DB11-T 1288-2015 電子政務(wù)信息安全監(jiān)控?cái)?shù)據(jù)規(guī)范

ICS35.040

A24

備案號(hào)：64530-2019

DB11

北京市地方標(biāo)準(zhǔn)

DB11/T1288—2015

電子政務(wù)信息安全監(jiān)控?cái)?shù)據(jù)規(guī)范

Dataspecificationofinformationsecuritymonitoringinelectronic

government

2015-12-30發(fā)布2016-04-01實(shí)施

北京市質(zhì)量技術(shù)監(jiān)督局發(fā)布

DB11/T1288—2015

電子政務(wù)信息安全監(jiān)控?cái)?shù)據(jù)規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了電子政務(wù)信息安全監(jiān)控?cái)?shù)據(jù)與信息安全監(jiān)控系統(tǒng)、安全設(shè)備的數(shù)據(jù)交互關(guān)系，監(jiān)控?cái)?shù)

據(jù)的類型，報(bào)警信息類、通訊交互類和狀態(tài)獲取類數(shù)據(jù)的格式。

本標(biāo)準(zhǔn)適用于電子政務(wù)信息安全監(jiān)控系統(tǒng)與各類安全設(shè)備之間的數(shù)據(jù)交互關(guān)系。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/Z19669XML在電子政務(wù)中的應(yīng)用指南

3術(shù)語(yǔ)和定義

GB/T25069-2010界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

監(jiān)控?cái)?shù)據(jù)monitoringdata

信息安全監(jiān)控系統(tǒng)從安全設(shè)備獲取的報(bào)警、通訊交互和狀態(tài)獲取等數(shù)據(jù)信息。

3.2

信息安全監(jiān)控系統(tǒng)informationsecuritymonitoringsystem

為發(fā)現(xiàn)信息安全事件和及時(shí)預(yù)警提供支撐的信息系統(tǒng)。

3.3

報(bào)警信息類數(shù)據(jù)alarminformationclassdata

安全設(shè)備向信息安全監(jiān)控系統(tǒng)發(fā)送的安全報(bào)警數(shù)據(jù)。

3.4

通訊交互類數(shù)據(jù)communicationinteractiveclassdata

信息安全監(jiān)控系統(tǒng)與安全設(shè)備間進(jìn)行信息交互的數(shù)據(jù)。包括信息查詢數(shù)據(jù)和策略下發(fā)數(shù)據(jù)。

3.5

狀態(tài)獲取類數(shù)據(jù)stateacquisitionclassdata

信息安全監(jiān)控系統(tǒng)從安全設(shè)備獲取運(yùn)行狀態(tài)和系統(tǒng)日志的數(shù)據(jù)。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

IP：網(wǎng)絡(luò)之間互連的協(xié)議（InternetProtocol）

1

DB11/T1288—2015

MIB：管理信息庫(kù)（ManagementInformationBase）

OID：對(duì)象標(biāo)識(shí)(ObjectIDentifier)

SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol）

UTF：Unicode轉(zhuǎn)換格式（UnicodeTransformationFormat）

URL：統(tǒng)一資源定位符（UniformResourceLocator）

XML：可擴(kuò)展置標(biāo)語(yǔ)言（eXtensibleMarkupLanguage）

5數(shù)據(jù)交互關(guān)系

本標(biāo)準(zhǔn)涵蓋的安全設(shè)備包含但不限于入侵檢測(cè)/防御類設(shè)備、防病毒類設(shè)備、防火墻類設(shè)備、審計(jì)

類設(shè)備、Web安全類設(shè)備和漏洞掃描類設(shè)備。

信息安全監(jiān)控系統(tǒng)與安全設(shè)備間的交互數(shù)據(jù)包括：

a）報(bào)警信息類數(shù)據(jù)：信息安全監(jiān)控系統(tǒng)接收到的安全設(shè)備報(bào)警日志數(shù)據(jù)；

b）通訊交互類數(shù)據(jù)：信息安全監(jiān)控系統(tǒng)與安全設(shè)備間進(jìn)行信息交互的上下行數(shù)據(jù)；

c）狀態(tài)獲取類數(shù)據(jù)：信息安全監(jiān)控系統(tǒng)從安全設(shè)備獲取運(yùn)行狀態(tài)和系統(tǒng)日志時(shí)的上下行數(shù)據(jù)。

