1、毒国ICS 35.020 L 09 中华人民共和国国家标准G/T 28517-2012 网络安全事件描述和交换格式Network incident object description and exchange format 2012-10-01实施2012-06-29发布发布中华人民共和国国家质量监督检验检茂总局中国国家标准化管理委员会v吨俨窑培防so-回回JOF自dE-f dur nhq句陆GB/T 28517-2012 目次前言.皿引言.N l 范围-2 规范性引用文件.3 术语和定义、缩略语3. 1 术语和定义3.2 缩略语34 符号约定.3 5 安全事件描述和交换格式的基础数据类型4
2、5. 1 整数.45. 2 实数.4 5. 3 字符和字符串45.4 字节.45.5 枚举类型45.6 日期-时间.45.7 NTP时间戳.45.8 端口列表45.9 邮政地址55.10 个人或组织.5 5.11 电话和传真号码.5. 12 电子邮件5.13 统一资源标识.5 5.14 唯一标识.5 6 安全事件描述和交换格式.6. 1 概述-6.2 IODEF文档类.6.3 安全事件类6.4 事件标识类.6. 5 可选标识类.6.6 相关活动类.10 6. 7 其他数据类.6.8 联系类.6.9 注册机构标识类.146. 10 时间类146.11 期望类.6. 12 攻击方法类.16 G/T
3、 28517-2012 6.13 评估类.17 6. 14 历史类.206.15 异常现象数据类6.16 流类和系统类.24 6.17 节点类.25 6.四服务类276.四记录类286.20 分析器类.30 7 安全事件描述和交换格式的扩展和实现指南.32 7.1 扩展机制.32 7.2 扩展原则.7.3 IODEF的扩充实例327.4 实现指南.40 附录A(资料性附录)安全事件描述和交换格式实例42A.1 红色代码检测通告.42 A.2 带有XML签名的IODEF文档uA.3 使用XML加密的IODEF文档的例子G参考文献.47 E G/T 28517-2012 目U吕本标准按照GB/T1
4、. 1-2009给出的规则起草。本标准是主要参照IETF(互联网工程任务组)RFC5070,结合我国计算机网络应急响应体系建设的实际情况而制定的。本标准由中华人民共和国工业和信息化部提出。本标准由中国通信标准化协会归口。本标准起草单位:国家计算机网络应急技术处理协调中心、清华大学。本标准主要起草人:黄元飞、袁春阳、段海新、孙蔚敏、杨臻、周勇林、焦绪录、纪玉春、梁晨、吴俊华、孙彬。mM G/T 28517-2012 引随着互联网的发展,计算机网络安全事件突破了国家或地区的边界,跨越多个组织,各应急响应组织间的合作也突破了国界、语言和文化的约束。在此背景下,我国特成立了国家计算机网络应急技术处理协
5、调中心(CNCERT/CC) ,负责协调国内各计算机安全应急响应组共同处理国家公共互联网上的安全事件;相关电信运营企业、安全服务商、国有大型公司、教育科研机构以及国家有关部门也逐步成立了计算机安全应急响应组(简称应急响应组或CSIRT)。为了提高各应急响应组对安全事件的响应能力和预防能力,规范我国各应急响应组之间安全事件的描述和交换格式,特制定本标准(IODEF)。IODEF主要用于各应急响应组的事件处理系统(IHS)之间信息交换,是一种表示层的通信协议,其应用环境如图1所示。应急响应组(CSIRt)事件处理系统(lliS)预警、统计报告IODEF 通信协议图1安全事件描述交换格式的应用环境其
6、他应急响应组网络服务商用户其他组织一般情况下,应急响应组需要某种软件工具把安全事件相关的信息生成IODEF的事件报告,然后通过通信协议(如HTTP,SMTP等)发送给其他相关的组织;当CSIRT收到其他CSIRT、网络服务商、用户或其他组织发送过来的IODEF文档时,一般需要经过事件处理系统中的IODEF解析模块或独立的IODEF解析程序生成符合CSIRT内部定义的数据格式,然后保存到本地事件报告数据库中,并进入事件处理的流程。N GB/T 28517-2012 网络安全事件描述和交换格式1 范围本标准规定了一种描述计算机网络安全事件的通用数据格式,以便于计算机安全应急响应组间进行网络安全事件
