1、ICS 35.020CCS L 01苏州市地方标准DB3205/T 10432022数字政府城市网络安全威胁流量监测数据管理规范2022-08-19 发布2022-08-26 实施苏州市市场监督管理局苏州市市场监督管理局发 布DB3205Digital government-Specification for data management of networktraffic monitorDB3205/T 10432022I目次前言.II引言.III1范围.12规范性引用文件.13术语和定义.14管理职责.25数据采集.25.1数据采集总体要求.25.2安全威胁监测数据要求.25.3流量元数
2、据采集要求.25.4原始数据包和还原文件数据采集要求.36数据传输.36.1数据传输过程.36.2数据传输方式.37数据存储与使用.48数据安全.48.1审计日志数据要求.48.2报警日志数据要求.48.3数据传输安全要求.4附录 A(规范性)输出数据内容和格式.5附录 B(规范性)攻击告警分类.15附录 C(资料性)网络威胁流量监测设备的功能要求和性能要求.19参考文献.21DB3205/T 10432022前言本文件按照GB/T 1.1-2020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。本文件由苏州市公安局提出并归口。本文件起草单位:苏州市公安局、国家计算机网络与信息
3、安全管理中心江苏分中心、苏州市质量和标准化院、三六零科技集团有限公司、三六零数字安全科技集团有限公司、苏州三六零安全科技有限公司、江苏百达智慧网络科技有限公司、北京天云海数技术有限公司、北京网御星云信息技术有限公司、亚信科技(成都)有限公司、山石网科通信技术股份有限公司。本文件主要起草人:李晶、庄唯、袁欣、厉白、高威、朱泽洲、赵云、顾弘、周文渊、李姝、殷倩、张欣艺、宋剑超、罗冬雪、邬鹏程、宋贵生、龙伟、杨凯、季海晨。本文件为首次发布。DB3205/T 10432022III引言近年来,随着信息化建设的不断发展,网络安全事件层出不穷,其种类、手段也呈现出了多样化的态势,网络安全形势面临着一个又一
4、个的威胁与挑战。为了准确把握安全威胁、风险和隐患,有效应对网络安全的严峻威胁和挑战,获取海量网络安全数据,并且对海量安全数据进行分析,获取全面实时的网络安全态势和趋势就变得尤为重要。而在海量的网络安全数据中,网络安全威胁流量监测设备采集的数据占有较大的比重,因此更应引起重视。当前,不同厂商提供的设备或系统所产生的网络安全威胁流量监测数据格式不统一、不规范,客观上对网络安全体系的建设和相关平台与系统的数据对接造成了不利影响。在这种情况下,我们决定制定网络安全威胁流量监测数据的管理规范,对监控数据的类型、数据内容和管理要求等内容做出明确规定,其目的是确保网络安全威胁流量监测数据能高效、便捷地与城市
5、网络安全防护平台进行数据传输,相关管理工作能高效、持续、稳定地进行,从而保障城市网络安全的稳定可靠。本文件对数据采集、数据传输、数据存储与使用、数据安全等多方面提出了明确的要求,以此来保障数据的归一化,为网络安全体系和相关平台提供规范化、统一标准的网络安全威胁流量监测数据。DB3205/T 104320221数字政府城市网络安全威胁流量监测数据管理规范1范围本文件规定了城市网络安全威胁流量监测的管理职责、数据采集、数据传输、数据存储与使用、数据安全。本文件适用于教育、医疗卫生、水利、电力、能源等关键行业和重点单位的网络安全评估与管理工作,可在进行网络安全评估与管理工作中的网络安全威胁流量监测数
6、据采集时使用本文件,其他相关关键行业和重点单位可参考执行。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件,不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069-2010信息安全技术术语GB/T 34960.5-2018信息技术服务 治理 第5部分:数据治理规范GB/T 37973-2019信息安全技术 大数据安全管理指南3术语和定义下列术语和定义适用于本文件。3.1网络流量network traffic能够连接网络的设备在网络上所产生的数据包的集合。3.2网络威胁流量监测ne
