組織：中國互動出版網（http://www.china-pub.com/）
RFC文檔中文翻譯計劃（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
譯者：郝國生（booking  gs_hao@263.net） 
譯文發布時間：2002-1-18
版權：本中文翻譯文檔版權歸中國互動出版網所有。可以用于非商業用途自由轉載，但必須
保留本文檔的翻譯及版權信息。



Network Working Group                                       J. Arvidsson
Request for Comments: 3067                                    Telia CERT
Category: Informational                                       A. Cormack
                                                               JANET-CERT
                                                             Y. Demchenko
                                                                   TERENA
                                                                J. Meijer
                                                                  SURFnet
                                                            February 2001
TERENA'S事件對象描述和轉換格式要求 
(RFC3067—TERENA's Incident Object Description and Exchange Format equirements)

備忘錄狀態
該備忘錄專為Internet 組織提供信息。它不指定任何類型的Internet 標準。本備忘錄的
發行不受任何限制。
版權聲明
Copyright (C) The Internet Society (2001).  All Rights Reserved.
摘要
事件對象描述和轉換格式的目的是要定義通用數據格式，該數據格式用于CSIRTs（計
算機安全事件響應組）（包括：報警、事件調查、存檔、統計、報告等）之間事件信息的描
述、存檔和轉換。本文獻描述了對于這樣一種事件對象描述和轉換格式的高級要求，包括那
些要求的原因。并在必要的地方引用例子對這些要求進一步解釋。
目錄
1本文獻約定使用	3
2介紹	3
2.1基本原理	3
2.2事件描述術語	4
2.2.1攻擊	4
2.2.2攻擊者	4
2.2.3 CSIRT	4
2.2.4損害	4
2.2.5事件（Event）	4
2.2.6證據	5
2.2.7事件（Incident）	5
2.2.8效果	5
2.2.9目標	5
2.2.10受害者	6
2.2.11缺陷	6
2.2.12其它術語	6
3綜合要求	6
4描述格式	6
4.1 IODEF將支持完全國際化和地方化	6
4.2 IODEF必須支持事件描述的模塊化以允許數據集合與過濾	7
4.3 IODEF必須支持對每一個元件訪問限制策略的應用	7
5通信機制要求	7
IODEF轉換將通常由使用標準協議的人發起，例如，e-mail, WWW/HTTP,	7
6信息內容	8
6.1 IO描述的根部件應當包括唯一的辨別數字（或者標識符）、IO目標以及缺省許
可級別	8
6.2 IODEF描述的內容應當包括攻擊的類型，如果攻擊是可知的	8
6.3 IODEF描述必須結構化以便那些諸如來自CERT/CC, CVE的任何相關的咨詢都
可以涉及到	8
6.4 IODEF可以包括引起當前事件攻擊的詳細描述	8
6.5 IODEF描述必須包括或者能夠涉及與明確的優先事件/行為相關的額外詳細數
據以及經常提到的證據	9
6.6 IODEF描述必須包括對攻擊者和受害者的描述	9
6.7 IODEF描述必須支持設備地址不同類型的表述，例如IP地址（版本4.0或6.0）
和國際互聯網名稱	9
6.8 IODEF必須包括事件對象創建者（CSIRT或其他權威）的身份	9
6.9 IODEF描述必須包括事件對目標可能影響的說明	9
6.10 IODEF必須能夠聲明在報告信息中的可信度	10
6.11 IODEF描述必須提供關于事件過程中以前的CSIRTs采取措施的信息	10
6.12 IODEF必須支持沿事件生命周期全階段的時間報告	10
6.13 時間應視作當地時間和來自UTC的時區偏移	10
6.14 報告日期的格式必須適應全部的當前標準2000年翻轉法，并且必須有足夠的
容量持續記錄直到2038年的日期有效值	10
6.15 IO時間參數中的時間間隔尺寸將不由IODEF確定	11
6.16 IODEF應當支持描述內容的機密性	11
6.17 IODEF應當確保描述內容的完整性	11
6.18 IODEF應當確保信息內容的真實性和非批判性	11
6.19 IODEF描述必須支持可能被執行者使用的擴展機制	11
6.20 必須適當定義IODEF描述的語義學	12
7 IODEF擴展性	12
IODEF自身必須是可擴展的	12
8 安全考慮	12
9 參考文獻	12
致謝	13
作者地址	14
全部版權聲明	14
認證	14

