DB3205T 1043-2022 數(shù)字政府 城市網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)管理規(guī)范

CCSL01DB3205Digitalgovernment-Specification2022-08-19發(fā)布蘇州市市場(chǎng)監(jiān)督管理局發(fā)布DB3205/T1043—2022 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4管理職責(zé) 25數(shù)據(jù)采集 25.1數(shù)據(jù)采集總體要求 25.2安全威脅監(jiān)測(cè)數(shù)據(jù)要求 25.3流量元數(shù)據(jù)采集要求 25.4原始數(shù)據(jù)包和還原文件數(shù)據(jù)采集要求 36數(shù)據(jù)傳輸 36.1數(shù)據(jù)傳輸過(guò)程 36.2數(shù)據(jù)傳輸方式 37數(shù)據(jù)存儲(chǔ)與使用 48數(shù)據(jù)安全 48.1審計(jì)日志數(shù)據(jù)要求 48.2報(bào)警日志數(shù)據(jù)要求 48.3數(shù)據(jù)傳輸安全要求 4附錄A（規(guī)范性）輸出數(shù)據(jù)內(nèi)容和格式 5附錄B（規(guī)范性）攻擊告警分類 附錄C（資料性）網(wǎng)絡(luò)威脅流量監(jiān)測(cè)設(shè)備的功能要求和性能要求 參考文獻(xiàn) DB3205/T1043—2022本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起本文件由蘇州市公安局提出并歸口。本文件起草單位：蘇州市公安局、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心江蘇分中心、蘇州市質(zhì)量和標(biāo)準(zhǔn)化院、三六零科技集團(tuán)有限公司、三六零數(shù)字安全科技集團(tuán)有限公司、蘇州三六零安全科技有限公司、江蘇百達(dá)智慧網(wǎng)絡(luò)科技有限公司、北京天云海數(shù)技術(shù)有限公司、北京網(wǎng)御星云信息技術(shù)有限公司、亞信科技（成都）有限公司、山石網(wǎng)科通信技術(shù)股份有限公司。本文件主要起草人：李晶、莊唯、袁欣、厲白、高威、朱澤洲、趙云、顧弘、周文淵、李姝、殷倩、張欣藝、宋劍超、羅冬雪、鄔鵬程、宋貴生、龍偉、楊凱、季海晨。本文件為首次發(fā)布。DB3205/T1043—2022近年來(lái)，隨著信息化建設(shè)的不斷發(fā)展，網(wǎng)絡(luò)安全事件層出不窮，其種類、手段也呈現(xiàn)出了多樣化的態(tài)勢(shì)，網(wǎng)絡(luò)安全形勢(shì)面臨著一個(gè)又一個(gè)的威脅與挑戰(zhàn)。為了準(zhǔn)確把握安全威脅、風(fēng)險(xiǎn)和隱患，有效應(yīng)對(duì)網(wǎng)絡(luò)安全的嚴(yán)峻威脅和挑戰(zhàn)，獲取海量網(wǎng)絡(luò)安全數(shù)據(jù)，并且對(duì)海量安全數(shù)據(jù)進(jìn)行分析，獲取全面實(shí)時(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)和趨勢(shì)就變得尤為重要。而在海量的網(wǎng)絡(luò)安全數(shù)據(jù)中，網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)設(shè)備采集的數(shù)據(jù)占有較大的比重，因此更應(yīng)引起重視。當(dāng)前，不同廠商提供的設(shè)備或系統(tǒng)所產(chǎn)生的網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)格式不統(tǒng)一、不規(guī)范，客觀上對(duì)網(wǎng)絡(luò)安全體系的建設(shè)和相關(guān)平臺(tái)與系統(tǒng)的數(shù)據(jù)對(duì)接造成了不利影響。