【YD通讯标准】 钓鱼攻击举报数据交换协议技术要求

ICS35.100.70
中华人民共和国通信行业标准
YD/T3038-2016
钓鱼攻击举报数据交换协议技术要求Technical requirementtodataformatofphishing attack information reporting2016-04-05发布
2016-07-01实施
中华人民共和国工业和信息化部发布前
范围·
规范性引用文件。
术语和缩略语·.
网络钓鱼过程概述
网络钓鱼举报涉及的角色及关系网络钓鱼举报数据的格式和元素·目
YD/T3038-2016
YD/T3038-2016
本标准主要根据IETF的标准RFC5901《举报钓鱼数据的交换格式标准》（英文版）以及我国的实际情况起草，制订了社会各方面举报、共享和处理网络钓鱼（或网络欺诈）事件的统一的数据格式标准本标准在技术内容上与RFC5901保持一致。本标准按照GB/T1.1一2009给出的规则起草。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。标准起草单位：中国互联网络信息中心。标准主要起草人：李晓东、胡安磊、耿光刚、陈勇、延志伟。I
HiiKANiKAca
YD/T3038-2016
随着互联网的高速发展，尤其是电子商务的繁荣，网络的使用已经深入到大众社会生活的各个层面。随之而来的，以往仅仅存在于现实生活中的欺诈行为，被不法分子移植到了网络这个虚拟环境，从而导致了网络钓鱼。攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。根据多个安全厂商的统计报告，网络钓鱼事件已经呈现愈演愈烈之势。与此同时，为打击这些恶意行为，互联网服务提供商、受害企业、内容管理机构以及广大网民正在分享日益增多的网络钓鱼数据，共同追溯元凶及受害者，起诉攻击者，维护受害者的利益。
钓鱼攻击的手段千变万化，随着钓鱼数据共享量的增加，各方使用的数据定义、类型和格式也迅速扩大，阻碍各方调查和协调处理钓鱼事件工作的开展。特别是随着数据源的增加，需要不同的工具解释不同的数据来源，因此统一的网络钓鱼数据交换格式变得越来越重要通过使用统一的格式，会更容易协调及管理多数据源信息，同时也有助于实现自动分析网络钓鱼事件，加快对欺诈事件的响应速度，并有利于保留犯罪凭证。HiiKAoiKAca
1范围
鱼攻击举报数据交换协议技术要求本标准定义了报告网络钓鱼事件的数据交换格式。YD/T3038-2016
本标准适用于参与网络钓鱼举报、检测及防范的各方的数据共享，本标准不包含对不良数据的处理过程。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。IETFRFC3275可扩展标记语言的数字签名的语法和处理标准IETFRFC3982一种符合互联网注册信息服务的域名注册类型IETFRFC5070事件数据的表述和交换格式标准3术语和缩略语
3.1术语
下列术语和定义适用于本文件。3.1.1
网络钓鱼Phishing
寻找受害者，通过引诱受害者发送一系列私人凭证到收集地点，并存储这些私人凭证的全过程称为网络钓鱼。
欺诈事件FraudEvent
一个欺诈事件结合了网络钓鱼和其后的私人凭证的欺诈使用。3.1.3
引诱Lure
一个诱饵，用来欺骗一个受害者执行一些活动，如提供私人凭证。引诱依靠社会工程学的方法去说服受害者相信该引诱是真实的，必须遵照其指示做出行为。一个引诱会包含一个收集地点的指针或链接。3.1.4
收集地点CollectionSite
收集地点包括网站、电子邮箱、短信号码、电话号码等。被钓鱼的受害者发送私人凭证到收集地点，随后该凭证就会被犯罪者使用。3.1.5
凭证Credentials
受害者提交给攻击者的关键数据，是身份或实体的证明。比如大部分网站都会要求用户拥有用户名和密码，这两者结合起来就是一个凭证。3.1.6
HiiKANiKAca
YD/T3038-2016
信息Message
引诱能通过任何信息媒介传达，如邮件、及时通信（IM）、语音IP电话（VoIP）或者通过短信服务等等。“信息”就是这些传播引诱的媒介的统称。3.2缩略语
下列缩略语适用于本文件。