7、twork threat traffic monitoring对网络出口处的流量进行实时采集,通过协议分析、与已知安全威胁规则匹配、与威胁情报库匹配等方式,发现流量中的异常信息,并生成对应网络安全告警。3.3网络安全威胁流量监测设备network threat traffic monitoring equipment又称为网络流量探针,从被观察的信息系统中,通过感知、监测等收集事态数据的一种部件或代理。来源:GB/T 25069-2010,2.2.1.27,有修改3.4心跳heartbeat在设备监测中,各设备之间通过周期性发送的信息,并以此判断设备的健康状况,判断对方是否存活。3.5隧道tu
8、nnel在联网的设备之间,一种隐藏在其他可见性更高的协议内部的数据路径。来源:GB/T 25069-2010,2.2.1.105DB3205/T 1043202223.6添加变量salt作为单向函数或加密函数的二次输入而加入的随机变量,可用于导出口令验证数据。来源:GB/T 25069-2010,2.2.2.1864管理职责网络安全威胁流量监测数据的责任单位,应对数据的操作、使用、共享等方面进行管理和监控,要求如下:a)数据所有者、各行业主管部门、公安机关、国家网信部门等应在各自职责范围内对数据进行管理与监控;b)应对数据的使用与共享等操作进行规范化管理,并建设对应的管理制度;c)应配备数据管
9、理人员,对数据进行统一管理与维护;d)应对数据操作人员及操作信息进行记录。注:各行业主管部门是指教育、医疗卫生、水利、电力、能源、交通等关键行业的主管部门。5数据采集5.1总体要求数据提供机构提供的城市网络安全威胁流量监测数据应包含如下几类:安全威胁监测数据、流量元数据、原始数据包和还原文件、心跳信息。针对实时采集获取的流量数据,应在遵循 GB/T 37973-2019中8.2的前提下,满足如下要求:a)应为实时解析的网络出口原始全会话流量,并包含相关协议以及还原后的文件;b)应包含未经加工的原始全会话流量,流量覆盖率应为100%;c)应能依据特定匹配条件提供对应的流量数据。5.2安全威胁监测
10、数据要求针对安全威胁监测的数据,要求如下:a)应包含根据已知漏洞的特点和攻击特征监测出的利用已知漏洞的网络攻击行为数据,并需要包含对典型攻击成功与否的判定结果;b)应包含根据威胁情报信息发现的高级威胁告警数据,告警数据中应包含对域名、IP地址、文件哈希等多种威胁情报的匹配结果,并需要包含对典型攻击成功与否的判定结果;c)应包含WEB类威胁监测结果数据,至少应含有如下类型:SQL注入、跨站脚本攻击(XSS)、命令执行、浏览器劫持、溢出攻击、WEBSHELL等,并需要包含对典型攻击成功与否的判定结果;d)应包含多种网络协议下恶意代码检测结果数据(包括木马、网络型病毒、蠕虫、僵尸网络等),网络协议类
11、型至少应含有:HTTP、SMTP、POP3、IMAP、FTP协议;e)应包含根据已知木马的网络行为特征、数据流特征或文件特征等监测出的已知木马的攻击行为数据,并需要包含对典型攻击成功与否的判定结果;f)应包含异常通信行为数据,类型至少应含有:定时异常通信、DNS子域名发现、web目录探测、暴力破解、隧道通信、扫描探测、挖矿木马、DDoS攻击等。5.3流量元数据采集要求DB3205/T 104320223针对流量元数据,要求如下:a)应包括解析后的TCP、UDP通信会话的相关元数据;b)应包括解析后HTTP协议的相关元数据;c)应包括解析后DNS协议的相关元数据;d)应包括解析后SMTP、POP
12、3、IMAP协议的相关元数据;e)应包括解析后FTP协议的相关元数据;f)应包括解析后Telnet协议的相关元数据;g)应包括解析后SSH协议的相关元数据;h)应能提供依据IP地址、协议类型、协议字段等过滤规则过滤后的日志数据。5.4原始数据包和还原文件数据采集要求安全告警对应原始数据包以及城市网络安全防护平台进行安全分析时产生的特定IP、域名等信息对应的原始数据包需向平台进行传输,原始数据包与还原文件的要求如下:a)原始数据包应包含依据IP、域名等信息捕获特定通信流量的原始数据包;b)还原文件应包含HTTP、SMTP、POP3、IMAP、FTP协议的还原文件;c)文件格式至少应支持以下几类:
