T-NJCESS 002-2024 內生安全系統(tǒng)安全日志技術要求

CCSL70T/NJCESS內生安全系統(tǒng)安全日志技術要求Technicalrequirementsforsecuritylogsinendogenoussecuritysystems2024-12-26發(fā)布I 12規(guī)范性引用文件 13術語和定義 14縮略語 35概述 36內生安全系統(tǒng)安全日志記錄要求 36.1內生安全系統(tǒng)安全日志記錄的組件 46.2內生安全系統(tǒng)安全領域內具體可觀測事件最小集 66.3內生安全系統(tǒng)安全日志事件記錄編碼 66.4內生安全系統(tǒng)安全日志文件形式信息載體的約束規(guī)范 77內生安全系統(tǒng)安全日志采集要求 87.1明確采集目標 87.2選擇采集工具 97.3配置采集策略 97.4日志采集安全 98內生安全系統(tǒng)安全日志存儲要求 98.1日志存儲保證可用性和可擴展性 98.2日志存儲的時長 8.3日志存儲路徑 8.4日志存儲安全 9內生安全系統(tǒng)安全日志共享要求 9.1日志共享標準化 9.2日志共享安全 A.1.事件記錄的級別說明 11A.2.location編碼表說明 11A.3.日志類型說明 B.1.事件自身屬性字段字典說明 12B.2.輸入代理事件分類標簽通用詞匯表最小集說明 12B.3.輸入代理字段字典說明 13B.4.輸出代理事件分類標簽通用詞匯表最小集說明 13B.5.輸出代理字段字典說明 14B.6.擬態(tài)裁決事件分類標簽通用詞匯表最小集說明 14B.7.擬態(tài)裁決字段字典說明 15B.8.負反饋控制器事件分類標簽通用詞匯表最小集說明 B.9.負反饋控制器字段字典說明 18本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由南京市網絡空間內生安全協會提出并歸口。本文件起草單位：紫金山實驗室、戰(zhàn)略支援部隊信息工程大學、南京市網絡空間內生安全協會本文件主要起草人：蔣笑笑、胡先君、卜佑軍、陳韻、喬偉、張橋、蔡翰智、康藝霖、朱緒全、王涵1本文件規(guī)定了基于動態(tài)異構冗余構建的內生安全系統(tǒng)安全日志的統(tǒng)一技術要求和規(guī)范，包括安全日志的通用記錄要素、日志采集要求、日志存儲要求，以及日志共享要求。本文件適用于內生安全系統(tǒng)的產品以及其派生品等日志信息提供方與需求方之間進行事件信息的生成、共享和使用。內生安全系統(tǒng)的運維平臺與安全威脅信息共享平臺的建設與運營可參考使用。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。IETFRFC2119RFC文檔用于指出要求級別的關鍵詞(KeywordsforuseinRFCstoIndicateRequirementLevels)IETFRFC5424系統(tǒng)日志協議(TheSyslogProtocol)IETFRFC5234增強型的用語規(guī)范(AugmentedBNFforSyntaxSpecifications:ABNF)IETFRFC4627JSON要求（Theapplication/jsonMediaTypeforJavaScriptObjectNotation）GB/T7408日期和時間信息交換表示法GM/T0054信息系統(tǒng)密碼應用基本要求YD/T4223-2023支持擬態(tài)防御功能設備的總體技術指南3術語和定義IETFRFC2119、IETFRFC5424、IETFRFC5234、IETFRFC4627、GB/T7408、GM/T0054、YD/T4223-2023界定的以及下列術語和定義適用于本文件。3.1編碼encoding每個編碼聲明都定義了如何使用特定語法將事件記錄為構建成便于消費者解析的事件記錄的過程。3.2解碼decoding事件的消費者通過特定語法簡單地解碼的事件記錄以獲得原始事件信息的過程。3.3字段字典fieldtypesdictionary是應用于領域內的事件記錄的字段和數據類型等信息的列表。23.4通用字段字典commonfieldtypesdictionary定義了跨擬態(tài)設備和應用程序類型的字段字典。3.5最佳實踐字段字典specificfieldtypesdictionary定義了單個業(yè)務形態(tài)內擬態(tài)設備和應用程序中使用的字段字典。3.6事件分類標簽eventtaxonomylabel由一組類別以及最能描述事件的每個類別的標簽值組成。3.7事件分類標簽詞匯表eventtaxonomylabeltable是內生安全領域內事件分類標簽的受控詞匯表。3.8通用事件分類標簽表commoneventtaxonomylabeltable定義了跨擬態(tài)設備和應用程序類型的事件標簽的受控詞匯表。