TC260-PG-20234A《網(wǎng)絡(luò)安全標準實踐指南-網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通 告警信息格式》

TC260-PG-20234A網(wǎng)絡(luò)安全標準實踐指南—網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息格式 (v1.0-202311)全國信息安全標準化技術(shù)委員會秘書處023年11月本文檔可從以下網(wǎng)址獲得：/I前言《網(wǎng)絡(luò)安全標準實踐指南》(以下簡稱《實踐指南》)是全國信息安全標準化技術(shù)委員會(以下簡稱“信安標委”)秘書處組織制定和發(fā)布的標準相關(guān)技術(shù)文件，旨在圍繞網(wǎng)絡(luò)安全法律法規(guī)政策、標準、網(wǎng)絡(luò)安全熱點和事件等主題，宣傳網(wǎng)絡(luò)安全相關(guān)標準及知識，提供標準化實踐指引。聲明本《實踐指南》版權(quán)屬于信安標委秘書處，未經(jīng)秘書處書面授權(quán)，不得以任何方式抄襲、翻譯《實踐指南》的任何部分。凡轉(zhuǎn)載或引用本《實踐指南》的觀點、數(shù)據(jù)，請注明“來源：全國信息安全標準化技術(shù)委員會秘書處”。技術(shù)支持單位本《實踐指南》得到國家信息中心、中國電子技術(shù)標準化研究院、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國科學(xué)院信息工程研究所、沈陽東軟系統(tǒng)集成工程有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、深信服科技股份有限公司、杭州安恒信息技術(shù)股份有限公司、北京神州綠盟科技有限公司、安天科技集團股份有限公司、亞信科技(成都)有限公司、北京升鑫網(wǎng)絡(luò)科技有限公司等單位的技術(shù)支持。摘要例》《黨委(黨組)網(wǎng)絡(luò)安全工作責任制實施辦法》等法律法規(guī)、政策文件陸續(xù)出臺，建立健全統(tǒng)一高效的網(wǎng)絡(luò)安全風險監(jiān)測、情報共享、研判處置機制，形成跨部門、跨行業(yè)高效聯(lián)動的網(wǎng)絡(luò)安全防護體系，已經(jīng)成為現(xiàn)代化網(wǎng)絡(luò)安全保障體系和保障能力建設(shè)的關(guān)注重點。網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通是高效共享網(wǎng)絡(luò)安全信息、有效整合網(wǎng)絡(luò)安全能力的重要基礎(chǔ)。網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通包括網(wǎng)絡(luò)安全產(chǎn)品的互聯(lián)互通功能和互聯(lián)互通信息。其中互聯(lián)互通信息的類型主要分為6類，包括資產(chǎn)信息、脆弱性信息、威脅信息、行為信息、告警信息和事件信息。本實踐指南規(guī)范了網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息的描述格式，從不同網(wǎng)絡(luò)安全產(chǎn)品告警信息有效互通和整合的角度出發(fā)，將網(wǎng)絡(luò)安全產(chǎn)品告警信息類型分為惡意程序告警、網(wǎng)絡(luò)攻擊告警、數(shù)據(jù)安全告警、異常行為告警和其他告警5類，并細分為21個子類，規(guī)范了各類告警信息的通用信息和專有信息格式，并給出對應(yīng)的字段表，包括字段名稱、字段說明、字段類型以及是否必填等字段。11范圍 12術(shù)語和定義 13縮略語 14告警分類 24.1概述 24.2惡意程序告警 24.3網(wǎng)絡(luò)攻擊告警 34.4數(shù)據(jù)安全告警 44.5異常行為告警 44.6其他告警 55告警信息格式 55.1概述 55.2字段類型取值 55.3告警通用信息 65.4告警專有信息 7附錄A(資料性)告警信息格式示例 17附錄B(規(guī)范性)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息分類代碼 20附錄C(規(guī)范性)告警相關(guān)網(wǎng)絡(luò)安全產(chǎn)品類別與代碼 22參考文獻 241范圍本實踐指南規(guī)定了網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通時告警信息的描述格2術(shù)語和定義互聯(lián)互通cybersecurityproductinterconnect.2告警信息alarminformation3縮略語ersistentThreatCPUCentralProcessingUnit)IP(InternetProtocol)nchronizeSequenceNumbers2atagramProtocolrmResourceLocator4告警分類4.1概述4.2惡意程序告警，發(fā)出警示；b3算，發(fā)出警示。