在這種情況下，我們決定制定網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)的管理規(guī)范，對(duì)監(jiān)控?cái)?shù)據(jù)的類型、數(shù)據(jù)內(nèi)容和管理要求等內(nèi)容做出明確規(guī)定，其目的是確保網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)能高效、便捷地與城市網(wǎng)絡(luò)安全防護(hù)平臺(tái)進(jìn)行數(shù)據(jù)傳輸，相關(guān)管理工作能高效、持續(xù)、穩(wěn)定地進(jìn)行，從而保障城市網(wǎng)絡(luò)安全的穩(wěn)定可靠。本文件對(duì)數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)與使用、數(shù)據(jù)安全等多方面提出了明確的要求，以此來(lái)保障數(shù)據(jù)的歸一化，為網(wǎng)絡(luò)安全體系和相關(guān)平臺(tái)提供規(guī)范化、統(tǒng)一標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)。1DB3205/T1043—2022數(shù)字政府城市網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)管理規(guī)范本文件規(guī)定了城市網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)的管理職責(zé)、數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)與使用、數(shù)據(jù)安全。本文件適用于教育、醫(yī)療衛(wèi)生、水利、電力、能源等關(guān)鍵行業(yè)和重點(diǎn)單位的網(wǎng)絡(luò)安全評(píng)估與管理工作，可在進(jìn)行網(wǎng)絡(luò)安全評(píng)估與管理工作中的網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)采集時(shí)使用本文件，其他相關(guān)關(guān)鍵行業(yè)和重點(diǎn)單位可參考執(zhí)行。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件，不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)GB/T34960.5-2018信息技術(shù)服務(wù)治理第5部分：數(shù)據(jù)治理規(guī)范GB/T37973-2019信息安全技術(shù)大數(shù)據(jù)安全管理指南3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1網(wǎng)絡(luò)流量networktraffic能夠連接網(wǎng)絡(luò)的設(shè)備在網(wǎng)絡(luò)上所產(chǎn)生的數(shù)據(jù)包的集合。3.2網(wǎng)絡(luò)威脅流量監(jiān)測(cè)networkthreattrafficmonitoring對(duì)網(wǎng)絡(luò)出口處的流量進(jìn)行實(shí)時(shí)采集，通過(guò)協(xié)議分析、與已知安全威脅規(guī)則匹配、與威脅情報(bào)庫(kù)匹配等方式，發(fā)現(xiàn)流量中的異常信息，并生成對(duì)應(yīng)網(wǎng)絡(luò)安全告警。3.3網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)設(shè)備networkthreattrafficmonitoringequipment又稱為網(wǎng)絡(luò)流量探針，從被觀察的信息系統(tǒng)中，通過(guò)感知、監(jiān)測(cè)等收集事態(tài)數(shù)據(jù)的一種部件或代理。