IncidentObjectDescription andExchangeFormatDomain Name System
Xtensible Markup Language
Instant Messenger
4网络钓鱼过程概述
网络钓鱼的基本组成如图1所示。骗子
(Fraudster)
收集地点
(Collection Site)
感測器
(Sensor)
攻击来源
(Attack Source)
引诱（Lure）
图1网络钓鱼的基本组成
基于互联网的网络钓鱼和欺诈活动通常至少由6个组件组成：事件对象的描述和交换格式
域名系统
可扩展标记语言
即时通讯
凭据（Credentials）
用户/受害者
(User/Victim）
a）钓鱼者、骗子（Fraudster）或者进行欺诈活动的一方。大多数情况下，钓鱼者的身份很难被明确确认。
b）攻击来源（Attacksource）
用于钓鱼的邮件、病毒、木马或者其他攻击。c）试图欺骗受害者，使其做出回应的引诱（Lure）d）用户（User)，也称为受害者（Victim），也可以指该次钓鱼攻击的预定的攻击目标。e）凭证（Credentials），用户的关键私密数据，如用户名、账号密码等。f）收集地点（CollectionSite），如果被引诱成功，受害者会发送他们的凭证到这里。可能是网站、邮箱、电话接线员或者数据库。除以上关键的组件之外，在钓鱼攻击的整个过程中，还可能存在如下一些额外组件：探测器（Sensor）
钓鱼检测的工具。这个元素可能是入侵检测系统、防火墙、过滤器、电子邮件网关，或者人工分析作业。
存档站点（Archivesite）（未在图1标识）一在这里保存着举报钓鱼攻击时的相关数据，用于法务等机构的证据收集。
5网络钓鱼举报涉及的角色及关系网络钓鱼举报涉及品牌企业/个人、安全厂商、浏览器厂商、网络内容管理部门、防钓鱼行业组织、运营商和域名注册机构等，详细描述如下品牌企业/个人：指被钓鱼企业/网民。网络内容管理部门：互联网内容的管理部门，在我国为国家互联网信息办公室及下属的违法和不良信息举报中心等。
iiikAoNiKAca
反钓鱼行业组织：例如中国反钓鱼网站联盟。运营商：主要指电信运营商、域名解析服务商等。域名注册机构：包括域名注册管理机构和域名注册服务机构。以上众多角色的关系如图2所示。审核认定下达
处理婴求
运营商/域名注册
机构等
的鱼数期共
安全厂商/浏览器
提供安全服务
网络内容管理
部门/反钓鱼行业
攀报、投诉
品牌企业/个人
图2网络钓鱼举报涉及的角色及关系YD/T3038-2016
品牌企业和网民举报所发现的钓鱼网站，网络内容管理部门或反钓鱼行业组织进行认定。认定的结果一方面要求域名注册机构或运营商进行停解析等处理，另一方面也会与安全厂商和浏览器厂商共享，安全软件和浏览器对用户访问给出访问警告。安全厂商和浏览器厂商发现的钓鱼网站，也可以提交至网络内容管理部门/反钓鱼行业组织进行认定。6网络钓鱼举报数据的格式和元素6.1数据格式概述
本标准提出的网络钓鱼举报数据是基于IETFRFC5070提出的“事件对象描述交换格式”IODEF中的Incident事件对象元素进行扩展而形成的，其完全兼容于IODEF的解析格式。钓鱼攻击举报数据交换协议整体数据结构如图3所示。
eSounce
DCSite
pwninfo
DomainData
indudedMalwar
sDownloa
NameServers
DomainContacts
图3钓鱼攻击举报数据交换协议整体数据结构HiiKAoNiKAca
YD/T3038-2016
根据IETFRFC5070的规定，IODEF的扩展数据只能通过EventData.AdditionalData定义，经过PhraudReport扩展后的IODEF的Incident元素定义如图4所示。Incident
ENUMpurpose
STRING ext-purpose
ENUMlang
ENUM restriction
（1..*）
IncidentIDJ
[AlternativeID]
RelatedActivityJ
[DetectTime]
StartTime]
EndTime
ReportTime
DescriptionJ
Assessment]
[Method]wwW.bzxz.Net
Contact]
