《數(shù)字政府 城市網(wǎng)絡安全威脅流量監(jiān)測數(shù)據(jù)管理規(guī)范》

ICS35.020

CCSL01

DB3205

蘇州市地方標準

DB3205/T1043—2022

數(shù)字政府城市網(wǎng)絡安全威脅流量監(jiān)測

數(shù)據(jù)管理規(guī)范

Digitalgovernment-Specificationfordatamanagementofnetwork

trafficmonitor

2022-08-19發(fā)布2022-08-26實施

蘇州市市場監(jiān)督管理局發(fā)布

DB3205/T1043—2022

目次

前言...............................................................................................................................................................II

引言.............................................................................................................................................................III

1范圍...................................................................................................................................................................1

2規(guī)范性引用文件...............................................................................................................................................1

3術語和定義.......................................................................................................................................................1

4管理職責...........................................................................................................................................................2

5數(shù)據(jù)采集...........................................................................................................................................................2

5.1數(shù)據(jù)采集總體要求...............................................................................................................................2

5.2安全威脅監(jiān)測數(shù)據(jù)要求.......................................................................................................................2

5.3流量元數(shù)據(jù)采集要求...........................................................................................................................2

5.4原始數(shù)據(jù)包和還原文件數(shù)據(jù)采集要求..............................................................................................3

6數(shù)據(jù)傳輸...........................................................................................................................................................3

6.1數(shù)據(jù)傳輸過程.......................................................................................................................................3

6.2數(shù)據(jù)傳輸方式.......................................................................................................................................3

7數(shù)據(jù)存儲與使用...............................................................................................................................................4

8數(shù)據(jù)安全...........................................................................................................................................................4

8.1審計日志數(shù)據(jù)要求...............................................................................................................................4

8.2報警日志數(shù)據(jù)要求...............................................................................................................................4

8.3數(shù)據(jù)傳輸安全要求...............................................................................................................................4

附錄A（規(guī)范性）輸出數(shù)據(jù)內(nèi)容和格式..........................................................................................................5

附錄B（規(guī)范性）攻擊告警分類....................................................................................................................15

附錄C（資料性）網(wǎng)絡威脅流量監(jiān)測設備的功能要求和性能要求...........................................................19

參考文獻...............................................................................................................................................................21

I

DB3205/T1043—2022

前言

本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起

草。

本文件由蘇州市公安局提出并歸口。

本文件起草單位：蘇州市公安局、國家計算機網(wǎng)絡與信息安全管理中心江蘇分中心、蘇州市質量和

標準化院、三六零科技集團有限公司、三六零數(shù)字安全科技集團有限公司、蘇州三六零安全科技有限公

司、江蘇百達智慧網(wǎng)絡科技有限公司、北京天云海數(shù)技術有限公司、北京網(wǎng)御星云信息技術有限公司、

亞信科技（成都）有限公司、山石網(wǎng)科通信技術股份有限公司。

本文件主要起草人：李晶、莊唯、袁欣、厲白、高威、朱澤洲、趙云、顧弘、周文淵、李姝、殷倩、

張欣藝、宋劍超、羅冬雪、鄔鵬程、宋貴生、龍偉、楊凱、季海晨。

本文件為首次發(fā)布。

DB3205/T1043—2022

引言

近年來，隨著信息化建設的不斷發(fā)展，網(wǎng)絡安全事件層出不窮，其種類、手段也呈現(xiàn)出了多樣化的

態(tài)勢，網(wǎng)絡安全形勢面臨著一個又一個的威脅與挑戰(zhàn)。為了準確把握安全威脅、風險和隱患，有效應對

網(wǎng)絡安全的嚴峻威脅和挑戰(zhàn)，獲取海量網(wǎng)絡安全數(shù)據(jù)，并且對海量安全數(shù)據(jù)進行分析，獲取全面實時的

網(wǎng)絡安全態(tài)勢和趨勢就變得尤為重要。而在海量的網(wǎng)絡安全數(shù)據(jù)中，網(wǎng)絡安全威脅流量監(jiān)測設備采集的

數(shù)據(jù)占有較大的比重，因此更應引起重視。

當前，不同廠商提供的設備或系統(tǒng)所產(chǎn)生的網(wǎng)絡安全威脅流量監(jiān)測數(shù)據(jù)格式不統(tǒng)一、不規(guī)范，客觀