[來(lái)源：GB/T25069-2010，7,有修改]3.4心跳heartbeat在設(shè)備監(jiān)測(cè)中，各設(shè)備之間通過(guò)周期性發(fā)送的信息，并以此判斷設(shè)備的健康狀況，判斷對(duì)方是否存3.5隧道tunnel在聯(lián)網(wǎng)的設(shè)備之間，一種隱藏在其他可見(jiàn)性更高的協(xié)議內(nèi)部的數(shù)據(jù)路徑。[來(lái)源：GB/T25069-2010，05]2DB3205/T1043—20223.6添加變量salt作為單向函數(shù)或加密函數(shù)的二次輸入而加入的隨機(jī)變量，可用于導(dǎo)出口令驗(yàn)證數(shù)據(jù)。[來(lái)源：GB/T25069-2010，86]4管理職責(zé)網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)的責(zé)任單位，應(yīng)對(duì)數(shù)據(jù)的操作、使用、共享等方面進(jìn)行管理和監(jiān)控，要求如下：a）數(shù)據(jù)所有者、各行業(yè)主管部門(mén)、公安機(jī)關(guān)、國(guó)家網(wǎng)信部門(mén)等應(yīng)在各自職責(zé)范圍內(nèi)對(duì)數(shù)據(jù)進(jìn)行管理與監(jiān)控；b）應(yīng)對(duì)數(shù)據(jù)的使用與共享等操作進(jìn)行規(guī)范化管理，并建設(shè)對(duì)應(yīng)的管理制度；c）應(yīng)配備數(shù)據(jù)管理人員，對(duì)數(shù)據(jù)進(jìn)行統(tǒng)一管理與維護(hù)；d）應(yīng)對(duì)數(shù)據(jù)操作人員及操作信息進(jìn)行記錄。注：各行業(yè)主管部門(mén)是指教育、醫(yī)療衛(wèi)生、水利、電力、能源、交通5數(shù)據(jù)采集5.1總體要求數(shù)據(jù)提供機(jī)構(gòu)提供的城市網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)應(yīng)包含如下幾類：安全威脅監(jiān)測(cè)數(shù)據(jù)、流量元數(shù)據(jù)、原始數(shù)據(jù)包和還原文件、心跳信息。針對(duì)實(shí)時(shí)采集獲取的流量數(shù)據(jù)，應(yīng)在遵循GB/T37973-2019中8.2的前提下，滿足如下要求：a）應(yīng)為實(shí)時(shí)解析的網(wǎng)絡(luò)出口原始全會(huì)話流量，并包含相關(guān)協(xié)議以及還原后的文件；b）應(yīng)包含未經(jīng)加工的原始全會(huì)話流量，流量覆蓋率應(yīng)為100%；c）應(yīng)能依據(jù)特定匹配條件提供對(duì)應(yīng)的流量數(shù)據(jù)。5.2安全威脅監(jiān)測(cè)數(shù)據(jù)要求針對(duì)安全威脅監(jiān)測(cè)的數(shù)據(jù)，要求如下：a）應(yīng)包含根據(jù)已知漏洞的特點(diǎn)和攻擊特征監(jiān)測(cè)出的利用已知漏洞的網(wǎng)絡(luò)攻擊行為數(shù)據(jù)，并需要包含對(duì)典型攻擊成功與否的判定結(jié)果；b）應(yīng)包含根據(jù)威脅情報(bào)信息發(fā)現(xiàn)的高級(jí)威脅告警數(shù)據(jù)，告警數(shù)據(jù)中應(yīng)包含對(duì)域名、IP地址、文件哈希等多種威脅情報(bào)的匹配結(jié)果，并需要包含對(duì)典型攻擊成功與否的判定結(jié)果；c）應(yīng)包含WEB類威脅監(jiān)測(cè)結(jié)果數(shù)據(jù)，至少應(yīng)含有如下類型：SQL注入、跨站腳本攻擊（XSS）、命令執(zhí)行、瀏覽器劫持、溢出攻擊、WEBSHELL等，并需要包含對(duì)典型攻擊成功與否的判定結(jié)果；d）應(yīng)包含多種網(wǎng)絡(luò)協(xié)議下惡意代碼檢測(cè)結(jié)果數(shù)據(jù)（包括木馬、網(wǎng)絡(luò)型病毒、蠕蟲(chóng)、僵尸網(wǎng)絡(luò)等網(wǎng)絡(luò)協(xié)議類型