YD_T 3038-2016钓鱼攻击举报数据交换协议技术要求.pdf

ICS 35.100.70L 79中华人民共和国通信行业标准YD/T3038-2016钓鱼攻击举报数据交换协议技术要求Technicalrequirementtodataformatofphishing attack information reporting2016-04-05发布2016-07-01实施中华人民共和国工业和信息化部发布 YD/T3038-20160个或1个iodef：MLStringType类型的值。该元素描述了在共同商定约鱼参考名之前，各方使用的局部名或唯一标识符（UID)。该字段可以存储一个从钓鱼举报机构到中央数据库的映射。6.6欺诈品牌（FraudedBrandName）元素0个或1个iodef：MLStringType类型的值。被欺诈攻击的品牌名或公司名，6.7引诱源（LureSource）元肃必填项。可以含有1个或多个。引诱源元素描述了诈报告中引诱的来源，包括IP地址、DNS域名、域名注册信息等详细信息，也可以包括强制下载的文件或由恶意代码修改的注册表键值。如图6所示，LureSource()—(0. *){ Deoainbata )(-(1. . *) —[ Systen ])—(0. . 1)[ Ineludedilalvare((0. . 1)—[ FilesDowsleededO-(o. . 1)[ vindowsRegistryfeysllodified ]图6LureSource元索6.7.1系统（system）元肃必填项，1个或多个iodef。System类型的值（详见IETFRFC5070中3.15节）。系统元素描述了从事钓鱼活动的主机。如果可以确认主机真实的IP地址，则填写该地址。否则设置欺骗属性（spoofedattribute）后，欺聘地址也可以填写可以用多个系统元素来共同标识引诱源的IP地址和DNS域名。6.7.2域名数据（DomainData）元索概述0个或多个元素值。该元素描述了引诱源的或名相关的一系列信息，包括注册、授权和操作等。域名数据在欺诈活动的举报中具有重要的参考和引用作用。域名数据元素结构如图7所示。DomainData[ DateDonainllasChecked ][ Nane ]-(0. , 1)ENUN SystenStatus(0. , 1)[ ExpiraticeDate ][ RegistrationDate ]ENUM DonaisStatus(* * °0) () (0, , 1)—(0. . 1)-[ DonsinContacts [ SJOAZOSOMN J图7DomainData元素名称（Name）元索素6 YD/T填项。1个iodef：MLStringType类型的值。名称元素包含了诈事件中涉及的主机的DNS域名。该值应是完整的DNS地址。比如，如果款诈网站为WWW.，那么该值就应是wwW.。域名检查时间（DateDomainWasChecked）元素0个或1个时间（DATETIME）值。因为许多钓鱼者在一次钓鱼事件的不同阶段会修改域名数据，因此本元素记录了检查域名时的时间截。注册时间（RegistrationDate）元素0个或1个时间（DATETIME）值。该元素显示该域名的注册时间。到期时间（ExpirationDate）元索0个或1个时间（DATETIME）值。该元素显示该域名的到期时间。域名服务器（Nameservers）元素0个或多个元素值。这些字段记录着与欺诈站点域名相关的名字服务器，每个条目是一个DNSNameType和iodef:Address类型配对值的序列，如图8所示。NameserversO(1..*) [ iodef:Address ][ Server]图8Nameservers元索设定为一个服务器对应多个IP地址的数据结构，是因为存在多个IP地址对应于一个名字服务器域名的情况。.1服务器（Server）元索1个iodef：MLStringType类型的值。该字段表示域名服务器的域名，.2iodef：地址（iodef:Address）元素1个或多个iodef：Address类型的值。该字段列举了与服务器域名关联的IP地址。域名联系人（DomainContacts）元索必填项。要么是同样的域联系人元素SameDomainContact，要么是一个或更多的联系人元素Contact。该元素允许举报者加入由域名注册机构提供的或者由Whois查询得到的域名联系人信息。考虑本报告的高效性，域联系人元素可以填写相同域联系人（SameDomainContact）元素，表示和已有的其他的欺诈报告中域联系人信息相同，如图9所示。DomsinContacts)[0. . 1] [ SameDonainC