上對網(wǎng)絡安全體系的建設和相關平臺與系統(tǒng)的數(shù)據(jù)對接造成了不利影響。在這種情況下，我們決定制定

網(wǎng)絡安全威脅流量監(jiān)測數(shù)據(jù)的管理規(guī)范，對監(jiān)控數(shù)據(jù)的類型、數(shù)據(jù)內(nèi)容和管理要求等內(nèi)容做出明確規(guī)定，

其目的是確保網(wǎng)絡安全威脅流量監(jiān)測數(shù)據(jù)能高效、便捷地與城市網(wǎng)絡安全防護平臺進行數(shù)據(jù)傳輸，相關

管理工作能高效、持續(xù)、穩(wěn)定地進行，從而保障城市網(wǎng)絡安全的穩(wěn)定可靠。

本文件對數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲與使用、數(shù)據(jù)安全等多方面提出了明確的要求，以此來保

障數(shù)據(jù)的歸一化，為網(wǎng)絡安全體系和相關平臺提供規(guī)范化、統(tǒng)一標準的網(wǎng)絡安全威脅流量監(jiān)測數(shù)據(jù)。

III

DB3205/T1043—2022

數(shù)字政府城市網(wǎng)絡安全威脅流量監(jiān)測數(shù)據(jù)管理規(guī)范

1范圍

本文件規(guī)定了城市網(wǎng)絡安全威脅流量監(jiān)測的管理職責、數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲與使用、數(shù)

據(jù)安全。

本文件適用于教育、醫(yī)療衛(wèi)生、水利、電力、能源等關鍵行業(yè)和重點單位的網(wǎng)絡安全評估與管理工

作，可在進行網(wǎng)絡安全評估與管理工作中的網(wǎng)絡安全威脅流量監(jiān)測數(shù)據(jù)采集時使用本文件，其他相關關

鍵行業(yè)和重點單位可參考執(zhí)行。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件，不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069-2010信息安全技術術語

GB/T34960.5-2018信息技術服務治理第5部分：數(shù)據(jù)治理規(guī)范

GB/T37973-2019信息安全技術大數(shù)據(jù)安全管理指南

3術語和定義

下列術語和定義適用于本文件。

3.1

網(wǎng)絡流量networktraffic

能夠連接網(wǎng)絡的設備在網(wǎng)絡上所產(chǎn)生的數(shù)據(jù)包的集合。

3.2

網(wǎng)絡威脅流量監(jiān)測networkthreattrafficmonitoring

對網(wǎng)絡出口處的流量進行實時采集，通過協(xié)議分析、與已知安全威脅規(guī)則匹配、與威脅情報庫匹配

等方式，發(fā)現(xiàn)流量中的異常信息，并生成對應網(wǎng)絡安全告警。

3.3

網(wǎng)絡安全威脅流量監(jiān)測設備networkthreattrafficmonitoringequipment

又稱為網(wǎng)絡流量探針，從被觀察的信息系統(tǒng)中，通過感知、監(jiān)測等收集事態(tài)數(shù)據(jù)的一種部件或代理。

[來源：GB/T25069-2010，7,有修改]

3.4

心跳heartbeat

在設備監(jiān)測中，各設備之間通過周期性發(fā)送的信息，并以此判斷設備的健康狀況，判斷對方是否存

活。

3.5

隧道tunnel

在聯(lián)網(wǎng)的設備之間，一種隱藏在其他可見性更高的協(xié)議內(nèi)部的數(shù)據(jù)路徑。

[來源：GB/T25069-2010，05]

1

DB3205/T1043—2022

3.6

添加變量salt

作為單向函數(shù)或加密函數(shù)的二次輸入而加入的隨機變量，可用于導出口令驗證數(shù)據(jù)。

[來源：GB/T25069-2010，86]