3.9最佳實踐事件分類標簽表specificeventtaxonomylabeltable定義了單個業(yè)務形態(tài)內擬態(tài)設備和應用程序中使用的事件標簽的受控詞匯表。3.10結構化數據structureddata一種數據表示形式，按此種形式，由數據元素匯集而成的每一個記錄的結構都是一致的并且可以使用關系模型予以有效描述。3.113.12多維動態(tài)重構multi-dimensiondynamicreconfigure按照事先制定的重構重組方案從異構資源池中抽取構件元素生成功能等價的新執(zhí)行體或編碼架構的過程。3.13狀態(tài)同步statesynchronization清洗恢復后的執(zhí)行體需要與在線執(zhí)行體進行狀態(tài)或場景再同步以維持與擬態(tài)裁決機制3的同步的過程。4縮略語下列縮略語適用于本文件。JSON：JavaScript對象表示法（JavaScriptObjectNotation）UTF-8：比特可變長度Unicode編碼轉換格式（8-bitUnicodeTransformationFormat8）MTU：最大傳輸單元（MaximumTransmissionUnit）API：應用程序接口（ApplicationProgrammingInterface）CPU：中央處理器（CentralProcessingUnit）DHR：動態(tài)異構冗余（Dynamicheterogeneousredundancy）5概述內生安全系統(tǒng)架構見圖1。輸入/輸出代理作為系統(tǒng)的左右邊界功能，一方面需要將外部的輸入激勵按照調度策略導入相應的執(zhí)行體或運行場景，另一方面將多個功能等價可重構執(zhí)行體或運行場景輸出矢量導入裁決器；功能等價執(zhí)行體是功能等價結構不同的執(zhí)行體，執(zhí)行體可以是網絡、平臺、系統(tǒng)、部件或模塊、構件等不同層面、不同粒度的設備或設施，也可以是軟件實現對象、硬件實現對象、軟硬結合實現對象、虛擬化實現對象；裁決器依據相對正確公理做出多數或少數、一樣或不一樣的判別；反饋控制器基于裁決器的反饋信息感知異常，生成多維動態(tài)重構的策略，并對功能等價執(zhí)行體或運行場景進行重構。本文件為內生安全系統(tǒng)提供一種統(tǒng)一的結構化安全日志事件記錄方法，確保領域內內生安全系統(tǒng)產生的安全日志事件記錄的一致性，從而提高事件信息共享的效率、互操作性。此外，本文件對內生安全系統(tǒng)安全日志采集、存儲、共享作出要求。圖1內生安全系統(tǒng)架構6內生安全系統(tǒng)安全日志記錄要求46.1內生安全系統(tǒng)安全日志記錄的組件內生安全系統(tǒng)在運行過程會產生各類安全事件，本文件對內生安全系統(tǒng)安全日志事件在生命周期的每個步驟中定義了關鍵組件的規(guī)范：a)事件記錄的信息維度應包括事件所屬域、事件動作、作用對象、服務類型、事件結果、事件意義等6個信息維度，對領域內可觀測的事件進行描述；b)應定義領域內通用字段字典，提供可用于記錄、共享和分析事件的通用詞匯和語法來解決領域內不同業(yè)務設備的供應商之間的對同一事件的表達術語不一致問題，以便寫入日志數據的設備和應用程序可以使用統(tǒng)一的字段描述；c)應定義由一組類別以及最能描述事件的每個類別的標簽值組成詞匯表。利用統(tǒng)一的分類標簽詞匯表給領域內的事件打上事件分類標簽信息，可實現跨不同擬態(tài)防御產品與擬態(tài)防御組織的事件類型得到一致的表達；d)應提供一種以定義明確、易于解析和解釋的數據格式來表達事件的機制。6.1.1內生安全系統(tǒng)安全日志事件記錄的字段字典為了確保字段在領域內的許多產品中有用并真正標準化事件記錄，字段字典中的所有字段及其屬性都應符合以下要求：a)字段/字段應用域標識符（即對象和名稱組件）應由美國信息互換標準代碼字母數字和_（下劃線）字符組成；b)字段/字段應用域標識符不區(qū)分大小寫，并且分層結構為零個或多個上下文對象和標識字段名稱的組合；c)字段/字段應用域標識符總長度小于255；d)通用字段字典中的字段必應足夠常見以保證包含，不常見或不通用的字段不應包括在內；e)最佳實踐字段字典應保證包含本業(yè)務形態(tài)內特有的字段，即使只有一個事件報告使用了該字段，該字段名稱也將被概括，以允許未來的進入者使用該字段；f)最佳實踐字段字典中不得出現與通用字段字典同名字段，如果某一業(yè)務形態(tài)內需要用同名不同義、同名同義不同類型的字段時，應在最佳實踐字段中新增不同名字段；g)最佳實踐字段字典中出現與通用字段字典同名同義同類型不同取值范圍時，最佳實踐字段字典中的字段取值范圍應明確說明；h)字段字典頭部應包含對象應用域、字段標識符、字段類型、字段描述、取值范圍，除非本文件本身發(fā)生變化，否則這些頭部字段不得更改；i)字段字典中的每個字段都應指定一個數據類型，該數據類型指定字段值的表示方式。