數(shù)字政府 城市網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)管理規(guī)范

1數(shù)字政府城市網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)管理規(guī)范本文件規(guī)定了城市網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)的管理職責(zé)、數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)與使用、數(shù)據(jù)安全。本文件適用于教育、醫(yī)療衛(wèi)生、水利、電力、能源等關(guān)鍵行業(yè)和重點(diǎn)單位的網(wǎng)絡(luò)安全評(píng)估與管理工作，可在進(jìn)行網(wǎng)絡(luò)安全評(píng)估與管理工作中的網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)采集時(shí)使用本文件，其他相關(guān)關(guān)鍵行業(yè)和重點(diǎn)單位可參考執(zhí)行。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件，不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)GB/T34960.5-2018信息技術(shù)服務(wù)治理第5部分：數(shù)據(jù)治理規(guī)范GB/T37973-2019信息安全技術(shù)大數(shù)據(jù)安全管理指南3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1網(wǎng)絡(luò)流量networktraffic能夠連接網(wǎng)絡(luò)的設(shè)備在網(wǎng)絡(luò)上所產(chǎn)生的數(shù)據(jù)包的集合。3.2網(wǎng)絡(luò)威脅流量監(jiān)測(cè)networkthreattrafficmonitoring對(duì)網(wǎng)絡(luò)出口處的流量進(jìn)行實(shí)時(shí)采集，通過協(xié)議分析、與已知安全威脅規(guī)則匹配、與威脅情報(bào)庫(kù)匹配等方式，發(fā)現(xiàn)流量中的異常信息，并生成對(duì)應(yīng)網(wǎng)絡(luò)安全告警。3.3網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)設(shè)備networkthreattrafficmonitoringequipment又稱為網(wǎng)絡(luò)流量探針，從被觀察的信息系統(tǒng)中，通過感知、監(jiān)測(cè)等收集事態(tài)數(shù)據(jù)的一種部件或代理。[來源：GB/T25069-2010，7,有修改]3.4心跳heartbeat在設(shè)備監(jiān)測(cè)中，各設(shè)備之間通過周期性發(fā)送的信息，并以此判斷設(shè)備的健康狀況，判斷對(duì)方是否存3.5隧道tunnel在聯(lián)網(wǎng)的設(shè)備之間，一種隱藏在其他可見性更高的協(xié)議內(nèi)部的數(shù)據(jù)路徑。[來源：GB/T25069-2010，05]23.6添加變量salt作為單向函數(shù)或加密函數(shù)的二次輸入而加入的隨機(jī)變量，可用于導(dǎo)出口令驗(yàn)證數(shù)據(jù)。[來源：GB/T25069-2010，86]4管理職責(zé)網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)的責(zé)任單位，應(yīng)對(duì)數(shù)據(jù)的操作、使用、共享等方面進(jìn)行管理和監(jiān)控，要求如下：a）數(shù)據(jù)所有者、各行業(yè)主管部門、公安機(jī)關(guān)、國(guó)家網(wǎng)信部門等應(yīng)在各自職責(zé)范圍內(nèi)對(duì)數(shù)據(jù)進(jìn)行管理與監(jiān)控；b）應(yīng)對(duì)數(shù)據(jù)的使用與共享等操作進(jìn)行規(guī)范化管理，并建設(shè)對(duì)應(yīng)的管理制度；c）應(yīng)配備數(shù)據(jù)管理人員，對(duì)數(shù)據(jù)進(jìn)行統(tǒng)一管理與維護(hù)；d）應(yīng)對(duì)數(shù)據(jù)操作人員及操作信息進(jìn)行記錄。