4管理職責

網(wǎng)絡安全威脅流量監(jiān)測數(shù)據(jù)的責任單位，應對數(shù)據(jù)的操作、使用、共享等方面進行管理和監(jiān)控，要

求如下：

a）數(shù)據(jù)所有者、各行業(yè)主管部門、公安機關、國家網(wǎng)信部門等應在各自職責范圍內(nèi)對數(shù)據(jù)進行管

理與監(jiān)控；

b）應對數(shù)據(jù)的使用與共享等操作進行規(guī)范化管理，并建設對應的管理制度；

c）應配備數(shù)據(jù)管理人員，對數(shù)據(jù)進行統(tǒng)一管理與維護；

d）應對數(shù)據(jù)操作人員及操作信息進行記錄。

注：各行業(yè)主管部門是指教育、醫(yī)療衛(wèi)生、水利、電力、能源、交通等關鍵行業(yè)的主管部門。

5數(shù)據(jù)采集

5.1總體要求

數(shù)據(jù)提供機構提供的城市網(wǎng)絡安全威脅流量監(jiān)測數(shù)據(jù)應包含如下幾類：安全威脅監(jiān)測數(shù)據(jù)、流量元

數(shù)據(jù)、原始數(shù)據(jù)包和還原文件、心跳信息。

針對實時采集獲取的流量數(shù)據(jù)，應在遵循GB/T37973-2019中8.2的前提下，滿足如下要求：

a）應為實時解析的網(wǎng)絡出口原始全會話流量，并包含相關協(xié)議以及還原后的文件；

b）應包含未經(jīng)加工的原始全會話流量，流量覆蓋率應為100%；

c）應能依據(jù)特定匹配條件提供對應的流量數(shù)據(jù)。

5.2安全威脅監(jiān)測數(shù)據(jù)要求

針對安全威脅監(jiān)測的數(shù)據(jù)，要求如下：

a）應包含根據(jù)已知漏洞的特點和攻擊特征監(jiān)測出的利用已知漏洞的網(wǎng)絡攻擊行為數(shù)據(jù)，并需要包

含對典型攻擊成功與否的判定結果；

b）應包含根據(jù)威脅情報信息發(fā)現(xiàn)的高級威脅告警數(shù)據(jù)，告警數(shù)據(jù)中應包含對域名、IP地址、文件

哈希等多種威脅情報的匹配結果，并需要包含對典型攻擊成功與否的判定結果；

c）應包含WEB類威脅監(jiān)測結果數(shù)據(jù)，至少應含有如下類型：SQL注入、跨站腳本攻擊（XSS）、命

令執(zhí)行、瀏覽器劫持、溢出攻擊、WEBSHELL等，并需要包含對典型攻擊成功與否的判定結果；

d）應包含多種網(wǎng)絡協(xié)議下惡意代碼檢測結果數(shù)據(jù)（包括木馬、網(wǎng)絡型病毒、蠕蟲、僵尸網(wǎng)絡等），

網(wǎng)絡協(xié)議類型至少應含有：HTTP、SMTP、POP3、IMAP、FTP協(xié)議；

e）應包含根據(jù)已知木馬的網(wǎng)絡行為特征、數(shù)據(jù)流特征或文件特征等監(jiān)測出的已知木馬的攻擊行為

數(shù)據(jù)，并需要包含對典型攻擊成功與否的判定結果；

f）應包含異常通信行為數(shù)據(jù)，類型至少應含有：定時異常通信、DNS子域名發(fā)現(xiàn)、web目錄探測、

暴力破解、隧道通信、掃描探測、挖礦木馬、DDoS攻擊等。

5.3流量元數(shù)據(jù)采集要求

2

DB3205/T1043—2022

針對流量元數(shù)據(jù)，要求如下：

a）應包括解析后的TCP、UDP通信會話的相關元數(shù)據(jù)；

b）應包括解析后HTTP協(xié)議的相關元數(shù)據(jù)；