至少應(yīng)含有：HTTP、SMTP、POP3、IMAP、FTP協(xié)議；e）應(yīng)包含根據(jù)已知木馬的網(wǎng)絡(luò)行為特征、數(shù)據(jù)流特征或文件特征等監(jiān)測(cè)出的已知木馬的攻擊行為數(shù)據(jù)，并需要包含對(duì)典型攻擊成功與否的判定結(jié)果；f）應(yīng)包含異常通信行為數(shù)據(jù)，類型至少應(yīng)含有：定時(shí)異常通信、DNS子域名發(fā)現(xiàn)、web目錄探測(cè)、暴力破解、隧道通信、掃描探測(cè)、挖礦木馬、DDoS攻擊等。5.3流量元數(shù)據(jù)采集要求DB3205/T1043—2022針對(duì)流量元數(shù)據(jù)，要求如下：a）應(yīng)包括解析后的TCP、UDP通信會(huì)話的相關(guān)元數(shù)據(jù)；b）應(yīng)包括解析后HTTP協(xié)議的相關(guān)元數(shù)據(jù)；c）應(yīng)包括解析后DNS協(xié)議的相關(guān)元數(shù)據(jù)；d）應(yīng)包括解析后SMTP、POP3、IMAP協(xié)議的相關(guān)元數(shù)據(jù)；e）應(yīng)包括解析后FTP協(xié)議的相關(guān)元數(shù)據(jù)；f）應(yīng)包括解析后Telnet協(xié)議的相關(guān)元數(shù)據(jù)；g）應(yīng)包括解析后SSH協(xié)議的相關(guān)元數(shù)據(jù)；h）應(yīng)能提供依據(jù)IP地址、協(xié)議類型、協(xié)議字段等過(guò)濾規(guī)則過(guò)濾后的日志數(shù)據(jù)。5.4原始數(shù)據(jù)包和還原文件數(shù)據(jù)采集要求安全告警對(duì)應(yīng)原始數(shù)據(jù)包以及城市網(wǎng)絡(luò)安全防護(hù)平臺(tái)進(jìn)行安全分析時(shí)產(chǎn)生的特定IP、域名等信息對(duì)應(yīng)的原始數(shù)據(jù)包需向平臺(tái)進(jìn)行傳輸，原始數(shù)據(jù)包與還原文件的要求如下：a）原始數(shù)據(jù)包應(yīng)包含依據(jù)IP、域名等信息捕獲特定通信流量的原始數(shù)據(jù)包；b）還原文件應(yīng)包含HTTP、SMTP、POP3、IMAP、FTP協(xié)議的還原文件；c）文件格式至少應(yīng)支持以下幾類：壓縮文件（如RAR、ZIP、7Z）、可執(zhí)行文件；d）應(yīng)能提供依據(jù)自定義文件類型、協(xié)議等過(guò)濾規(guī)則過(guò)濾后的數(shù)據(jù)；e）針對(duì)檢測(cè)到的惡意文件，回傳內(nèi)容應(yīng)包含惡意文件的哈希值、大小、文件類型、文件、流量日志五要素。6數(shù)據(jù)傳輸6.1數(shù)據(jù)傳輸過(guò)程各數(shù)據(jù)提供機(jī)構(gòu)應(yīng)按照第5章數(shù)據(jù)采集、附錄A輸出數(shù)據(jù)內(nèi)容和格式以及附錄B攻擊告警分類的要求進(jìn)行數(shù)據(jù)采集，并根據(jù)數(shù)據(jù)提供機(jī)構(gòu)各自的情況選擇不同的數(shù)據(jù)傳輸方式進(jìn)行數(shù)據(jù)傳輸，數(shù)據(jù)管理方對(duì)數(shù)據(jù)的質(zhì)量進(jìn)行審核，審核通過(guò)后的數(shù)據(jù)由數(shù)據(jù)管理方進(jìn)行數(shù)據(jù)的治理入庫(kù)，網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)設(shè)備的功能要求和性能要求可參照附錄C。