13、压缩文件(如RAR、ZIP、7Z)、可执行文件;d)应能提供依据自定义文件类型、协议等过滤规则过滤后的数据;e)针对检测到的恶意文件,回传内容应包含恶意文件的哈希值、大小、文件类型、文件、流量日志五要素。6数据传输6.1数据传输过程各数据提供机构应按照第5章数据采集、附录A输出数据内容和格式以及附录B攻击告警分类的要求进行数据采集,并根据数据提供机构各自的情况选择不同的数据传输方式进行数据传输,数据管理方对数据的质量进行审核,审核通过后的数据由数据管理方进行数据的治理入库,网络安全威胁流量监测设备的功能要求和性能要求可参照附录C。6.2数据传输方式6.2.1通过高吞吐量的分布式发布订阅消息系统
14、传输本方法适用于已接入监管侧第三方要求的端到端加密网络系统的网络安全威胁流量监测设备或平台传输数据时使用,具体要求如下:a)传输数据类型:安全威胁监测数据、流量元数据、原始数据包和还原文件;b)数据以 JSON 的格式封装单条记录,经过 Kafka 等高吞吐量的分布式发布订阅消息系统传输至数据接收前置机;c)外发字符串应采用 UTF-8 编码;d)数据传输频率为实时传输。6.2.2通过 API 接口方式传输本方法适用于未接入监管侧第三方要求的端到端加密网络系统的平台传输数据,或传输数据中的附件文件太大,超出Kafka允许最大长度时使用,具体要求如下:a)传输数据类型:心跳数据、安全威胁监测数据
15、、流量元数据、原始数据包和还原文件;DB3205/T 104320224b)平台流量告警数据对接接口为HTTP协议的通信接口,方法为POST;c)数据传输格式为JSON;d)外发字符串应采用UTF-8编码;e)认证方式:在JSON体中增加token和send_time(unix ms级),其中token=md5(from+send_time+SALT+key),用于校验用户,每次调用均需生成;f)数据传输频率为实时传输;g)发送的心跳信息应至少包含如下内容:厂家、型号、部署位置、IP、状态、今日经过流量数、今日生成日志数、今日生成告警数、当前CPU利用率、当前磁盘利用率、当前内存利用率、系统版
16、本、授权到期日。7数据存储与使用7.1数据所有者、各行业主管部门、公安机关、国家网信部门等应在各自职责范围内承担数据的存储与安全监管职责。7.2已建设网络安全威胁流量监测能力的平台或单位,应最终实现与苏州市城市网络安全防护平台关于网络安全威胁流量监测数据的对接。7.3网络安全监管单位应对接收的网络安全威胁流量监测数据进行数据治理、入库及数据备份工作,数据治理工作应按照 GB/T 34960.5-2018 要求执行。7.4城市网络安全防护平台基于治理后的网络安全威胁流量监测数据,通过安全验证与分析,发现网络安全威胁,并下发对应的重点单位进行整改,以此确保城市的网络安全状况稳定。8数据安全8.1审
17、计日志数据要求每一条审计日志中均应包含该行为发生的日期、时间、用户标识、描述和结果。审计日志的生成条件如下:a)用户登录行为,包括成功和失败;b)对安全规则进行更改的操作;c)因鉴别尝试不成功的次数达到设定值,导致的会话连接终止;d)对日志记录的备份;e)用户的其它操作。8.2报警日志数据要求报警日志内容应包含事件发生的日期、时间、事件主体和事件描述,且应为管理员可理解的,具体报警日志的生成条件如下:a)存储空间达到设定值;b)用户鉴别失败的次数达到设定值;c)其它系统事件。8.3数据传输安全要求网络安全威胁流量监测数据应能通过基于监管侧第三方要求的端到端加密网络系统进行加密传输,保证数据传输
18、安全。DB3205/T 104320225附录A(规范性)输出数据内容和格式A.1安全威胁监测日志格式安全威胁监测日志包括攻击监测日志、恶意代码监测日志和威胁情报告警日志三种。每种类型的日志由通用部分和专用部分两部分组成。通用部分即每种日志公用的头部信息(见表A.1),其余各部分参见各章节定义。对于各种类型的威胁监测日志,本文件定义了比较明确的威胁日志类型和字段,如有不在定义范围内的,可扩展和补充。表A.1规定了安全威胁监测日志通用部分的数据内容与格式。表A.2规定了安全威胁监测日志中攻击监测日志专用部分的内容与格式,攻击监测日志包含附录B中拒绝服务攻击、后门攻击、漏洞攻击这三类告警的专用部分
19、。表A.3规定了安全威胁监测日志中恶意代码监测日志专用部分的内容与格式,恶意代码监测日志包含附录B中有害程序告警的专用部分。表A.4规定了安全威胁监测日志中威胁情报告警日志专用部分的内容与格式,威胁情报告警日志包含附录B中威胁情报告警的专用部分。表 A.1通用部分序号数据项英文名称数据项中文描述必填说明1device_ip设备 IP是设备 IP2time时间是安全威胁发生时间3sip_ipv4源 IPv4 地址是安全威胁关联的源 IPv4 地址4sip_ipv6源 IPv6 地址否安全威胁关联的源 IPv6 地址5smac源 MAC 地址否安全威胁关联的源 MAC 地址6sport源端口是安全