c）應包括解析后DNS協(xié)議的相關元數(shù)據(jù)；

d）應包括解析后SMTP、POP3、IMAP協(xié)議的相關元數(shù)據(jù)；

e）應包括解析后FTP協(xié)議的相關元數(shù)據(jù)；

f）應包括解析后Telnet協(xié)議的相關元數(shù)據(jù)；

g）應包括解析后SSH協(xié)議的相關元數(shù)據(jù)；

h）應能提供依據(jù)IP地址、協(xié)議類型、協(xié)議字段等過濾規(guī)則過濾后的日志數(shù)據(jù)。

5.4原始數(shù)據(jù)包和還原文件數(shù)據(jù)采集要求

安全告警對應原始數(shù)據(jù)包以及城市網(wǎng)絡安全防護平臺進行安全分析時產(chǎn)生的特定IP、域名等信息對

應的原始數(shù)據(jù)包需向平臺進行傳輸，原始數(shù)據(jù)包與還原文件的要求如下：

a）原始數(shù)據(jù)包應包含依據(jù)IP、域名等信息捕獲特定通信流量的原始數(shù)據(jù)包；

b）還原文件應包含HTTP、SMTP、POP3、IMAP、FTP協(xié)議的還原文件；

c）文件格式至少應支持以下幾類：壓縮文件（如RAR、ZIP、7Z）、可執(zhí)行文件；

d）應能提供依據(jù)自定義文件類型、協(xié)議等過濾規(guī)則過濾后的數(shù)據(jù)；

e）針對檢測到的惡意文件，回傳內(nèi)容應包含惡意文件的哈希值、大小、文件類型、文件、流量日

志五要素。

6數(shù)據(jù)傳輸

6.1數(shù)據(jù)傳輸過程

各數(shù)據(jù)提供機構應按照第5章數(shù)據(jù)采集、附錄A輸出數(shù)據(jù)內(nèi)容和格式以及附錄B攻擊告警分類的要求

進行數(shù)據(jù)采集，并根據(jù)數(shù)據(jù)提供機構各自的情況選擇不同的數(shù)據(jù)傳輸方式進行數(shù)據(jù)傳輸，數(shù)據(jù)管理方對

數(shù)據(jù)的質量進行審核，審核通過后的數(shù)據(jù)由數(shù)據(jù)管理方進行數(shù)據(jù)的治理入庫，網(wǎng)絡安全威脅流量監(jiān)測設

備的功能要求和性能要求可參照附錄C。

6.2數(shù)據(jù)傳輸方式

6.2.1通過高吞吐量的分布式發(fā)布訂閱消息系統(tǒng)傳輸

本方法適用于已接入監(jiān)管側第三方要求的端到端加密網(wǎng)絡系統(tǒng)的網(wǎng)絡安全威脅流量監(jiān)測設備或平

臺傳輸數(shù)據(jù)時使用，具體要求如下：

a）傳輸數(shù)據(jù)類型：安全威脅監(jiān)測數(shù)據(jù)、流量元數(shù)據(jù)、原始數(shù)據(jù)包和還原文件；

b）數(shù)據(jù)以JSON的格式封裝單條記錄，經(jīng)過Kafka等高吞吐量的分布式發(fā)布訂閱消息系統(tǒng)傳輸至

數(shù)據(jù)接收前置機；

c）外發(fā)字符串應采用UTF-8編碼；

d）數(shù)據(jù)傳輸頻率為實時傳輸。

6.2.2通過API接口方式傳輸

本方法適用于未接入監(jiān)管側第三方要求的端到端加密網(wǎng)絡系統(tǒng)的平臺傳輸數(shù)據(jù)，或傳輸數(shù)據(jù)中的附

件文件太大，超出Kafka允許最大長度時使用，具體要求如下：

a）傳輸數(shù)據(jù)類型：心跳數(shù)據(jù)、安全威脅監(jiān)測數(shù)據(jù)、流量元數(shù)據(jù)、原始數(shù)據(jù)包和還原文件；