7、交换,并提供了XML的参考实现。本标准适用于计算机安全应急响应组间进行计算机网络安全事件交换,也可供建设和维护计算机网络安全事件处理系统时参考。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)使用于本文件。GB/T 12406 2008 表示货币和资金的代码。SO4217: 2001 , IDT) 1ETF RFC 1305 网络时间协议规范和执行(NetworkTime Protocol (Version 3) Specification, 1mplementation) 1ETF
8、 RFC 2030 对于1Pv4、1Pv6和OS1的简单网络定时协议第4版(SimpleNetwork Time Protocol (SNTP) Version 4 for 1Pv4 , 1Pv6 and OS1) 1ETF RFC 2256 对于使用LADPv3的X.500使用者计划的概述(ASummary of the X. 500(96) User Schema for use with LDAPv3) 1ETF RFC 2396 统一资源标识符(URI):一般句法(Uniform Resource 1dentifiers (UR1) : Generic Syntax) 1ETF RFC
9、 2822 英特网信息格式CInternetMessage Format) 3 术语和定义、缩暗语3. 1 术语和定义下列术语和定义适用于本文件。3. 1. 1 攻击attack 对系统安全的袭击,主要来源于人为的、技术上的威胁。例如,企图逃避安全服务和违背系统安全策略的一次技术上的攻击行为。攻击可能是主动的,也可能是被动的;可能是来自内部人员,也可能是来自外部人员。3. 1.2 攻击者attacker 为达到某种(些)目的而尝试一次或多次攻击的个体。在本标准中,攻击者由其网络标识、发起网络或计算机攻击的组织以及物理位置信息(可选)来描述。3. 1. 3 计算机安全应急晌应组computer
10、security incident response team; CSIRT 处理计算机网络安全事件和创建安全事件报告的组织。CS1RT也可能涉及证据的收集和保管、安G/T 28517-2012 全事件请求等活动。CSIRT由其身份标识、机构名称、公开密钥等来描述。3. 1. 4 损失damage 攻击给目标系统产生的有意或者元意的后果。损害的描述可以包括对攻击的实际结果的自由形式的文本描述,如果可能,还可以包括有关被损害的系统、子系统或者服务的结构化信息。3. 1. 5 异常现象event 操纵目标的一种行为,其目的是引起目标的状态发生改变。从起源角度看,异常现象可以被定义为在系统或网络中任
11、何引发报曹的可观察到的现象。例如,在10s内连续3次登录失败的异常现象,可能表示出现强行登录攻击事件。3. 1.6 证据evidence 与异常现象相关的信息,该信息用来证明或支持异常现象相关的结论。对于安全事件(incident), 可能包括但不局限于如下内容:由入侵检测系统(IDS)创建的数据转储(dutnp)文件、来自系统日志文件的数据、内核统计信息、高速缓存、内存、临时文件系统或者其他引起报警或在安全事件发生后收集的数据。在存储、归档证据,特别是需要保持证据的完整性时,必须高度小心并采取特殊的规则,必要的时候,应当加密存储证据。按照证据收集和存档的原则,必须严格保护证据的安全。必须详细
12、记录证据保管链,证据应当按照当地的法律进行收集、存档和保护是非常必要的。3. 1. 7 安全事件incident 涉及违反安全策略的安全性异常现象。安全事件可以定义为单次攻击或者一组攻击,可以根据攻击的方法、攻击者的身份、受害者、站点、目标和时间等特性将此单次攻击或此组攻击从其他的攻击中区分开来。3. 1.8 影晌impact 用来描述根据用户或机构对攻击的结果的表述,例如资金上的损失或者时间花费等方面的代价。3. 1. 9 目标target 计算机或网络逻辑实体如账号、进程或数据)、物理实体(组件、计算机、网络或国际互联网)。3. 1. 10 受害者victim 在安全事件报告中所描述的遭受