20、威胁关联的源端口7sregion源 IP 归属地否当源 IP 是互联网 IP 时填写,例如美国、日本8dip_ipv4目的 IPv4 地址是安全威胁关联的目的 IPv4 地址9dip_ipv6目的 IPv6 地址否安全威胁关联的目的 IPv6 地址10dmac目的 MAC 地址否安全威胁关联的目的 MAC 地址11dport目的端口是安全威胁关联的目的端口12dregion目的 IP 归属地否当目的 IP 是互联网 IP 时填写,例如美国、日本13proto_1传输层协议否传输层协议14attack_id攻击类型是参见附录 B 攻击告警分类15ename告警名称是安全威胁的名称16level告
21、警等级是0:信息,1:低危,2:中危,3:高危,4:超危17msg告警描述是安全威胁的简要描述DB3205/T 104320226表 A.2 攻击监测日志序号数据项英文名称数据项中文描述必填说明1proto_2应用层协议类型否应用层协议类型,如 HTTP、FTP 等2rid匹配规则 ID否匹配规则 ID3appendix附加信息否附加描述,如 SQL 注入攻击,则把 SQL 注入的 URL 地址记录在此4pcap数据包 ID否与数据包进行关联5result结果判定否0:失败,1:成功,2:未知6direction攻击方向否攻击的方向7external_ip外联 IP否外联 IP8avg_tim
22、e_tv平均请求时间间隔否针对定时木马通信告警9user_name用户名否针对暴力破解告警10password密码否针对暴力破解告警11root_domain根域名否针对隧道通信告警12sub_domain_count子域名个数否针对隧道通信告警14avg_domain_len域名平均长度否针对隧道通信告警15phase攻击阶段否所处的攻击阶段16count攻击次数否攻击的次数统计17start_time攻击开始时间否攻击开始的时间18end_time攻击结束时间否攻击结束的时间表 A.3恶意代码监测日志序号数据项英文名称数据项中文描述必填说明1name_id恶意代码 ID否恶意代码的 ID2
23、name恶意代码名称是恶意代码的名称3type恶意代码分类否病毒、木马、蠕虫、僵尸程序等4proto_2应用层协议类型是HTTP、FTP、SMTP 等5infect感染文件是文件名6op操作否处理方式7md5文件 MD5 字符型是文件的 MD58file_type文件类型是文件的类型9appendix1附加信息 1否邮件、URL 信息等DB3205/T 104320227表 A.4威胁情报告警日志序号数据项英文名称数据项中文描述必填说明1source_type数据源类型是登录、文件传输、DNS 及 web 访问,哪一种数据源匹配中了 IOC2source_contentioc 命中的原始内容否
24、ioc 命中的原始内容3attacker_ipv4攻击者 IPv4 地址是攻击者 IPv4 地址4attacker_ipv6攻击者 IPv6 地址否攻击者 IPv6 地址5victim_ipv4受害者 IPv4 地址是受害者 IPv4 地址6victim_ipv6受害者 IPV6 地址否受害者 IPv6 地址7ioc情报内容是具体命中的威胁情报内容8ioc_name情报规则名是情报规则名9ioc_type情报类型是命中情报的类型10ioc_desc情报描述是情报中对攻击组织及攻击手法的描述11group攻击组织否通过情报确定最后的攻击组织A.2流量元数据提取日志格式流量元数据提取日志包括:HT
25、TP 审计、FTP 审计、邮件审计、数据库审计、登录动作审计、DNS 数据审计、文件传输审计日志等。每种类型的日志由两部分组成,通用部分和专用部分,通用部分即每种日志公用的头部信息(表A.5 通用部分),其余各部分参见各章节定义,若无对应的专用部分,则可只传输通用部分。表 A.5 规定了流量元数据提取日志通用部分的内容与格式,表 A.6 规定了流量元数据提取日志中HTTP 审计专用部分的内容与格式,表 A.7 规定了流量元数据提取日志中 FTP 审计专用部分的内容与格式,表 A.8 规定了流量元数据提取日志中邮件审计专用部分的内容与格式,表 A.9 规定了流量元数据提取日志中数据库审计专用部分