如果沒有類型限制，則應使用字符串類型。字段類型應是對本文件中有效數據類型的引用，不得使用此列表之外的數據類型。有效的數據類型是：字符串、比特、布爾、整數型、空值、時間戳、ipv4、ipv6、對象、文件、數組。6.1.2內生安全系統(tǒng)安全日志事件分類標簽事件分類標簽表與字段字典中的字段在標識符方面要求保持一致，但有以下特有的約束規(guī)范：a)通用事件分類標簽表應由中國網絡空間內生安全技術與產業(yè)聯盟維護，是領域內共性事件類型描述術語的詞匯表；b)最佳實踐事件分類標簽表應由領域內不同組織創(chuàng)建，并提交給中國網絡空間內生安5全技術與產業(yè)聯盟審核、歸檔、發(fā)布；c)事件分類標簽標識符應為有意義的標識符；d)某一個事件分類標簽如果是數據類型字符串，其屬性值的枚舉應受到限制。e)各類別標簽的屬性值應指定至少一個可能的值；當一個維度存在多個類別標簽值時通過分隔符‘,’進行分割；f)通用事件分類標簽表中的類別標簽應是領域內共性事件類別標簽，不通用的類別不應包括在內。6.1.3內生安全系統(tǒng)安全日志事件記錄數據組織格式內生安全領域內事件記錄的數據組織格式遵循擴展的巴科斯諾爾范式。事件記錄數據組織格式應為mimiceventexpress=HEADERSPENTITYCRLF。HEADER表示頭域數據，ENTITY表示實體數據。HEADER應使用字段字典中的字段，組成格式應為HEADER=VERSIONSPTIMESTAMPSPPRIVALSPLOCATIONSPLOGTYPE[SPMSGIDSPMSGOFFSET]。應遵循一下規(guī)則：a)對于更改任何部分的任何新協議規(guī)范，VERSION應遞增；b)TIMESTAMP的格式應遵循GB/T7408中定義的日期時間格式；不區(qū)分大小寫。具體內容參考事件記錄的級別說明（事件記錄的級別見附錄Ad)LOCATION的數據格式應為LOCATIONTYPE:LOCATIONVALUE;例如：”process_id:100;thread_id:100“。具體內容參考location編碼表（location編碼表見附錄Ae)LOGTYPE應從下列類型中選擇：desc、stat、visit、biz、dmf、sched、ids。具體含義參考日志類型說明（日志類型說明見附錄Af)MSGID應為可選字段，為遞增序列；g)MSGOFFSET應在MSGID有值且消息分段情況下才有值，當前記錄是最后一分段時此值為-1；ENTITY的組織格式應為ENTITY=EVENT-STRUCTURED-EXP，STRUCTURED-DATA，ADDITION-MSG。應遵循以下規(guī)則：a)EVENT-STRUCTURED-EXP應包含6個涵蓋事件記錄的結構化數據元素：事件所屬域、事件動作、事件作用對象、服務類型、事件結果、事件意義；b)EVENT-STRUCTURED-EXP應通過key-value鍵值對的數據格式對事件記錄的六個要素記錄。Key值應為事件記錄的六個要素。Value值應來自字段字典、事件分類標簽詞匯表中的字段或標簽。如果Value為空值，則取值應為空值""，舉例：event_domain:""。當某一Value值有多個取值時，此值應以列表形式組織[]，多個取值直接采用分隔符“,”；c)STRUCTURED-DATA應通過key-value鍵值對的數據格式對事件關鍵信息記錄。Key值應來自本文件的字段字典中的字段。Value值應滿足對應的Key值字段屬性定義。當某一Value值有多個取值時，此值應以列表形式組織[]，多個取值直接采用分隔符“,”；d)ADDITION-MSG應提供一種利用非結構化的數據(NO-STRUCTURED-DATA)組織格式補充事件信息的機制,通過key-value鍵值對的數據格式對事件關鍵信息記錄；e)ADDITION-MSG中使用的字符集應是8位字段中的7位ASCII。6示例："event_domain":"mimic_multimode_ruling","event_action":"access","event_object":"configure_table","event_service":"multimode_ruling","event_status":"success","event_subject":"dmf_security_abnormal","mimicrouter.msg_src":"config_multimode_ruling","mimicrouter.exception_time":"2022-01-0109:48:07","addition_msg":"finderrorconfig!"\r\n。