注：各行業(yè)主管部門是指教育、醫(yī)療衛(wèi)生、水利、電力、能源、交通5數(shù)據(jù)采集5.1總體要求數(shù)據(jù)提供機(jī)構(gòu)提供的城市網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)應(yīng)包含如下幾類：安全威脅監(jiān)測(cè)數(shù)據(jù)、流量元數(shù)據(jù)、原始數(shù)據(jù)包和還原文件、心跳信息。針對(duì)實(shí)時(shí)采集獲取的流量數(shù)據(jù)，應(yīng)在遵循GB/T37973-2019中8.2的前提下，滿足如下要求：a）應(yīng)為實(shí)時(shí)解析的網(wǎng)絡(luò)出口原始全會(huì)話流量，并包含相關(guān)協(xié)議以及還原后的文件；b）應(yīng)包含未經(jīng)加工的原始全會(huì)話流量，流量覆蓋率應(yīng)為100%；c）應(yīng)能依據(jù)特定匹配條件提供對(duì)應(yīng)的流量數(shù)據(jù)。5.2安全威脅監(jiān)測(cè)數(shù)據(jù)要求針對(duì)安全威脅監(jiān)測(cè)的數(shù)據(jù)，要求如下：a）應(yīng)包含根據(jù)已知漏洞的特點(diǎn)和攻擊特征監(jiān)測(cè)出的利用已知漏洞的網(wǎng)絡(luò)攻擊行為數(shù)據(jù)，并需要包含對(duì)典型攻擊成功與否的判定結(jié)果；b）應(yīng)包含根據(jù)威脅情報(bào)信息發(fā)現(xiàn)的高級(jí)威脅告警數(shù)據(jù)，告警數(shù)據(jù)中應(yīng)包含對(duì)域名、IP地址、文件哈希等多種威脅情報(bào)的匹配結(jié)果，并需要包含對(duì)典型攻擊成功與否的判定結(jié)果；c）應(yīng)包含WEB類威脅監(jiān)測(cè)結(jié)果數(shù)據(jù)，至少應(yīng)含有如下類型：SQL注入、跨站腳本攻擊（XSS）、命令執(zhí)行、瀏覽器劫持、溢出攻擊、WEBSHELL等，并需要包含對(duì)典型攻擊成功與否的判定結(jié)果；d）應(yīng)包含多種網(wǎng)絡(luò)協(xié)議下惡意代碼檢測(cè)結(jié)果數(shù)據(jù)（包括木馬、網(wǎng)絡(luò)型病毒、蠕蟲、僵尸網(wǎng)絡(luò)等網(wǎng)絡(luò)協(xié)議類型至少應(yīng)含有：HTTP、SMTP、POP3、IMAP、FTP協(xié)議；e）應(yīng)包含根據(jù)已知木馬的網(wǎng)絡(luò)行為特征、數(shù)據(jù)流特征或文件特征等監(jiān)測(cè)出的已知木馬的攻擊行為數(shù)據(jù)，并需要包含對(duì)典型攻擊成功與否的判定結(jié)果；f）應(yīng)包含異常通信行為數(shù)據(jù)，類型至少應(yīng)含有：定時(shí)異常通信、DNS子域名發(fā)現(xiàn)、web目錄探測(cè)、暴力破解、隧道通信、掃描探測(cè)、挖礦木馬、DDoS攻擊等。5.3流量元數(shù)據(jù)采集要求針對(duì)流量元數(shù)據(jù)，要求如下：a）應(yīng)包括解析后的TCP、UDP通信會(huì)話的相關(guān)元數(shù)據(jù)；b）應(yīng)包括解析后HTTP協(xié)議的相關(guān)元數(shù)據(jù)；c）應(yīng)包括解析后DNS協(xié)議的相關(guān)元數(shù)據(jù)；d）應(yīng)包括解析后SMTP、POP3、IMAP協(xié)議的相關(guān)元數(shù)據(jù)；e）應(yīng)包括解析后FTP協(xié)議的相關(guān)元數(shù)據(jù)；f）應(yīng)包括解析后Telnet協(xié)議的相關(guān)元數(shù)據(jù)；g）應(yīng)包括解析后SSH協(xié)議的相關(guān)元數(shù)據(jù)；h）應(yīng)能提供依據(jù)IP地址、協(xié)議類型、協(xié)議字段等過濾規(guī)則過濾后的日志數(shù)據(jù)。