［EventData]
[<>-[AdditionalData]
-［[History]
-[AdditionalData ]
--［PhraudReport]
图4包含PhraudReport元素扩展的IODEF事件元素定义具体的PhraudReport元素的基本定义如图5所示。一个PhraudReport节点由3种属性和13种元素组成。因为部分参数和元素之间有相关性，因此我们以函数的形式介绍PhraudReport元素的各个组件。PhraudReport
STRING Version
ENUM FraudType
STRING ext-value
<)-(0. .1)-
<)—(0..*)
<)—(1. *)
[PhishNameRef]
［PhishNameLocalRef]
[ FraudParameter]
[ FraudedBrandName]
[LureSource]
[OriginatingSensor ]
EmailRecord]
［DCSite]
[TakeDownInfo]
[ArchivedData]
[RelatedData]
<>-(o..*}--[CorrelationData]<)—(0. .1)
［[PRComments]
图5PhraudReport元素
钓鱼或欺诈事件的关键信息被编码成如下组件：a）钓鱼名参考（PhishNameRef）和钓鱼名局部参考（PhishNameLocalRef）元素标识着欺诈行为或者该欺诈行为的具体类别。
b）引诱源（LureSource）元素描述了钓鱼攻击源或钓鱼引诱的来源，包括主机信息和有关的恶意软件。
c）收集地点详情（DCSite）元素描述了钓鱼攻击中用于凭证收集的地点信息。d）探测源（OriginatingSensor）元素描述了检测钓鱼所使用的方法。因此，一次特定的钓鱼欺诈攻击可以由欺诈类型（FraudType）、欺诈参数（FraudParameter）、欺诈品牌名（FraudedBrandName）、引诱源（LureSource）以及钓鱼名参考（PhishNameRef）这几个元素的组合来进行基本的标识。
TiiKAoNiKAca
每个属性和元素的描述的统一结构如下：a）元素或属性的标识名称。
：YD/T3038-2016
b）元素或属性是“必填项”或者“可选项”。如果没有指明，则默认是可选的。需要指出的是，在“可选项”的元素中可能包含“必填项”的子元素。c）元素或属性的具体描述和使用说明。其包含的子元素或者枚举值分成了具体的小节进行进一步的介绍。
6.2版本（Version）属性
必填项。字符串数据类型。为了和国际上的IODEF数据兼容，本文的版本号是0.06。6.3欺诈类型（FraudType）属性6.3.1欺诈类型属性类型
必填项。枚举数据类型。欺诈类型（FraudType）属性描述了在钓鱼欺诈报告（PhraudReport）中描述的欺诈活动的类型。欺诈类型的选择关系到欺诈参数（FraudParameter）的域值内容。欺诈类型具体包括如下9种：
a）钓鱼攻击（phishing）。其对应的欺诈参数是网络钓鱼邮件、即时聊天信息或VoIP消息的主题行。该类型指典型的钓鱼引诱的信息，通常是采用电子邮件的方式，而邮件的最终目的是为了获取收件人的关键隐私信息（即凭证）。
b）招募（recruiting）。其对应的欺诈参数是招募、电骤、电子邮件或信息的主题行。c）传播恶意代码（malwaredistribution）。对应的欺诈参数是钓鱼邮件的主题行。这种类型的钓鱼邮件不会直接威胁收件人的财产安全，但是会引诱收件人访问被恶意代码感染的站点。d）欺诈站点（fraudulent site）。标识一个已知的被用来呈现引诱信息的欺诈站点。对应的欺诈参数可以设置为识别该站点的信息，比如URL。e）DNS欺骗（dnsspoof)。这个选项不关联欺诈参数。如果由于缓存中毒、ID欺骗或可能的DNS算改行为，导致DNS系统进行错误的IP地址应答时，则使用该类型。f）归档（archive）。该类型不是必须关联欺诈参数，但是也可以直接使用原始的欺诈参数作为该处的欺诈参数。钓鱼服务器上获取的归档数据存储于ArchivedData元素。g）其他（other）)。用于识别当前未列举的钓鱼政击类型。h）未知（unknown）。