13、到攻击的个人或组织。在本标准中,受害者通常用其网络身份标识、组织或者物理位置等信息来描述。3. 1. 11 漏洞vulnerabili ty 在系统的设计、实现或者运行和管理中的缺陷或弱点,这些缺陷或弱点可能会被利用,以突破系统的安全策略。大多数系统都有某些类型的漏洞,但是这并不意味着系统不能使用。并不是每个漏洞都会导致攻击,也并不是每次攻击都会成功。攻击是否成功和漏洞的危险程度、攻击的力度以及采用应对措施的有效性有关。如果攻击需要利用的漏洞非常难实现,那么这样的漏洞是可以容忍的。如果攻击者从攻击中获得的收益非常小,此时即便是非常容易被利用的漏洞也是可以容忍的。然而,漏洞系统被大量的用户利用来
14、实施攻击,此时某些攻击者可能从中获益。G/T 28517-2012 3. 1. 12 安全事件处理系统incident handle system 对计算机网络安全事件、资产、漏洞、威胁、风险、预警、安全策略、安全知识等安全要素进行收集、分析、管理,并提供安全事件响应的流程管理软件系统。3. 1. 13 XML模式XML schema 一种基于XML的语法或规范,用来定义XML文档的标记方式,是对XML文档的词汇表和语法进行约束和形式化。3.2 缩略语下列缩略语适用于本文件。CSIRT CVE DTD FQDN IDMEF IDS IHS IODEF X岛1LComputer Security
15、 lncident R巳sponseTeam Common Vulnerabilities and Exposures Document Type Definition Fully Qualified Domain Name lntrusion Detection Message Exchange Format lntrusion Detection System lncident Handle System lncident Object Description and Exchange Format Extensible岛1arkupLanguage 计算机安全应急响应组通用漏洞批漏,一种
16、常见的漏洞描述字典文档类型定义完整域名入侵检测信息交换格式入侵检测系统事件处理系统安全事件描述和交换格式可扩展的标记语言4 符号约定L一一一一一. 本标准使用类图来描述数据模型。在类图中,各符号图例含义见表1。符号图例|IODEF-Docum四串EInci命ntIDI |,cmt耐用1 ;二DetectTime: 主Altern硕veIDFiII Ex阳拟m串r_-_-_-_-,二._-_-_-_-. -_-_-_、-,。表1类图的固例说明表含义类IODEF-Document是聚合类,包含有子类类IncidentID是聚合父类必须包含的单个子类,只能存在一个实例类Contact是聚合父类必须包
17、含的子类,可以存在多个实例,个数不限类DetectTime是聚合父类可能包含的子类,最多存在一个实例类AlternativelD是聚合父类可能包含的子类,最多存在一个实例,类AlternativeID本身是聚合类类Expectation是聚合父类可能包含的子类,可以存在多个实例,类Expectation本身是聚合类3 GB/T 28517-2012 5 安全事件描述和交换格式的基础数据类型5. 1 整鼓由INTEGER数据类型表示整数属性,整数数据必需以10或者16为基底编码。以10为基底的整数编码使用阿拉伯数字0到9,以及可选符号+或者一。例如,123,一456。以16为基底的编码使用阿拉伯
18、数字0到9,以及a到f(或者它们的大写形式),并且在前面加上字符Ox。例如,Ox1a2b。5.2 实数由REAL数据类型来描述实数(浮点)属性。实数数据必需以10为基底编码。实数编码和POSIX函数例库中的strtod一样:一个可选符号后跟一个非空的小数位数串,可选地包含一个基数字符,然后是一个可选的指数部分。一个指数部分由一个e或者E,后跟一个可选的符号,接下来是一个或者多个小数位数。例如,123.45e02,一567,8ge-03。与本标准兼容的应用程序必需支持和,基数字符。5.3 字符和字符串由CHARACTER数据类型来描述单字符属性,由STRING数据类型描述己知长度的多字符属性。字
19、符和字符串数据没有特殊的格式要求,除了偶尔需要使用转义字符来表示特殊的字符。5.4 字节字节数据类型BYTE用于描述二进制数据。5.5 枚举类型由ENUM数据类型描述枚举类型,枚举类型是由可接受的值构成的一个有序列表。每一个值代表一个关键字。在本标准中,枚举类型关键字被用作属性值。5.6 日期,时间由本标准的DATETIME数据类型描述日期-时间串。5.7 NTP时间戳由NTPSTAMP数据类型描述NTP时间戳,在IETFRFC 1305和IETFRFC 2030中有详细的规定。一个NTP时间戳是一个64比特的元符号定点数字。前32比特是整数部分,后32比特为小数(分数)部分。IODEF文档必
