內(nèi)生安全系統(tǒng)安全日志技術(shù)要求（征集意見稿）

1Xxxxx內(nèi)生安全系統(tǒng)安全日志技術(shù)要求本要求規(guī)定了內(nèi)生安全領(lǐng)域內(nèi)的事件表達(dá)、事件記錄、記錄交換與存儲(chǔ)、記錄安全等內(nèi)容，包括內(nèi)生安全領(lǐng)域日志事件表達(dá)數(shù)據(jù)模型、日志事件表達(dá)語義、事件記錄的數(shù)據(jù)載體、日志采集、日志存儲(chǔ)、日志共享，以及所有涉及整個(gè)事件記錄生命周期的管理規(guī)范。本文檔適用于內(nèi)生安全領(lǐng)域內(nèi)的產(chǎn)品以及其派生品等日志信息提供方與需求方之間進(jìn)行事件信息的生成、共享和使用。領(lǐng)域內(nèi)產(chǎn)品的運(yùn)維平臺(tái)與安全威脅信息共享平臺(tái)的建設(shè)與運(yùn)營可參考使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。IETFRFC2119在RFC中用于指示要求級(jí)別的關(guān)鍵詞(KeywordsforuseinRFCstoIndicateRequirementLevels)IETFRFC5424系統(tǒng)日志協(xié)議(TheSyslogProtocol)IETFRFC5234增強(qiáng)型的用語規(guī)范(AugmentedBNFforSyntaxSpecifications:ABNF)IETFRFC4627JSON要求（Theapplication/jsonMediaTypeforJavaScriptObjectNotation）ISO8601數(shù)據(jù)存儲(chǔ)和交換形式·信息交換·日期和時(shí)間的表示方法(DateandTimeFormats)中華人民共和國主席令第53號(hào)中華人民共和國網(wǎng)絡(luò)安全法3術(shù)語和定義本文件的術(shù)語與定義主要分為兩部分，分別是規(guī)范的術(shù)語與定義、內(nèi)生安全系統(tǒng)安全日志術(shù)語與定義。3.1系統(tǒng)日志或系統(tǒng)記錄協(xié)議syslogsyslog常被稱為系統(tǒng)日志或系統(tǒng)記錄，是一種用來在互聯(lián)網(wǎng)協(xié)議(TCP/IP)環(huán)境中傳遞記錄檔消息的要求協(xié)議，RFC文檔編號(hào)為5424。3.2JavaScript對(duì)象表示法JavaScriptObjectNotation,JSON是一種互聯(lián)網(wǎng)常用數(shù)據(jù)交換的文本格式，而不是一種編程語言。23.3UTF-88-bitUnicodeTransformationFormat8比特可變長(zhǎng)度Unicode編碼轉(zhuǎn)換格式。3.4最大傳輸單元MaximumTransmissionUnit,MTU一般常見以太網(wǎng)的MTU為1500字節(jié)。3.5編碼encoding每個(gè)編碼聲明都定義了如何使用特定語法將事件表達(dá)為構(gòu)建成便于消費(fèi)者解析的事件記錄的過程。3.6解碼decoding事件的消費(fèi)者通過特定語法簡(jiǎn)單地解碼的事件記錄以獲得原始事件信息的過程。3.7字段字典fieldtypesdictionary是應(yīng)用于領(lǐng)域內(nèi)的事件表達(dá)的字段和數(shù)據(jù)類型等信息的列表。3.8通用字段字典commonfieldtypesdictionary定義了跨擬態(tài)設(shè)備和應(yīng)用程序類型的字段字典。3.9最佳實(shí)踐字段字典specificfieldtypesdictionary定義了單個(gè)業(yè)務(wù)形態(tài)內(nèi)擬態(tài)設(shè)備和應(yīng)用程序中使用的字段字典。3.10事件分類法eventtaxonomy用于1個(gè)或多個(gè)類別對(duì)事件進(jìn)行分類，用于明確事件的類型。3.11事件分類標(biāo)簽eventtaxonomylabel由一組類別以及最能描述事件的每個(gè)類別的標(biāo)簽值組成。3.12事件所屬域event_domain3Xxxxx是事件發(fā)生的作用域。3.13事件動(dòng)作event_action是描述事件發(fā)生的動(dòng)作。3.14作用對(duì)象event_object事件的目標(biāo)對(duì)象或影響的對(duì)象3.15服務(wù)類型event_service是事件涉及的服務(wù)或者操作類型3.16事件結(jié)果event_status是事件發(fā)生后產(chǎn)生的結(jié)果3.17事件意義event_subject是事件本身的產(chǎn)生的意義。3.18事件分類標(biāo)簽詞匯表eventtaxonomylabeltable是內(nèi)生安全領(lǐng)域內(nèi)事件分類標(biāo)簽的受控詞匯表。3.19通用事件分類標(biāo)簽表commoneventtaxonomylabeltable定義了跨擬態(tài)設(shè)備和應(yīng)用程序類型的事件標(biāo)簽的受控詞匯表。3.20最佳實(shí)踐事件分類標(biāo)簽表specificeventtaxonomylabeltable定義了單個(gè)業(yè)務(wù)形態(tài)內(nèi)擬態(tài)設(shè)備和應(yīng)用程序中使用的事件標(biāo)簽的受控詞匯表。3.21結(jié)構(gòu)化數(shù)據(jù)structureddata一種數(shù)據(jù)表示形式，按此種形式，由數(shù)據(jù)元素匯集而成的每一個(gè)記錄的結(jié)構(gòu)都是一致的并且可以使用關(guān)系模型予以有效描述。3.224非結(jié)構(gòu)化數(shù)據(jù)unstructureddata不具有預(yù)定義模型或未以預(yù)定義方式組織的數(shù)據(jù)。3.23日志數(shù)據(jù)分析logdataanalysis為提取有價(jià)值信息和形成決策而對(duì)日志數(shù)據(jù)加以詳細(xì)研究和概況總結(jié)的過程。3.24日志數(shù)據(jù)安全logdatasecurity通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。3.25日志數(shù)據(jù)脫敏logdatamasking是指對(duì)某種或多種敏感日志數(shù)據(jù)通過脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，實(shí)現(xiàn)對(duì)敏感日志數(shù)據(jù)的保護(hù)。3.26功能等價(jià)異構(gòu)執(zhí)行體functionequalexecuteobject功能等價(jià)結(jié)構(gòu)不同的執(zhí)行體，執(zhí)行體可以是網(wǎng)絡(luò)、平臺(tái)、系統(tǒng)、部件或模塊、構(gòu)件等不同層面、不同粒度的設(shè)備或設(shè)施，也可以是軟件實(shí)現(xiàn)對(duì)象、硬件實(shí)現(xiàn)對(duì)象、軟硬結(jié)合實(shí)現(xiàn)對(duì)象、虛擬化實(shí)現(xiàn)對(duì)象。3.27擬態(tài)裁決mimicmultimoderuling依據(jù)相對(duì)正確公理做出多數(shù)或少數(shù)、一樣或不一樣的判別。3.28清洗恢復(fù)機(jī)制cleaningandrecover用來處理異常輸出矢量的異構(gòu)執(zhí)行體。3.29多維動(dòng)態(tài)重構(gòu)multi-dimensiondynamicreconfigure按照事先制定的重構(gòu)重組方案從異構(gòu)資源池中抽取構(gòu)件元素生成功能等價(jià)的新執(zhí)行體或編碼架構(gòu)的過程。3.30狀態(tài)同步statesynchronization清洗恢復(fù)后的執(zhí)行體需要與在線執(zhí)行體進(jìn)行狀態(tài)或場(chǎng)景再同步以維持與擬態(tài)裁決機(jī)制的同步的過程。5Xxxxx3.31動(dòng)態(tài)異構(gòu)冗余架構(gòu)dynamicheterogeneousredundancy,DHR動(dòng)態(tài)異構(gòu)冗余架構(gòu)，理論上要求系統(tǒng)具有視在結(jié)構(gòu)表征的不確定性。包括非周期的從功能等價(jià)的異構(gòu)冗余體池中隨機(jī)的抽取若干個(gè)元素組成當(dāng)前服務(wù)集，或者重構(gòu)、重組、重建異構(gòu)冗余體自身，或者借助虛擬化技術(shù)改變?nèi)哂鄨?zhí)行體內(nèi)在的資源配置方式或視在運(yùn)行環(huán)境,或者對(duì)異構(gòu)冗余體作預(yù)防性或修復(fù)性的清洗、初始化等操作，使攻擊者在時(shí)空維度上很難有效的再現(xiàn)成功攻擊的場(chǎng)景。3.32擬態(tài)界mimicinterface,MI擬態(tài)界一般包含若干組定義規(guī)范、協(xié)議嚴(yán)謹(jǐn)?shù)姆?wù)（操作）功能，通過要求化協(xié)議或可歸一化規(guī)范實(shí)施一致性或符合性測(cè)試，且能夠判定多個(gè)異構(gòu)執(zhí)行體在給定服務(wù)（操作）功能甚至性能上的等價(jià)性4內(nèi)生安全系統(tǒng)安全日志記錄要素要求4.1內(nèi)生安全系統(tǒng)安全日志事件本要求將內(nèi)生安全系統(tǒng)安全日志的發(fā)生的事件分為兩類，擬態(tài)產(chǎn)品的系統(tǒng)運(yùn)行事件與網(wǎng)絡(luò)空間擬態(tài)防御安全事件。本要求為基于多模裁決的策略分發(fā)和多維動(dòng)態(tài)重構(gòu)負(fù)反饋控制構(gòu)造（DHR架構(gòu)）的產(chǎn)品（設(shè)備）提供一種統(tǒng)一的結(jié)構(gòu)化事件表達(dá)方法，并將事件信息的生產(chǎn)、共享和消費(fèi)的過程可以分為五個(gè)步驟的生命周期，本要求將其稱為網(wǎng)絡(luò)空間擬態(tài)防御事件的生命周期。