1本文獻約定使用
在本文獻中使用的關鍵字"MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
"SHOULD", "SHOULD NOT", RECOMMENDED", "MAY", and "OPTIONAL" 將按照在
RFC 2119 [1]中所描述的那樣來解釋。
2介紹
本文獻定義了事件對象描述和轉換格式(IODEF)的要求，這些要求是事件分類工作組
(ITDWG) 在TERENA [2]方面所期望的產物。IODEF計劃將成為一種標準，該標準允許
CSIRTs轉換可操作和可統計的信息。這一標準也可能為兼容的和可互聯操作工具的發展提
供一種基礎，這些工具則用于事件記錄、跟蹤和轉換。
另一個目標是把IETF IDWG的工作（當前主要集中在侵入檢測轉換格式和通訊協議兩
方面）擴展到和網絡安全中較高級元件相同事件的描述。這一方案將涉及到CSIRTs以及與
他們的支持者相關的諸多問題。
本文獻將第一次包括文獻類的IODEF設置，IODEF數據模版和XML DTD說明。關于
該文獻進一步的討論請與以下郵件地址聯系：incident-taxonomy@terena.nl或者 
iodef@terena.nl ，相關文檔可以通過以下網址得到：
http://hypermail.terena.nl/incident-taxonomy-list/mail-archive/  以及
http://hypermail.terena.nl/iodef-list/mail-archive/ 。
2.1基本原理
工作是以試圖建立合作和信息轉換為基礎的，該合作以及信息轉換將在歐洲最主要的/
高級的CSIRTs和FIRST團體之間完成。這些CSIRTs懂得信息轉換以及合作在處理、跟
蹤和調查安全事件中的優勢所在。
計算機事件正在逐漸變為分布式和國際化的事件，許多CSIRTs事件突破了國界、語言
和文化的約束。對于未來事件的預防和國際互聯網安全性的改善來說，郵遞事件信息以及統
計學轉換便顯得尤為重要。在所有這些事件中，信息轉換的關鍵因素在于事件（對象）描述
的通用格式方面。
IODEF的進一步發展或者執行可能會用于辯論的目的，這意味著事件描述必須明確，并
且允許將來保管（檔案/文件）這些特征。
把開發IODEF作為目標的另一方面原因是需要有比IDS（侵入檢測系統）將要提出的和
IDEF（侵入檢測轉換格式）所建議的更高水平的事件描述和轉換格式。與IDEF以及其他相
關標準的兼容性將由IODEF對模塊化和擴展性的要求給予滿足。IODEF應當與IDMEF縱
向兼容，IODEF可以能夠包括或者參照IDMEF報警信息作為關于事件的初始信息。
2.2事件描述術語
下面清楚地給出了本文獻其余部分所使用主要術語的定義。
其中，可能使用一些現有的定義。許多定義需要附加細節和進一步考慮。
由TERENA's ITDWG [2]創建的計算機安全事件相關術語分類法在[12]中被介紹。
2.2.1攻擊
是指對系統安全的侵襲，這種襲擊來源于一種智能威脅，例如，經過深思熟慮試圖躲避
安全服務、避開系統安全策略的這樣一種智能行為。
攻擊可能是主動的也可能是被動的，可能是內部知情人員也可能是外部毫不相關人員，
或者是經由攻擊的中間人員。
2.2.2攻擊者
攻擊者是指為達到某種（些）目的而嘗試一次或多次攻擊的個別人員。
對于IODEF的目的，可通過其網絡身份來描述攻擊者，網絡身份組織是引起網絡/計算
機攻擊和物理位置信息（任意）的所在。
2.2.3 CSIRT
CSIRT（計算機安全事件響應序列）在IODEF被用于提及權威人士處理事件和創建事件
對象描述。CSIRT也可能涉及到證據的收集和保管以及事件維護等。
在IODEF CSIRT中通過其身份、支持者、公共鍵等呈現出來。
2.2.4損害
是指影響目標系統或服務正常操作的攻擊所產生的有意或無意后果。損害描述可以包括
實際攻擊效果免費文本描述，如果可能，還會包括獨特被破壞的系統、子系統或者服務的結
構化信息。
2.2.5事件（Event）
是指直接面對目標的一種行為，這種行為會趨向于引起目標狀態（情形）的變化。從事
件起源的觀點來看，該術語可以被定義為系統或網絡中任何可見事件，而該事件會導致即將
產生的報警事件的發生。例如，在10秒鐘時間內連續3次登錄失敗，就可能顯示強行登錄
攻擊事件。
2.2.6證據
證據是指與事件相關的信息，該信息用來證明或支持關于事件的結論。對于安全事件（事
件），可能包括以下內容，但不局限于以下內容：由侵入檢測系統(IDS)創建的數據累積、來
自系統日志文件的數據、要點統計、高速緩存、存儲、臨時文件系統或者其它引起報警或在
事件發生后收集的數據。
當存儲、存檔證據的時候必須采用專用的規則，必須十分小心，特別要保護證據的完整
性。必要的時候，證據應當加密存儲。
根據證據收集和存檔的指導方針，證據必須被嚴格保護。一系列證據保管需要被清楚證