信息安全監(jiān)控?cái)?shù)據(jù)與信息安全監(jiān)控系統(tǒng)、安全設(shè)備的關(guān)系如圖1所示：

圖1監(jiān)控?cái)?shù)據(jù)與信息安全監(jiān)控系統(tǒng)和安全設(shè)備的關(guān)系

6監(jiān)控?cái)?shù)據(jù)類型

6.1報(bào)警信息類

報(bào)警信息類監(jiān)控?cái)?shù)據(jù)子分類包括：

a）入侵檢測(cè)/防御類設(shè)備的報(bào)警信息；

b）防病毒類設(shè)備的報(bào)警信息；

c）審計(jì)類設(shè)備的報(bào)警信息；

d）WEB安全類設(shè)備的報(bào)警信息；

e）防火墻類設(shè)備的報(bào)警信息；

f）其他設(shè)備的報(bào)警信息。

2

DB11/T1288—2015

6.2通訊交互類

通訊交互類監(jiān)控?cái)?shù)據(jù)子分類包括：

a)知識(shí)庫(kù)查詢:安全設(shè)備為信息安全監(jiān)控系統(tǒng)提供指定報(bào)警日志的詳細(xì)信息和相關(guān)知識(shí)查詢服務(wù)

的標(biāo)準(zhǔn)與規(guī)范，通過(guò)使用知識(shí)庫(kù)唯一標(biāo)識(shí)（事件編號(hào)或報(bào)警名稱）查詢條件，獲得知識(shí)庫(kù)中相關(guān)詳細(xì)描

述；

b)審計(jì)查詢:審計(jì)類安全設(shè)備為信息安全監(jiān)控系統(tǒng)提供統(tǒng)計(jì)信息查詢、行為審計(jì)詳細(xì)信息查詢和內(nèi)

容日志詳細(xì)信息查詢的標(biāo)準(zhǔn)與規(guī)范，通過(guò)使用時(shí)間范圍、源/目的ip、源/目的端口和協(xié)議等查詢條件，

獲得相應(yīng)范圍內(nèi)的網(wǎng)絡(luò)行為統(tǒng)計(jì)結(jié)果和詳細(xì)信息，在以上查詢條件的基礎(chǔ)上添加源賬號(hào)、目的賬號(hào)、是

否攜帶附件、關(guān)鍵字和主題等查詢條件，可以查詢網(wǎng)絡(luò)行為內(nèi)容詳細(xì)信息；

c)流量查詢:安全設(shè)備為信息安全監(jiān)控系統(tǒng)提供流量信息和流量趨勢(shì)查詢服務(wù)的標(biāo)準(zhǔn)和規(guī)范，通過(guò)

使用IP、協(xié)議及時(shí)間范圍等查詢條件，獲得時(shí)間范圍內(nèi)的流量信息和流量趨勢(shì)；

d)資產(chǎn)信息查詢:監(jiān)控系統(tǒng)為安全設(shè)備提供資產(chǎn)信息查詢服務(wù)的標(biāo)準(zhǔn)和規(guī)范，安全設(shè)備或其他系統(tǒng)

通過(guò)此數(shù)據(jù)，進(jìn)行監(jiān)控系統(tǒng)上資產(chǎn)信息的查詢，為安全設(shè)備提高報(bào)警準(zhǔn)確性提供依據(jù)；

e)Web監(jiān)控策略下發(fā):安全設(shè)備為監(jiān)控系統(tǒng)提供WEB監(jiān)控策略下發(fā)服務(wù)的標(biāo)準(zhǔn)和規(guī)范，監(jiān)控系統(tǒng)通過(guò)

此數(shù)據(jù)將WEB監(jiān)控策略下發(fā)至安全設(shè)備，設(shè)備使用該監(jiān)控策略進(jìn)行監(jiān)控；

f)漏洞掃描策略下發(fā):安全設(shè)備為監(jiān)控系統(tǒng)提供漏洞掃描策略下發(fā)服務(wù)的標(biāo)準(zhǔn)和規(guī)范，監(jiān)控系統(tǒng)通

過(guò)此數(shù)據(jù)將漏洞掃描策略下發(fā)至安全設(shè)備，策略驅(qū)動(dòng)漏洞掃描設(shè)備執(zhí)行一個(gè)即時(shí)掃描任務(wù)，或制定一個(gè)