4.3網(wǎng)絡(luò)攻擊告警b施攻擊，發(fā)出警示；4f)拒絕服務(wù)告警：發(fā)現(xiàn)攻擊者通過非正常使用網(wǎng)絡(luò)資源(諸如警示；4.4數(shù)據(jù)安全告警b4.5異常行為告警5b出警示。4.6其他告警5告警信息格式5.1概述為：告警通用部分(表2)+惡意程序告警基礎(chǔ)信息格式(表3)+計告警通用部分(表2)+數(shù)據(jù)安全告警擴展信息格式(見表21)。5.2字段類型取值6表1告警信息字段類型的取值字段類型說明字符型(string)以字符包括字母、數(shù)字、漢字和其他字符形式表達的數(shù)據(jù)元值的類型。整型(numeric)用任意實數(shù)表達的數(shù)據(jù)元值的類型。(datetime)通過YYYYMMDDhh24mmss的形式表達的值的類型。5.3告警通用信息表2告警通用信息格式序號信息項字段名稱字段說明字段類型是否必填1告警時間alarmTime告警發(fā)生時間型是2告警等級alarmGrade整型是3告警名稱alarmName告警信息名稱字符型是4告警描述alarmDesc對告警的詳細描述、說明字符型是5告警類型alarmType1-惡意程序告警，2-網(wǎng)絡(luò)攻擊告警，3-數(shù)據(jù)安全告警，4-異常行為告警，5-其他告警整型是6告警子類alarmSubType告警子類，見附錄B字符型是表2告警通用信息格式(續(xù))序號信息項字段名稱字段說明字段類型是否必填7產(chǎn)品類型devType網(wǎng)絡(luò)安全產(chǎn)品類型，見附錄C字符型是8產(chǎn)品地址devIp字符型是9受害對victimIP格式字符型是受害對victimPort字符型是7是否加密encryption告警所采集的網(wǎng)絡(luò)安全信息是否加密，1-非加密，2-加密整型否產(chǎn)品型號devID網(wǎng)絡(luò)安全產(chǎn)品硬件型號字符型否產(chǎn)品版本devVer網(wǎng)絡(luò)安全產(chǎn)品軟件版本字符型否產(chǎn)品廠商devVenodor網(wǎng)絡(luò)安全產(chǎn)品廠家名稱字符型否告警所屬網(wǎng)絡(luò)alarmArea告警所屬的網(wǎng)絡(luò)區(qū)域，如互聯(lián)網(wǎng)、內(nèi)網(wǎng)等字符型否sourceIP對受害對象發(fā)起攻擊或訪問的IP地字符型否sourcePort對受害對象發(fā)起攻擊或訪問的的端口字符型否協(xié)議protocol承載的傳輸層協(xié)議或應(yīng)用層協(xié)議字符型否狀態(tài)state攻擊是否成功的狀態(tài)，1-失敗,2-成功,3-嘗試，4-未知字符型否5.4告警專有信息序告警8表3惡意程序告警基礎(chǔ)信息格式序號信息項字段名稱字段說明字段類型是否必填1惡意程序名稱programName惡意程序的名稱字符型是2文件地址filePath惡意程序文件在計算機中的存放位置字符型是3fileMd5字符型是4家族family惡意程序所在家族字符型否5SHA-1值fileSha1字符型否6SHA-25fileSha256字符型否7fileSM3字符型否8黑客組織organization惡意程序相關(guān)黑客或組織字符型否表4計算機病毒告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1進程名process計算機病毒執(zhí)行進程名稱字符型是2文件地址filePath病毒文件在計算機中的存放位置字符型是表5網(wǎng)絡(luò)蠕蟲告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1進程名process蠕蟲執(zhí)行進程名稱字符型是2文件地址filePath蠕蟲文件在計算機中的存放位置字符型是表6特洛伊木馬告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1進程名process木馬執(zhí)行進程名稱字符型是2文件地址filePath木馬文件在計算機中的存放位置字符型是3名backConnDomain木馬回聯(lián)的域名字符型否4箱backConnEmail木馬回聯(lián)的郵箱字符型否5backConnIp字符型否9表7僵尸網(wǎng)絡(luò)告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1地址controlIP僵尸網(wǎng)絡(luò)的相關(guān)IP，支持ipv4、ipv6格式字符型是2失陷域名controlDomain用于指揮和控制的的域名字符型否表8惡意代碼內(nèi)嵌網(wǎng)頁告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1域名信息whois域名信息字符型是2掛馬源URLorgURL實際掛馬的網(wǎng)頁鏈接字符型是3掛馬源orgIp實際掛馬網(wǎng)站的對應(yīng)IP地址，支持pv字符型否4掛馬源所屬國家orgCountry實際掛馬網(wǎng)站的所屬國家字符型否5掛馬源所屬省orgProvince實際掛馬網(wǎng)站的所屬省字符型否6掛馬源所屬市orgCity實際掛馬網(wǎng)站的所屬市字符型否7掛馬源所屬縣orgCounty實際掛馬網(wǎng)站的所屬縣字符型否表9勒索軟件告