6.2數(shù)據(jù)傳輸方式6.2.1通過(guò)高吞吐量的分布式發(fā)布訂閱消息系統(tǒng)傳輸本方法適用于已接入監(jiān)管側(cè)第三方要求的端到端加密網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)設(shè)備或平臺(tái)傳輸數(shù)據(jù)時(shí)使用，具體要求如下：a）傳輸數(shù)據(jù)類型：安全威脅監(jiān)測(cè)數(shù)據(jù)、流量元數(shù)據(jù)、原始數(shù)據(jù)包和還原文件；b）數(shù)據(jù)以JSON的格式封裝單條記錄，經(jīng)過(guò)Kafka等高吞吐量的分布式發(fā)布訂閱消息系統(tǒng)傳輸至數(shù)據(jù)接收前置機(jī)；c）外發(fā)字符串應(yīng)采用UTF-8編碼；d）數(shù)據(jù)傳輸頻率為實(shí)時(shí)傳輸。6.2.2通過(guò)API接口方式傳輸本方法適用于未接入監(jiān)管側(cè)第三方要求的端到端加密網(wǎng)絡(luò)系統(tǒng)的平臺(tái)傳輸數(shù)據(jù)，或傳輸數(shù)據(jù)中的附件文件太大，超出Kafka允許最大長(zhǎng)度時(shí)使用，具體要求如下：a）傳輸數(shù)據(jù)類型：心跳數(shù)據(jù)、安全威脅監(jiān)測(cè)數(shù)據(jù)、流量元數(shù)據(jù)、原始數(shù)據(jù)包和還原文件；4DB3205/T1043—2022b）平臺(tái)流量告警數(shù)據(jù)對(duì)接接口為HTTP協(xié)議的通信接口，方法為POST；c）數(shù)據(jù)傳輸格式為JSON；d）外發(fā)字符串應(yīng)采用UTF-8編碼；e）認(rèn)證方式：在JSON體中增加token和send_time（unixms級(jí)），其中token=md5(from+send_time+SALT+key)，用于校驗(yàn)用戶，每次調(diào)用均需生成；f）數(shù)據(jù)傳輸頻率為實(shí)時(shí)傳輸；g）發(fā)送的心跳信息應(yīng)至少包含如下內(nèi)容：廠家、型號(hào)、部署位置、IP、狀態(tài)、今日經(jīng)過(guò)流量數(shù)、今日生成日志數(shù)、今日生成告警數(shù)、當(dāng)前CPU利用率、當(dāng)前磁盤(pán)利用率、當(dāng)前內(nèi)存利用率、系統(tǒng)版本、授權(quán)到期日。7數(shù)據(jù)存儲(chǔ)與使用7.1數(shù)據(jù)所有者、各行業(yè)主管部門(mén)、公安機(jī)關(guān)、國(guó)家網(wǎng)信部門(mén)等應(yīng)在各自職責(zé)范圍內(nèi)承擔(dān)數(shù)據(jù)的存儲(chǔ)與安全監(jiān)管職責(zé)。7.2已建設(shè)網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)能力的平臺(tái)或單位，應(yīng)最終實(shí)現(xiàn)與蘇州市城市網(wǎng)絡(luò)安全防護(hù)平臺(tái)關(guān)于網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)的對(duì)接。7.3網(wǎng)絡(luò)安全監(jiān)管單位應(yīng)對(duì)接收的網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)進(jìn)行數(shù)據(jù)治理、入庫(kù)及數(shù)據(jù)備份工作，數(shù)據(jù)治理工作應(yīng)按照GB/T34960.5-2018要求執(zhí)行。7.4城市網(wǎng)絡(luò)安全防護(hù)平臺(tái)基于治理后的網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)，通過(guò)安全驗(yàn)證與分析，發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅，并下發(fā)對(duì)應(yīng)的重點(diǎn)單位進(jìn)行整改，以此確保城市的網(wǎng)絡(luò)安全狀況穩(wěn)定。8數(shù)據(jù)安全8.1審計(jì)日志數(shù)據(jù)要求每一條審計(jì)日志中均應(yīng)包含該行為發(fā)生的日期、時(shí)間、用戶標(biāo)識(shí)、描述和結(jié)果。