統(tǒng)一的通用表達(dá)模型，確保領(lǐng)域內(nèi)基于DHR架構(gòu)的產(chǎn)品（設(shè)備）產(chǎn)生的事件表達(dá)的一致性，從而提高事件信息共享的效率、互操作性。圖1.DHR典型架構(gòu)DHR典型架構(gòu)：6a)輸入/輸出代理：作為擬態(tài)括號(hào)的左右邊界功能，一方面需要將擬態(tài)界的輸入激勵(lì)按照調(diào)度策略導(dǎo)入相應(yīng)的執(zhí)行體，另一方面將功能等價(jià)可重構(gòu)執(zhí)行體集合輸出矢量導(dǎo)入裁決器。b)功能等價(jià)執(zhí)行體集：功能等價(jià)結(jié)構(gòu)不同的執(zhí)行體集合，執(zhí)行體可以是網(wǎng)絡(luò)、平臺(tái)、系統(tǒng)、部件或模塊、構(gòu)件等不同層面、不同粒度的設(shè)備或設(shè)施，也可以是軟件實(shí)現(xiàn)對(duì)象、硬件實(shí)現(xiàn)對(duì)象、軟硬結(jié)合實(shí)現(xiàn)對(duì)象、虛擬化實(shí)現(xiàn)對(duì)象。c)擬態(tài)裁決：依據(jù)相對(duì)正確公理做出多數(shù)或少數(shù)、一樣或不一樣的判別。d)基于反饋控制函數(shù)的控制器：基于擬態(tài)裁決的異常感知機(jī)制，生成多維動(dòng)態(tài)重構(gòu)的策略，并對(duì)擬態(tài)括號(hào)內(nèi)的功能等價(jià)執(zhí)行體進(jìn)行重構(gòu)。內(nèi)生安全系統(tǒng)安全日志事件的生命周期：a)事件表達(dá)：領(lǐng)域內(nèi)事件的描述記錄基于合規(guī)要求、政策和行業(yè)最佳實(shí)踐制定的要求，按照行業(yè)數(shù)據(jù)模型準(zhǔn)確地對(duì)事件進(jìn)行描述；b)事件信息編碼：將對(duì)事件的描述按照通用和相關(guān)數(shù)據(jù)被編碼成一個(gè)日志記錄；本要求中事件記錄與日志同義，不做區(qū)分；c)事件信息交換與共享：這些記錄通過文件或數(shù)據(jù)包的形式由在生產(chǎn)設(shè)備、中繼設(shè)備、消費(fèi)設(shè)備之間交換與共享；d)事件信息解碼：對(duì)編碼的日志記錄進(jìn)行解碼以理解與分析日志承載的原始事件信e)事件消費(fèi)：分析事件，從而進(jìn)行一系列數(shù)據(jù)消費(fèi)行為，例如：根據(jù)事件標(biāo)簽分類存儲(chǔ)歸檔，或?qū)ζ浞治鲆源_定它們是否符合已識(shí)別的要求，從而判斷是否需要進(jìn)一步調(diào)查事件。4.2內(nèi)生安全系統(tǒng)安全日志事件表達(dá)模型4.2.1內(nèi)生安全系統(tǒng)安全日志事件表達(dá)的組件本要求在內(nèi)生安全系統(tǒng)安全內(nèi)事件在生命周期的每個(gè)步驟中定義了關(guān)鍵組件的規(guī)范。關(guān)鍵組件包括：事件表達(dá)的信息維度、事件表達(dá)的字段字典、事件分類標(biāo)簽詞匯表、事件表達(dá)的數(shù)據(jù)組織格式。事件表達(dá)的信息維度：定義事件表達(dá)的6個(gè)信息維度，包括事件所屬域(event_domain)、事件動(dòng)作(event_action)、作用對(duì)象(event_object)、服務(wù)類型(event_service)、事件結(jié)果(event_status)、事件意義(event_subject)，對(duì)領(lǐng)域內(nèi)可觀測(cè)的事件進(jìn)行描述。事件表達(dá)的字段字典：定義領(lǐng)域內(nèi)通用字段字典，提供可用于記錄、共享和分析事件的通用詞匯和語法來解決領(lǐng)域內(nèi)不同業(yè)務(wù)設(shè)備的供應(yīng)商之間的對(duì)同一事件的表達(dá)術(shù)語不一致問題，以便寫入日志數(shù)據(jù)的設(shè)備和應(yīng)用程序可以使用統(tǒng)一的字段描述。事件分類標(biāo)簽詞匯表：定義了由一組類別以及最能描述事件的每個(gè)類別的標(biāo)簽值組成詞匯表。利用統(tǒng)一的分類標(biāo)簽詞匯表給領(lǐng)域內(nèi)的事件打上事件分類標(biāo)簽信息，可實(shí)現(xiàn)跨不同擬態(tài)防御產(chǎn)品與擬態(tài)防御組織的事件類型得到一致的表達(dá)。如果多個(gè)內(nèi)生安全領(lǐng)域的系統(tǒng)觀察到同一事件，則它們對(duì)該事件的分類描述應(yīng)該相同。事件表達(dá)的數(shù)據(jù)組織格式：定義提供了一種以定義明確、易于解析和解釋的數(shù)據(jù)格式來表達(dá)事件的機(jī)制。4.2.2內(nèi)生安全系統(tǒng)安全日志事件表達(dá)的信息維度本要求規(guī)定領(lǐng)域內(nèi)DHR架構(gòu)的各個(gè)組件產(chǎn)生的“可觀測(cè)性系統(tǒng)運(yùn)行事件”與基于多個(gè)異構(gòu)執(zhí)行體提供群體態(tài)勢(shì)感知能力產(chǎn)生“網(wǎng)絡(luò)空間擬態(tài)防御安全事件”的表達(dá)必須具備如下六個(gè)維度的信息：7Xxxxx事件所屬域(event_domain)：事件發(fā)生的時(shí)空信息、作用域或上下文環(huán)境，可以分為擬態(tài)界內(nèi)事件、非擬態(tài)界內(nèi)事件、操作系統(tǒng)事件、應(yīng)用程序事件、網(wǎng)絡(luò)事件等；事件動(dòng)作(event_action)：描述事件發(fā)生的動(dòng)作，例如：登錄、訪問、執(zhí)行或修改等；作用對(duì)象(event_object)：描述事件的目標(biāo)對(duì)象或影響的對(duì)象；服務(wù)類型(event_service)：描述事件涉及的服務(wù)或者操作類型，也可以是事件發(fā)生的上下文描述、以及更精確的事件發(fā)生域；事件結(jié)果(event_status):描述事件發(fā)生后產(chǎn)生的結(jié)果，例如：動(dòng)作執(zhí)行成功、執(zhí)行失敗事件意義(event_subject)：描述事件發(fā)生后的產(chǎn)生的影響或本次事件的意義。例如：擬態(tài)路由器中記錄的事件，有的是記錄正常運(yùn)行事件，有的是記錄差模擾動(dòng)安全事件；有的差模擾動(dòng)事件觸發(fā)相應(yīng)的調(diào)度事件，有的差模擾動(dòng)事件無關(guān)聯(lián)事件觸發(fā)；本要求定義的事件表達(dá)六要素是必須選項(xiàng)。4.2.3內(nèi)生安全系統(tǒng)安全日志事件表達(dá)的字段字典字段字典字段字典（FieldTypesDictionary）是應(yīng)用于領(lǐng)域內(nèi)的事件表達(dá)的字段和數(shù)據(jù)類型等信息的列表。字典中的每個(gè)字段都包含一個(gè)字段應(yīng)用域標(biāo)識(shí)符、字段標(biāo)識(shí)符、字段類型、字段值取值范圍、字段的準(zhǔn)確含義的描述。領(lǐng)域內(nèi)的工程實(shí)踐往往執(zhí)行相同功能的不同應(yīng)用程序或設(shè)備用不同的詞匯來報(bào)告信息，或用相同的詞匯表達(dá)不同功能的執(zhí)行信息。本要求的字段字典通過提供可用于記錄、共享和分析日志數(shù)據(jù)的通用詞匯和語法來解決領(lǐng)域內(nèi)不同業(yè)務(wù)設(shè)備的供應(yīng)商之間的這些不一致問題，以便寫入日志數(shù)據(jù)的設(shè)備和應(yīng)用程序可以使用統(tǒng)一字段。使用相同的字段字典可確保事件消費(fèi)者和最終用戶始終包含并使用預(yù)期的事件詳細(xì)信息，這將降低日志管理的成本并使所提供的信息更加一致和準(zhǔn)確，更加關(guān)注日志管理的核心功能研發(fā)上。領(lǐng)域通用字段字典與最佳實(shí)踐字段字典考慮內(nèi)生安全領(lǐng)域的開放性與專有業(yè)務(wù)的多樣性，沒有一個(gè)單一的、大而全的字段字典可以要求的、規(guī)范的對(duì)領(lǐng)域內(nèi)所有可能的事件維度完整的統(tǒng)一的表達(dá)。本要求允許領(lǐng)域內(nèi)任何組織可以為任何用途的設(shè)備與應(yīng)用程序創(chuàng)建特定業(yè)務(wù)形態(tài)的字段字典，字段字典包括兩部分：a)通用字段字典（CommonFieldTypesDictionary）：定義了跨擬態(tài)設(shè)備和應(yīng)用程序類型的字段字典。最佳實(shí)踐字段字典（SpecificFieldTypesDictionary）：定義了單個(gè)業(yè)務(wù)形態(tài)內(nèi)擬態(tài)設(shè)備和應(yīng)用程序中使用的字段字典。b)通用字段字典由內(nèi)生安全聯(lián)盟擬態(tài)防御要求委員會(huì)維護(hù)，是領(lǐng)域內(nèi)事件描述術(shù)語的最小集。最佳實(shí)踐字段字典由領(lǐng)域內(nèi)不同組織創(chuàng)建本組織內(nèi)的字段字典，并提交給聯(lián)盟要求委員會(huì)審核、歸檔、發(fā)布。要求委員會(huì)周期匯總最佳實(shí)踐字段字典內(nèi)字段，同義字段在超過50%以上的最佳實(shí)踐字段字典中出現(xiàn)時(shí)，必須新增到通用字段字典，并在最佳實(shí)踐字典中刪除。8字段字典約束規(guī)范為了確保字段在領(lǐng)域內(nèi)的許多產(chǎn)品中有用并真正要求化事件表達(dá)，字段字典中的所有字段及其屬性都必須符合以下要求：a)字段/字段應(yīng)用域標(biāo)識(shí)符（即對(duì)象和名稱組件）只能由ASCII字母數(shù)字和_（下劃線）字符組成：[0-9a-zA-Z]+。b)字段/字段應(yīng)用域標(biāo)識(shí)符不區(qū)分大小寫，并且分層結(jié)構(gòu)為零個(gè)或多個(gè)上下文對(duì)象和標(biāo)識(shí)字段名稱的組合。