26、的内容与格式,表 A.10 规定了流量元数据提取日志中登录动作审计专用部分的内容与格式,表 A.11 规定了流量元数据提取日志中 DNS 数据审计专用部分的内容与格式,表A.12 规定了流量元数据提取日志中文件传输审计专用部分的内容与格式。DB3205/T 104320228表 A.5通用部分序号数据项英文名称数据项中文描述必填说明1device_ip设备 IP是设备 IP2time时间是发生时间3sip_ipv4源 IPv4 地址是关联的源 IPv4 地址4sip_ipv6源 IPv6 地址否关联的源 IPv6 地址5smac源 MAC 地址否关联的源 MAC 地址6sport源端口是关联的
27、源端口7sregion源 IP 归属地否当源 IP 是互联网 IP 时填写,例如美国、日本8dip_ipv4目的 IPv4 地址是关联的目的 IPv4 地址9dip_ipv6目的 IPv6 地址否关联的目的 IPv6 地址10dmac目的 MAC 地址否关联的目的 MAC 地址11dport目的端口是关联的目的端口12dregion目的 IP 归属地否当目的 IP 是互联网 IP 时填写,例如美国、日本13proto_2应用层协议是应用层协议邮件审计包括但不限于:pop3/smtp/imap数据库审计包括但不限于:mysql表 A.6HTTP 审计序号数据项英文名称数据项中文描述必填说明1me
28、thodHTTP 请求方法是HTTP 请求方法2uri请求的资源是HTTP 审计日志中的请求资源3host请求的域名是HTTP 审计日志中的请求的域名4origin请求的原始来源否HTTP 审计日志中的请求的原始来源5cookiecookie否HTTP 审计日志中的 cookie6agent请求者信息否HTTP 审计日志中的请求者信息7referer链接来源否HTTP 审计日志中的链接来源8xff请求真实 ip 和代理否HTTP 审计日志中的请求真实 ip 和代理9data传送的数据是post 类型的数据,截取 post 的部分原始数据,最多 1000 字节10status状态码是响应状态11
29、setcookiesetcookie否setcookie12content_type内容类型否内容类型DB3205/T 104320229表 A.7FTP 审计序号数据项英文名称数据项中文描述必填说明1user用户名是用户名2seq操作命令序号是FTP 的控制命令每产生一个操作就会产生一条日志。用户每次登录后会有多个操作,这个字段用来标明操作顺序,计数从 0 开始3op操作命令是操作命令4ret操作结果是操作的结果表 A.8邮件审计序号数据项英文名称数据项中文描述必填说明1mid邮件 message-id否邮件 message-id2mail_time发送或接收时间是邮件的发送或接收时间3ma
30、il_from发件人是邮件的发件人4to收件人是邮件的收件人5cc抄送人否邮件的抄送人6subject邮件主题是邮件的主题7body邮件正文是邮件的正文8references被回复的 id否邮件中被回复的 id9bcc密送否邮件的密送10returnpathReturnpath 头部否邮件的 Returnpath 头部11receivedReceived 头部否邮件的 Received 头部12attach_md5附件 md5否附件 md513mime_type附件类型否附件类型14name附件名称否附件名称表 A.9数据库审计序号数据项英文名称数据项中文描述必填说明1version协议版本是
31、协议的版本2db_type数据库类型是Mssql,oracle,mysql,postgresql 等值3user用户名是用户名4db_name数据库名是数据库名5ret_code操作返回信息是操作返回信息6sql_info操作信息是操作信息7normal_ret操作结果否0:失败,1:成功DB3205/T 1043202210表 A.10登录动作审计序号数据项英文名称数据项中文描述必填说明1passwd登陆密码是不能以明文显示或回传2info登陆结果是0:失败,1:成功3user用户名是用户名4db_type数据库类型否当登录的是数据库时,该字段会有数值,表示数据库具体类型表 A.11DNS