審計(jì)日志的生成條件如下：a）用戶登錄行為，包括成功和失?。籦）對(duì)安全規(guī)則進(jìn)行更改的操作；c）因鑒別嘗試不成功的次數(shù)達(dá)到設(shè)定值，導(dǎo)致的會(huì)話連接終止；d）對(duì)日志記錄的備份；e）用戶的其它操作。8.2報(bào)警日志數(shù)據(jù)要求報(bào)警日志內(nèi)容應(yīng)包含事件發(fā)生的日期、時(shí)間、事件主體和事件描述，且應(yīng)為管理員可理解的，具體報(bào)警日志的生成條件如下：a）存儲(chǔ)空間達(dá)到設(shè)定值；b）用戶鑒別失敗的次數(shù)達(dá)到設(shè)定值；c）其它系統(tǒng)事件。8.3數(shù)據(jù)傳輸安全要求網(wǎng)絡(luò)安全威脅流量監(jiān)測(cè)數(shù)據(jù)應(yīng)能通過(guò)基于監(jiān)管側(cè)第三方要求的端到端加密網(wǎng)絡(luò)系統(tǒng)進(jìn)行加密傳輸，保證數(shù)據(jù)傳輸安全。5DB3205/T1043—2022（規(guī)范性）輸出數(shù)據(jù)內(nèi)容和格式A.1安全威脅監(jiān)測(cè)日志格式安全威脅監(jiān)測(cè)日志包括攻擊監(jiān)測(cè)日志、惡意代碼監(jiān)測(cè)日志和威脅情報(bào)告警日志三種。每種類型的日志由通用部分和專用部分兩部分組成。通用部分即每種日志公用的頭部信息（見(jiàn)表A.1），其余各部分參見(jiàn)各章節(jié)定義。對(duì)于各種類型的威脅監(jiān)測(cè)日志，本文件定義了比較明確的威脅日志類型和字段，如有不在定義范圍內(nèi)的，可擴(kuò)展和補(bǔ)充。表A.1規(guī)定了安全威脅監(jiān)測(cè)日志通用部分的數(shù)據(jù)內(nèi)容與格式。表A.2規(guī)定了安全威脅監(jiān)測(cè)日志中攻擊監(jiān)測(cè)日志專用部分的內(nèi)容與格式，攻擊監(jiān)測(cè)日志包含附錄B中拒絕服務(wù)攻擊、后門(mén)攻擊、漏洞攻擊這三類告警的專用部分。表A.3規(guī)定了安全威脅監(jiān)測(cè)日志中惡意代碼監(jiān)測(cè)日志專用部分的內(nèi)容與格式，惡意代碼監(jiān)測(cè)日志包含附錄B中有害程序告警的專用部分。表A.4規(guī)定了安全威脅監(jiān)測(cè)日志中威脅情報(bào)告警日志專用部分的內(nèi)容與格式，威脅情報(bào)告警日志包含附錄B中威脅情報(bào)告警的專用部分。表A.1通用部分1是2是3是4否安全威脅關(guān)聯(lián)的源IPv6地址5否6是7否本8是9否安全威脅關(guān)聯(lián)的目的IPv6地址否是否proto_1否是是是是6DB3205/T1043—2022表A.2攻擊監(jiān)測(cè)日志1proto_2否2否3否附加描述,如SQL注入攻擊,則把SQL4否5否6否7否8否9否否否否否否否否否表A.3惡意代碼監(jiān)測(cè)日志1否2是3否4proto_2是5是6否7是8是9否7DB3205/T1043—2022表A.4威脅情報(bào)告警日志1是2否3是4否5是6否7是8是9是是否A.2流量元數(shù)據(jù)提取日志格式流量元數(shù)據(jù)提取日志包括：HTTP審計(jì)、FTP審計(jì)、郵件審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、登錄動(dòng)作審計(jì)、DNS數(shù)據(jù)審計(jì)、文件傳輸審計(jì)日志等。每種類型的日志由兩部分組成，通用部分和專用部分，通用部分即每種日志公用的頭部信息（表A.5通用部分），其余各部分參見(jiàn)各章節(jié)定義，若無(wú)對(duì)應(yīng)的專用部分，則可只傳輸通用部分。