具有上下文對(duì)象的分層結(jié)構(gòu)的字段/字段應(yīng)用域標(biāo)識(shí)符應(yīng)該表示為用點(diǎn)(.)分隔，這稱為內(nèi)聯(lián)字段語法。例如：src對(duì)象中的ipv4字段可以表示為src.ipv4。這種模式遵循許多常見的編程語言，包括Java、C++和Javascript。c)字段/字段應(yīng)用域標(biāo)識(shí)符總長(zhǎng)度小于255。d)通用字段字典中的字段必須足夠常見以保證包含，不常見或不通用的字段不應(yīng)該包括在內(nèi)。e)最佳實(shí)踐字段字典應(yīng)該保證包含本業(yè)務(wù)形態(tài)內(nèi)特有的字段，即使只有一個(gè)事件報(bào)告使用了該字段，該字段名稱也將被概括，以允許未來的進(jìn)入者使用該字段。f)最佳實(shí)踐字段字典中不得出現(xiàn)與通用字段字典同名字段，如果某一業(yè)務(wù)形態(tài)內(nèi)需要用同名不同義、同名同義不同類型的字段時(shí)，應(yīng)該在最佳實(shí)踐字段中新增不同名字段。g)最佳實(shí)踐字段字典中不得出現(xiàn)與通用字段字典同名同義同類型不同取值范圍時(shí)，最佳實(shí)踐字段字典中的字段取值范圍必須明確說明。h)字段字典頭部必須包含對(duì)象應(yīng)用域、字段標(biāo)識(shí)符、字段類型、字段描述、取值范圍，除非本要求本身發(fā)生變化，否則這些頭部字段不得更改。i)字段字典中的每個(gè)字段都必須指定一個(gè)數(shù)據(jù)類型，該數(shù)據(jù)類型指定字段值的表示方式。如果沒有類型限制，則應(yīng)該使用string類型。字段類型必須是對(duì)本要求中有效數(shù)據(jù)類型的引用，不得使用此列表之外的數(shù)據(jù)類型。有效的數(shù)據(jù)類型是：1)string：0個(gè)或多個(gè)UTF-8編碼的Unicode字符序列。2)byte:1個(gè)UTF-8編碼的字符。3)bool：布爾值true或false。4)number：整數(shù)（短整型short\整型int\長(zhǎng)整型long）或浮點(diǎn)數(shù)值(單精度float/雙精度double)。數(shù)值可以是正數(shù)或負(fù)數(shù)，并且可以使用科學(xué)計(jì)數(shù)法。5)null：空值或null值。6)datetime：Datetime值表示時(shí)間戳，允許精確到毫秒的完整時(shí)間規(guī)范，包括時(shí)區(qū)UTC偏移量。如果未提供時(shí)區(qū)信息，則必須假定日期時(shí)間以UTC形式給出。首選的表示格式是ISO8601中定義的datetime格式。7)ipv4：IPv4值用于表示IPv4網(wǎng)絡(luò)地址。首選格式是使用點(diǎn)分十進(jìn)制字符串表示：、8)ipv6：IPv6值代表IPv6網(wǎng)絡(luò)地址。IPv6地址的首選格式是要求的十六進(jìn)制冒號(hào)和所有批準(zhǔn)的縮寫格式（例如：::）。9)object：對(duì)象值由多個(gè)基本類型的結(jié)構(gòu)化數(shù)據(jù)組成復(fù)雜對(duì)象，表示為一系列名稱-值對(duì)。10)file：文件對(duì)象。11)array：數(shù)組或列表對(duì)象。9Xxxxx字段字典舉例object_domainField_identifierTypeDescriptionRangemimicrouterexception_timedatetime發(fā)現(xiàn)異常的時(shí)間符合"YYYY-MM-DDHTH:MM:SS,sss+hh:mm"格式，例如："2020-09-11T08:45:57+08:00"4.2.4內(nèi)生安全系統(tǒng)安全日志事件分類標(biāo)簽事件分類標(biāo)簽事件分類法(eventtaxonomy)是用于指定類別對(duì)事件進(jìn)行分類，用于明確事件的類型。事件分類維度必須取自事件表達(dá)的六個(gè)信息維度。事件分類標(biāo)簽(eventtaxonomylabel)由一組類別以及最能描述事件的每個(gè)類別的標(biāo)簽值組成。事件分類將事件打上事件分類標(biāo)簽信息，可實(shí)現(xiàn)跨不同擬態(tài)防御產(chǎn)品與擬態(tài)防御組織的事件類型得到一致的表達(dá)。如果多個(gè)內(nèi)生安全領(lǐng)域的系統(tǒng)觀察到同一事件，則它們對(duì)該事件的分類描述應(yīng)該相同。因此，后端日志分析系統(tǒng)應(yīng)該能夠立即確定兩個(gè)日志是否引用相同類型的事件。事件分類標(biāo)簽詞匯表(commoneventtaxonomylabeltable)是內(nèi)生安全領(lǐng)域內(nèi)事件分類標(biāo)簽的受控詞匯表。在事件分類標(biāo)簽詞匯表中每一行由所屬分類、類別標(biāo)簽值、定義描述。領(lǐng)域通用事件分類標(biāo)簽與最佳實(shí)踐事件分類標(biāo)簽內(nèi)生安全領(lǐng)域的開放性與專有業(yè)務(wù)的多樣性，領(lǐng)域內(nèi)的產(chǎn)品和專有業(yè)務(wù)的所有可能事件類別既有共同可觀測(cè)到的事件又有其特有的事件。本要求允許領(lǐng)域內(nèi)任何組織可以為任何用途的設(shè)備與應(yīng)用程序創(chuàng)建特定業(yè)務(wù)相關(guān)的事件分類標(biāo)簽，事件分類標(biāo)簽表包括兩部分：a)通用事件分類標(biāo)簽表(commoneventtaxonomylabeltable)：定義了跨擬態(tài)設(shè)備和應(yīng)用程序類型的事件標(biāo)簽的受控詞匯表。b)最佳實(shí)踐事件分類標(biāo)簽表(specificeventtaxonomylabeltable)：定義了單個(gè)業(yè)務(wù)形態(tài)內(nèi)擬態(tài)設(shè)備和應(yīng)用程序中使用的事件標(biāo)簽的受控詞匯表。通用事件分類標(biāo)簽表由內(nèi)生安全聯(lián)盟擬態(tài)防御要求委員會(huì)維護(hù)，是領(lǐng)域內(nèi)共性事件類型描述術(shù)語的詞匯表。最佳實(shí)踐事件分類標(biāo)簽表由領(lǐng)域內(nèi)不同組織創(chuàng)建，并提交給聯(lián)盟要求委員會(huì)審核、歸檔、發(fā)布。事件分類標(biāo)簽的約束規(guī)范事件分類標(biāo)簽表與字段字典中的字段在標(biāo)識(shí)符方面要求保持一致，但有以下特有的約束規(guī)范：a)事件分類標(biāo)簽標(biāo)識(shí)符應(yīng)該為有意義的標(biāo)識(shí)符。b)某一個(gè)事件分類標(biāo)簽如果是數(shù)據(jù)類型字符串，其屬性值的枚舉應(yīng)該受到限制。c)各類別標(biāo)簽的屬性值必須指定至少一個(gè)可能的值；當(dāng)一個(gè)維度存在多個(gè)類別標(biāo)簽值時(shí)通過分隔符','進(jìn)行分割。d)通用事件分類標(biāo)簽表中的類別標(biāo)簽必須是領(lǐng)域內(nèi)共性事件類別標(biāo)簽，不通用的類別不應(yīng)該包括在內(nèi)。4.2.5內(nèi)生安全系統(tǒng)安全日志事件表達(dá)數(shù)據(jù)組織格式內(nèi)生安全領(lǐng)域內(nèi)事件表達(dá)的數(shù)據(jù)組織格式遵循擴(kuò)展的巴科斯諾爾范式(ABNFRFC5234)版本。事件表達(dá)數(shù)據(jù)組織格式mimiceventexpress=HEADERSPENTITYCRLF事件表達(dá)頭域數(shù)據(jù)組織格式事件表達(dá)頭域（HEADER）數(shù)據(jù)組織格式目的在于通過領(lǐng)域內(nèi)字段字典中的字段，確定本次信息的數(shù)據(jù)邊界，為數(shù)據(jù)交換的雙方提供一些互操作性，雙方必須都支持的字段，字段字典以外的的字段不得在頭域部分?jǐn)U展。HEADER=VERSIONSPTIMESTAMPSPPRIVALSPLOCATIONSPLOGTYPE[SPMSGIDSPMSGOFFSET]#消息頭組成a)VERSION：VERSION字段表示領(lǐng)域內(nèi)事件表達(dá)規(guī)范的版本。對(duì)于更改HEADER格式的任何部分的任何新協(xié)議規(guī)范，版本號(hào)必須遞增。更改包括添加或刪除字段，或更改現(xiàn)有字段的語法或語義。VERSION值通過本要求第7章節(jié)中描述的要求操作方法來分配。b)TIMESTAMP：TIMESTAMP字段表示事件發(fā)生的時(shí)間，允許精確到毫秒的完整時(shí)間規(guī)范，包括時(shí)區(qū)UTC偏移量。如果未提供時(shí)區(qū)信息，則必須假定日期時(shí)間以YYYY-MM-DDThh:mm:ss,sss±hh:mm。范例：如要表示北京時(shí)間2004年5月3日下午5點(diǎn)30分8秒，可以寫成2004-05-03T17:30:08+08:00；如UTC時(shí)間下午2點(diǎn)30分5秒表示為14:30:05Z；c)PRIVAL：PRIVAL字段表示事件記錄的級(jí)別。1)PRIVAL遵循RFC5424，取值”Emergency，Alert，Critical，Error，Warning，Notice，Info，Debug“；2)PRIVAL取值不區(qū)分大小寫；表1事件記錄的級(jí)別code定義0systemisunusableEmergency1actionmustbetakenimmediatelyAlert2criticalconditionsCritical3errorconditionsError4warningconditionsWarning5normalbutsignificantconditionNotice6informationalmessagesInfo7debug-levelmessagesDebugXxxxxd)LOCATION：LOCATION字段旨在定位事件發(fā)生的空間位置。