5.4原始數(shù)據(jù)包和還原文件數(shù)據(jù)采集要求安全告警對(duì)應(yīng)原始數(shù)據(jù)包以及城市網(wǎng)絡(luò)安全防護(hù)平臺(tái)進(jìn)行安全分析時(shí)產(chǎn)生的特定IP、域名等信息對(duì)應(yīng)的原始數(shù)據(jù)包需向平臺(tái)進(jìn)行傳輸，原始數(shù)據(jù)包與還原文件的要求如下：a）原始數(shù)據(jù)包應(yīng)包含依據(jù)IP、域名等信息捕獲特定通信流量的原始數(shù)據(jù)包；b）還原文件應(yīng)包含HTTP、SMTP、POP3、IMAP、FTP協(xié)議的還原文件；c）文件格式至少應(yīng)支持以下幾類：壓縮文件（如RAR、ZIP、7Z）、可執(zhí)行文件；d）應(yīng)能提供依據(jù)自定義文件類型、協(xié)議等過濾規(guī)則過濾后的數(shù)據(jù)；e）針對(duì)檢測(cè)到的惡意文件，回傳內(nèi)容應(yīng)包含惡意文件的哈希值、大小、文件類型、文件、流量日志五要素。6數(shù)據(jù)傳輸6.1數(shù)據(jù)傳輸過程各數(shù)據(jù)提供機(jī)構(gòu)應(yīng)按照第5章數(shù)據(jù)采集、附錄A輸出數(shù)據(jù)內(nèi)容和格式以及附錄B攻擊告警分類的要求進(jìn)行數(shù)據(jù)采集，并根據(jù)數(shù)據(jù)提供機(jī)構(gòu)各自的情況選擇不同的數(shù)據(jù)傳輸方式進(jìn)行數(shù)據(jù)傳輸，數(shù)據(jù)管理方對(duì)數(shù)據(jù)的質(zhì)量進(jìn)行審核，審核通過后的數(shù)據(jù)由數(shù)據(jù)管理方進(jìn)行數(shù)據(jù)的治理入庫(kù)，網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)設(shè)備的功能要求和性能要求可參照附錄C。6.2數(shù)據(jù)傳輸方式6.2.1通過高吞吐量的分布式發(fā)布訂閱消息系統(tǒng)傳輸本方法適用于已接入監(jiān)管側(cè)第三方要求的端到端加密網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)設(shè)備或平臺(tái)傳輸數(shù)據(jù)時(shí)使用，具體要求如下：a）傳輸數(shù)據(jù)類型：安全威脅監(jiān)測(cè)數(shù)據(jù)、流量元數(shù)據(jù)、原始數(shù)據(jù)包和還原文件；b）數(shù)據(jù)以JSON的格式封裝單條記錄，經(jīng)過Kafka等高吞吐量的分布式發(fā)布訂閱消息系統(tǒng)傳輸至數(shù)據(jù)接收前置機(jī)；c）外發(fā)字符串應(yīng)采用UTF-8編碼；d）數(shù)據(jù)傳輸頻率為實(shí)時(shí)傳輸。6.2.2通過API接口方式傳輸本方法適用于未接入監(jiān)管側(cè)第三方要求的端到端加密網(wǎng)絡(luò)系統(tǒng)的平臺(tái)傳輸數(shù)據(jù)，或傳輸數(shù)據(jù)中的附件文件太大，超出Kafka允許最大長(zhǎng)度時(shí)使用，具體要求如下：a）傳輸數(shù)據(jù)類型：心跳數(shù)據(jù)、安全威脅監(jiān)測(cè)數(shù)據(jù)、流量元數(shù)據(jù)、原始數(shù)據(jù)包和還原文件；4b）平臺(tái)流量告警數(shù)據(jù)對(duì)接接口為HTTP協(xié)議的通信接口，方法為POST；c）數(shù)據(jù)傳輸格式為JSON；d）外發(fā)字符串應(yīng)采用UTF-8編碼；e）認(rèn)證方式：在JSON體中增加token和send_time（unixms級(jí)），其中token=md5(from+send_time+SALT+key)，用于校驗(yàn)用戶，每次調(diào)用均需生成；f）數(shù)據(jù)傳輸頻率為實(shí)時(shí)傳輸；g）發(fā)送的心跳信息應(yīng)至少包含如下內(nèi)容：廠家、型號(hào)、部署位置、IP、狀態(tài)、今日經(jīng)過流量數(shù)、今日生成日志數(shù)、今日生成告警數(shù)、當(dāng)前CPU利用率、當(dāng)前磁盤利用率、當(dāng)前內(nèi)存利用率、系統(tǒng)版本、授權(quán)到期日。