用来标识无法明确攻击类型的钓鱼案例，可关联欺诈参数。i）扩展值（ext-value）。该选项用来扩展未明确的钓鱼攻击类型。6.3.2扩展值属性（ext-valueAttribute）可选项。字符串数据类型。该字符串可用于填充目前还未定义的欺诈类型。6.3.3欺诈参数（FraudParameter）元素0个或1个MLStringType数据类型的值。这个元素的内容取决于欺诈类型枚举属性的选择。可能是电子邮件的主题行、VoIP引诱内容、IM消息中的链接，或者网页URL。6.4钓鱼名参考（PhishNameRef）元素0个或1个iodef：MLStringType类型的值。该元素是标识该欺诈事件的通用名称。它通常是由当事的几方或厂商共同约定的一个名称。当对外交流中需要提及该欺诈事件时，通常使用这个名称。6.5钓鱼名局部参考（PhishNameLocalRef）元素5
HiikAoNiKAca
YD/T3038-2016
0个或1个iodef：MLStringType类型的值。该元素描述了在共同商定钓鱼参考名之前，各方使用的局部名或唯一标识符（UID）。该字段可以存储一个从钓鱼举报机构到中央数据库的映射。6.6欺诈品牌（FraudedBrandName）元素0个或1个iodef：MLStringType类型的值。被欺诈攻击的品牌名或公司名。6.7引诱源（LureSource）元素
必填项。可以含有1个或多个。引诱源元素描述了欺诈报告中引诱的来源，包括IP地址、DNS域名、域名注册信息等详细信息，也可以包括强制下载的文件或由恶意代码修改的注册表键值。如图6所示。
LureSource
<--(1..*)--[System ]
<-(o..*)-[DomainData]
-(o..)--[IncludedMalware
<)-(o..1)-[FilesDownloaded
(o..1)-[windowsRegistryKeysModified]图6LureSource元素
6.7.1系统（system）元素
必填项。1个或多个iodef。System类型的值（详见IETFRFC5070中3.15节）。系统元素描述了从事钓鱼活动的主机。如果可以确认主机真实的IP地址，则填写该地址。否则设置欺骗属性（spoofedattribute）后，欺骗地址也可以填写。可以用多个系统元素来共同标识引诱源的IP地址和DNS域名。6.7.2域名数据（DomainData）元素6.7.2.1概述
0个或多个元素值。该元素描述了引诱源的域名相关的一系列信息，包括注册、授权和操作等。域名数据在欺诈活动的举报中具有重要的参考和引用作用。域名数据元素结构如图7所示。
DomainData
0-(0.. 1)-
--[DateDomainWasChecked ]
ENUM SystemStatus <)--(0..1)-［RegistrationDate]
ENUMDomainStatus>-(o..)-
-[ExpirationDate]
--[ Nameservers ]
<)(0. *)-
-［DomainContacts]
图7DomainData元素
6.7.2.2名称（Name）元素
YD/T3038-2016
必填项。1个iodef：MLStringType类型的值。名称元素包含了欺诈事件中涉及的主机的DNS域名。该值应是完整的DNS地址。比如，如果欺诈网站为WWW.example.com，那么该值就应是wwW.example.com。
6.7.2.3域名检查时间（DateDomainWasChecked）元素0个或1个时间（DATETIME）值。因为许多钓鱼者在一次钓鱼事件的不同阶段会修改域名数据，因此本元素记录了检查域名时的时间戳。6.7.2.4注册时间（RegistrationDate）元素0个或1个时间（DATETIME）值。该元素显示该域名的注册时间。6.7.2.5到期时间（ExpirationDate）元素0个或1个时间（DATETIME）值。该元素显示该域名的到期时间。6.7.2.6域名服务器（Nameservers）元素0个或多个元素值。这些字段记录着与欺诈站点域名相关的名字服务器。每个条目是一个DNSNameType和iodef:Address类型配对值的序列，如图8所示。Nameservers