表A.5規(guī)定了流量元數(shù)據(jù)提取日志通用部分的內(nèi)容與格式，表A.6規(guī)定了流量元數(shù)據(jù)提取日志中HTTP審計(jì)專用部分的內(nèi)容與格式，表A.7規(guī)定了流量元數(shù)據(jù)提取日志中FTP審計(jì)專用部分的內(nèi)容與格式，表A.8規(guī)定了流量元數(shù)據(jù)提取日志中郵件審計(jì)專用部分的內(nèi)容與格式，表A.9規(guī)定了流量元數(shù)據(jù)提取日志中數(shù)據(jù)庫(kù)審計(jì)專用部分的內(nèi)容與格式，表A.10規(guī)定了流量元數(shù)據(jù)提取日志中登錄動(dòng)作審計(jì)專用部分的內(nèi)容與格式，表A.11規(guī)定了流量元數(shù)據(jù)提取日志中DNS數(shù)據(jù)審計(jì)專用部分的內(nèi)容與格式，表A.12規(guī)定了流量元數(shù)據(jù)提取日志中文件傳輸審計(jì)專用部分的內(nèi)容與格式。8DB3205/T1043—2022表A.5通用部分1是2是3是4否5否6是7否8是9否否是否本proto_2是表A.6HTTP審計(jì)1是2是3是4否5否6否7否8否9是是否否9DB3205/T1043—2022表A.7FTP審計(jì)1是2是3是4是表A.8郵件審計(jì)1否2是3是4是5否6是7是8否9否否否否附件md5否否表A.9數(shù)據(jù)庫(kù)審計(jì)1是2是3是4是5是6是7否DB3205/T1043—2022表A.10登錄動(dòng)作審計(jì)1是2是3是4否表A.11DNS數(shù)據(jù)審計(jì)1是2是3是4是5是6是7否表A.12文件傳輸審計(jì)1否2否3否4否5否6否7否8是9是是A.3原始數(shù)據(jù)包和樣本格式原始數(shù)據(jù)包、樣本包括數(shù)據(jù)包文件格式、TCP會(huì)話審計(jì)、UDP會(huì)話審計(jì)、HTTP、FTP類格式、郵件類格式等。表A.13規(guī)定了原始數(shù)據(jù)包和樣本中數(shù)據(jù)包的內(nèi)容與格式，表A.14規(guī)定了原始數(shù)據(jù)包與樣本中TCP會(huì)話審計(jì)的內(nèi)容與格式，表A.15規(guī)定了原始數(shù)據(jù)包與樣本中UDP會(huì)話審計(jì)的內(nèi)容與格式，表A.16規(guī)定了原始數(shù)據(jù)包與樣本中HTTP、FTP類的內(nèi)容與格式，表A.17規(guī)定了原始數(shù)據(jù)包與樣本中郵件類的內(nèi)容與格式。DB3205/T1043—2022表A.13數(shù)據(jù)包文件格式1是2否3是4是5是6是7是8是9否是是是是表A.14TCP會(huì)話審計(jì)1是2是3是4是5是6否7否8否9proto_1是否否是是否是是是否否否否否否DB3205/T1043—2022表A.15UDP會(huì)話審計(jì)1是2是3是4是5是6否7否8否9proto_1是是是是是否是是是否否否否否否DB3205/T1043—2022表A.16HTTP，F(xiàn)TP類格式1是2proto_2是3是4是5否6是7是8否9是否否否否否否否是是是是DB3205/T1043—2022表A.17郵件類格式1是2proto_2是3是4是5否6是7是8否9是是是是否否是否否否郵件中附件的md5否否是DB3205/T1043—2022攻擊告警分類表B.1規(guī)定了攻擊告警的分類。表B.1攻擊告警分類DB3205/T1043—2022表B.1攻擊告警分類（續(xù)）反射型DDoS攻擊DB3205/T1043—2022表B.1攻擊告警分類（續(xù)）DB3205/T1043—2022表B.1攻擊告警分類（續(xù)）可疑的SSL或加密(資料性)C.1設(shè)備總體要求C.2策略管理a)支持平臺(tái)下發(fā)的規(guī)則和威脅情報(bào)；b)支持規(guī)則庫(kù)和威脅情報(bào)庫(kù)的手動(dòng)和自動(dòng)更新。C.3標(biāo)識(shí)和鑒別C.3.3鑒別失敗處理b)鎖定用戶賬號(hào)或遠(yuǎn)程登錄主機(jī)的地址；c)產(chǎn)生系統(tǒng)報(bào)警消息，通知授權(quán)管理員。C.4安全管理DB3205/T1043—2022應(yīng)考慮網(wǎng)絡(luò)威脅流量監(jiān)測(cè)設(shè)備通過(guò)對(duì)授權(quán)管理員給以不同的角色配置，賦予授權(quán)管理員不同的