LOCATION字段數(shù)據(jù)組織格式如下：LOCATION=0*(LOCATIONTYPE:LOCATIONVALUE;)表2location編碼表類型編碼(code)類型定義(definition)舉例1process_id進(jìn)程標(biāo)識(shí)：標(biāo)識(shí)事件發(fā)生在哪個(gè)進(jìn)程。process_id:1002thread_id線程標(biāo)識(shí)：標(biāo)識(shí)事件發(fā)生在哪個(gè)線程。thread_id:1003function_name函數(shù)標(biāo)識(shí)：標(biāo)識(shí)事件發(fā)生在哪個(gè)函數(shù)。function_name:main4line_id行號(hào)標(biāo)識(shí)：標(biāo)識(shí)事件發(fā)生在哪一行。line_id:1005file_name文件標(biāo)識(shí)：標(biāo)識(shí)事件發(fā)生在哪個(gè)代碼文件file_name:main.c1)LOCATIONVALUE表示具體的位置值，使用的字符集必須是8位字段中的7位ASCII中可顯示字符集，如[RFC5234]中所述。2)LOCATION字段由0或多個(gè)元素組成。多個(gè)元素必須通過分隔符;分割；0個(gè)元素則以空字符串標(biāo)識(shí)"";例如：”process_id:100;thread_id:100“。e)LOGTYPE:LOGTYPE字段用于表示記錄事件的日志類型，其編碼如下：表3日志類型Code定義1系統(tǒng)啟動(dòng)、運(yùn)行過程中記錄的日志，表明系統(tǒng)的一些啟動(dòng)日志、啟動(dòng)參數(shù)等desc2系統(tǒng)性能統(tǒng)計(jì)日志，應(yīng)用會(huì)定時(shí)收集一些性能信息，便于查詢應(yīng)用當(dāng)前狀態(tài)stat3外部請(qǐng)求相關(guān)的日志，定位該請(qǐng)求相關(guān)的所有日志visit4業(yè)務(wù)數(shù)據(jù)相關(guān)日志，主要提供給數(shù)據(jù)統(tǒng)計(jì)使用biz5差模擾動(dòng)日志dmf6執(zhí)行體調(diào)度日志sched7idsf)MSGID：MSGID唯一標(biāo)識(shí)一條消息，可選字段；1)相同的消息MSGID攜帶的消息實(shí)體應(yīng)該反映相同語義的事件；2)MSGID為遞增序列；g)MSGOFFSET:MSGOFFSET標(biāo)識(shí)當(dāng)前消息實(shí)體部分相對(duì)于初始消息實(shí)體部分的偏移值。1)MSGOFFSET必須在MSGID存在的前提下填寫；2)MSGOFFSET用于同一MSGID需要分多行記錄時(shí)消息接收端對(duì)消息的重組。當(dāng)前記錄是最后一分段時(shí)此值為-1；3)消息無分段，則MSGOFFSET可不填。事件表達(dá)實(shí)體數(shù)據(jù)組織格式a)EVENT-STRUCTURED-EXPEVENT-STRUCTURED-EXP提供了一種以定義明確、易于解析和解釋的數(shù)據(jù)格式來表達(dá)事件的機(jī)制。EVENT-STRUCTURED-EXP必須包含6個(gè)結(jié)構(gòu)化數(shù)據(jù)元素，在本文檔中稱為“SD-ELEMENT”。EVENT-STRUCTURED-EXP中的6個(gè)結(jié)構(gòu)化數(shù)據(jù)元素必須涵蓋事件表達(dá)的六個(gè)要素：事件所屬域（event_domain）、事件動(dòng)作（event_action）、事件作用對(duì)象（event_object）、服務(wù)類型（event_service）、事件結(jié)果（event_status）、事件意義（event_subject）。SD-ELEMENT通過key-value鍵值對(duì)的數(shù)據(jù)格式對(duì)事件表達(dá)的六個(gè)要素記錄。1)Key值必須為事件表達(dá)的六個(gè)要素；2)Value值必須來自本要求中的字段字典、事件分類標(biāo)簽詞匯表中的字段或標(biāo)簽；3)Value可以有0至多個(gè)取值；4)在EVENT-STRUCTURED-EXP中，如果Value為空值，則取值為空值""，舉例：event_domain:"";5)當(dāng)某一Value值有多個(gè)取值時(shí)，此值應(yīng)該以列表形式組織[]，多個(gè)取值直接采用分隔符,，這樣的好處是可讀性更高；下面給出EVENT-STRUCTURED-EXP數(shù)據(jù)組織的示例："event_domain":"mimic_multimode_ruling","event_action":"access","event_object":"configure_table","event_service":"multimode_ruling","event_status":"success","event_subject":"dmf_security_abnormal"b)STRUCTURED-DATASTRUCTURED-DATA提供了一種以定義明確、易于解析和解釋的結(jié)構(gòu)化數(shù)據(jù)格式（“SD-ELEMENT”）來記錄事件關(guān)鍵信息的機(jī)制。SD-ELEMENT通過key-value鍵值對(duì)的數(shù)據(jù)格式對(duì)事件關(guān)鍵信息記錄。1)Key值必須來自本要求的字段字典中的字段；2)Value值必須滿足對(duì)應(yīng)的Key值字段屬性定義；3)當(dāng)某一Value值有多個(gè)取值時(shí)，此值應(yīng)該以列表形式組織[]，多個(gè)取值直接采用分隔符,，這樣的好處是可讀性更高；下面給出STRUCTURED-DATA數(shù)據(jù)組織的示例："mimicrouter.msg_src":"config_multimode_ruling","mimicrouter.exception_time":"2022-01-0109:48:07"c)ADDITION-MSGADDITION-MSG提供一種利用非結(jié)構(gòu)化的數(shù)據(jù)(NO-STRUCTURED-DATA)組織格式補(bǔ)充事件信息的機(jī)制。ADDITION-MSG中使用的字符集必須是8位字段中的7位ASCII，如[RFC5234]中所述。事件表達(dá)實(shí)體數(shù)據(jù)組織格式示例："event_domain":"mimic_multimode_ruling","event_action":"access","event_object":"configure_table","event_service":"multimode_ruling","event_status":"success","event_subject":"dmf_security_abnormal","mimicrouter.msg_src":"config_multimode_ruling","mimicrouter.exception_time":"2022-01-0109:48:07","addition_msg":"finderrorconfig!"\r\n4.2.6內(nèi)生安全系統(tǒng)安全領(lǐng)域內(nèi)具體可觀測(cè)事件最小集本要求將內(nèi)生安全領(lǐng)域內(nèi)的可觀測(cè)事件記錄為日志，因此，日志可以分為兩類：DHR架構(gòu)各組件的的系統(tǒng)運(yùn)行日志與內(nèi)生安全系統(tǒng)安全日志；DHR架構(gòu)各組件的可觀測(cè)的系統(tǒng)運(yùn)行事件a)事件自身屬性（event）Xxxxx表4事件自身屬性字段字典字段對(duì)象域（object_domain）字段標(biāo)識(shí)符（Field_identifier）字段類型字段描述(Description)字段取值范圍（Range）eventhost_namestring事件主機(jī)的名字1~255ipv4ipv4事件所在的主機(jī)IPV4地址/32ipv6ipv6事件所在的主機(jī)IPV6地址::/128portnumber事件所在主機(jī)的應(yīng)用端口號(hào)0~65535app_namestring事件所屬應(yīng)用名字1~255pnamestring產(chǎn)生事件的進(jìn)程的名字1~255msgstring事件描述信息msgidstring事件描述信息的身份標(biāo)識(shí)pidstring產(chǎn)生事件的進(jìn)程的身份標(biāo)識(shí)privstring事件級(jí)別（參照表3事別）tidnumber與產(chǎn)生事件相關(guān)的線程的身份標(biāo)識(shí)輸入代理（input_agent）輸入代理功能主要是將擬態(tài)界外的輸入激勵(lì)信號(hào)靈活地連接到相應(yīng)地異構(gòu)執(zhí)行體，因此，輸入代理事件記錄是與輸入信號(hào)分發(fā)與適配有關(guān)。