3

DB3205/T1043—2022

b）平臺流量告警數(shù)據(jù)對接接口為HTTP協(xié)議的通信接口，方法為POST；

c）數(shù)據(jù)傳輸格式為JSON；

d）外發(fā)字符串應采用UTF-8編碼；

e）認證方式：在JSON體中增加token和send_time（unixms級），其中token=md5(from+send_

time+SALT+key)，用于校驗用戶，每次調用均需生成；

f）數(shù)據(jù)傳輸頻率為實時傳輸；

g）發(fā)送的心跳信息應至少包含如下內(nèi)容：廠家、型號、部署位置、IP、狀態(tài)、今日經(jīng)過流量數(shù)、

今日生成日志數(shù)、今日生成告警數(shù)、當前CPU利用率、當前磁盤利用率、當前內(nèi)存利用率、系

統(tǒng)版本、授權到期日。

7數(shù)據(jù)存儲與使用

7.1數(shù)據(jù)所有者、各行業(yè)主管部門、公安機關、國家網(wǎng)信部門等應在各自職責范圍內(nèi)承擔數(shù)據(jù)的存儲

與安全監(jiān)管職責。

7.2已建設網(wǎng)絡安全威脅流量監(jiān)測能力的平臺或單位，應最終實現(xiàn)與蘇州市城市網(wǎng)絡安全防護平臺關

于網(wǎng)絡安全威脅流量監(jiān)測數(shù)據(jù)的對接。

7.3網(wǎng)絡安全監(jiān)管單位應對接收的網(wǎng)絡安全威脅流量監(jiān)測數(shù)據(jù)進行數(shù)據(jù)治理、入庫及數(shù)據(jù)備份工作，

數(shù)據(jù)治理工作應按照GB/T34960.5-2018要求執(zhí)行。

7.4城市網(wǎng)絡安全防護平臺基于治理后的網(wǎng)絡安全威脅流量監(jiān)測數(shù)據(jù)，通過安全驗證與分析，發(fā)現(xiàn)網(wǎng)

絡安全威脅，并下發(fā)對應的重點單位進行整改，以此確保城市的網(wǎng)絡安全狀況穩(wěn)定。

8數(shù)據(jù)安全

8.1審計日志數(shù)據(jù)要求

每一條審計日志中均應包含該行為發(fā)生的日期、時間、用戶標識、描述和結果。審計日志的生成條

件如下：

a）用戶登錄行為，包括成功和失??；

b）對安全規(guī)則進行更改的操作；

c）因鑒別嘗試不成功的次數(shù)達到設定值，導致的會話連接終止；

d）對日志記錄的備份；

e）用戶的其它操作。

8.2報警日志數(shù)據(jù)要求

報警日志內(nèi)容應包含事件發(fā)生的日期、時間、事件主體和事件描述，且應為管理員可理解的，具體

報警日志的生成條件如下：

a）存儲空間達到設定值；

b）用戶鑒別失敗的次數(shù)達到設定值；

c）其它系統(tǒng)事件。

8.3數(shù)據(jù)傳輸安全要求

網(wǎng)絡安全威脅流量監(jiān)測數(shù)據(jù)應能通過基于監(jiān)管側第三方要求的端到端加密網(wǎng)絡系統(tǒng)進行加密傳輸，

保證數(shù)據(jù)傳輸安全。

4

DB3205/T1043—2022

附錄A

（規(guī)范性）

輸出數(shù)據(jù)內(nèi)容和格式

A.1安全威脅監(jiān)測日志格式

安全威脅監(jiān)測日志包括攻擊監(jiān)測日志、惡意代碼監(jiān)測日志和威脅情報告警日志三種。

每種類型的日志由通用部分和專用部分兩部分組成。通用部分即每種日志公用的頭部信息（見表

A.1），其余各部分參見各章節(jié)定義。對于各種類型的威脅監(jiān)測日志，本文件定義了比較明確的威脅日

志類型和字段，如有不在定義范圍內(nèi)的，可擴展和補充。

表A.1規(guī)定了安全威脅監(jiān)測日志通用部分的數(shù)據(jù)內(nèi)容與格式。表A.2規(guī)定了安全威脅監(jiān)測日志中攻擊