6.2內生安全系統(tǒng)安全領域內具體可觀測事件最小集內生安全系統(tǒng)安全領域內具體可觀測事件最小集規(guī)范：a)事件自身屬性字段字典應遵循事件自身屬性字段字典說明（事件自身屬性字段字典說明見附錄Bb)輸入代理可觀測的事件最小集應包括內容激勵信號、激勵信號分發(fā)動作、激勵信號適配動作、激勵信號的合規(guī)控制、黑白名單過濾等主被動防御措施，輸入代理事件分類標簽通用詞匯表最小集應遵循輸入代理事件分類標簽通用詞匯表最小集說明（輸入代理事件分類標簽通用詞匯表最小集說明見附錄B輸入代理字段字典應遵循輸入代理字段字典說明（輸入代理字段字典說明見附錄Bc)輸出代理可觀測的事件最小集應包括內容：接收多模輸出矢量、提取擬態(tài)保護的關注點信息、多模輸出矢量預處理、輸出預處理后的多模輸出矢量。輸出代理事件分類標簽通用詞匯表最小集應遵循輸出代理事件分類標簽通用詞匯表最小集說明（輸出代理事件分類標簽通用詞匯表最小集說明見附錄B）。輸出代理字段字典應遵循輸出代理字段字典說明（輸出代理字段字典說明見附錄Bd)擬態(tài)裁決可觀測的事件最小集應包括內容：執(zhí)行裁決策略、裁決多模輸出矢量、記錄差模擾動、輸出裁決狀態(tài)信息。擬態(tài)裁決事件分類標簽通用詞匯表最小集應遵循擬態(tài)裁決事件分類標簽通用詞匯表最小集說明（擬態(tài)裁決事件分類標簽通用詞匯表最小集說明見附錄B）。擬態(tài)裁決字段字典應遵循擬態(tài)裁決字段字典說明（擬態(tài)裁決字段字典說明見附錄Be)負反饋控制器可觀測的事件最小集應包括內容：接收調度策略、執(zhí)行調度策略、清洗異常執(zhí)行體、下線異常執(zhí)行體、上線新執(zhí)行體、同步執(zhí)行體狀態(tài)、通知輸入代理、記錄調度日志，負反饋控制器事件分類標簽通用詞匯表最小集應遵循負反饋控制器事件分類標簽通用詞匯表最小集說明（負反饋控制器事件分類標簽通用詞匯表最小集說明見附錄B負反饋控制器字段字典應遵循負反饋控制器字段字典說明（負反饋控制器字段字典說明見附錄B）。6.3內生安全系統(tǒng)安全日志事件記錄編碼字段字典映射規(guī)范：a)安全日志事件記錄編碼應使用可擴展標記語言和JSON等被廣泛使用的編碼；b)數值類型與布爾類型應直接映射到JSON數值和布爾類型，整數值應在64位整數內表示，范圍為[-(2^63),2^63-1]有符號或[0,2^64-1]無符號；浮點值應可以用IEEE75464位浮點格式表示；c)字段取值是多值時應映射到JSON數組；d)字段字典中的object類型應直接映射到JSON對象值類型；a)基本字符、字符串或其他非JSON支持的類型均應映射到JSON的字符串或對象值類型；7b)整數、浮點數和布爾字段類型應使用等效的內置JSON類型進行編碼。對應于這些原生類型的值不應出現在引號字符中。JSON編碼事件記錄的規(guī)范約束：a)JSON編碼的事件記錄應完全符合RFC4627規(guī)范；b)除了轉義字符的要求JSON要求外，換行符和回車符在用作字段值時也應轉義；c)所有JSON編碼的事件記錄應表示為有效的UTF-8編碼的Unicode字符序列；d)具有多個值的JSON編碼事件記錄中的字段應使用本機JSON數組機制進行編碼，具有單個值的字段應包裝在JSON數組中；e)JSON對象結構應用于表示字段層次結構。也可以使用內聯字段名稱。示例：{"event_header":["2021-11-22T17:50:51,520+08:00","INFO","line_id:248","stat","0000","event_entity":{"event_domain":"mimic_multimode_ruling","event_action":"multimode_ruling","event_object":"configure_table","event_service":"multimode_ruling","event_status":"success","event_subject":"dmf_security_abnormal","mimicrouter.msg_src":"config_multimode_ruling","addition_msg":"Reconnectingandresending!"}6.4內生安全系統(tǒng)安全日志文件形式信息載體的約束規(guī)范文件作為日志的重要載體，約束規(guī)范主要包括事件記錄在文件中的組織方式、日志文件的組織方式、日志文件目錄的組織方式。事件記錄在文件中的組織方式：a)日志記錄之間的分隔。每條日志記錄之間應通過換行符\r\n的方式進行分隔，界限劃分清晰；b)日志記錄的長度。本文件本身不對日志記錄的大小限制；每條日志記錄會被映射到指定的文件中，其大小由其所在的文件系統(tǒng)與其記錄所有者決定；如果記錄本身需要分多行存儲應提供明確標識多行為同一事件記錄，標識方法應顯示提供給記錄共享方；8c)不同日志記錄應顯示區(qū)分。日志記錄應支持多線程，不同線程之間的日志信息寫同一日志文件時不應產生沖突，日志信息應能被顯示區(qū)分出來。日志文件的組織方式：a)單個日志文件大小。