可觀測(cè)的事件最小集包括內(nèi)容：1)激勵(lì)信號(hào)，擬態(tài)界外輸入的信號(hào)；2)激勵(lì)信號(hào)分發(fā)動(dòng)作，擬態(tài)界上的輸入代理執(zhí)行輸入信號(hào)分發(fā)動(dòng)作將輸入信號(hào)導(dǎo)入相應(yīng)的執(zhí)行體；3)激勵(lì)信號(hào)適配動(dòng)作，擬態(tài)界上的輸入代理根據(jù)透明性的要求將輸入的信號(hào)與各個(gè)執(zhí)行體要求的輸入信號(hào)之間存在的差異做適配處理；4)激勵(lì)信號(hào)的合規(guī)控制、黑白名單過濾等主被動(dòng)防御措施表5輸入代理事件分類標(biāo)簽通用詞匯表最小集事件類別類別標(biāo)簽值定義/描述event_domainmimic_interface事件記錄發(fā)生在擬態(tài)界上input_agent事件記錄發(fā)生在輸入代理event_actiondistribute事件的動(dòng)作是分發(fā)激勵(lì)信號(hào)adapte事件的動(dòng)作是處理激勵(lì)信號(hào)以適配相應(yīng)的執(zhí)行體check事件的動(dòng)作是激勵(lì)信號(hào)檢查filter事件的動(dòng)作是激勵(lì)信號(hào)過濾event_objectexcitation_signal事件作用的目標(biāo)對(duì)象，擬態(tài)界外輸入的激勵(lì)信號(hào)event_serviceinput_distribution事件涉及的操作類型是輸入分發(fā)input_adpator事件涉及的操做類型是輸入適配input_compliancecheck事件涉及的操作類型是輸入信號(hào)的合規(guī)性檢查input_filter事件涉及的操作類型是對(duì)輸入信號(hào)進(jìn)行黑白名單過濾eventstatusfail事件結(jié)果失敗success事件結(jié)果成功pass事件結(jié)果通過block事件結(jié)果阻斷event_subjectsystemrunning_normal正常系統(tǒng)運(yùn)行事件記錄systemrunning_abnormal異常系統(tǒng)運(yùn)行事件記錄security_normal主被動(dòng)防御動(dòng)作記錄正常安全事件security_abnormal主被動(dòng)防御動(dòng)作記錄異常安全事件表6輸入代理字段字典字段對(duì)象域（object_domain）字段標(biāo)識(shí)符（Field_identifier）字段類型字段描述(Description)字段取值范圍（Range）input_agentcompliance_rules_filefile合規(guī)規(guī)則文件compliance_rules_listobject合規(guī)規(guī)則列表black_white_filefile黑白名單規(guī)則文件black_white_rules_listobject黑白名單過濾規(guī)則列表relation_feeoobject關(guān)聯(lián)的執(zhí)行體信息輸出代理（output_agent）輸出代理功能主要是消除多異構(gòu)執(zhí)行體因?yàn)閷?shí)現(xiàn)算法、支撐環(huán)境和處理平臺(tái)方面差異造成的輸出響應(yīng)方面的差異。此外，為了減少裁決實(shí)驗(yàn)往往輸出代理會(huì)使用一些預(yù)處理算法?？捎^測(cè)的事件最小集包括內(nèi)容：1)接收多模輸出矢量；2)提取擬態(tài)保護(hù)的關(guān)注點(diǎn)信息；3)多模輸出矢量預(yù)處理；4)輸出預(yù)處理后的多模輸出矢量；表7輸出代理事件分類標(biāo)簽通用詞匯表最小集事件類別類別標(biāo)簽值定義/描述event_domainmimic_interface事件記錄發(fā)生在擬態(tài)界上output_agent事件記錄發(fā)生在輸出代理event_actionreceive事件的動(dòng)作是接收異構(gòu)執(zhí)行體輸出的結(jié)果send事件的動(dòng)作是發(fā)送輸出矢量到擬態(tài)裁決extract事件的動(dòng)作是提取擬態(tài)保護(hù)的信息Xxxxxpreprocess事件的動(dòng)作是對(duì)異構(gòu)執(zhí)行體輸出是輸出矢量預(yù)處理event_objectoutput_vector事件作用的目標(biāo)對(duì)象，多異構(gòu)執(zhí)行體輸出矢量buffer_queue事件作用的目標(biāo)對(duì)象，緩沖隊(duì)列event_serviceoutput_vector_receive事件涉及的操作類型是輸出矢量的接收output_vector_send事件涉及的操做類型是發(fā)送處理后的輸出矢量到擬態(tài)裁決output_vector_preprocess事件涉及的操作類型是輸出矢量的預(yù)處理output_vector_extraction事件涉及的操作類型是從原始輸出矢量中提取擬態(tài)保護(hù)的信息eventstatusfail事件結(jié)果失敗success事件結(jié)果成功full事件結(jié)果緩沖隊(duì)列滿empty事件結(jié)果緩沖隊(duì)列空event_subjectsystemrunning_normal正常系統(tǒng)運(yùn)行事件記錄systemrunning_abnormal異常系統(tǒng)運(yùn)行事件記錄表8輸出代理字段字典字段對(duì)象域（object_domain）字段標(biāo)識(shí)符（Field_identifier）字段類型字段描述(Description)字段取值范圍（Range）output_agentbuffer_queueobject緩沖隊(duì)列output_vectorobject輸出矢量擬態(tài)裁決多模擬態(tài)裁決構(gòu)成DHR架構(gòu)廣義不確定擾動(dòng)的感知能力，對(duì)多模輸出矢量進(jìn)行策略性判決，并將相關(guān)狀態(tài)信息發(fā)送給反饋控制器。可觀測(cè)的事件最小集包括內(nèi)容：1)執(zhí)行裁決策略；2)裁決多模輸出矢量；3)記錄差模擾動(dòng)；4)輸出裁決狀態(tài)信息；表9擬態(tài)裁決事件分類標(biāo)簽通用詞匯表最小集事件類別類別標(biāo)簽值定義/描述event_domainmimic_multimode_ruling事件記錄發(fā)生在擬態(tài)裁決event_actionmultimode_ruling事件的動(dòng)作是裁決輸出event_objectruling_policy事件作用的目標(biāo)對(duì)象，裁決策略output_vector事件作用的目標(biāo)對(duì)象，輸出矢量recorder事件作用的目標(biāo)對(duì)象，差模擾動(dòng)事件記錄file事件作用的目標(biāo)對(duì)象，差模擾動(dòng)日志文件ruling_policy_set事件作用的目標(biāo)對(duì)象，裁決策略集event_servicepolicy_execution事件涉及的操做類型是裁決策略執(zhí)行dmf_logging事件涉及的操作類型是差模擾動(dòng)日事件類別類別標(biāo)簽值定義/描述志記錄ruling_status_logging事件涉及的操作類型是裁決狀態(tài)信息日志記錄eventstatusfail事件結(jié)果失敗success事件結(jié)果成功simple利用安全漏洞影響目標(biāo)系統(tǒng)的難度“簡(jiǎn)單”complex利用安全漏洞影響目標(biāo)系統(tǒng)的難度“復(fù)雜”complete利用安全漏洞對(duì)目標(biāo)系統(tǒng)造成的損害程度“完全”part利用安全漏洞對(duì)目標(biāo)系統(tǒng)造成的損害程度“部分”slight利用安全漏洞對(duì)目標(biāo)系統(tǒng)造成的損害程度“輕微”none利用安全漏洞對(duì)目標(biāo)系統(tǒng)造成的損害程度“無”schedule差模擾動(dòng)造成執(zhí)行體調(diào)度no_schedule差模擾動(dòng)未造成執(zhí)行體調(diào)度different_mode_fault造成差模擾動(dòng)no_dmf未造成差模擾動(dòng)event_subjectsystemrunning_normal正常系統(tǒng)運(yùn)行事件記錄systemrunning_abnormal異常系統(tǒng)運(yùn)行事件記錄no_dmf_security_normal無差模擾動(dòng)正常安全事件記錄dmf_single_executor_security_abnormal差模擾動(dòng)單執(zhí)行體異常安全事件記錄dmf_multi_executors_security_abnormal差模擾動(dòng)多執(zhí)行體異常安全事件記錄dmf_security_abnormal差模擾動(dòng)異常安全事件記錄表10擬態(tài)裁決字段字典字段對(duì)象域（object_domain）字段標(biāo)識(shí)符（Field_identifier）字段類（Type字段描述(Description)字段取值范圍（Range）mimic_multimode_rulingexecutor_infoobject執(zhí)行體信息[““,””]executorcountnumber在線執(zhí)行體數(shù)量“3~MAX_LONG（其中，MAX_LONG代表能表示最大的Long整數(shù)）executor_running_durationnumber執(zhí)行體運(yùn)行時(shí)長(zhǎng)0~MAX_LONGXxxxx字段對(duì)象域（object_domain）字段標(biāo)識(shí)符（Field_identifier）字段類（Type字段描述(Description)字段取值范圍（Range）dmf_executor_countnumber發(fā)生差模擾動(dòng)的執(zhí)行體數(shù)量0~executor_countdmf_logobject差模擾動(dòng)日志數(shù)據(jù)結(jié)構(gòu)，裁決作用對(duì)象dmf_countnumber差模擾動(dòng)次數(shù)0~MAX_LONGruling_policyobject裁決策略algorithmstring多模裁決算法“majority_multimode_ruling“:(擇多裁決),“weight_multimode_ruling“:(權(quán)重裁決),“random_multimode_ruling“:(隨機(jī)裁決)levelstring多模裁決層次/粒度“executor_level“:(執(zhí)行體層次),“component_level“:(組件層次),“payload_level“:(載荷層次),”byte_level”:(字節(jié)層次),”bit_level”:(比特層次)conclusionstring多模裁決結(jié)論“completely_same“:(完全相同),“majority_same“:(多數(shù)相同),“minority_same“:(少數(shù)相同),“completely_different”:(完全不同)syslogobject志數(shù)據(jù)結(jié)構(gòu)exploiting_difficultystring利用安全漏洞影響目標(biāo)系統(tǒng)"simple"|"complex"字段對(duì)象域（object_domain）字段標(biāo)識(shí)符（Field_identifier）字段類（Type字段描述(Description)字段取值范圍（Range）的難度damage_potentialstring利用安全標(biāo)系統(tǒng)造成的損害程度"complete"|"part"|"slight"|noneoutput_statusobject輸出到負(fù)反饋控制器的狀態(tài)信息output_responseobject裁決后輸出給目標(biāo)用戶的響應(yīng)消息output_schedule_policyobject輸出到負(fù)反饋控制器的策略信息負(fù)反饋控制器DHR結(jié)構(gòu)的負(fù)反饋控制器主要功能是根據(jù)多模裁決輸出的狀態(tài)信息或調(diào)度策略，啟動(dòng)調(diào)度策略改變當(dāng)前目標(biāo)系統(tǒng)內(nèi)服務(wù)的執(zhí)行體集的狀態(tài)，使得系統(tǒng)結(jié)構(gòu)表征發(fā)生一次變化?？