20、须将NTP时间戳编码为两个32比特的十六进制值,使用分隔。例如,Ox12345678.0x87654321。5.8 端口到表由PORTLlST数据类型描述网络端口列表,它由一个以逗号分隔的数字和范围(N-M表示端口号N至端口号M,包括M)的序列组成,可以在一个单独的序列中使用数字和范围的任意组合。例如5-25,37,42,43,53,69-119,123-514。G/T 28517-2012 5.9 邮政地址由POSTAL数据类型描述邮政地址。如用英语表示,其格式如下:建筑物,街道,邮政编码,城市,国家,或者邮政信箱,邮政编码,城市,国家如用汉语表示,其格式如下:国家,城市,街道,建筑物,邮政
21、编码,或者国家,城市,邮政信箱,邮政编码POSTAL数据格式见IETFRFC 2256的5.175.19。5. 10 个人或组织由NAME数据类型描述个人或者组织的名称。如用英语表示,其格式如下:名姓如用汉语表示,其格式如下:姓名NAME数据类型的格式见IETFRFC 2256的5.4。5. 11 电话和传真号码由PHONE数据类型描述电话号码。电话和传真号码遵循ITU规定的表达格式:十(国际电码)(本地代码)(电话号码)PHONE数据类型的格式见IETFRFC 2256的5.21。5. 12 电子邮件由EMAIL数据类型描述电子邮件地址。EMAIL数据类型的格式见IETFRFC 2822的3
22、.4.1。5. 13 统一资源标识由URI数据类型描述统一资源标识符(URl)0 URI数据类型的格式在IETFRFC 2396中规定。5. 14 唯一标识由UID数据类型描述IODEF文档的某个特定创建者(例如某个CSIRT)的唯一标识符。由GUID数据类型描述全局唯一的标识符。UID和GUID数据类型是由字母数字串构成。6 安全事件描述和交换格式6. 1 概述本章详细描述安全事件描述和交换格式所定义的类(Class)。对于每一个类,首先给出其语义,并用类图来表现和其他类之间的关系,然后用XML的文档类型定义(DTD)和模式(Schema)两种形式给出该类的具体描述格式。对于每个类的描述包括
23、6个部分:一一类说明:简要描述类的具体含义;一一类图=以图形的方式说明类的构成;子类z描述该类所包含的子类,是否是必须的,存在实例个数及其简要说明;一一属性:用于说明该类所具有的属性名,及其含义;5 GB/T 28517-2012 一-Schema定义:给出该类XMLSchema实现片段;DTD定义:给出该类XMLDTD实现片段。6.2 IODEF文档类类说明IODEF文档(lODEF-Document)类在IODEF数据模型是顶层类,所有IODEF文档都是IODEFDocument的实例。类图IODEF-Document类如图2所示。IODEF-Document 固2IODEF-Docume
24、nt类子类Incident:只能包括一个子类。包含所有与安全事件相关信息的安全事件类。属性verslOn:必需,字符串。IODEF文档所遵循的本标准的版本号。本标准以下讨论的格式以IETFRFC 5070为参考。Schema定义(xs: element name= IODEF-Document) (xs: complexType) (xs: sequence) (xs: element ref= Incident j) (xs: sequence GB/T 28517-2012 DTD定义6.4 事件标识类类说明事件标识(IncidentID)类的内容代表一个安全事件跟踪号(UID),该UID
25、在一个CSIRT中是唯一的。类图IncidentlD类如图4所示。lncidentlDI 圄4IncidentID类子类元。属性restriction:可选,枚举类型,见6.3中对这个属性的定义;name:必需,GUID类型。产生IODEF-Document的CSIRT的标识符。Schema定义DTD定义6.5 可选标识类类说明可选标识(AlternativeID)类引用其他组织实体(例如其他CSIRT)的事件编号,用来在IODEFDocument中跟踪不同组织对同一安全事件的处理活动。因此,被列出作为Alternati velD的跟踪号的事件,是指由其他的CSIRT从不同的角度,检测到的同样