周期性掃描任務(wù)計(jì)劃；

g)其他交互通訊交互：除以上類別以外的所有交互訊息。

6.3狀態(tài)獲取類

狀態(tài)獲取類監(jiān)控?cái)?shù)據(jù)子分類包括：

a)獲取狀態(tài):周期性向安全設(shè)備輪詢系統(tǒng)狀態(tài)信息；

b)獲取日志：安全設(shè)備實(shí)時(shí)向信息安全監(jiān)控系統(tǒng)上報(bào)系統(tǒng)操作日志；

c)其他狀態(tài)：除以上類別以外的所有狀態(tài)獲取數(shù)據(jù)。

7報(bào)警信息類數(shù)據(jù)格式

7.1基本格式

報(bào)警信息類數(shù)據(jù)由公共域和專有域組成，公共域指報(bào)警信息類監(jiān)控?cái)?shù)據(jù)的共有信息，專有域指特有

信息。每個(gè)域由多個(gè)字段拼接而成，所有字段與前字段無(wú)間隔。

字段格式形式為：“name:value;”，“name”代表字段名，“value”代表字段值。具體格式如下：

a）字段名與字段值之間為半角的冒號(hào)，字段值用半角分號(hào)作為字段結(jié)束標(biāo)識(shí)；

b）“value”中不應(yīng)出現(xiàn)冒號(hào)、分號(hào)以及無(wú)意義的空格，不可避免時(shí)采用半角反斜杠’\’轉(zhuǎn)義。

報(bào)警信息類數(shù)據(jù)格式參見(jiàn)附錄A。

7.2報(bào)警信息公共域

報(bào)警公共域描述格式見(jiàn)表1。

3

DB11/T1288—2015

表1公共域描述格式

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

安全設(shè)備產(chǎn)生報(bào)警日志的時(shí)間點(diǎn)，時(shí)間戳的數(shù)據(jù)格式

Date時(shí)間戳字符20

為“yyyy/mm/ddhh-mm-ss”

產(chǎn)生報(bào)警日志的安全設(shè)備管理IP地址，數(shù)據(jù)格式

IP設(shè)備IP地址字符32

“xxx.xxx.xxx.xxx”

報(bào)警日志在安全設(shè)備中所定義安全等級(jí)，規(guī)范定義為

Severity報(bào)警安全等級(jí)字符2三級(jí)，用“1、2、3”表示，其意義為1=高、2=中、

3=低

EventCode報(bào)警唯一標(biāo)識(shí)字符32安全報(bào)警的唯一標(biāo)識(shí)，唯一確定一條或一組報(bào)警

EventName報(bào)警名稱字符32安全設(shè)備對(duì)報(bào)警信息的定義

報(bào)警日志中記錄信息安全事態(tài)所使用和涉及的網(wǎng)絡(luò)

ProtocolType協(xié)議字符16

協(xié)議

報(bào)警日志中信息安全事態(tài)發(fā)起方的IP地址，數(shù)據(jù)格

SrcIP源IP地址字符32

式“xxx.xxx.xxx.xxx”

報(bào)警日志中信息安全事態(tài)發(fā)起方使用的網(wǎng)絡(luò)傳輸層

SrcPort源端口字符5

端口號(hào)

報(bào)警日志中信息安全事態(tài)受害方的IP地址，數(shù)據(jù)格

DstIP目的IP地址字符32

式“xxx.xxx.xxx.xxx”

報(bào)警日志中信息安全事態(tài)受害方使用的網(wǎng)絡(luò)傳輸層

DstPort目的端口字符5

端口號(hào)

7.3報(bào)警信息專有域

7.3.1入侵檢測(cè)/防御類專有域

入侵檢測(cè)/防御類專有域描述格式見(jiàn)表2。

表2入侵檢測(cè)/防御類專有域基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

AlarmCount報(bào)警連續(xù)次數(shù)字符5安全設(shè)備檢測(cè)連續(xù)發(fā)現(xiàn)相同報(bào)警的次數(shù)

安全設(shè)備對(duì)信息安全事態(tài)的應(yīng)對(duì)方式，用“檢測(cè)、阻斷、

Action操作字符10

刪除”表示

可選項(xiàng)字符用于信息的擴(kuò)展

7.3.2防病毒類專有域

防病毒類專有域描述格式見(jiàn)表3。

表3防病毒類專有域基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

User用戶名字符52被感染病毒主機(jī)的用戶名或設(shè)備名

4

DB11/T1288—2015

表3防病毒類專有域基本信息(續(xù))