7數(shù)據(jù)存儲(chǔ)與使用7.1數(shù)據(jù)所有者、各行業(yè)主管部門、公安機(jī)關(guān)、國(guó)家網(wǎng)信部門等應(yīng)在各自職責(zé)范圍內(nèi)承擔(dān)數(shù)據(jù)的存儲(chǔ)與安全監(jiān)管職責(zé)。7.2已建設(shè)網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)能力的平臺(tái)或單位，應(yīng)最終實(shí)現(xiàn)與蘇州市城市網(wǎng)絡(luò)安全防護(hù)平臺(tái)關(guān)于網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)的對(duì)接。7.3網(wǎng)絡(luò)安全監(jiān)管單位應(yīng)對(duì)接收的網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)進(jìn)行數(shù)據(jù)治理、入庫(kù)及數(shù)據(jù)備份工作，數(shù)據(jù)治理工作應(yīng)按照GB/T34960.5-2018要求執(zhí)行。7.4城市網(wǎng)絡(luò)安全防護(hù)平臺(tái)基于治理后的網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)，通過安全驗(yàn)證與分析，發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅，并下發(fā)對(duì)應(yīng)的重點(diǎn)單位進(jìn)行整改，以此確保城市的網(wǎng)絡(luò)安全狀況穩(wěn)定。8數(shù)據(jù)安全8.1審計(jì)日志數(shù)據(jù)要求每一條審計(jì)日志中均應(yīng)包含該行為發(fā)生的日期、時(shí)間、用戶標(biāo)識(shí)、描述和結(jié)果。審計(jì)日志的生成條件如下：a）用戶登錄行為，包括成功和失?。籦）對(duì)安全規(guī)則進(jìn)行更改的操作；c）因鑒別嘗試不成功的次數(shù)達(dá)到設(shè)定值，導(dǎo)致的會(huì)話連接終止；d）對(duì)日志記錄的備份；e）用戶的其它操作。8.2報(bào)警日志數(shù)據(jù)要求報(bào)警日志內(nèi)容應(yīng)包含事件發(fā)生的日期、時(shí)間、事件主體和事件描述，且應(yīng)為管理員可理解的，具體報(bào)警日志的生成條件如下：a）存儲(chǔ)空間達(dá)到設(shè)定值；b）用戶鑒別失敗的次數(shù)達(dá)到設(shè)定值；c）其它系統(tǒng)事件。8.3數(shù)據(jù)傳輸安全要求網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)應(yīng)能通過基于監(jiān)管側(cè)第三方要求的端到端加密網(wǎng)絡(luò)系統(tǒng)進(jìn)行加密傳輸，保證數(shù)據(jù)傳輸安全。5（規(guī)范性）輸出數(shù)據(jù)內(nèi)容和格式A.1安全威脅監(jiān)測(cè)日志格式安全威脅監(jiān)測(cè)日志包括攻擊監(jiān)測(cè)日志、惡意代碼監(jiān)測(cè)日志和威脅情報(bào)告警日志三種。每種類型的日志由通用部分和專用部分兩部分組成。通用部分即每種日志公用的頭部信息（見表A.1），其余各部分參見各章節(jié)定義。對(duì)于各種類型的威脅監(jiān)測(cè)日志，本文件定義了比較明確的威脅日志類型和字段，如有不在定義范圍內(nèi)的，可擴(kuò)展和補(bǔ)充。