26、的事件。如果希望表后的不是同一个安全事件,而是相关的安全事件(譬如同样的方法或者入侵者),则其安全事件跟踪号用在下面将要讨论的RelatedActivity类描述。类图Al terna ti velD类如图5所示。9 GB/T 28517-2012 AIternativeID IncidentID 1. 固5AlternativeID类子类一IncidentlD:一个或多个,表示由其他CSIRT分配给在IODEF-Document中描绘的同样的活动的唯一标识符。属性restriction:可选,枚举类型,见lncident类的restriction属性说明。Schema定义DTD定义6.6 相
27、关活动类类说明相关活动(RelatedActivity)类引用在IODEF文档中所描述的与安全事件有关的其他安全事件跟踪号,或者安全事件的唯一标识符。这些引用可能是本地安全事件跟踪号,也可能是其他CSIRT的安全事件跟踪号。类图Rela tedActi vi ty类如图6所示。R出edActi均三三三3-l:Inc阳图6RelatedAdiYity类子类一-一lncidentlD: lnciden tlD:一个或者多个,表示CSIRT分配安全事件的唯一标识符。属性restriction:可选,枚举类型,见6.3中对这个属性的定义。Schema定义10 GB/T 28517-2012 (jxs:
28、 element DTD定义6. 7 其他数据类其他数据(AdditionalData)类作为一个扩展机制,用于描述那些不能在数据模型中描述的信息。对于那些相对简单的信息,提供原子数据类型(整数、字符串等)和一种机制来对他们的含义做注解。通过封装整个符合另外DTD(例如IDMEF)的XML文挡,AdditionalData类可以用于扩展数据模型、DTD或Schema以支持专门扩展(在第7章将详细讨论DTD的扩展)。Addi tionalDa ta不像XML是自描述的。特别是,Additional数据必须能够给出数据的含义。在meaning属性中描述了这一信息。由于这些描述超出本标准的范围,需要
29、一些额外的协调来保证使用AdditionalData类的文档接收者,能够弄清楚定制扩展的意思。类图Addi tionalDa ta类如图7所示。AdditionalData Addma阳taTyi二丁-F吨川图7AdditionalData类属性restriction:可选,枚举类型,见6.3对该属性的定义。type:必需,枚举类型。元素内容的数据类型,这个属性所允许的值如下所示,缺省值为string飞-一-boolean:元素包含一个布尔值,也就是串true或者false; byte:元素内容是一个8比特字节;-一-character:元素内容是一个字符;一-date-time:元素内容是一
30、个日期-时间串;一一integer:元素内容是一个整数;一-ntpstamp:元素内容是一个NTP时间戳;-portlist:元素内容是一个端口列表;一-real:元素内容是一个实数;string:元素内容是一个字符串;xml:元素内容是XML-标记的(XML-tagged)数据。meaning:可选,字符串类型。该类中用户自定义的数据的语义的描述。Schema定义11 GB/T 28517-2012 DTD定义(xs: complexType (xs: sequence (xs : element ref = Classification minOccurs = 0 maxOccurs =
31、unbounded / (xs: element ref= DescriptionmaxOccurs= unbounded / (/ xs: sequence (/ xs: complexType (/xs:element (xs: element name= Classification (xs: complexType (xs: sequence (xs:element ref=name/ (xs:element ref=url/ (/ xs: sequence (xs: attribute ref = origin default= other / (/xs: complexType (