本文件本身不對日志文件的大小限制，其大小由其所在的文件系統(tǒng)與其記錄所有者決定；單個日志文件大小，推薦設置在100MB~500MB之間；b)日志文件分割規(guī)范要求：1)以一定的周期生成日志文件，推薦以一個自然日為一個周期，便于分類歸檔。2)當單個周期內日志量超過文件大小限制時，應按照單一文件配置大小分割。3)當單個日志出現跨周期時，日志文件不應只以日志量大小進行分割，應創(chuàng)建新的日志文件；c)日志文件的命名組織方式規(guī)范要求：1)以一定的周期生成日志文件，日志文件名稱應追加日期標識“YYYYMMDD”，便于分類歸檔。例如：mimicrouter_dmf_20220101.log，其中，日期20220101，應按照“YYYYMMDD”的格式進行統(tǒng)一；2)單個周期內日志文件按照單一文件配置大小分割時，文件命名應按照文件編號順序生成新文件，日志文件名應追加文件編號“XXXX”，其中XXXX代表mimicrouter_dmf_20220101_0001.log，mimicrouter_dmf_20220101_0002.log；3)當單個日志出現跨周期時，應重新創(chuàng)建一個以最新日志日期命名的文件，不應在前一個日期的日志日期文件中繼續(xù)追加寫入。例如：當前某個日志文件的日期為20220101，日志文件大小為1M(不需要按照大小分割)，但隨后進入20220102的自然時間周期，那么后續(xù)記錄，應重新創(chuàng)建一個日志日期為20220102的文件，不應在日志日期為20220101的已有文件中繼續(xù)追加寫入；4)日志文件的命名組織方式，"設備類型_日志類型_日期.log"；5)設備類型，mimic*，舉例：mimicrouter；6)日志類型，取自4.4事件記錄頭域數據組組織格式LOGTYPE字段；7)日志類型不同語義（層次）的標識符之間以下劃線'_'字符進行連接；8)相同語義（層次）的標識符之間以'-'進行連接。日志文件目錄的組織方式：a)日志文件目錄的組織方式，應能夠直觀反映出日志的組織方式，包括分類、索引以及層級等信息；b)日志文件目錄的命名應取自6.1.2章節(jié)通用事件分類標簽表和最佳實踐事件分類標簽表描述的標簽元素；c)日志文件目錄的命名禁止使用無法區(qū)分意義的純數字、與擬態(tài)業(yè)務場景、擬態(tài)事件類型無關的命名方式。7內生安全系統(tǒng)安全日志采集要求7.1明確采集目標明確采集目標應符合以下要求：9a)應確定需要采集的擬態(tài)設備類型、型號及其網絡位置和業(yè)務情況；b)應了解設備的功能和可能產生的日志類型，例如系統(tǒng)日志、攻擊日志、錯誤日志c)應針對不同類型的日志，明確其重要性和優(yōu)先級，以便在采集過程中重點關注。7.2選擇采集工具選擇采集工具應符合以下要求：a)應選擇業(yè)界類似業(yè)務場景的主流技術選型，具備成熟的社區(qū)，方便問題解決；b)應能夠滿足擬態(tài)設備日志數據與網絡流量采集的需求，具備靈活的采集策略配置，有明確的指導文件；c)應對被采集設備的性能影響在要求范圍內，輕量級，資源占用小資源占用與性能需要開發(fā)后予以評估給出詳細報告）d)應具備靈活的對外接口，支持多種輸出方式；e)采集器其代碼應開源，開發(fā)語言與現有開發(fā)人員技術棧相符，便于二次開發(fā)；f)采集器應支持數據加密傳輸，同時保證傳輸可靠性；g)采集器應記錄對日志數據的訪問和操作日志，方便進行審計追溯；h)采集器應具備故障恢復能力、故障報警能力；i)應盡量選擇擬態(tài)設備目前采用的日志采集器。7.3配置采集策略配置采集策略應符合以下要求：a)應確定擬態(tài)設備中需要裁決日志的系統(tǒng)、應用或服務，如裁決模塊、調度模塊；b)應根據業(yè)務需求，采集所需數據，如系統(tǒng)運行的指標、運行狀態(tài)和被攻擊日志；c)應根據擬態(tài)設備應用或服務的特點，配置具體的日志采集規(guī)則，包括日志文件的路徑、采集頻率、過濾條件、采集的日志級別等。7.4日志采集安全日志采集安全應符合以下要求：a)日志采集狀態(tài)監(jiān)控，確保采集工具正常運行，與擬態(tài)設備的連接保持穩(wěn)定；b)日志采集過程不能影響擬態(tài)設備正常業(yè)務運行，避免因采集器的配置不當導致設備CPU使用率過高、內存泄露、占用大量磁盤等問題；c)適當限制日志采集器的訪問權限，避免對設備上非授權文件的訪問及操作；d)對敏感日志數據進行安全保護，采取加密、訪問控制等措施，防止日志數據泄露或被篡改。8內生安全系統(tǒng)安全日志存儲要求8.1日志存儲保證可用性和可擴展性日志存儲的可用性和可擴展性應符合以下要求：a)日志的本地側存儲時，在業(yè)務形態(tài)允許條件下推薦采用備份存儲、冗余存儲等保證日志記錄存儲的可用性與可靠性的技術手段；b)日志在統(tǒng)一集中式日志平臺存儲時，在業(yè)務形態(tài)允許條件下推薦采用分布式擬態(tài)云存儲等技術手段，提高系統(tǒng)的可靠性、可用性和存取效率，且易于擴展。