表A.1規(guī)定了安全威脅監(jiān)測(cè)日志通用部分的數(shù)據(jù)內(nèi)容與格式。表A.2規(guī)定了安全威脅監(jiān)測(cè)日志中攻擊監(jiān)測(cè)日志專用部分的內(nèi)容與格式，攻擊監(jiān)測(cè)日志包含附錄B中拒絕服務(wù)攻擊、后門攻擊、漏洞攻擊這三類告警的專用部分。表A.3規(guī)定了安全威脅監(jiān)測(cè)日志中惡意代碼監(jiān)測(cè)日志專用部分的內(nèi)容與格式，惡意代碼監(jiān)測(cè)日志包含附錄B中有害程序告警的專用部分。表A.4規(guī)定了安全威脅監(jiān)測(cè)日志中威脅情報(bào)告警日志專用部分的內(nèi)容與格式，威脅情報(bào)告警日志包含附錄B中威脅情報(bào)告警的專用部分。表A.1通用部分1是2是3是4否5否6是7否本8是9否否是否proto_1否是是是是6表A.2攻擊監(jiān)測(cè)日志1否2否3否附加描述,如SQL注入攻擊,則把SQL4否5否6否7否8否9否否否否否否否否否表A.3惡意代碼監(jiān)測(cè)日志1否2是3否4是5是6否7是8是9否7表A.4威脅情報(bào)告警日志1是2否3是4否5是6否7是8是9是是否A.2流量元數(shù)據(jù)提取日志格式流量元數(shù)據(jù)提取日志包括：HTTP審計(jì)、FTP審計(jì)、郵件審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、登錄動(dòng)作審計(jì)、DNS數(shù)據(jù)審計(jì)、文件傳輸審計(jì)日志等。每種類型的日志由兩部分組成，通用部分和專用部分，通用部分即每種日志公用的頭部信息（表A.5通用部分），其余各部分參見各章節(jié)定義，若無對(duì)應(yīng)的專用部分，則可只傳輸通用部分。表A.5規(guī)定了流量元數(shù)據(jù)提取日志通用部分的內(nèi)容與格式，表A.6規(guī)定了流量元數(shù)據(jù)提取日志中HTTP審計(jì)專用部分的內(nèi)容與格式，表A.7規(guī)定了流量元數(shù)據(jù)提取日志中FTP審計(jì)專用部分的內(nèi)容與格式，表A.8規(guī)定了流量元數(shù)據(jù)提取日志中郵件審計(jì)專用部分的內(nèi)容與格式，表A.9規(guī)定了流量元數(shù)據(jù)提取日志中數(shù)據(jù)庫(kù)審計(jì)專用部分的內(nèi)容與格式，表A.10規(guī)定了流量元數(shù)據(jù)提取日志中登錄動(dòng)作審計(jì)專用部分的內(nèi)容與格式，表A.11規(guī)定了流量元數(shù)據(jù)提取日志中DNS數(shù)據(jù)審計(jì)專用部分的內(nèi)容與格式，表A.12規(guī)定了流量元數(shù)據(jù)提取日志中文件傳輸審計(jì)專用部分的內(nèi)容與格式。8表A.5通用部分1是2是3是4否5否6是7否8是9否否是否本是表A.6HTTP審計(jì)1是2是3是4否5否6否7否8否9是是否否9表A.7FTP審計(jì)1是2是3是4是表A.8郵件審計(jì)1否2是3是4是5否6是7是8否9否否否否否否表A.9數(shù)據(jù)庫(kù)審計(jì)1是2是3是4是5是6是7否表A.10登錄動(dòng)作審計(jì)1是2是3是4否表A.11DNS數(shù)據(jù)審計(jì)1是2是3是4是5是6是7否表A.12文件傳輸審計(jì)1否2否3否4否5否6否7否8是9是是A.3原始數(shù)據(jù)包和樣本格式原始數(shù)據(jù)包、樣本包括數(shù)據(jù)包文件格式、TCP會(huì)話審計(jì)、UDP會(huì)話審計(jì)、HTTP、FTP類格式、郵件類格式等。表A.13規(guī)定了原始數(shù)據(jù)包和樣本中數(shù)據(jù)包的內(nèi)容與格式，表A.14規(guī)定了原始數(shù)據(jù)包與樣本中TCP會(huì)話審計(jì)的內(nèi)容與格式，表A.15規(guī)定了原始數(shù)據(jù)包與樣本中UDP會(huì)話審計(jì)的內(nèi)容與格式，表A.16規(guī)定了原始數(shù)據(jù)包與樣本中HTTP、FTP類的內(nèi)容與格式，表A.17規(guī)定了原始數(shù)據(jù)包與樣本中郵件類的內(nèi)容與格式。