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

Long病毒長(zhǎng)度字符5被感染病毒的文件大小

Site位置字符256病毒所在位置

防病毒類設(shè)備對(duì)帶毒文件的處置，用“隔離、清除、放

Action操作字符10

行”表示

可選項(xiàng)字符用于信息的擴(kuò)展

7.3.3防火墻類專有域

防火墻類專有域描述格式見(jiàn)表4。

表4防火墻類專有域基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

LogDesc日志描述字符52簡(jiǎn)要說(shuō)明產(chǎn)生報(bào)警的網(wǎng)絡(luò)行為

Action操作字符10對(duì)信息安全事態(tài)的處置結(jié)果

可選項(xiàng)字符用于信息的擴(kuò)展

7.3.4審計(jì)類專有域

審計(jì)類專有域描述格式見(jiàn)表5。

表5審計(jì)類專有域基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

LogDesc報(bào)警描述字符52對(duì)報(bào)警日志內(nèi)容的簡(jiǎn)要描述

Keyword關(guān)鍵字字符20審計(jì)檢測(cè)規(guī)則中設(shè)置的關(guān)鍵字

審計(jì)報(bào)警中，網(wǎng)絡(luò)行為活動(dòng)或內(nèi)容違反的檢測(cè)規(guī)則所對(duì)

RuleID規(guī)則標(biāo)識(shí)字符5

應(yīng)的標(biāo)識(shí)號(hào)

可選項(xiàng)字符用于信息的擴(kuò)展

7.3.5Web安全類專有域

Web安全類專有域描述格式見(jiàn)表6。

表6Web安全類專有域基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

SiteURL網(wǎng)站URL字符52設(shè)定進(jìn)行監(jiān)測(cè)網(wǎng)站的URL地址

下發(fā)網(wǎng)站監(jiān)測(cè)策略后，WEB安全類設(shè)備針對(duì)具體網(wǎng)站策略

URLID網(wǎng)站URL標(biāo)識(shí)字符20

返回的網(wǎng)站URL唯一標(biāo)識(shí)

Descp特征描述字符5風(fēng)險(xiǎn)行為所采用的技術(shù)特征

5

DB11/T1288—2015

表6Web安全類專有域基本信息（續(xù)）

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

AlarmURL報(bào)警網(wǎng)頁(yè)地址字符52產(chǎn)生報(bào)警的網(wǎng)頁(yè)地址

Desc輔助信息字符52對(duì)報(bào)警日志的補(bǔ)充性說(shuō)明

HttpMethodHttp方法字符20攔截日志信息時(shí)，該字段用于指明網(wǎng)絡(luò)行為的Http方法

可選項(xiàng)字符用于信息的擴(kuò)展

8通訊交互類數(shù)據(jù)要求

8.1基本格式

通訊交互類數(shù)據(jù)應(yīng)采用XMLSchema格式。并遵照本規(guī)范規(guī)定的邏輯結(jié)構(gòu)、元素、元素屬性以及元素

間的關(guān)系。

通訊交互類數(shù)據(jù)格式參見(jiàn)附錄B。

8.2知識(shí)庫(kù)查詢交互數(shù)據(jù)

8.2.1知識(shí)庫(kù)查詢請(qǐng)求數(shù)據(jù)

知識(shí)庫(kù)查詢請(qǐng)求以KBRequest字段為標(biāo)識(shí)，描述格式見(jiàn)表7。

表7知識(shí)庫(kù)查詢請(qǐng)求基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

KBNameID查詢標(biāo)識(shí)字符64知識(shí)庫(kù)的唯一標(biāo)識(shí)，是知識(shí)庫(kù)查詢條件

8.2.2知識(shí)庫(kù)查詢應(yīng)答數(shù)據(jù)

知識(shí)庫(kù)查詢應(yīng)答以KBResponse字段為標(biāo)識(shí)，描述格式見(jiàn)表8。

表8知識(shí)庫(kù)查詢應(yīng)答基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

返回查詢標(biāo)識(shí)在知識(shí)庫(kù)中所對(duì)應(yīng)的詳細(xì)描述內(nèi)容，未查

KB應(yīng)答內(nèi)容字符不限

詢到結(jié)果則此字段內(nèi)容為空

8.3審計(jì)查詢數(shù)據(jù)

8.3.1審計(jì)查詢請(qǐng)求數(shù)據(jù)

審計(jì)查詢請(qǐng)求以AuditInfoQueryRequest字段為標(biāo)識(shí)，RequestType字段標(biāo)識(shí)查詢應(yīng)答的類別，描述