8.2日志存儲的時長日志存儲的時長應符合以下要求：a)日志存儲時長應不少于六個月。8.3日志存儲路徑日志存儲的路徑應符合以下要求：a)應支持根路徑的可配置，支持路徑場景遷移；b)應采用含有分類、索引等隱含的信息的命名方式、采用分層的目錄組織結構。8.4日志存儲安全日志存儲安全應符合以下要求：a)應分類分級，根據日志的級別限制訪問；b)應基于日志數據的分類分級制定數據訪問控制策略，形成敏感分級數據與用戶角色的訪問控制矩陣，為數據的安全合規(guī)使用提供支撐；c)應盡量減少敏感數據存儲位置的數量并及時刪除無關的數據，防止敏感日志數據泄d)應對相關人員進行日志數據安全的培訓，明確日志數據的管理和使用流程；e)應對真實的隱私數據（業(yè)務面向的用戶、組織本身等）進行改造并提供使用，從而降低隱私數據泄露的風險；f)應采用適合本組織（系統(tǒng)、設備）的存儲策略控制來保護存儲系統(tǒng)和基礎設施以及存儲在其中的日志數據，防止未經授權的泄露、修改或破壞，同時確保授權用戶的可用性。9內生安全系統(tǒng)安全日志共享要求9.1日志共享標準化日志共享標準化應符合以下要求：a)應提供標準化的API接口，方便第三方工具和系統(tǒng)集成，實現日志數據的共享和交換。9.2日志共享安全日志共享安全應符合以下要求：a)與外部合作伙伴（如安全廠商、監(jiān)管機構等）共享日志數據，應遵守相關的隱私和法律要求。b)在共享日志數據時，應對敏感信息進行匿名化處理，保護用戶隱私；c)應采用符合GM/T0054等國家相關標準規(guī)定的密碼技術，保證通信過程中數據的保密性和完整性。附錄A（規(guī)范性）內生安全系統(tǒng)安全日志事件記錄數據組織格式說明A.1.事件記錄的級別說明事件記錄的級別說明見表A.1。A.1.事件記錄的級別code定義0systemisunusableEmergency1actionmustbetakenimmediatelyAlert2criticalconditionsCritical3errorconditionsError4warningconditionsWarning5normalbutsignificantconditionNotice6informationalmessagesInfo7debug-levelmessagesDebugA.2.location編碼表說明location編碼表說明見表A.1。A.2.location編碼表類型編碼(code)類型定義(definition)舉例1process_id進程標識：標識事件發(fā)生在哪個進程。process_id:1002thread_id線程標識：標識事件發(fā)生在哪個線程。thread_id:1003function_name函數標識：標識事件發(fā)生在哪個函數。function_name:main4line_id行號標識：標識事件發(fā)生在哪一行。line_id:1005file_name文件標識：標識事件發(fā)生在哪個代碼文件file_name:main.cA.3.日志類型說明日志類型說明見表A.3。A.3.日志類型Code定義1系統(tǒng)啟動、運行過程中記錄的日志，表明系統(tǒng)的一些啟動日志、啟動參數等desc2系統(tǒng)性能統(tǒng)計日志，應用會定時收集一些性能信息，便于查詢應用當前狀態(tài)stat3外部請求相關的日志，定位該請求相關的所有日志visit4業(yè)務數據相關日志，主要提供給數據統(tǒng)計使用biz5差模擾動日志dmf6執(zhí)行體調度日志sched7ids（規(guī)范性）內生安全系統(tǒng)安全領域內具體可觀測事件最小集說明B.1.事件自身屬性字段字典說明事件自身屬性字段字典說明見表B.1。表B.1.事件自身屬性字段字典字段對象域（object_domain）字段標識符（Field_identifier）字段類型字段描述(Description)字段取值范圍（Range）eventhost_namestring事件主機的名字1~255ipv4ipv4事件所在的主機IPV4地址0.0.0.0/32ipv6ipv6事件所在的主機IPV6地址::/128portnumber事件所在主機的應用端口號0~65535app_namestring事件所屬應用名字1~255pnamestring產生事件的進程的名字1~255msgstring事件描述信息msgidstring事件描述信息的身份標識pidstring產生事件的進程的身份標識privstring事件級別（參照表3事別）tidnumber與產生事件相關的線程的身份標識B.2.輸入代理事件分類標簽通用詞匯表最小集說明輸入代理事件分類標簽通用詞匯表見表B.2。B.2.