捎^測(cè)的事件最小集包括內(nèi)容：1)接收調(diào)度策略；2)執(zhí)行調(diào)度策略；3)清洗異常執(zhí)行體；4)下線異常執(zhí)行體；5)上線新執(zhí)行體；6)同步執(zhí)行體狀態(tài)；7)通知輸入代理；8)記錄調(diào)度日志；表11負(fù)反饋控制器事件分類標(biāo)簽通用詞匯表最小集事件類別類別標(biāo)簽值定義/描述event_domainfeedback_control_function事件記錄發(fā)生在負(fù)反饋控制器event_actionschedule事件的動(dòng)作是調(diào)度異構(gòu)執(zhí)行體receive事件的動(dòng)作是接收調(diào)度策略logging事件的動(dòng)作是日志記錄clear事件的動(dòng)作是清洗異常執(zhí)行體recover事件的動(dòng)作是恢復(fù)異常執(zhí)行體狀態(tài)Xxxxx事件類別類別標(biāo)簽值定義/描述synchronize事件的動(dòng)作是同步新執(zhí)行體狀態(tài)offline事件的動(dòng)作是下線異常執(zhí)行體online事件的動(dòng)作是上線新執(zhí)行體notify事件的動(dòng)作是通知輸入代理當(dāng)前執(zhí)行體集發(fā)生變化event_objectschedule_policy事件作用的目標(biāo)對(duì)象，調(diào)度策略executor事件作用的目標(biāo)對(duì)象，執(zhí)行體recorder事件作用的目標(biāo)對(duì)象，調(diào)度事件記錄file事件作用的目標(biāo)對(duì)象，調(diào)度日志文件schedule_policy_set事件作用的目標(biāo)對(duì)象，裁決策略集event_serviceschedule_executor事件涉及的操作類型是異常執(zhí)行體調(diào)度policy_execution事件涉及的操做類型是調(diào)度策略執(zhí)行schedule_logging事件涉及的操作類型是調(diào)度日志記錄executor_clear事件涉及的操作類型是執(zhí)行體清洗executorrecover事件涉及的操作類型是執(zhí)行體恢復(fù)executor_offline事件涉及的操作類型是執(zhí)行體下線excutor_online事件涉及的操作類型是執(zhí)行體上線msg_notify事件涉及的操作類型是消息通知eventstatusfail事件結(jié)果失敗success事件結(jié)果成功disconnect鏈接異構(gòu)執(zhí)行體池失敗no_response通知消息無響應(yīng)no_schedule未執(zhí)行異構(gòu)執(zhí)行體調(diào)度event_subjectsystemrunning_normal正常系統(tǒng)運(yùn)行事件記錄systemrunning_abnormal異常系統(tǒng)運(yùn)行事件記錄executor_schedule_abnormal執(zhí)行體調(diào)度異常事件記錄executor_schedule_normal執(zhí)行體調(diào)度正常事件記錄executor_recover_abnormal執(zhí)行體恢復(fù)異常事件記錄executor_clear_abnormal執(zhí)行體清洗異常事件記錄executor_synchronization_abnormal執(zhí)行體狀態(tài)同步異常事件記錄表12負(fù)反饋控制器字段字典字段對(duì)象域字段標(biāo)識(shí)符字段類型字段描述字段取值范圍（object_dom（Field_identifier）（Type）(Description)（Range）feedback_control_functionrecorder.scheduleobject差模擾動(dòng)日志數(shù)據(jù)結(jié)構(gòu)recorder.syslogobjectsyslog日志數(shù)據(jù)結(jié)構(gòu)executorobject執(zhí)行體信息schedule_policyobject調(diào)度策略字段對(duì)象域字段標(biāo)識(shí)符字段類型字段描述字段取值范圍（object_dom（Field_identifier）（Type）(Description)（Range）schedule_countnumber調(diào)度次數(shù)0~MAX_LONGexecutorcountnumber在線執(zhí)行體數(shù)量3~max_longonline_executor_countnumber本次調(diào)度上線的執(zhí)行體數(shù)量0~executor_countonline_executor_listarray本次調(diào)度上線的執(zhí)行體IP列表offline_executor__countnumber下線的執(zhí)行體數(shù)量offline_executor_listarray下線的執(zhí)行體IP列表notification_msgobject通知消息數(shù)據(jù)結(jié)構(gòu)recover_dataobject恢復(fù)的狀態(tài)信息數(shù)據(jù)結(jié)構(gòu)clear_dataobject清洗的信息數(shù)據(jù)結(jié)構(gòu)syn_dataobject同步的狀態(tài)信息數(shù)據(jù)結(jié)構(gòu)recovercount_number執(zhí)行體狀態(tài)恢復(fù)次數(shù)clear_countnumber執(zhí)行體清洗的次數(shù)recoverexecutorcount_number恢復(fù)的執(zhí)行體數(shù)量clear_executor_countnumber清洗的執(zhí)行體數(shù)量4.3內(nèi)生安全系統(tǒng)安全日志事件表達(dá)編碼本章節(jié)描述了對(duì)內(nèi)生安全領(lǐng)域內(nèi)采用本文檔的通用事件表達(dá)機(jī)制表達(dá)事件時(shí)，進(jìn)行編碼和解碼的要求。這些要求旨在實(shí)現(xiàn)與現(xiàn)有事件編解碼交換要求的最大互操作性。為了確保與其他編碼要求的兼容性，本要求推薦使用XML（可擴(kuò)展標(biāo)記語言）和JSON（JavaScript對(duì)象表示法）等被廣泛使用的編碼。本文檔定義了與JSON（JavaScript對(duì)象表示法）兼容的編碼。本要求允許領(lǐng)域內(nèi)各個(gè)組織定義與開發(fā)采用被廣泛使用的語法對(duì)事件表達(dá)進(jìn)行編碼，但是事件表達(dá)必須符合章節(jié)4.2內(nèi)生安全系統(tǒng)安全日志事件表達(dá)模型的要求。領(lǐng)域內(nèi)各個(gè)組織指定語法時(shí)，必須明確定義了如何使用特定語法將事件表示為事件記錄，并提供最佳實(shí)踐。4.3.1日志事件表達(dá)語義的定義本要求對(duì)事件和事件編碼過程進(jìn)行了區(qū)分。一旦發(fā)生應(yīng)該記錄的事件，就會(huì)捕獲該事件的相關(guān)數(shù)據(jù)，然后將其編碼為事件記錄。然后，記錄事件記錄或與任何可以理解消費(fèi)此事件Xxxxx記錄編碼的設(shè)備交換和共享。事件表達(dá)語義是為了讓事件消費(fèi)者消費(fèi)編碼的事件記錄，事件的生產(chǎn)者與消費(fèi)者必須簡(jiǎn)單地解碼編碼的記錄以獲得原始事件信息。因此，必須在不丟失任何事件數(shù)據(jù)的情況下執(zhí)行使用選定語法對(duì)事件表達(dá)進(jìn)行編碼和解碼。本文檔定義了與JSON（JavaScript對(duì)象表示法）兼容的編碼。4.3.2字段字典映射到JSONJSON提供對(duì)六種值類型的對(duì)象支持：a)數(shù)值（整型值、浮點(diǎn)值）；b)字符串（""）;c)布爾型（true|false）;d)數(shù)組（[]）;e)對(duì)象（{}）：f)空值（null）。字段字典中字段類型到JSON值類型映射：a)數(shù)值類型與布爾類型直接映射到JSON數(shù)值和布爾類型；1)整數(shù)值必須在64位整數(shù)內(nèi)表示，范圍為[-(2^63),2^63-1]有符號(hào)或[0,2^64-1]無符號(hào)；2)浮點(diǎn)值必須可以用IEEE75464位浮點(diǎn)格式表示。a)字段取值是多值則映射到JSON數(shù)組；b)字段字典中的object類型直接映射到JSON對(duì)象值類型；c)基本字符、字符串或其他非JSON支持的類型均映射到JSON的字符串或?qū)ο笾殿恉)為了獲得最大的兼容性，整數(shù)、浮點(diǎn)數(shù)和布爾字段類型應(yīng)該使用等效的內(nèi)置JSON類型進(jìn)行編碼。對(duì)應(yīng)于這些原生類型的值不應(yīng)該出現(xiàn)在引號(hào)字符中。