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1進程名process勒索軟件執(zhí)行進程名稱字符型是2文件地址filePath勒索軟件在計算機中的存放位置字符型是3加密算法algorithm勒索軟件使用的加密算法字符型否表10挖礦軟件告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1進程名process挖礦軟件執(zhí)行進程名稱字符型是2文件地址filePath挖礦軟件在計算機中的存放位置字符型是3礦池地址miningPoo字符型否4子域名subdomainList子域名列表字符型否擊告警表11網(wǎng)絡(luò)攻擊告警基礎(chǔ)信息格式序號信息項字段名稱字段說明字段類型是否必填1處置動作action1-阻斷2-放行3-重定向整型是2攻擊方向direction1-橫向攻擊2-外聯(lián)攻擊3-外部攻擊整型否表12網(wǎng)絡(luò)掃描探測告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1被掃描端口列表portList被掃描端口列表字符型是2掃描探測類型type惡意攻擊者對目標發(fā)起掃描探測的掃描類型字符型否3嘗試頻率timesPerm每分鐘嘗試次數(shù)整型否4開始時間startTime掃描開始時間否5結(jié)束時間endTime掃描結(jié)束時間否6返回信息returnlnfo掃描返回信息字符型否表13網(wǎng)絡(luò)釣魚告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1釣魚類型type釣魚類型如郵件釣魚、網(wǎng)站釣魚等字符型是2域名registrar釣魚網(wǎng)站域名字符型否3registerEma釣魚郵件郵箱字符型否表14漏洞利用告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1漏洞名稱vulName漏洞名稱字符型是2系統(tǒng)研制廠商vulOrg存有漏洞的系統(tǒng)研制商字符型是3漏洞等級vulGrade危字符型是4漏洞類型type攻擊時利用的漏洞類型字符型否5漏洞編號vulCode漏洞編號，支持CNVD、CNNVD等，格式如CNVD-2014-0282、CNNVD-201404-530字符型否6漏洞描述vulDescription漏洞的描述字符型否7解決方案solution漏洞解決方案字符型否8漏洞發(fā)現(xiàn)者vulDetector漏洞發(fā)現(xiàn)的廠商或個人字符型否9參考鏈接referURL漏洞說明參考鏈接字符型否表15后門利用告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1惡意程序名稱programName后門程序的名稱字符型是2文件地址filePath后門程序文件在計算機中的存放位置字符型是3fileMd5字符型是4SHA-1值fileSha1字符型否5黑客組織organizat后門程序相關(guān)黑客或組織字符型否6后門程序使用賬號userName后門程序使用的賬號字符型否表16憑據(jù)攻擊告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1開始時間startTime攻擊開始時間是2結(jié)束時間endTime攻擊結(jié)束時間是3credent使用的憑據(jù)字符型否4嘗試頻率timesPermin每分鐘嘗試次數(shù)整型否表17拒絕服務(wù)攻擊告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1攻擊類型type字符型是2開始時間startTime攻擊發(fā)生時間型是3結(jié)束時間endTime攻擊結(jié)束時間型否4總包數(shù)totalPackages流量包總數(shù)，單位：個整型否5總字節(jié)數(shù)totalBytes總字節(jié)數(shù)，單位：byte整型否表17拒絕服務(wù)攻擊告警擴展信息格式(續(xù))序號信息項字段名稱字段說明字段類型是否必填6峰值包速率peakPackagesRate峰值包速率，單位：pps整型否7峰值字節(jié)速率peakBytesRate峰值字節(jié)速率，單位：Bps整型否8峰值流速率peakFIowsRate峰值流速率，單位：Mbps整型否表18網(wǎng)頁篡改告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1原網(wǎng)頁路徑srcPath型是2篡改路徑disPath篡改后的網(wǎng)頁URL型是3改類型webDistortionType類別如暗鏈、明鏈、其他等型否4關(guān)鍵字keyword篡改內(nèi)容的關(guān)鍵字型否表19失陷主機告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1失陷主compromised_hostid失陷主機標識，如：UUID字符型是2失陷類型compromised_type1-計算機病毒；2-網(wǎng)絡(luò)蠕蟲；3-特洛伊木馬；4-僵尸網(wǎng)絡(luò)；5-惡意代碼；6-漏洞利用；7-后門利用；8-遠程控制；9-