格式見(jiàn)表9。

6

DB11/T1288—2015

表9審計(jì)查詢請(qǐng)求基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

查詢限定時(shí)間范圍的開始時(shí)間，數(shù)據(jù)格式為

StartTime開始時(shí)間字符20

“yyyy/mm/ddhh-mm-ss”

查詢限定時(shí)間范圍的結(jié)束時(shí)間，數(shù)據(jù)格式為

EndTime結(jié)束時(shí)間字符20

“yyyy/mm/ddhh-mm-ss”

查詢請(qǐng)求中限定的網(wǎng)絡(luò)行為源IP地址，可為單個(gè)地址，

SrcIP源IP字符32

也可為地址段

查詢請(qǐng)求中限定的網(wǎng)絡(luò)行為目的IP地址，可為單個(gè)地址，

DstIP目的IP字符32

也可為地址段

SrcPort源端口號(hào)字符5查詢條件中限定的網(wǎng)絡(luò)行為源傳輸層端口號(hào)

DstPort目的端口號(hào)字符5查詢條件中限定的網(wǎng)絡(luò)行為目的傳輸層端口號(hào)

Protocol應(yīng)用協(xié)議字符64查詢條件中限定的網(wǎng)絡(luò)行為所采用的網(wǎng)絡(luò)應(yīng)用協(xié)議

Application應(yīng)用服務(wù)字符64應(yīng)用服務(wù)在指定應(yīng)用前，指定協(xié)議類別字段

URL具體URL字符256針對(duì)協(xié)議類型選擇http協(xié)議時(shí)，填寫的具體URL

Keyword限定條件字符128內(nèi)容詳細(xì)信息查詢中設(shè)置的限定條件

Protocol字段選擇郵件或即時(shí)通訊類別時(shí)，填寫的發(fā)件

SrcAccount發(fā)件人賬號(hào)字符64

人賬號(hào)或者即時(shí)通訊賬號(hào)

Protocol字段選擇郵件或即時(shí)通訊類別時(shí)，填寫的收件

DstAccount收件人賬號(hào)字符64

人賬號(hào)或者即時(shí)通訊賬號(hào)

行為詳細(xì)信息查詢和內(nèi)容詳細(xì)信息查詢中，郵件類查詢

Subject郵件主題字符64

的郵件主題

行為詳細(xì)信息查詢中郵件類是否攜帶附件，字段值域?yàn)椋?/p>

HasAttachment是否攜帶附件字符5

Yes/No

Limit最大條數(shù)字符5最大條數(shù)

查詢類別，RequestType=1表示行為統(tǒng)計(jì)信息查詢；

RequestType查詢類別字符2RequestType=2表示行為詳細(xì)信息查詢；RequestType=3

表示內(nèi)容詳細(xì)信息查詢

統(tǒng)計(jì)分類在查詢類別為行為統(tǒng)計(jì)信息查詢時(shí)，返回結(jié)果

的統(tǒng)計(jì)分類依據(jù)，包括SrcIP:源IP、DstIP:目的IP、

Classificatio

統(tǒng)計(jì)分類字符64Protocol:協(xié)議、Application:應(yīng)用、SrcAccount:發(fā)件

n

人、DstAccount:收件人、SrcPort:源端口、DstPort:目

的端口、Day:時(shí)間--天、Hour:時(shí)間--小時(shí)

8.3.2行為統(tǒng)計(jì)信息應(yīng)答數(shù)據(jù)

7

DB11/T1288—2015

行為統(tǒng)計(jì)信息應(yīng)答以LogStatResponse字段為標(biāo)識(shí)，描述格式見(jiàn)表10。

表10行為統(tǒng)計(jì)信息應(yīng)答基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

Logs結(jié)果集字符不限按classification進(jìn)行統(tǒng)計(jì)分類后得到的結(jié)果集

TotalCount結(jié)果集大小字符32按classification進(jìn)行統(tǒng)計(jì)分類后得到的結(jié)果集大小

Log單一結(jié)果字符32結(jié)果集的一條結(jié)果

ID結(jié)果編號(hào)字符32結(jié)果編號(hào)

統(tǒng)計(jì)分類，當(dāng)查詢類別為行為統(tǒng)計(jì)信息查詢時(shí)，返回結(jié)