32、/xs:element DTD定义(! ELEMENT MethodCClassification祷,Description十)(! ELEMENT ClassificationCname, url) 6. 13 评估类类说明评估CAssessment)类描述安全事件活动的技术与非技术方面的影响。类图Assessment类如图12所示。17 GB/T 28517-2012 o 0 . Impact : :UR-J,-J:;-.-.-o 0. :-.-3王 .寸才.Tim口melmpact:川;? | A邮s臼s剧叫m削串t一主汩牙-i0.4 I ._ _飞7九Monet时mp蚓; : 0. .
33、- . Confidence : t芒-图12Assessment类子类一一-Impact:零个或者多个。安全事件活动对计算机和网络的技术影响的子类E其元素内容可以为空,或者包含技术影响的自由形式的描述;TimeImpact:零个或者多个。安全事件活动用时间度量的影响的子类;其元素内容是一个具体说明影响的数值实数REAL),它是关于时间的函数,本属性描述明确的单位和度量标准;一-Monetary Impact:零个或者多个。安全事件活动用货币度量的影响的子类a元素内容是一个具体说明影响的数值(实数REAL),它是关于金钱的函数,这个属性描述明确的货币和货币度量标准;一一Confidence:零
34、个或者一个。在评估中的信心估计的子类;这个元素应当仅在CSIRT能够产生有意义信息的时候才使用。如果必须给出粗略的评估时,应当使用low,medium或high作为等级值。注:以上四个子类都是用于安全时间的影响评估,通过各自的属性进行描述,具体见属性部分。属性18 Assessment属性trestriction:可选,枚举类型。见6.3中对该属性的定义。Impact类属性zseverity:可选,枚举类型。对活动的相对严重性的估计,可供选取的值如下所示,该属性没有缺省值z一-low:严重性;一-medium:中等程度严重性;high:高严重性。completion:可选,枚举类型。IODEF
35、文档的创建者是否相信活动成功的一个信号,可选值如下所示,该属性没有缺省值:一-failed:攻击企图没有成功;一-succeeded:攻击企图成功了。impacttype:必需,枚举类型。可以给出一个大致的影响类型,可供选取的值如下所示,缺省值为unknown: 一-admin:企图得到或者已经得到的管理特权;一-dos:企图或者成功完成拒绝服务攻击;一-file:企图或者成功地对文件进行未授权操作;一-recon:企图或者成功进行网络探测;一-user:企图或者成功得到的用户权限;二-none:活动没有任何(技术)影响;-一-unknown:影响未知;二-other:不属于以上范畴的任何情况
36、。TimeImpact类属性:GB/T 28517-2012 seventy:可选,枚举类型。对事件影响的严重性估计,可供选取的值如下所示,该属性没有缺省值:一一一low:低严重性;-medium:中等程度严重性;一-high:高严重性。metric:必需,枚举类型。描述事件影响的尺度,可供选择的值如下,该属性没有缺省值:一二labor:恢复活动的总共的人员时间(例如,两个雇员每人工作4h,就是8h); 一-elapsed:从开始恢复到完成总共经历的时间;一-downtime:某些提供的服务中断(不能得到)持续的时间。units:必需,枚举类型。定义时间度量单位。可供选择的值如下,缺省值为ho
37、urs: -seconds:秒;一-minutes:分;一-hours:小时;一一-days:天。Monetary Impact类属性:severity:可选,枚举类型。对事件影响的严重性估计,可供选取的值如下所示,该属性没有缺省值:low:低严重d性;-一-medium:中等程度严重性;二-high:高严重性。currency:必需,枚举类型。事件造成的经济损失,在GB/T12406一2008中定义了可供选取的许可值,该属性没有缺省值。Confidence类属性:rating:必需,枚举类型。指示CSIRT对安全时间的评估信心,可选值如下,缺省值为numedc飞一-low:低;一-mediu