32、数据审计序号数据项英文名称数据项中文描述必填说明1dns_typeDNS 访问类型是DNS 访问类型2hostHost是Host3addr地址资源是地址资源4mx邮件交换记录是邮件的交换记录5cname域名规范名称是域名的规范名称6reply_code响应结果状态是响应结果状态7count统计值否dns 头部统计信息表 A.12文件传输审计序号数据项英文名称数据项中文描述必填说明1uri传输的资源及路径否http 使用2host域名否http 使用3referer链接来源否http 使用4status状态码否http 使用5file_dir标示文件方向否http 使用,0:服务端传往客户端,1
33、:客户端传往服务端6trans_mode传输模式否ftp 使用,0:上传,1:下载7method方法否http 使用8file_name文件名字是文件名字9file_md5文件 MD5是文件 MD510mime_type文件类型是文件类型A.3原始数据包和样本格式原始数据包、样本包括数据包文件格式、TCP 会话审计、UDP 会话审计、HTTP、FTP 类格式、邮件类格式等。表A.13 规定了原始数据包和样本中数据包的内容与格式,表A.14 规定了原始数据包与样本中TCP会话审计的内容与格式,表 A.15 规定了原始数据包与样本中 UDP 会话审计的内容与格式,表 A.16 规定了原始数据包与样
34、本中 HTTP、FTP 类的内容与格式,表 A.17 规定了原始数据包与样本中邮件类的内容与格式。DB3205/T 1043202211表 A.13数据包文件格式序号数据项英文名称数据项中文描述必填说明1device_ip设备 IP是设备 IP2link_id设备链路 ID否设备链路 ID3file_name数据包文件名称是数据包的文件名称4file_size数据包文件大小是数据包的文件大小5alter_time警报触发时间是警报触发的时间6alter_name警报名称是警报的规则名称7alter_type警报类型是警报的类型8alter_level警报级别是1:高,2:中,3:低9msg触发
35、条件否触发条件10src触发警报源 IP是触发警报源 IP11sport触发警报源端口是触发警报源端口12dst触发警报目标 IP是触发警报目标 IP13dsport触发警报目标端口是触发警报目标端口表 A.14TCP 会话审计序号数据项英文名称数据项中文描述必填说明1device_ip设备 IP是设备 IP2client_ip_addr客户端 IP是客户端 IP3server_ip_addr服务器 IP是服务器 IP4client_port客户端端口是客户端端口5server_port服务器端口是服务器端口6client_netsegment_id客户端网段否客户端网段7server_net
36、segment_id服务器网段否服务器网段8app应用否应用9proto_1传输层协议是传输层协议10client_country_id客户端 IP 所属国家否客户端 IP 所属国家11server_country_id服务器 IP 所属国家否服务器 IP 所属国家12client_total_byte客户端总字节数是客户端总字节数13client_total_packet客户端总包数是客户端总包数14server_total_byte服务器总字节数否服务器总字节数15server_total_packet服务器总包数是服务器总包数16flow_start_time流开始时间是流开始时间17f
37、low_end_time流结束时间是流结束时间18flow_duration流持续时间否流持续时间19total_byte总字节数否总字节数20total_byteps每秒字节数否每秒字节数21total_packet总包数否总包数22total_packetps每秒包数否每秒包数23avg_pkt_size平均包长否平均包长DB3205/T 1043202212表 A.15UDP 会话审计序号数据项英文名称数据项中文描述必填说明1device_ip设备 IP是设备 IP2client_ip_addr客户端 IP是客户端 IP3server_ip_addr服务器 IP是服务器 IP4clien
38、t_port客户端端口是客户端端口5server_port服务器端口是服务器端口6client_netsegment_id客户端网段否客户端网段7server_netsegment_id服务器网段否服务器网段8app应用否应用9proto_1传输层协议是传输层协议10client_country_id客户端 IP 所属国家是客户端 IP 所属国家11server_country_id服务器 IP 所属国家是服务器 IP 所属国家12client_total_byte客户端总字节数是客户端总字节数13client_total_packet客户端总包数是客户端总包数14server_total_b