果的統(tǒng)計(jì)分類依據(jù)，包括SrcIP:源IP、DstIP:目的IP、

Classificatio

統(tǒng)計(jì)分類字符64Protocol:協(xié)議、Application:應(yīng)用、SrcAccount:發(fā)件

n

人、DstAccount:收件人、SrcPort:源端口、DstPort:目

的端口、Day:時(shí)間--天、Hour:時(shí)間--小時(shí)

ClassifyValue具體值字符64根據(jù)Classification字段而返回的具體值

Count數(shù)量字符8根據(jù)統(tǒng)計(jì)條件統(tǒng)計(jì)后的數(shù)量

Percentage比例字符2百分比

8.3.3行為詳細(xì)信息應(yīng)答數(shù)據(jù)

行為詳細(xì)信息應(yīng)答以LogDetailResponse字段為標(biāo)識(shí)，描述格式見(jiàn)表11。

表11行為詳細(xì)信息應(yīng)答基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

TotalCount數(shù)量字符32返回結(jié)果的數(shù)量

Log單一結(jié)果字符32一個(gè)返回結(jié)果

ID結(jié)果編號(hào)字符32一個(gè)返回結(jié)果的編號(hào)

Time統(tǒng)計(jì)分類字符20行為日志發(fā)生的時(shí)間，格式為“yyyy/mm/ddhh-mm-ss”

SrcIP源IP字符32返回行為日志的源IP地址，格式為“xxx.xxx.xxx.xxx”

返回行為日志的目的IP地址，格式為

DstIP目的IP字符32

“xxx.xxx.xxx.xxx”

SrcPort源端口號(hào)字符5返回行為日志的源端口號(hào)

DstPort目的端口號(hào)字符5返回行為日志的目的端口號(hào)

返回行為日志的源MAC地址，格式為

SrcMac源MAC地址字符32

“xx-xx-xx-xx-xx-xx”

8

DB11/T1288—2015

表11行為詳細(xì)信息應(yīng)答基本信息（續(xù)）

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

返回行為日志的目的MAC地址，格式為

DstMac目的MAC地址字符32

“xx-xx-xx-xx-xx-xx”

Protocol應(yīng)用協(xié)議字符64查詢條件中限定的網(wǎng)絡(luò)行為所采用的網(wǎng)絡(luò)應(yīng)用協(xié)議

SessionSize日志大小字符10返回網(wǎng)絡(luò)行為活動(dòng)日志的大小

SrcAccount發(fā)件人賬號(hào)字符64源賬號(hào)

DstAccount收件人賬號(hào)字符64目的賬號(hào)

8.3.4內(nèi)容詳細(xì)信息應(yīng)答數(shù)據(jù)

內(nèi)容詳細(xì)信息應(yīng)答以ContentResponse字段為標(biāo)識(shí)，描述格式見(jiàn)表12。

表12內(nèi)容詳細(xì)信息應(yīng)答基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

TotalCount數(shù)量字符32返回結(jié)果的數(shù)量。

Log單一結(jié)果字符32一個(gè)返回結(jié)果。

ID結(jié)果編號(hào)字符32一個(gè)返回結(jié)果的編號(hào)。

Time統(tǒng)計(jì)分類字符20行為日志發(fā)生的時(shí)間，格式為“yyyy/mm/ddhh-mm-ss”

SrcIP源IP字符32返回行為日志的源IP地址，格式為“xxx.xxx.xxx.xxx”

返回行為日志的目的IP地址，格式為

DstIP目的IP字符32

“xxx.xxx.xxx.xxx”

源賬號(hào)，指內(nèi)容日志審計(jì)為電子郵件時(shí)，日志的發(fā)件人

SrcAccount發(fā)件人賬號(hào)字符64

賬號(hào)

目的賬號(hào)，指內(nèi)容審計(jì)為電子郵件時(shí)，日志的收件人帳

DstAccount收件人賬號(hào)字符64

戶

Subject郵件主題字符64主題，指當(dāng)內(nèi)容審計(jì)為電子郵件時(shí)郵件的主題

MailSize郵件大小字符32郵件大小，單位為KB

郵件中是否帶附件，值域：true/false，true代表郵件

HasAttachment是否攜帶附件字符6

中存在附件，false代表郵件中不存在附件

8.4流量查詢數(shù)據(jù)

8.4.1流量信息查詢請(qǐng)求數(shù)據(jù)