監(jiān)測日志專用部分的內(nèi)容與格式，攻擊監(jiān)測日志包含附錄B中拒絕服務攻擊、后門攻擊、漏洞攻擊這三

類告警的專用部分。表A.3規(guī)定了安全威脅監(jiān)測日志中惡意代碼監(jiān)測日志專用部分的內(nèi)容與格式，惡意

代碼監(jiān)測日志包含附錄B中有害程序告警的專用部分。表A.4規(guī)定了安全威脅監(jiān)測日志中威脅情報告警日

志專用部分的內(nèi)容與格式，威脅情報告警日志包含附錄B中威脅情報告警的專用部分。

表A.1通用部分

序號數(shù)據(jù)項英文名稱數(shù)據(jù)項中文描述必填說明

1device_ip設備IP是設備IP

2time時間是安全威脅發(fā)生時間

3sip_ipv4源IPv4地址是安全威脅關聯(lián)的源IPv4地址

4sip_ipv6源IPv6地址否安全威脅關聯(lián)的源IPv6地址

5smac源MAC地址否安全威脅關聯(lián)的源MAC地址

6sport源端口是安全威脅關聯(lián)的源端口

當源IP是互聯(lián)網(wǎng)IP時填寫，例如美國、日

7sregion源IP歸屬地否

本

8dip_ipv4目的IPv4地址是安全威脅關聯(lián)的目的IPv4地址

9dip_ipv6目的IPv6地址否安全威脅關聯(lián)的目的IPv6地址

10dmac目的MAC地址否安全威脅關聯(lián)的目的MAC地址

11dport目的端口是安全威脅關聯(lián)的目的端口

當目的IP是互聯(lián)網(wǎng)IP時填寫，例如美國、

12dregion目的IP歸屬地否

日本

13proto_1傳輸層協(xié)議否傳輸層協(xié)議

14attack_id攻擊類型是參見附錄B攻擊告警分類

15ename告警名稱是安全威脅的名稱

0：信息，1：低危，2：中危，3：高危，4：

16level告警等級是

超危

17msg告警描述是安全威脅的簡要描述

5

DB3205/T1043—2022

表A.2攻擊監(jiān)測日志

序號數(shù)據(jù)項英文名稱數(shù)據(jù)項中文描述必填說明

1proto_2應用層協(xié)議類型否應用層協(xié)議類型，如HTTP、FTP等

2rid匹配規(guī)則ID否匹配規(guī)則ID

附加描述,如SQL注入攻擊,則把SQL注入

3appendix附加信息否

的URL地址記錄在此

4pcap數(shù)據(jù)包ID否與數(shù)據(jù)包進行關聯(lián)

5result結果判定否0：失敗，1：成功，2：未知

6direction攻擊方向否攻擊的方向

7external_ip外聯(lián)IP否外聯(lián)IP

8avg_time_tv平均請求時間間隔否針對定時木馬通信告警

9user_name用戶名否針對暴力破解告警

10password密碼否針對暴力破解告警

11root_domain根域名否針對隧道通信告警

12sub_domain_count子域名個數(shù)否針對隧道通信告警

14avg_domain_len域名平均長度否針對隧道通信告警

15phase攻擊階段否所處的攻擊階段

16count攻擊次數(shù)否攻擊的次數(shù)統(tǒng)計

17start_time攻擊開始時間否攻擊開始的時間

18end_time攻擊結束時間否攻擊結束的時間

表A.3惡意代碼監(jiān)測日志

序號數(shù)據(jù)項英文名稱數(shù)據(jù)項中文描述必填說明

1name_id惡意代碼ID否惡意代碼的ID

2name惡意代碼名稱是惡意代碼的名稱

3type惡意代碼分類否病毒、木馬、蠕蟲、僵尸程序等

4proto_2應用層協(xié)議類型是HTTP、FTP、SMTP等

5infect感染文件是文件名

6op操作否處理方式

7md5文件MD5字符型是文件的MD5

8file_type文件類型是文件的類型

9appendix1附加信息1否郵件、URL信息等

6

DB3205/T1043—2022

表A.4威脅情報告警日志

序號數(shù)據(jù)項英文名稱數(shù)據(jù)項中文描述必填說明

登錄、文件傳輸、DNS及web訪問，哪一種數(shù)

1source_type數(shù)據(jù)源類型是

據(jù)源匹配中了IOC

2source_contentioc命中的原始內(nèi)容否ioc命中的原始內(nèi)容

3attacker_ipv4攻擊者IPv4地址是攻擊者IPv4地址

4attacker_ipv6攻擊者IPv6地址否攻擊者IPv6地址

5victim_ipv4受害者IPv4地址是受害者IPv4地址

6victim_ipv6受害者IPV6地址否受害者IPv6地址

7ioc情報內(nèi)容是具體命中的威脅情報內(nèi)容

8ioc_name情報規(guī)則名是情報規(guī)則名

9ioc_type情報類型是命中情報的類型

10ioc_desc情報描述是情報中對攻擊組織及攻擊手法的描述

11group攻擊組織否通過情報確定最后的攻擊組織

A.2流量元數(shù)據(jù)提取日志格式

流量元數(shù)據(jù)提取日志包括：HTTP審計、FTP審計、郵件審計、數(shù)據(jù)庫審計、登錄動作審計、DNS數(shù)