39、yte服务器总字节数否服务器总字节数15server_total_packet服务器总包数是服务器总包数16flow_start_time流开始时间是流开始时间17flow_end_time流结束时间是流结束时间18flow_duration流持续时间否流持续时间19total_byte总字节数否总字节数20total_byteps每秒字节数否每秒字节数21total_packet总包数否总包数22total_packetps每秒包数否每秒包数23avg_pkt_size平均包长否平均包长DB3205/T 1043202213表 A.16HTTP,FTP 类格式序号数据项英文名称数据项中文描述
40、必填说明1device_ip设备 IP是设备 IP2proto_2应用层协议是例如:http3access_time日志生成时间是日志生成时间4sip源 IP是源 IP5sip_v6源 IP(ipv6)否源 IP(ipv6)6sport源端口是源端口7dip目的 IP是目的 IP8dip_v6目的 IP(ipv6)否目的 IP(ipv6)9dport目的端口是目的端口10uri传输的资源及路径否http 使用11host域名否http 使用12referer链接来源否http 使用13status状态码否http 使用14file_dir标示文件方向否http 使用0:服务端传往客户端1:客户
41、端传往服务端15trans_mode传输模式否ftp 使用,0:上传,1:下载16method方法否http 使用17file_name文件名字是文件名字18file_md5文件 MD5是文件 MD519mime_type文件类型是文件类型20payload文件内容是文件内容DB3205/T 1043202214表 A.17邮件类格式序号数据项英文名称数据项中文描述必填说明1device_ip设备 IP是设备 IP2proto_2应用层协议是pop3/smtp/imap3access_time日志生成时间是日志生成时间4sip源 IP是源 IP5sip_v6源 IP(ipv6)否源 IP(ip
42、v6)6sport源端口是源端口7dip目的 IP是目的 IP8dip_v6目的 IP(ipv6)否目的 IP(ipv6)9dport目的端口是目的端口10time发送或接收时间是邮件的发送或接收时间11mail_from发件人是邮件的发件人12to收件人是邮件的收件人13cc抄送人否邮件的抄送人14bcc密送否邮件的密送15subject邮件主题是邮件的主题16returnpath返回路径否返回路径17received邮件头的路由信息否邮件头中的 received 字段18attach_md5附件 md5否邮件中附件的 md519mime_type附件类型否邮件中附件的类型20attach_
43、name附件名称否邮件中附件的名称21payload文件内容是文件内容DB3205/T 1043202215附录B(规范性)攻击告警分类表B.1 规定了攻击告警的分类。表 B.1攻击告警分类类别名称代码有害程序告警有害程序010000计算机病毒010100蠕虫010200邮件蠕虫010201即时消息蠕虫010202U 盘蠕虫010203漏洞利用蠕虫010204其它蠕虫010299木马010300盗号木马010301网银木马010302窃密木马010303远程控制木马010304流量劫持木马010305下载者木马010306挖矿木马010307未知木马010399僵尸网络010400IRC 僵尸
44、程序010401Http 僵尸程序010402P2P 僵尸程序010403其它僵尸程序010499混合攻击程序010500网页内嵌恶意代码010600间谍软件010700恶意广告010800键盘记录010900勒索软件011000黑市工具011100流氓推广011200恶意样本执行011300恶意样本投递011400其他有害程序019900DB3205/T 1043202216表 B.1攻击告警分类(续)类别名称代码网络攻击告警拒绝服务攻击020000SYN Flood020100ACK Flood020200UDP Flood020300ICMP Flood020400DNS Request