表A.13數(shù)據(jù)包文件格式1是2否3是4是5是6是7是8是9否是是是是表A.14TCP會(huì)話審計(jì)1是2是3是4是5是6否7否8否9proto_1是否否是是否是是是否否否否否否表A.15UDP會(huì)話審計(jì)1是2是3是4是5是6否7否8否9proto_1是是是是是否是是是否否否否否否表A.16HTTP，F(xiàn)TP類格式1是2是3是4是5否6是7是8否9是否否否否否否否是是是是表A.17郵件類格式1是2是3是4是5否6是7是8否9是是是是否否是否否否否否是（規(guī)范性）攻擊告警分類表B.1規(guī)定了攻擊告警的分類。表B.1攻擊告警分類表B.1攻擊告警分類（續(xù)）表B.1攻擊告警分類（續(xù)）表B.1攻擊告警分類（續(xù)）（資料性）網(wǎng)絡(luò)威脅流量監(jiān)測(cè)設(shè)備的功能要求和性能要求C.1設(shè)備總體要求網(wǎng)絡(luò)威脅流量監(jiān)測(cè)設(shè)備作為平臺(tái)的前端數(shù)據(jù)源之一，主要包括安全威脅監(jiān)測(cè)、流量元數(shù)據(jù)提取和原始數(shù)據(jù)包及文件還原三個(gè)主要功能。其中，安全威脅監(jiān)測(cè)通過實(shí)時(shí)流量采集、協(xié)議分析、已知安全威脅規(guī)則和威脅情報(bào)庫(kù)匹配，生成網(wǎng)絡(luò)安全告警。流量元數(shù)據(jù)提取通過協(xié)議字段的日志格式化輸出，為基于大數(shù)據(jù)的用戶行為分析提供數(shù)據(jù)源，為可能的事件追溯提供網(wǎng)絡(luò)應(yīng)用場(chǎng)景還原能力。原始數(shù)據(jù)包和文件還原功能模塊能夠輸出還原文件，進(jìn)行還原文件的后續(xù)分析。網(wǎng)絡(luò)威脅流量監(jiān)測(cè)設(shè)備采用旁路部署方式，可以通過交換機(jī)數(shù)據(jù)鏡像或網(wǎng)絡(luò)鏈路分光等方式獲得用戶網(wǎng)絡(luò)流量數(shù)據(jù)，其中交換鏡像方式與用戶網(wǎng)絡(luò)核心交換機(jī)的鏡像口連接，交換機(jī)數(shù)據(jù)流量通過鏡像口復(fù)制后發(fā)給監(jiān)測(cè)設(shè)備。監(jiān)測(cè)設(shè)備本身不對(duì)用戶網(wǎng)絡(luò)產(chǎn)生影響。網(wǎng)絡(luò)威脅流量監(jiān)測(cè)設(shè)備的輸入是鏡像或分光的全會(huì)話網(wǎng)絡(luò)流量，輸出是網(wǎng)絡(luò)安全告警、流量元數(shù)據(jù)提取日志、原始數(shù)據(jù)包和還原文件。圖C.1為其輸入輸出示意圖。網(wǎng)絡(luò)流量監(jiān)測(cè)設(shè)備網(wǎng)絡(luò)流量監(jiān)測(cè)設(shè)備圖C.1網(wǎng)絡(luò)威脅流量監(jiān)測(cè)設(shè)備的輸入輸出示意圖C.2策略管理應(yīng)考慮網(wǎng)絡(luò)威脅流量監(jiān)測(cè)設(shè)備具備以下策略管理：a）支持平臺(tái)下發(fā)的規(guī)則和威脅情報(bào)；b）支持規(guī)則庫(kù)和威脅情報(bào)庫(kù)的手動(dòng)和自動(dòng)更新。C.3標(biāo)識(shí)和鑒別C.3.1唯一性標(biāo)識(shí)應(yīng)考慮網(wǎng)絡(luò)威脅流量監(jiān)測(cè)設(shè)備為用戶提供唯一標(biāo)識(shí)，同時(shí)將用戶的身份標(biāo)識(shí)與該用戶的所有可審計(jì)行為相關(guān)聯(lián)。C.3.2身份鑒別應(yīng)考慮網(wǎng)絡(luò)威脅流量監(jiān)測(cè)設(shè)備在執(zhí)行任何與安全功能相關(guān)的操作之前對(duì)用戶進(jìn)行鑒別。C.3.3鑒別失敗處理當(dāng)用戶鑒別失敗的次數(shù)達(dá)到設(shè)定值時(shí)，應(yīng)考慮網(wǎng)絡(luò)威脅流量監(jiān)測(cè)設(shè)備按以下措施處理：