據(jù)審計、文件傳輸審計日志等。

每種類型的日志由兩部分組成，通用部分和專用部分，通用部分即每種日志公用的頭部信息（表

A.5通用部分），其余各部分參見各章節(jié)定義，若無對應的專用部分，則可只傳輸通用部分。

表A.5規(guī)定了流量元數(shù)據(jù)提取日志通用部分的內(nèi)容與格式，表A.6規(guī)定了流量元數(shù)據(jù)提取日志中

HTTP審計專用部分的內(nèi)容與格式，表A.7規(guī)定了流量元數(shù)據(jù)提取日志中FTP審計專用部分的內(nèi)容與格

式，表A.8規(guī)定了流量元數(shù)據(jù)提取日志中郵件審計專用部分的內(nèi)容與格式，表A.9規(guī)定了流量元數(shù)據(jù)

提取日志中數(shù)據(jù)庫審計專用部分的內(nèi)容與格式，表A.10規(guī)定了流量元數(shù)據(jù)提取日志中登錄動作審計專

用部分的內(nèi)容與格式，表A.11規(guī)定了流量元數(shù)據(jù)提取日志中DNS數(shù)據(jù)審計專用部分的內(nèi)容與格式，表

A.12規(guī)定了流量元數(shù)據(jù)提取日志中文件傳輸審計專用部分的內(nèi)容與格式。

7

DB3205/T1043—2022

表A.5通用部分

序號數(shù)據(jù)項英文名稱數(shù)據(jù)項中文描述必填說明

1device_ip設備IP是設備IP

2time時間是發(fā)生時間

3sip_ipv4源IPv4地址是關聯(lián)的源IPv4地址

4sip_ipv6源IPv6地址否關聯(lián)的源IPv6地址

5smac源MAC地址否關聯(lián)的源MAC地址

6sport源端口是關聯(lián)的源端口

7sregion源IP歸屬地否當源IP是互聯(lián)網(wǎng)IP時填寫，例如美國、日本

8dip_ipv4目的IPv4地址是關聯(lián)的目的IPv4地址

9dip_ipv6目的IPv6地址否關聯(lián)的目的IPv6地址

10dmac目的MAC地址否關聯(lián)的目的MAC地址

11dport目的端口是關聯(lián)的目的端口

當目的IP是互聯(lián)網(wǎng)IP時填寫，例如美國、日

12dregion目的IP歸屬地否

本

應用層協(xié)議

13proto_2應用層協(xié)議是郵件審計包括但不限于：pop3/smtp/imap

數(shù)據(jù)庫審計包括但不限于：mysql

表A.6HTTP審計

序號數(shù)據(jù)項英文名稱數(shù)據(jù)項中文描述必填說明

1methodHTTP請求方法是HTTP請求方法

2uri請求的資源是HTTP審計日志中的請求資源

3host請求的域名是HTTP審計日志中的請求的域名

4origin請求的原始來源否HTTP審計日志中的請求的原始來源

5cookiecookie否HTTP審計日志中的cookie

6agent請求者信息否HTTP審計日志中的請求者信息

7referer鏈接來源否HTTP審計日志中的鏈接來源

8xff請求真實ip和代理否HTTP審計日志中的請求真實ip和代理

post類型的數(shù)據(jù)，截取post的部分原始數(shù)據(jù)，

9data傳送的數(shù)據(jù)是

最多1000字節(jié)

10status狀態(tài)碼是響應狀態(tài)

