地址 报送在已有域名下的URL:2分/条
报送新域名下的URL:4分/条
5 ANVA-BL-MMURL 移动恶意程序传播地址 报送在已有域名下的URL:4分/条
报送新域名下的URL:8分/条
6 ANVA-BL-IMURL 物联网恶意程序传播地址 报送在已有域名下的URL:4分/条
报送新域名下的URL:8分/条
7 ANVA-BL-PMCCURL 计算机恶意控制端地址 报送在已有域名下的URL:10分/条
报送新域名下的URL:20分/条
8 ANVA-BL-MMCCURL 移动恶意控制端地址 报送在已有域名下的URL:20分/条
报送新域名下的URL:40分/条
9 ANVA-BL-IMCCURL 物联网恶意控制端地址 报送在已有域名下的URL:20分/条
报送新域名下的URL:40分/条
10 ANVA-BL-PHISHINGURL 钓鱼网站地址 报送仿冒证券银行类钓鱼网站URL:10分/条
报送仿冒除证券银行类的金融钓鱼网站URL:8分/条
报送仿冒政府部门钓鱼网站URL:10分/条
报送其他类型钓鱼网站URL:4分/条
11 ANVA-BL-PMIP 计算机放马服务器IP地址 报送在公共服务器类型的IP地址:2分/个
报送在非公共服务器类型的IP地址:4分/个
12 ANVA-BL-MMIP 移动恶意程序传播服务器IP地址 报送在公共服务器类型的IP地址:8分/个
报送在非公共服务器类型的IP地址:16分/个
13 ANVA-BL-IMIP 物联网恶意程序传播服务器IP地址 报送在公共服务器类型的IP地址:8分/个
报送在非公共服务器类型的IP地址:16分/个
14 ANVA-BL-PHISHINGIP 钓鱼网站服务器IP地址 报送仿冒证券银行类钓鱼网站IP:20分/个
报送仿冒除证券银行类的金融钓鱼网站IP:16分/个
报送仿冒政府部门钓鱼网站IP:20分/个
报送其他类型钓鱼网站IP:8分/个
15 ANVA-BL-PMCCIP 计算机恶意控制服务器IP地址 报送在公共服务器类型的IP地址:20分/个
报送在非公共服务器类型的IP地址:40分/个
16 ANVA-BL-MMCCIP 移动恶意控制服务器IP地址 报送在公共服务器类型的IP地址:40分/个
报送在非公共服务器类型的IP地址:80分/个
17 ANVA-BL-IMCCIP 物联网恶意控制服务器IP地址 报送在公共服务器类型的IP地址:40分/个
报送在非公共服务器类型的IP地址:80分/个
18 ANVA-BL-EMAIL 恶意邮箱账户 报送恶意程序所用的邮箱账户:20分/个
报送恶意程序所用的邮箱账户+密码:40分/个
19 ANVA-BL-PHONENUM 恶意手机号 报送恶意程序所用的手机号:40分/个
20 ANVA-BL-BOTNET 僵尸网络数据 报送僵尸网络感染主机的IP地址:10分/个
21 ANVA-BL-SOCIALACC 社交账号 报送社交账号及相关信息:10分/个
22 ANVA-BL-DDoSIP DDoS攻击主机服务器地址 报送DDoS攻击主机服务器地址:10分/个
23 ANVA-BL-DRDoSIP 反射型DDoS攻击服务器地址 报送反射型DDoS攻击服务器地址:20分/个
24 ANVA-BL-SPNUM SP服务号码 报送SP数据及恶意样本:40分/个

(2)新颖性:根据成员单位是否首次上传数据,即根据数据的新颖程度来评定数据的等级。

数据新颖等级 说明 系数
一级(新增) 网络安全威胁信息共享平台中的新数据,数据真实有效 1
二级(已存在) 网络安全威胁信息共享平台已存在的数据 0
三级(误报) 误报的数据 -0.5

(3)活跃度:

连续上传有效数据 活跃度系数
20自然周 4倍
10自然周 3倍
5自然周 2倍
0自然周 1倍

“活跃度”是根据企业连续提交一级数据的情况而定的,目的是鼓励企业连续不断地报送有效的网络安全威胁信息数据。当连续发布一级数据的过程中断之后,活跃度从最低级开始计算。

(4)共享范围:

共享范围 共享范围系数
不与成员单位共享 0.75
与成员单位共享 1

通过综合考虑网络安全威胁信息数据提交的数据属性、新颖性、活跃度以及共享范围,成员单位上传一条网络安全威胁信息数据的得分计算如下:

得分=数据属性*新颖性系数*活跃度系数*共享范围

主办:中国反网络病毒联盟

ICP:京10012421号 如有问题请联系  cctga@cert.org.cn