45、 Flood020500Http Flood020600Https Flood020700反射型 DDoS 攻击020800其他拒绝服务攻击029900后门攻击030000后门程序030100隧道030101其他后门程序030199webshell 上传030200webshell 利用030300其他后门攻击039900漏洞攻击040000SQL 注入040100跨站脚本攻击(XSS)040200跨站请求伪造(CSRF)攻击040300弱口令攻击040400文件包含040500本地文件包含攻击040501远程文件包含攻击040502文件读取040600文件上传040700文件下载040800
46、文件写入040900URL 重定向041000目录遍历041100溢出攻击041200代码执行041300命令执行041400非授权访问/权限绕过041500权限许可和访问控制攻击041600逻辑/设计错误041700DB3205/T 1043202217表 B.1攻击告警分类(续)类别名称代码网络攻击告警配置不当041800暴力破解041900浏览器漏洞利用042000其他漏洞攻击049900网络扫描窃听050000应用程序查询050100数据库侦察050200DNS 侦察050300DNS 子域名发现050301其他 DNS 探测050399FTP 侦察050400端口扫描050500主机
47、查询050600邮件侦察050700网络扫描050800WEB 目录探测050801其他 WEB 扫描050899SNMP 侦察050900SSH 侦察051000Telnet 侦察051100其他扫描探测059900威胁情报060000APT 告警060100其他威胁情报069900信息破坏告警信息假冒070000钓鱼070100信息泄漏080000敏感信息/重要文件泄漏080100敏感信息泄漏080101重要文件泄漏080102其他信息泄露089900信息内容安全告警信息内容安全090000违规内容090100博彩090101其他敏感内容090199网络安全可疑告警可疑活动100000协议
48、异常100100DB3205/T 1043202218表 B.1攻击告警分类(续)类别名称代码网络安全可疑告警路由异常100200SQL 异常100300可疑的应用程序100400可疑文件100500可疑的 ICMP 活动100600可疑的 IP 地址100700可疑的数据包100800可疑的端口活动100900可疑的 SSL 或加密101000可疑的 Windows 告警101100未知的应用程序101200未知客户端101300未知用户101400未解析的设备消息101500Web 异常101600DNS 异常101700FTP 异常101800邮件异常101900潜在利用102000可疑
49、的路由102100可疑 VPN102200敏感操作102300异常通信102400定时异常通信102401隧道通信102402其他异常通信102499其他可疑活动109900DB3205/T 1043202219附录C(资料性)网络威胁流量监测设备的功能要求和性能要求C.1设备总体要求网络威胁流量监测设备作为平台的前端数据源之一,主要包括安全威胁监测、流量元数据提取和原始数据包及文件还原三个主要功能。其中,安全威胁监测通过实时流量采集、协议分析、已知安全威胁规则和威胁情报库匹配,生成网络安全告警。流量元数据提取通过协议字段的日志格式化输出,为基于大数据的用户行为分析提供数据源,为可能的事件追溯
50、提供网络应用场景还原能力。原始数据包和文件还原功能模块能够输出还原文件,进行还原文件的后续分析。网络威胁流量监测设备采用旁路部署方式,可以通过交换机数据镜像或网络链路分光等方式获得用户网络流量数据,其中交换镜像方式与用户网络核心交换机的镜像口连接,交换机数据流量通过镜像口复制后发给监测设备。监测设备本身不对用户网络产生影响。网络威胁流量监测设备的输入是镜像或分光的全会话网络流量,输出是网络安全告警、流量元数据提取日志、原始数据包和还原文件。图C.1为其输入输出示意图。图C.1网络威胁流量监测设备的输入输出示意图C.2策略管理应考虑网络威胁流量监测设备具备以下策略管理:a)支持平台下发的规则和威
浙ICP备2021020529号-1 | 浙B2-20240490 