憑據(jù)攻擊；10-本地提權(quán)整數(shù)型是3外聯(lián)惡意域名extMalwareURL失陷主機的外聯(lián)URL字符型否4extMalwareIP失陷主機的外聯(lián)IP字符型否5攻擊時間attck_time失陷判定依據(jù)的攻擊行為的告警時間，格式采用YYYY-MM-DDhh:1mm:ss，精確到秒型否表20APT告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1開始時間startTime首次發(fā)現(xiàn)攻擊的時間型是2結(jié)束時間endTime攻擊結(jié)束時間型是3警描述APTMsgAPT攻擊過程描述字符型是4織名稱OrgNameAPT組織名稱字符型否5織描述OrgMsgAPT組織描述字符型否全告警表21數(shù)據(jù)篡改告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1篡改類型type篡改類型(新建、內(nèi)容修改、刪除、權(quán)限變更等)字符型是2篡改路徑disPath文檔路徑或者URL字符型是3篡改時間time數(shù)據(jù)篡改時間是4關(guān)鍵詞keyword篡改關(guān)鍵字字符型否5篡改內(nèi)容distortionTitle篡改內(nèi)容說明字符型否表22數(shù)據(jù)泄露告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1類型type泄露類型字符型是2篡改路徑disPath文檔路徑或者URL字符型是3time發(fā)現(xiàn)首次數(shù)據(jù)泄露的時間是表22數(shù)據(jù)泄露告警擴展信息格式(續(xù))序號信息項字段名稱字段說明字段類型是否必填4告警描述Descriptin字節(jié)字符型是5詞keyword命中關(guān)鍵詞，多個關(guān)鍵詞用逗號分隔字符型是6數(shù)據(jù)leakIp數(shù)據(jù)單獨加密，支持ipv4、ipv6格式字符型是7數(shù)據(jù)port數(shù)據(jù)單獨加密，通用部分不再存儲字符型是為告警表23訪問異常告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1訪問路徑dstPath訪問路徑或者URL字符型是2請求方法method請求方法，包括post等字符型否3異常信息abnormal_異常信息描述字符型否表24流量異常告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1cycleTime異常流量監(jiān)測時間周期，單位：秒整型是2總包數(shù)totalPackages流量包總數(shù)，單位：個整型是3總字節(jié)數(shù)totalBytes總字節(jié)數(shù)，單位：byte整型是4峰值包速率peakPackagesRate峰值包速率，單位：pps整型否5峰值字節(jié)速率peakBytesRate峰值字節(jié)速率，單位：Bps整型否表25其他告警擴展信息格式序號信息項字段名稱字段說明字段類型是否必填1其他告警other-info其他告警信息字符型否(資料性)告警信息格式示例本附錄給出了一個網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息格式描述的{"devType":"D105"PXPcccefbcaeeb8"bdbeffcfaeadfaafecb4b828""process":"123.exe"}0(規(guī)范性)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息分類代碼是對網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息類別(以下簡稱“告警類別”)告警)，用兩位阿拉伯數(shù)字(01~99)表示；算機病毒告警)，用三位阿拉伯數(shù)字(001~999)表示。圖B.1網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息分類編碼結(jié)構(gòu)1表B.1網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息分類代碼表告警信息分類告警信息子類英文名稱分類代碼惡意程序告警計算機病毒告警computervirusalarm01001網(wǎng)絡(luò)蠕蟲告警cyberwormalarm01002特洛伊木馬告警trojanhorsealarm01003僵尸網(wǎng)絡(luò)告警botnetalarm01004惡意代碼內(nèi)嵌網(wǎng)頁告警maliciouscodeembeddedwebpagealarm01005勒索軟件告警ransomwarealarm01006挖礦軟件告警minervirusalarm01007網(wǎng)絡(luò)攻擊告警網(wǎng)絡(luò)掃描探測告警cyberscandetectionalarm02001網(wǎng)絡(luò)釣魚告警cyberphishingalarm02002漏洞利用告警exploitationvulnerabilityalarmf02003后門利用告警exploitati