9

DB11/T1288—2015

流量信息查詢請(qǐng)求以FlowStatQueryRequest字段為標(biāo)識(shí)，描述格式見(jiàn)表13。

表13流量信息查詢請(qǐng)求基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

查詢限定時(shí)間范圍的開始時(shí)間，格式為“yyyy/mm/dd

StartTime開始時(shí)間字符20

hh-mm-ss”

查詢限定時(shí)間范圍的結(jié)束時(shí)間，格式為“yyyy/mm/dd

EndTime結(jié)束時(shí)間字符20

hh-mm-ss”

指定需要查詢流量的IP地址，為單個(gè)地址或地址段，單

IPList地址列表字符32個(gè)IP格式“xxx.xxx.xxx.xxx”，IP地址段格式

“xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx”

Protocol應(yīng)用協(xié)議字符32應(yīng)用協(xié)議

流量方向，包括：雙方向、流入、流出，用0、1、2表示，

Direction方向字符2

0表示雙方向，1表示流入，2表示流出

Count數(shù)量字符2前TOP多少數(shù)據(jù)，小于50的整數(shù)，0表示全部數(shù)據(jù)

8.4.2流量信息查詢應(yīng)答數(shù)據(jù)

流量信息查詢應(yīng)答以FlowStatQueryResponse字段為標(biāo)識(shí)，描述格式見(jiàn)表14。

表14流量信息查詢應(yīng)答基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

TotalCount數(shù)量字符2前TOP多少數(shù)據(jù)，小于50的整數(shù)，0表示全部數(shù)據(jù)

FlowIP流量字符32對(duì)應(yīng)一個(gè)IP的一個(gè)返回結(jié)果

ID編號(hào)字符32一個(gè)返回結(jié)果的編號(hào)

標(biāo)簽內(nèi)的流量信息為此IP產(chǎn)生，格式為

IPIP地址字符32

“xxx.xxx.xxx.xxx”

FlowSize流量大小字符32流量大小，每個(gè)流量大小標(biāo)簽對(duì)應(yīng)一個(gè)協(xié)議

流量信息查詢所基于的網(wǎng)絡(luò)協(xié)議，查詢條件為單個(gè)協(xié)議

查詢時(shí)，返回所查詢的協(xié)議對(duì)應(yīng)的流量大??；查詢條件

Protocol協(xié)議字符32

為多個(gè)協(xié)議查詢時(shí)，則返回統(tǒng)計(jì)流量總和以及每個(gè)協(xié)議

對(duì)應(yīng)的流量大小

8.4.3流量趨勢(shì)查詢請(qǐng)求數(shù)據(jù)

流量趨勢(shì)查詢請(qǐng)求數(shù)據(jù)以FlowTrendQueryRequest字段為標(biāo)識(shí)，查詢條件包括時(shí)間段、IP地址、流

量方向、返回方式和協(xié)議，描述格式見(jiàn)表15。

10

DB11/T1288—2015

表15流量趨勢(shì)查詢請(qǐng)求基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

查詢限定時(shí)間范圍的開始時(shí)間，格式為“yyyy/mm/dd

StartTime開始時(shí)間字符20

hh-mm-ss”

查詢限定時(shí)間范圍的結(jié)束時(shí)間，格式為“yyyy/mm/dd

EndTime結(jié)束時(shí)間字符20

hh-mm-ss”

指定需要查詢流量的IP地址，為單個(gè)地址或地址段，單

IPList地址列表字符32個(gè)IP格式“xxx.xxx.xxx.xxx”，IP地址段格式

“xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx”

Protocol應(yīng)用協(xié)議字符32應(yīng)用協(xié)議

流量方向，包括：雙方向、流入、流出，用0、1、2表示，

Direction方向字符2

0表示雙方向，1表示流入，2表示流出

查詢結(jié)果返回方式，當(dāng)ReturnType=month時(shí)，表示返回

結(jié)果時(shí)以月為單位；當(dāng)ReturnType=day時(shí)，表示返回結(jié)

ReturnType返回方式字符10果時(shí)以天為單位；當(dāng)ReturnType=hour時(shí)，表示返回結(jié)果

時(shí)以小時(shí)為單位；當(dāng)ReturnType=minute時(shí)，表示返回結(jié)

果以分鐘為單位

8.4.4流量趨勢(shì)查詢應(yīng)答數(shù)據(jù)

流量趨勢(shì)查詢應(yīng)答數(shù)據(jù)以FlowTrendQueryResponse字段為標(biāo)識(shí)，描述格式見(jiàn)表16。