JSON編碼事件記錄的規(guī)范約束：a)JSON編碼的事件記錄必須完全符合RFC4627規(guī)范。b)除了轉(zhuǎn)義字符的要求JSON要求外，換行符和回車符在用作字段值時(shí)也必須轉(zhuǎn)義。c)所有JSON編碼的事件記錄必須表示為有效的UTF-8編碼的Unicode字符序列。d)具有多個(gè)值的JSON編碼事件記錄中的字段必須使用本機(jī)JSON數(shù)組機(jī)制進(jìn)行編碼。具有單個(gè)值的字段可以包裝在JSON數(shù)組中。e)JSON對(duì)象結(jié)構(gòu)應(yīng)該用于表示字段層次結(jié)構(gòu)。也可以使用內(nèi)聯(lián)字段名稱。4.3.3JSON編碼舉例#編碼后日志記錄{"event_header":["2021-11-22T17:50:51,520+08:00","INFO","line_id:248","stat","0000","event_entity":{"event_domain":"mimic_multimode_ruling","event_action":"multimode_ruling","event_object":"configure_table","event_service":"multimode_ruling","event_status":"success","event_subject":"dmf_security_abnormal","mimicrouter.msg_src":"config_multimode_ruling","addition_msg":"Reconnectingandresending!"}#編碼前日志記錄2021-11-2217:50:51,520-[arbitrament]:248-INFO-Reconnectingandresending4.4內(nèi)生安全系統(tǒng)安全日志記錄的物理載體本章節(jié)描述了內(nèi)生安全領(lǐng)域內(nèi)通用日志記錄存儲(chǔ)與交換的要求，這些要求定義了日志存儲(chǔ)與傳輸協(xié)議的強(qiáng)制和可選功能。此類規(guī)范使編碼的事件記錄能夠以通用、機(jī)器可讀的方式在各方之間共享。本章節(jié)目的是為事件生產(chǎn)者和消費(fèi)者提供有關(guān)如何可靠和安全地共享事件記錄的指導(dǎo)。4.4.1文件形式信息載體的約束規(guī)范文件作為日志的重要載體，至少遵循如下必要的規(guī)范約束：a)事件記錄在文件中的組織方式b)日志記錄之間的分隔。每條日志記錄之間必須通過換行符\r\n的方式進(jìn)行分隔，界限劃分清晰。c)日志記錄的長(zhǎng)度。本要求本身不對(duì)日志記錄的大小限制；每條日志記錄會(huì)被映射到指定的文件中，其大小由其所在的文件系統(tǒng)與其記錄所有者決定；如果記錄本身需要分多行存儲(chǔ)應(yīng)該提供明確標(biāo)識(shí)多行為同一事件記錄，標(biāo)識(shí)方法應(yīng)該顯示提供給記錄共享方。d)不同日志記錄應(yīng)該顯示區(qū)分。日志記錄必須支持多線程，不同線程之間的日志信息寫同一日志文件時(shí)不應(yīng)該產(chǎn)生沖突，日志信息應(yīng)該能被顯示區(qū)分出來。e)日志文件的組織方式f)單個(gè)日志文件大小。本要求本身不對(duì)日志文件的大小限制，其大小由其所在的文件系統(tǒng)與其記錄所有者決定；單個(gè)日志文件大小，推薦設(shè)置在100M~500M之間。g)日志文件分割規(guī)范要求：1)以一定的周期生成日志文件，推薦以一個(gè)自然日為一個(gè)周期,便于分類歸檔。2)當(dāng)單個(gè)周期內(nèi)日志量超過文件大小限制時(shí)，必須按照單一文件配置大小分割。3)當(dāng)單個(gè)日志出現(xiàn)跨周期時(shí)，日志文件不應(yīng)該只以日志量大小進(jìn)行分割，應(yīng)該創(chuàng)建新的日志文件。h)日志文件的命名組織方式規(guī)范要求：“YYYYMMDD”，便于分類歸檔。例如：mimicrouter_dmf_20220101.log，其中，日期20220101，必須按照“YYYYMMDD”的格式進(jìn)行統(tǒng)一。Xxxxx2)單個(gè)周期內(nèi)日志文件按照單一文件配置大小分割時(shí)，文件命名必須按照文件編號(hào)順序生成新文件，日志文件名必須追加文件編號(hào)“XXXX”，其中XXXXmimicrouter_dmf_20220101_0001.log，mimicrouter_dmf_20220101_0002.log。3)當(dāng)單個(gè)日志出現(xiàn)跨周期時(shí)，應(yīng)該重新創(chuàng)建一個(gè)以最新日志日期命名的文件，不應(yīng)該在前一個(gè)日期的日志日期文件中繼續(xù)追加寫入。例如:當(dāng)前某個(gè)日志文件的日期為20220101，日志文件大小為1M(不需要按照大小分割)，但隨后進(jìn)入20220102的自然時(shí)間周期，那么后續(xù)記錄，應(yīng)該重新創(chuàng)建一個(gè)日志日期為20220102的文件，不應(yīng)該在日志日期為20220101的已有文件中繼續(xù)追加寫入。4)日志文件的命名組織方式，"設(shè)備類型_日志類型_日期.log"；5)設(shè)備類型，mimic*，舉例：mimicrouter；6)日志類型，取自事件表達(dá)頭域數(shù)據(jù)組組織格式LOGTYPE字段；7)日志類型不同語義（層次）的標(biāo)識(shí)符之間以下劃線'_'字符進(jìn)行連接；8)相同語義（層次）的標(biāo)識(shí)符之間以'-'進(jìn)行連接。i)日志文件目錄的組織方式j(luò))日志文件目錄的組織方式，應(yīng)該能夠直觀反映出日志的組織方式，包括分類、索引以及層級(jí)等信息。k)日志文件目錄的命名必須取自章節(jié)通用事件分類標(biāo)簽表和最佳實(shí)踐事件分類標(biāo)簽表描述的標(biāo)簽元素；l)日志文件目錄的命名禁止使用無法區(qū)分意義的純數(shù)字、與擬態(tài)業(yè)務(wù)場(chǎng)景、擬態(tài)事件類型無關(guān)的命名方式；4.4.2日志記錄網(wǎng)絡(luò)傳輸約束規(guī)范網(wǎng)絡(luò)數(shù)據(jù)包是日志記錄重要的信息載體之一。日志記錄網(wǎng)絡(luò)傳輸約束規(guī)范為安全、可互操作且可靠的日志基礎(chǔ)架構(gòu)提供在傳輸、交換方面必要的技術(shù)支持。網(wǎng)絡(luò)數(shù)據(jù)包規(guī)范要求網(wǎng)絡(luò)數(shù)據(jù)包長(zhǎng)度。本要求本身不對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的長(zhǎng)度做限制，其長(zhǎng)度由其映射的傳輸協(xié)議與通信雙方約束決定。但作為日志記錄的載體，應(yīng)該遵循最大傳輸效率優(yōu)先的準(zhǔn)則。單條網(wǎng)絡(luò)數(shù)據(jù)包既不應(yīng)該過小，因?yàn)檫^小的載荷會(huì)導(dǎo)致網(wǎng)絡(luò)傳輸效率的低下；單條網(wǎng)絡(luò)數(shù)據(jù)包也不應(yīng)該超過實(shí)際傳輸鏈路層的MTU(例如：以太網(wǎng)MTU為1500)值，否則會(huì)引起鏈路分片，從而造成數(shù)據(jù)包處理效率的低下。網(wǎng)絡(luò)數(shù)據(jù)包封裝的格式，必須提供及時(shí)、準(zhǔn)確的封裝格式字典，便于數(shù)據(jù)包接收之后的解析工作。網(wǎng)絡(luò)傳輸協(xié)議規(guī)范要求內(nèi)生安全領(lǐng)域中日志記錄傳輸協(xié)議必須符合下面的要求列表，以及特定用例可能需要的附加功能。例如：傳輸協(xié)議必須能夠傳輸JSON編碼的事件記錄。更高級(jí)的傳輸協(xié)議可以提供額外的功能，例如：加密和完全確認(rèn)。本要求根據(jù)領(lǐng)域內(nèi)日志傳輸?shù)膱?chǎng)景將這些要求分為四組。一致性級(jí)別0是強(qiáng)制性一致性級(jí)別，包括基本能力。進(jìn)一步的一致性級(jí)別描述了更高級(jí)的傳輸協(xié)議應(yīng)該支持的可選功能。一致性級(jí)別1是核心能力，提供了穩(wěn)健性的最低要求。一致性級(jí)別2包含一組附加要求，用于解決在攻擊者存在的情況下進(jìn)行日志記錄的問題。一致性級(jí)別3包含一組額外的要求，用于解決本地管理攻擊場(chǎng)景。一致性級(jí)別3是最強(qiáng)大的要求集。級(jí)別要求Level傳輸協(xié)議應(yīng)該是一個(gè)已發(fā)布的協(xié)議規(guī)范，對(duì)互操作性沒有許可障礙，沒有特許權(quán)使用費(fèi)，也沒有批準(zhǔn)程序。應(yīng)該僅使用那些公開可用的協(xié)議和要求。2.傳輸協(xié)議應(yīng)該能夠在協(xié)議包的主體內(nèi)傳輸至少一種形式的編碼事件記錄。3.傳輸協(xié)議的載荷部分應(yīng)該支持多條編碼事件記錄批量傳輸?shù)囊蟆?.傳輸協(xié)議應(yīng)該保持通道數(shù)據(jù)包邏輯順序的完整性，以便事件接收器能夠重建原始邏輯順序。5.傳輸協(xié)議應(yīng)該支持通信雙方可靠的交換日志記錄，具備數(shù)據(jù)包確認(rèn)機(jī)制以及應(yīng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的丟失、亂序、重傳等問題的機(jī)制。Level傳輸協(xié)議應(yīng)該通過使用數(shù)字簽名或其他防篡改機(jī)制準(zhǔn)確可靠地檢測(cè)任何篡改或數(shù)據(jù)損壞的問題。Level1.傳輸協(xié)議在攻擊者存在的情況下保持事件記錄的機(jī)密性、真實(shí)性。2.傳輸協(xié)議應(yīng)該防止消息重放；3.傳輸協(xié)議應(yīng)該保持傳輸中日志記錄的真實(shí)性。4.傳輸協(xié)議應(yīng)該支持使用最佳實(shí)踐加密算法的傳輸加密。實(shí)現(xiàn)此要求的一種方法是使用傳輸層安全性(TLS)。