[Server]
<>-(1..*)-[iodef:Address ]
图8Nameservers元素
设定为一个服务器对应多个IP地址的数据结构，是因为存在多个IP地址对应于一个名字服务器域名的情况。
6.7.2.6.1服务器（Server）元素1个iodef：MLStringType类型的值。该字段表示域名服务器的域名。6.7.2.6.2iodef：地址（iodef:Address）元素1个或多个iodef：Address类型的值。该字段列举了与服务器域名关联的IP地址。6.7.2.7域名联系人（DomainContacts）元素必填项。要么是同样的域联系人元素SameDomainContact，要么是一个或更多的联系人元素Contact。该元素允许举报者加入由域名注册机构提供的或者由Whois查询得到的域名联系人信息。考患本报告的高效性，域联系人元素可以填写相同域联系人（SameDomainContact）元素，表示和已有的其他的欺诈报告中域联系人信息相同，如图9所示。DomainContacts
O--[o..1]--[SameDomainContacts]>-{1..*)-[Contact]
图9DomainContacts元素
YD/T3038-2016
6.7.2.7.1相同域联系人（SameDomainContact）元素必填项。1个iodef：MLStringType类型的值。假如该域名的联系人的信息与本份报告或另一份已有报告的域名联系人信息相同，则将该域名填入SameDomainContact。6.7.2.7.2联系人（Contact）元素必填项。1个或多个iodef：Contact元素值。该元素重用和扩展了原有的iodef：Contact元素的组件。每个组件可能有o个值或更多的值。如果只有角色（role）和联系人名字（ContactName）组件可以填写，那么相同的联系信息为了表征多个角色会被列出。如图10所示。Contact
<>-(0. . *)
ENUMrole
ENUM restriction
STRING ext-role
ENUMtype
STRING ext-type
6.7.2.7.2.1信任（Confidence）元素<>-(0., *)
iodef:ContactName
iodef:Description
iodef:RegistryHandle]
iodef:PostalAddress]
iodef:Email
iodef:TelephoneJ
iodef:FaxJ
iodef:Timezone J
[AdditionalData
+<->［Confidence]
图10Contact元素
必填项。枚举数据类型。该元素表明了联系人信息的可信度。这个属性是iodef:Contact元素的扩展。有5个可能的信任值：
a）已知的欺诈者（known-fraudulent）。该联系人已经被确认过是欺诈者，不存在物理信息或包含的其他信息与域名注册不符的情况。b）看似欺诈（looks-fraudulent）。该联系人的众多信息中存在可疑的信息。c）已知真实（known-real）。该联系人已经被确认是正常的使用者。d）看似真实（looks-real)。该联系人的信息没有明显的可疑，但是还未经过确认。e）未知（unknown）。举报方无法判断该联系人信息的有效性。6.7.2.7.2.2扩展角色（ext-role）属性必填项。枚举数据类型。扩展角色属性基于RFC3982中iodef:ext-role属性的扩展形成。角色属性的扩展属性必须填写，且从下列值中选择：a）账单联系（billingContacts）b）技术联系（technicalContacts）c）行政联系（administrativeContacts）d）法律联系（legalContacts）e）地区联系（zoneContacts）
f）溢用联系（abuseContacts）g）安全联系（securityContacts）h）其他联系（otherContacts）i）主机提供者（hostingProvider）。欺诈活动相关服务器的主机提供者。8
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。