11setcookiesetcookie否setcookie

12content_type內(nèi)容類型否內(nèi)容類型

8

DB3205/T1043—2022

表A.7FTP審計

序號數(shù)據(jù)項英文名稱數(shù)據(jù)項中文描述必填說明

1user用戶名是用戶名

FTP的控制命令每產(chǎn)生一個操作就會產(chǎn)生一條

2seq操作命令序號是日志。用戶每次登錄后會有多個操作，這個字

段用來標明操作順序，計數(shù)從0開始

3op操作命令是操作命令

4ret操作結果是操作的結果

表A.8郵件審計

序號數(shù)據(jù)項英文名稱數(shù)據(jù)項中文描述必填說明

1mid郵件message-id否郵件message-id

2mail_time發(fā)送或接收時間是郵件的發(fā)送或接收時間

3mail_from發(fā)件人是郵件的發(fā)件人

4to收件人是郵件的收件人

5cc抄送人否郵件的抄送人

6subject郵件主題是郵件的主題

7body郵件正文是郵件的正文

8references被回復的id否郵件中被回復的id

9bcc密送否郵件的密送

10returnpathReturnpath頭部否郵件的Returnpath頭部

11receivedReceived頭部否郵件的Received頭部

12attach_md5附件md5否附件md5

13mime_type附件類型否附件類型

14name附件名稱否附件名稱

表A.9數(shù)據(jù)庫審計

序號數(shù)據(jù)項英文名稱數(shù)據(jù)項中文描述必填說明

1version協(xié)議版本是協(xié)議的版本

2db_type數(shù)據(jù)庫類型是Mssql，oracle，mysql，postgresql等值

3user用戶名是用戶名

4db_name數(shù)據(jù)庫名是數(shù)據(jù)庫名

5ret_code操作返回信息是操作返回信息

6sql_info操作信息是操作信息

7normal_ret操作結果否0：失敗，1：成功

9

DB3205/T1043—2022

表A.10登錄動作審計

序號數(shù)據(jù)項英文名稱數(shù)據(jù)項中文描述必填說明

1passwd登陸密碼是不能以明文顯示或回傳

2info登陸結果是0：失敗，1：成功

3user用戶名是用戶名

當?shù)卿浀氖菙?shù)據(jù)庫時，該字段會有數(shù)值，表示

4db_type數(shù)據(jù)庫類型否

數(shù)據(jù)庫具體類型

表A.11DNS數(shù)據(jù)審計

序號數(shù)據(jù)項英文名稱數(shù)據(jù)項中文描述必填說明

1dns_typeDNS訪問類型是DNS訪問類型

2hostHost是Host

3addr地址資源是地址資源

4mx郵件交換記錄是郵件的交換記錄

5cname域名規(guī)范名稱是域名的規(guī)范名稱

6reply_code響應結果狀態(tài)是響應結果狀態(tài)

7count統(tǒng)計值否dns頭部統(tǒng)計信息

表A.12文件傳輸審計

序號數(shù)據(jù)項英文名稱數(shù)據(jù)項中文描述必填說明

1uri傳輸?shù)馁Y源及路徑否http使用

2host域名否http使用

3referer鏈接來源否http使用

4status狀態(tài)碼否http使用

http使用，0：服務端傳往客戶端，1：客戶端

5file_dir標示文件方向否

傳往服務端

6trans_mode傳輸模式否ftp使用，0：上傳，1：下載

7method方法否http使用

8file_name文件名字是文件名字

9file_md5文件MD5是文件MD5

10mime_type文件類型是文件類型

A.3原始數(shù)據(jù)包和樣本格式

原始數(shù)據(jù)包、樣本包括數(shù)據(jù)包文件格式、TCP會話審計、UDP會話審計、HTTP、FTP類格式、郵件

類格式等。

表A.13規(guī)定了原始數(shù)據(jù)包和樣本中數(shù)據(jù)包的內(nèi)容與格式，表A.14規(guī)定了原始數(shù)據(jù)包與樣本中TCP

會話審計的內(nèi)容與格式，表A.15規(guī)定了原始數(shù)據(jù)包與樣本中UDP會話審計的內(nèi)容與格式，表A.16規(guī)

定了原始數(shù)據(jù)包與樣本中HTTP、FTP類的內(nèi)容與格式，表A.17規(guī)定了原始數(shù)據(jù)包與樣本中郵件類的內(nèi)

容與格式。

10

DB3205/T1043—2022

表A.13數(shù)據(jù)包文件格式

序號數(shù)據(jù)項英文名稱數(shù)據(jù)項中文描述必填說明

1device_ip設備IP是設備IP

2link_id設備鏈路ID否