保持?jǐn)?shù)據(jù)的機(jī)密性，至少在數(shù)據(jù)包主體內(nèi)。Level日志傳輸協(xié)議應(yīng)該可能被中間人攻擊、冒充與篡改，必須至少執(zhí)行傳輸內(nèi)容加密、內(nèi)容傳輸兩端身份認(rèn)證、傳輸內(nèi)容完整性校驗(yàn)的保護(hù)措施；實(shí)現(xiàn)此要求的一種方法是使用傳輸層安全性(TLS)。網(wǎng)絡(luò)傳輸協(xié)議映射實(shí)例本要求以映射到SYSLOG(RFC5424)為例介紹傳輸映射，syslog滿足level0。本文檔通過在Syslog消息中包含擬態(tài)領(lǐng)域事件表達(dá)的JSON（JavascriptObjectNotation）編碼，來舉例說明符合本要求和Syslog規(guī)范的事件傳輸映射。a)SysLogHeader必須使用要求的SyslogHeader。SyslogHeader的實(shí)際格式取決于Syslog協(xié)議版本，并且可能因?qū)崿F(xiàn)而異。這些Header字段值用于Syslog協(xié)議并且獨(dú)立于擬態(tài)事件表達(dá)編碼。SyslogHeader字段值不應(yīng)用于在封閉的擬態(tài)日志事件表達(dá)編碼中，不得添加或修改任何值。b)SysLogBody擬態(tài)事件表達(dá)必須使用4.3內(nèi)生安全領(lǐng)域日志事件表達(dá)編碼規(guī)范編碼來表示。c)SysLog封裝擬態(tài)事件編碼舉例<165>122021-11-22T17:50:51,520+08:00process-example-event-1@mee:{"event_header":["2021-11-22T17:50:51,520+08:00","INFO","line_id:248","stat","0000"Xxxxx"event_entity":{"event_domain":"mimic_multimode_ruling","event_action":"multimode_ruling","event_object":"configure_table","event_service":"multimode_ruling","event_status":"success","event_subject":"dmf_security_abnormal","mimicrouter.executor_id":"","addition_msg":"Reconnectingandresending!"}5內(nèi)生安全系統(tǒng)安全日志采集要求5.1明確采集目標(biāo)a)確定學(xué)院采集的擬態(tài)設(shè)備類型、型號(hào)及其網(wǎng)絡(luò)位置和業(yè)務(wù)情況。b)了解設(shè)備的功能和可能產(chǎn)生的日志類型，例如系統(tǒng)日志、攻擊日志、錯(cuò)誤日志等。c)針對(duì)不同類型的日志，明確其重要性和優(yōu)先級(jí)，以便在采集過程中重點(diǎn)關(guān)注。5.2選擇采集工具a)業(yè)界類似業(yè)務(wù)場(chǎng)景的主流技術(shù)選型，具備成熟的社區(qū)，方便問題解決；b)能夠滿足擬態(tài)設(shè)備日志數(shù)據(jù)與網(wǎng)絡(luò)流量采集的需求，具備靈活的采集策略配置，有明確的指導(dǎo)文檔；c)對(duì)被采集設(shè)備的性能影響在要求范圍內(nèi)，輕量級(jí)，資源占用小資源占用與性能需要開發(fā)后予以評(píng)估給出詳細(xì)報(bào)告）d)具備靈活的對(duì)外接口，支持多種輸出方式；e)采集器其代碼開源，開發(fā)語言與現(xiàn)有開發(fā)人員技術(shù)棧相符，便于二次開發(fā)。f)采集器支持?jǐn)?shù)據(jù)加密傳輸，同時(shí)保證傳輸可靠性。g)盡量選擇擬態(tài)設(shè)備目前采用的日志采集器。5.3配置采集策略a)確定日志源確定擬態(tài)設(shè)備中需要裁決日志的系統(tǒng)、應(yīng)用或服務(wù)，如裁決模塊、調(diào)度模塊。b)確定采集內(nèi)容根據(jù)業(yè)務(wù)需求，采集所需數(shù)據(jù)，如系統(tǒng)運(yùn)行的指標(biāo)、運(yùn)行狀態(tài)和被攻擊日志。c)確定日志采集規(guī)則根據(jù)擬態(tài)設(shè)備應(yīng)用或服務(wù)的特點(diǎn)，配置具體的日志采集規(guī)則，包括日志文件的路徑、采集頻率、過濾條件、采集的日志級(jí)別等。d)日志上報(bào)方式通過restful接口，支持主動(dòng)告知和被動(dòng)查詢。5.4日志采集安全a)日志采集狀態(tài)監(jiān)控，確保采集工具正常運(yùn)行，與擬態(tài)設(shè)備的連接保持穩(wěn)定。b)日志采集過程不能影響擬態(tài)設(shè)備正常業(yè)務(wù)運(yùn)行，避免應(yīng)采集器的配置不當(dāng)導(dǎo)致設(shè)備CPU使用率過高、內(nèi)存泄露、占用大量磁盤等問題。c)適當(dāng)限制日志采集器的訪問權(quán)限，避免對(duì)設(shè)備上非授權(quán)文件的訪問及修改。d)對(duì)敏感日志數(shù)據(jù)進(jìn)行安全保護(hù)，采取加密、訪問控制等措施，防止日志數(shù)據(jù)泄露或被篡改。5.5采集自動(dòng)化盡量實(shí)現(xiàn)日志采集的自動(dòng)化，減少人工干預(yù)。可以通過編寫腳本或使用自動(dòng)化工具來定時(shí)啟動(dòng)采集任務(wù)、處理采集到的日志數(shù)據(jù)等。6內(nèi)生安全系統(tǒng)安全日志存儲(chǔ)要求6.1日志存儲(chǔ)保證可用性日志的本地側(cè)存儲(chǔ)時(shí)，在業(yè)務(wù)形態(tài)允許條件下推薦采用備份存儲(chǔ)、冗余存儲(chǔ)等保證日志記錄存儲(chǔ)的可用性與可靠性的技術(shù)手段。日志在統(tǒng)一集中式日志平臺(tái)存儲(chǔ)時(shí)，在業(yè)務(wù)形態(tài)允許條件下推薦采用分布式擬態(tài)云存儲(chǔ)等技術(shù)手段，提高系統(tǒng)的可靠性、可用性和存取效率，且易于擴(kuò)展。6.2日志存儲(chǔ)的時(shí)長(zhǎng)日志的本地側(cè)存儲(chǔ)時(shí)，在業(yè)務(wù)形態(tài)允許條件下推薦至少保存15天，因?yàn)橛行┊惓＞邆湟浴爸堋睘轭l次發(fā)生的特點(diǎn)。日志在統(tǒng)一集中式日志平臺(tái)存儲(chǔ)時(shí)按照《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。6.3日志存儲(chǔ)文件的規(guī)范要求擬態(tài)日志存儲(chǔ)文件規(guī)范要求，參照4.4.1文件形式信息載體的約束規(guī)范的描述執(zhí)行。6.4日志存儲(chǔ)路徑擬態(tài)日志路徑的根路徑不能在源碼中固化，推薦支持根路徑的可配置，支持路徑場(chǎng)景遷移。擬態(tài)日志路徑，能夠反映出日志的組織方式，推薦采用含有分類、索引等隱含的信息的命名方式、采用分層的目錄組織結(jié)構(gòu)。6.5日志存儲(chǔ)安全6.5.1日志數(shù)據(jù)分類分級(jí)推薦對(duì)于一些較為復(fù)雜的數(shù)據(jù)，人為手動(dòng)定義好分類體系和規(guī)則體系；對(duì)標(biāo)準(zhǔn)化的日志數(shù)據(jù)推薦利用數(shù)據(jù)標(biāo)簽技術(shù)、知識(shí)圖譜等技術(shù)進(jìn)行系統(tǒng)自動(dòng)化掃描可以簡(jiǎn)化數(shù)據(jù)分類分級(jí)的過程，根據(jù)預(yù)定參數(shù)對(duì)數(shù)據(jù)進(jìn)行分類和定級(jí)。擬態(tài)防御領(lǐng)域內(nèi)各組織可根據(jù)國家相關(guān)法規(guī)標(biāo)準(zhǔn)，結(jié)合自身業(yè)務(wù)特點(diǎn)，采用合適日志數(shù)據(jù)分類分級(jí)方法。本標(biāo)準(zhǔn)推薦按照日志數(shù)據(jù)敏感級(jí)別分為敏感數(shù)據(jù)（L4級(jí)），較敏感數(shù)據(jù)（L3級(jí)），低敏感數(shù)據(jù)（L2級(jí)），不敏感數(shù)據(jù)（L1級(jí)）四個(gè)級(jí)別。根據(jù)日志的級(jí)別限制訪問：Xxxxxa)敏感數(shù)據(jù)（L4級(jí)）：最重要的和敏感的擬態(tài)日志，只限于特定極少數(shù)相關(guān)人員獲取，嚴(yán)格限制訪問權(quán)限。b)較敏感數(shù)據(jù)（L3級(jí)）：有重要價(jià)值的秘密擬態(tài)日志信息，只限于與該信息有關(guān)的部分人員獲取，訪問需確認(rèn)確實(shí)有工作需要，并經(jīng)過相應(yīng)的審批流程。c)低敏感數(shù)據(jù)（L2級(jí)可在內(nèi)部傳播的擬態(tài)日志信息，需要控制日志信息的公開，不允許外傳。d)不敏感數(shù)據(jù)（L1級(jí)）：可以免費(fèi)獲得和訪問的信息，沒有任何限制或不利后果。6.5.2日志數(shù)據(jù)訪問控制為保證領(lǐng)域內(nèi)日志數(shù)據(jù)被監(jiān)管和合規(guī)使用，推薦基于日志數(shù)據(jù)的分類分級(jí)制定數(shù)據(jù)訪問控制策略，形成敏感分級(jí)數(shù)據(jù)與用戶角色的訪問控制矩陣，為數(shù)據(jù)的安全合規(guī)使用提供支撐。哪些數(shù)據(jù)可以使用、哪些不可以使用、哪些能對(duì)外開放、哪些不能開放、不同等級(jí)的數(shù)據(jù)在不同場(chǎng)景使用哪種安全策略(存儲(chǔ)安全策略、交換安全策略等)。6.5.3敏感日志數(shù)據(jù)防泄露統(tǒng)一日志存儲(chǔ)管理平臺(tái)等大數(shù)據(jù)技術(shù)的使用讓數(shù)據(jù)的存儲(chǔ)和復(fù)制變得簡(jiǎn)單，但也讓敏感數(shù)據(jù)的防泄漏變得極其困難。推薦遵循“最小可用”原則，盡量減