表16流量趨勢(shì)查詢應(yīng)答基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

TotalCount數(shù)量字符2前TOP多少數(shù)據(jù)，小于50的整數(shù)，0表示全部數(shù)據(jù)

FlowIP流量字符32對(duì)應(yīng)一個(gè)IP的一個(gè)返回結(jié)果

ID編號(hào)字符32一個(gè)以IP為基準(zhǔn)的返回結(jié)果的編號(hào)

IPIP地址字符32流量趨勢(shì)查詢的IP地址，每個(gè)IP地址對(duì)應(yīng)多個(gè)FlowTime

FlowTime結(jié)果時(shí)間字符20一個(gè)時(shí)間點(diǎn)對(duì)應(yīng)的返回結(jié)果

返回結(jié)果中的時(shí)間點(diǎn)，流量趨勢(shì)查詢數(shù)據(jù)中ReturnType

字段指定了返回結(jié)果中時(shí)間的單位：ReturnType=month

Time時(shí)間點(diǎn)字符20時(shí)，時(shí)間以月為單位；ReturnType=day時(shí)，時(shí)間以天為

單位；ReturnType=hour時(shí)，時(shí)間以小時(shí)為單位；

ReturnType=minute時(shí)，時(shí)間以分鐘為單位

FlowSize流量大小字符10流量大小信息，單位為KB

11

DB11/T1288—2015

表16流量趨勢(shì)查詢應(yīng)答基本信息（續(xù)）

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

協(xié)議信息，查詢條件為單個(gè)協(xié)議查詢時(shí)，返回所查詢的

協(xié)議，“xxx”代表協(xié)議名稱；查詢?nèi)繀f(xié)議時(shí)，返回all

Protocol協(xié)議字符32

項(xiàng)；查詢條件為多個(gè)協(xié)議查詢時(shí)，返回多個(gè)協(xié)議對(duì)應(yīng)的

項(xiàng)，此時(shí)流量大小標(biāo)記有多項(xiàng)

8.5Web監(jiān)控策略下發(fā)數(shù)據(jù)

8.5.1策略下發(fā)數(shù)據(jù)

策略下發(fā)數(shù)據(jù)以WebMonitorPolicyIssue字段為標(biāo)識(shí)，描述格式見(jiàn)表17。

表17策略下發(fā)數(shù)據(jù)基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

PolicyIssue策略主題字符32針對(duì)一個(gè)站點(diǎn)的web監(jiān)控策略下發(fā)

ID編號(hào)字符32policyIssue的編號(hào)

策略中定義的站點(diǎn)，對(duì)此站點(diǎn)進(jìn)行監(jiān)控，站點(diǎn)為單個(gè)站

SiteURL站點(diǎn)地址字符256

點(diǎn)

SiteInfo站點(diǎn)信息字符32站點(diǎn)信息站點(diǎn)檢測(cè)功能

Usability可用性字符32可用性檢測(cè)功能

Content內(nèi)容字符32內(nèi)容檢測(cè)功能

Vul脆弱性字符32脆弱性檢測(cè)功能

策略是否被使用，Web監(jiān)控策略所包括的四種功能中，每

IsUse是否使用字符2一種功能都與一個(gè)isUse對(duì)應(yīng)，isUse=0表示不使用該功

能，isUse=1表示使用該功能

策略的執(zhí)行周期，分為立即執(zhí)行、分鐘、小時(shí)、天、周

SycleSize執(zhí)行周期字符2和月。值域?yàn)椋?-立即執(zhí)行，1-分鐘，2-小時(shí)，3-天，

4-周，5-月

周期值，當(dāng)執(zhí)行周期選擇除0以外的選項(xiàng)值時(shí)才有作用。

SycleValue執(zhí)行周期字符2周期值分別為分鐘0-60、小時(shí)1-24、天1-7、周1-52、

月1-12

檢測(cè)的深度，指進(jìn)行檢測(cè)的頁(yè)面深度，對(duì)于不同的功能

Depth深度字符2

模塊定義不同的深度

8.5.2策略下發(fā)應(yīng)答數(shù)據(jù)

12

DB11/T1288—2015

策略下發(fā)應(yīng)答以WebMonitorPolicyResponse字段為標(biāo)識(shí)，描述格式見(jiàn)表18。

表18策略下發(fā)應(yīng)答基本信息

字段名稱基本信息數(shù)據(jù)類型長(zhǎng)度（字節(jié)）說(shuō)明

TotalCount數(shù)量字符32