车联网基础电信网络安全监测数据采集技术要求及测试方法

1车联网基础电信网络安全监测数据采集技术要求及测试方法本文件定义了基础电信网络中车联网网络安全监测数据采集的技术要求，包括采集覆盖范围、协议及资产识别、通联记录、安全监测及指令协同内容等要求，以及相应的测试方法本文件适用于基础电信企业对车联网网络安全监测数据采集相关能力的规划、设计、评估、检测等工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本(包括所有的修改单)适GB/T32960电动汽车远程服务与管理系统技术规范JT/T808道路运输车辆卫星定位系统终端通讯协议及数据格式JT/T809道路运输车辆卫星定位系统平台数据交换JT/T905出租汽车服务管理信息系统数据交换与共享JT/T1078道路运输车辆卫星定位系统视频通信协议3术语和定义GB/T25069-2022界定的以及下列术语和定义适用于本文件车联网终端10Vterminal包含智能网联汽车、车内关键部件(例如：TBox、0BU、车载网关、IVI、智能车机等),以及智能车载设备(例如：智能行车后视镜、行车记录仪等)。车联网安全监测平台10Vsecuritymonitoringplatform一种具备数据采集、分析、预测和响应能力的系统，能够对车联网系统的安全状态进行全面监测和评估。3个车联网基础电信网络安全监测内容指令协同内容主机受控事件监测网络攻击事件监测恶意报文指令协同有害程序传播事件监测恶意样本监测恶意样本指令协同车联网协议识别车联网资产识别车联网通联记录控制面和用户面流量数据采集覆盖范围物联网专图1车联网基础电信网络安全监测数据采集总体框架6车联网基础电信网络安全监测数据采集技术要求6.1数据采集覆盖范围车联网基础电信网络安全监测数据采集范围要求如下a)应支持覆盖移网3G/4G/5G网络(含物联网专网)中的车联网相关流量，包括控制面和用户面流量。b)应支持覆盖固网IDC/专线中的车联网相关流量，包括IDC连接省网/骨干网的出口流量车联网基础电信网络安全监测数据采集的协议识别要求如下：a)应支持基于流量的协议识别，包括对TCP/UDP端口、报文负载特征、关联分析检测和行为特征等的识别。D/T×xx×x—20214b)应支持识别的协议包括但不限于NQTT、XMPP、COAP、ONVIF、RTSP等主流协议以及GB/T32960、JT/T808、JT/T809、JT/T905等标准定义的车联网协议。具体详见附录A。6.3车联网资产识别车联网基础电信网络安全监测数据采集的资产识别要求如下：应支持对主流车联网终端、车联网服务平台等车联网资产的识别，识别内容至少包括车联网终端厂家、型号、版本、车联网服务平台名称、车联网服务平台地址等资产信息。6.4车联网通联记录车联网基础电信网络安全监测数据采集的通联记录识别要求如下：应支持对车联网协议深度解析生成详细的通联记录，至少包括通联时间、源IP、目的IP、源端口、目的端口、终端标识、域名、URL、协议、APN/DNN等。6.5车联网网络安全监测内容及指标6.5.1主机受控事件监测车联网基础电信网络安全监测数据采集的主机受控事件监测要求如下：a)应支持监测僵尸网络传播等主机受控事件，并获取事件的发现时间、传输层协议、源IP、源端口、目的IP、目的端口、终端标识、感染恶意程序名称等基本信息。b)针对HTTP协议的恶意控制事件，应获取恶意控制端URL地址。6.5.2网络攻击事件监测车联网基础电信网络安全监测数据采集的网络攻击监测要求如下：a)应支持监测车联网流量中针对车联网服务平台及车联网终端的网络攻击事件，事件类型包括网络扫描探测、系统漏洞利用、拒绝服务攻击、Web攻击(如SQL注入、XSS等)、APT等。b)应支持获取事件的发现时间、传输层协议、源IP、源端口、目的IP、目的端口、终端标识恶意网络攻击事件类型、事件详细描述、攻击载荷等信息。6.5.3有害程序传播事件监测车联网基础电信网络安全监测数据采集的有害程序传播事件监测要求如下：a)应支持监测车联网流量中的有害程序传播事件，有害程序类型包括网络蠕虫、特洛伊木马、僵尸网络、移动恶意程序、勒索病毒、挖矿病毒等。b)应支持监测涉车恶意APP的传播和下载行为c)应支持获取事件的发现时间、传输层协议、源P、源端口、目的IP、目的端口、终端标识、危害分类、恶意程序名称、恶意程序标识等信息。d)针对HTTP协议的有害程序传播事件，应支持获取恶意控制端URL地址。6.5.4恶意样本文件监测车联网基础电信网络安全监测数据采集的恶意样本文件监测要求如下：a)应支持识别车联网流量中的恶意样本文件，包括文件还原、应用动作识别、提交信息还原b)应支持识别和还原车联网APP、车联网软件在线升级包、涉车恶意APP,可识别和还原的文件类型应至少包括apk、ipa、jar、dex、hap、zip、elf、so等5c)应支持通过文件哈希值、二进制特征、字符串特征等监测特征，对还原的样本进行监测识别，捕获其中的恶意样本和疑似恶意样本文件d)应支持获取样本文件的发现时间、恶意样本文件名称、恶意样本哈希值、恶意样本类型、恶意样本描述，恶意程序病毒名称、控制端URL地址等日志信息。6.5.5安全监测指标车联网基础电信网络安全监测数据采集的安全监测指标要求如下：a)互联网恶意样本产生的恶意事件(含主机受控事件、有害程序传播事件)检出成功率应不低于95%。b)网络攻击事件检出成功率应不低于85%。c)样本还原成功率应不低于95%。d)恶意样本检出率应不低于95%。e)恶意样本检出误报率应不高于5%。6.6指令协同内容及指标6.6.1恶意报文指令协同车联网基础电信网络安全监测数据采集的恶意报文指令协同要求如下a)应支持接收车联网安全监测平台下发的恶意报文采集指令，并对指令内容中的内容进行特征识别并按指令要求采集，识别内容包括开始时间、结束时间、源IP/源IP地址段、目的IP/目的IP地址段、源端口、目的端口、URL、域名、传输层协议类型(TCP、UDP、其他)、应用层协议类型(见附录A)、采集规则等。b)应支持记录的内容至少包括指令ID、源IP地址、源端口、目的IP地址、目的端口、传输层协议、URL(若有)、事件时间、报文载荷片段、终端标识等信息，且需要根据指令要求留存原始流量数据包(如PCAP格式),作为日志附件上报。6.6.2恶意样本指令协同车联网基础电信网络安全监测数据采集的恶意样本指令协同要求如下：a)应支持接收车联网安全监测平台下发的恶意样本采集指令，并识别指令内容中的包括开始时间、结束时间、源IP/源IP地址段、目的IP/目的IP地址段、URL、域名、恶意样本哈希值等信息。b)应支持采集流量中传输的恶意样本文件，支持依据采集指令对还原后的恶意样本文件进行采c)应支持记录的字段至少包括指令ID、源IP、目的IP、源端口、目的端口、传输层协议、发现时间、恶意样本文件名、恶意样本哈希值、恶意样木文件等信息6.6.3指令协同指标车联网基础电信网络安全监测数据采集的指令协同指标要求如下：a)从接收车联网安全监测平台的采集指令，到完成指令加载并执行，时间间隔应不超过1分b)从采集到满足指令要求的安全事件，到生成事件日志上报至车联网安全监测平台，时间应不YD/T××××x-2021