38、m:中;一-high:高;一-numeric:CSIRT提供的表明其对评估的信心的概率值;一-unknown:未知。注意z如果rating属性没有被设置为numeric,则元素内容可以为空。否则,必须提供一个信心值。Schema定义(xs: element ref= ConfidenceminOccurs= 0/ (/ XS: sequence (XS: attribute ref= restriction / (/ xs: complexType (/xs:element DTD定义(! ELEMENT Assessment(lmpact祷,TimeImpact祷,MonetaryImpac
39、t祷,Confidence?) 6.14 历史类类说明历史CHistory)类是发生的重要事件,或者事件参与方(例如,最初报告人,调查中的CSIRT,或有关的系统管理员)在处理安全事件期间所采取行动的日记或日志。在日志中维护的细节的程度交由那些处理安全事件的参与方自行决定。History Item类是History日志里的一个条目,在History日志中记录了在处理当前安全事件期间所发生的事件,或者特别重要的动作。在日志中条目的细节用自由语言描述,但是也可以分类。类图History类如图13所示。. HistoryItem 圈13History类子类一-Historyltem:一个或者多个。在
40、重要的事件或者有关方所采取的行动的历史记录条目;一-Inciden tID:零个或者一个。在由多个参与方产生的历史日志中,IncidentID提供一种方法,指明哪个CSIRT产生的特定条目,以及引用该组织对该活动的本地安全事件跟踪号。当单个组织维护历史日志时,可以忽略这个类;一一DateTime:一个。条目在历史日志中的时间戳(例如,在Description中所描述的动作发生的时间h属性Description:一个或者多个,STRING类型。将在历史日志中记录的动作或者事件的自由形式的文本描述。History类属性:restriction:可选,枚举类型,见6.3中对该属性的定义。Histor
41、yltem类属性:restriction:可选,枚举类型,见6.3中对该属性的定义;historycat:可选,枚举类型。对在历史日志条目中纪录的活动或事件的类型分类,条目的细节20 GB/T 28517-2012 是在Description类中记录的自由形式的描述,可能的值是一个枚举列表,缺省值为other: 一二triaged:安全事件数据由IHS接收和处理;一二notification:在安全事件中,被发送给有关方的通知,例如,一个CSIRT发送一个消息给正受攻击的站点管理员;一二shared-info:与未直接卷入安全事件的人员共享的与事件有关的信息;二一received-info:有
42、关接收到的安全事件的额外信息;-一-remediation:安全事件已经解决,可以包含一个简短的描述5一一一other:其他。Schema定义(xs: element name= History) (xs: complexType) (xs: sequence) (xs: element ref = History I tem maxOccurs = unbounded /) (/xs: sequence) (xs: attribute ref= restriction default= default /) (/ xs: complexType) (/xs:element) (xs: ele
43、ment name= History Item) (xs: complexType) (xs: sequence) (xs:element ref=DateTime/) (xs: element ref= lncidentlDminOccurs= 0 /) (xs: element ref= DescriptionmaxOccurs= unbounded /) (/xs: sequence) (xs: attribute ref = restriction /) (xs: attribute name= historycat /) (/xs: complexType) (/xs: element) DTD定义(! ELEMENT History(Historyltem十)(! ELEMENT H istory I tem (Da te Time , Inciden tlD? , Description十)6. 15 异