輸入代理事件分類標簽通用詞匯表最小集事件類別類別標簽值定義/描述event_domainmimic_interface事件記錄發(fā)生在擬態(tài)界上input_agent事件記錄發(fā)生在輸入代理event_actiondistribute事件的動作是分發(fā)激勵信號adapte事件的動作是處理激勵信號以適配相應的執(zhí)行體check事件的動作是激勵信號檢查filter事件的動作是激勵信號過濾event_objectexcitation_signal事件作用的目標對象，擬態(tài)界外輸入的激勵信號event_serviceinput_distribution事件涉及的操作類型是輸入分發(fā)input_adpator事件涉及的操做類型是輸入適配input_compliancecheck事件涉及的操作類型是輸入信號的合規(guī)性檢查input_filter事件涉及的操作類型是對輸入信號進行黑白名單過濾eventstatusfail事件結果失敗success事件結果成功pass事件結果通過block事件結果阻斷event_subjectsystemrunning_normal正常系統(tǒng)運行事件記錄systemrunning_abnormal異常系統(tǒng)運行事件記錄security_normal主被動防御動作記錄正常安全事件security_abnormal主被動防御動作記錄異常安全事件B.3.輸入代理字段字典說明輸入代理字段字典說明見表B.3。B.3.輸入代理字段字典字段對象域（object_domain）字段標識符（Field_identifier）字段類型字段描述(Description)字段取值范圍（Range）input_agentcompliance_rules_filefile合規(guī)規(guī)則文件compliance_rules_listobject合規(guī)規(guī)則列表black_white_filefile黑白名單規(guī)則文件black_white_rules_listobject黑白名單過濾規(guī)則列表relation_feeoobject關聯的執(zhí)行體信息B.4.輸出代理事件分類標簽通用詞匯表最小集說明輸出代理事件分類標簽通用詞匯表最小集說明見表B.4。B.4.輸出代理事件分類標簽通用詞匯表最小集事件類別類別標簽值定義/描述event_domainmimic_interface事件記錄發(fā)生在擬態(tài)界上output_agent事件記錄發(fā)生在輸出代理event_actionreceive事件的動作是接收異構執(zhí)行體輸出的結果send事件的動作是發(fā)送輸出矢量到擬態(tài)裁決extract事件的動作是提取擬態(tài)保護的信息preprocess事件的動作是對異構執(zhí)行體輸出是輸出矢量預處理event_objectoutput_vector事件作用的目標對象，多異構執(zhí)行體輸出矢量buffer_queue事件作用的目標對象，緩沖隊列event_serviceoutput_vector_receive事件涉及的操作類型是輸出矢量的接收output_vector_send事件涉及的操做類型是發(fā)送處理后的輸出矢量到擬態(tài)裁決output_vector_preprocess事件涉及的操作類型是輸出矢量的預處理output_vector_extraction事件涉及的操作類型是從原始輸出矢量中提取擬態(tài)保護的信息eventstatusfail事件結果失敗success事件結果成功full事件結果緩沖隊列滿empty事件結果緩沖隊列空event_subjectsystemrunning_normal正常系統(tǒng)運行事件記錄systemrunning_abnormal異常系統(tǒng)運行事件記錄B.5.輸出代理字段字典說明輸出代理事件分類標簽通用詞匯表最小集說明見表B.5。B.5.輸出代理字段字典字段對象域（object_domain）字段標識符（Field_identifier）字段類型字段描述(Description)字段取值范圍（Range）output_agentbuffer_queueobject緩沖隊列output_vectorobject輸出矢量B.6.擬態(tài)裁決事件分類標簽通用詞匯表最小集說明擬態(tài)裁決事件分類標簽通用詞匯表最小集說明見表B.6。B.6.擬態(tài)裁決事件分類標簽通用詞匯表最小集事件類別類別標簽值定義/描述event_domainmimic_multimode_ruling事件記錄發(fā)生在擬態(tài)裁決event_actionmultimode_ruling事件的動作是裁決輸出event_objectruling_policy事件作用的目標對象，裁決策略output_vector事件作用的目標對象，輸出矢量recorder事件作用的目標對象，差模擾動事件記錄file事件作用的目標對象，差模擾動日志文件ruling_policy_set事件作用的目標對象，裁決策略集event_servicepolicy_execution事件涉及的操做類型是裁決策略執(zhí)事件類別類別標簽值定義/描述行dmf_logging事件涉及的操作類型是差模擾動日志記錄ruling_status_logging事件涉及的操作類型是裁決狀態(tài)信息日志記錄eventstatusfail事件結果失敗success事件結果成功simple利用安全漏洞影響目標系統(tǒng)的難度“簡單”complex利用安全漏洞影響目標系統(tǒng)的難度“復雜”complete利用安全漏洞對目標系統(tǒng)造成的損害程度“完全”part利用安全漏洞對目標系統(tǒng)造成的損害程度“部分”slight利用安全漏洞對目標系統(tǒng)造成的損害程度“輕微”none利用安全漏洞對目標系統(tǒng)造成的損害程度“無”schedule差模擾動造成執(zhí)行體調度 noschedule 差模擾動未造成執(zhí)行體調度different_mode_fault造成差模擾動nodmf_未造成差模擾動event_subjectsystemrunning_normal正常系統(tǒng)運行事件記錄systemrunning_abnormal異常系統(tǒng)運行事件記錄no_dmf_security_normal無差模擾動正常安全事件記錄dmf_single_executor_security_abnormal差模擾動單執(zhí)行體異常安全事件記錄dmf_multi_executors_security_abnormal差模擾動多執(zhí)行體異常安全事件記錄dmf_security_abnormal差模擾動異常安全事件記錄B.7.擬態(tài)裁決字段字典說明擬態(tài)裁決字段字典說明見表B.7。B.7.擬態(tài)裁決字段字典字段對象域（object_domain）字段標識符（Field_identifier）字段類（Type字段描述(Description)字段取值范圍（Range）mimic_multimode_rulingexecutor_infoobject執(zhí)行體信息[“1.1.1.1“,”2.2.2.2”]字段對象域（object_domain）字段標識符（Field_identifier）字段類（Type字段描述(Description)字段取值范圍（Range）executorcountnumber在線執(zhí)行體數量“3~MAX_LONG（其中，MAX_LONG代表能表示最大的Long整數）executor_running_durationnumber執(zhí)行體運行時長0~MAX_LONGdmf_executor_countnumber發(fā)生差模擾動的執(zhí)行體數量0~executor_countdmf_logobject差模擾動日志數據結構，裁決作用對象dmf_countnumber差模擾動次數0~MAX_LONGruling_policyobject裁決策略algorithmstring多模裁決算法“majority_multimode_ruling“:(擇多裁決),“weight_multimode_ruling“:(權重裁決),“random_multimode_ruling“:(隨機裁決)levelstring多模裁決層次/粒度“executor_level“:(執(zhí)行體層次),“component_level“:(組件層次),“payload_level“:(載荷層次),”byte_level”:(字節(jié)層次),”bit_level”:(比特層次)conclusionstring多模裁決結論“completely_same“:(完全相同),“majority_same“:(多數相同),“minority_same“:(少數相同),“completely_different”:(完全不同)syslogobjectsyslog日字段對象域（object_domain）字段標識符（Field_identifier）字段類（Type字段描述(Description)字段取值范圍（Range）志數據結構exploiting_difficultystring利用安全漏洞影響目標系統(tǒng)的難度"simple"|"complex"damage_potentialstring利用安全標系統(tǒng)造成的損害程度"complete"|"part"|"slight"|noneoutput_statusobject輸出到負反饋控制器的狀態(tài)信息output_responseobject裁決后輸出給目標用戶的響應消息output_schedule_policyobject輸出到負反饋控制器的策略信息B.8.負反饋控制器事件分類標簽通用詞匯表最小集說明負反饋控制器事件分類標簽通用詞匯表最小集說明