DB3205-T 1043-2022 数字政府 城市网络安全威胁流量监测数据管理规范

CCSL01DB3205Digitalgovernment-Specificationfor苏州市市场监督管理局发布DB3205/T1043—2022 12规范性引用文件 13术语和定义 14管理职责 25数据采集 25.1数据采集总体要求 25.2安全威胁监测数据要求 25.3流量元数据采集要求 25.4原始数据包和还原文件数据采集要求 36数据传输 36.1数据传输过程 36.2数据传输方式 37数据存储与使用 48数据安全 48.1审计日志数据要求 48.2报警日志数据要求 48.3数据传输安全要求 4附录A（规范性）输出数据内容和格式 5附录B（规范性）攻击告警分类 附录C（资料性）网络威胁流量监测设备的功能要求和性能要求 参考文献 DB3205/T1043—2022本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起本文件由苏州市公安局提出并归口。本文件起草单位：苏州市公安局、国家计算机网络与信息安全管理中心江苏分中心、苏州市质量和标准化院、三六零科技集团有限公司、三六零数字安全科技集团有限公司、苏州三六零安全科技有限公司、江苏百达智慧网络科技有限公司、北京天云海数技术有限公司、北京网御星云信息技术有限公司、亚信科技（成都）有限公司、山石网科通信技术股份有限公司。本文件主要起草人：李晶、庄唯、袁欣、厉白、高威、朱泽洲、赵云、顾弘、周文渊、李姝、殷倩、张欣艺、宋剑超、罗冬雪、邬鹏程、宋贵生、龙伟、杨凯、季海晨。本文件为首次发布。DB3205/T1043—2022近年来，随着信息化建设的不断发展，网络安全事件层出不穷，其种类、手段也呈现出了多样化的态势，网络安全形势面临着一个又一个的威胁与挑战。为了准确把握安全威胁、风险和隐患，有效应对网络安全的严峻威胁和挑战，获取海量网络安全数据，并且对海量安全数据进行分析，获取全面实时的网络安全态势和趋势就变得尤为重要。而在海量的网络安全数据中，网络安全威胁流量监测设备采集的数据占有较大的比重，因此更应引起重视。当前，不同厂商提供的设备或系统所产生的网络安全威胁流量监测数据格式不统一、不规范，客观上对网络安全体系的建设和相关平台与系统的数据对接造成了不利影响。在这种情况下，我们决定制定网络安全威胁流量监测数据的管理规范，对监控数据的类型、数据内容和管理要求等内容做出明确规定，其目的是确保网络安全威胁流量监测数据能高效、便捷地与城市网络安全防护平台进行数据传输，相关管理工作能高效、持续、稳定地进行，从而保障城市网络安全的稳定可靠。本文件对数据采集、数据传输、数据存储与使用、数据安全等多方面提出了明确的要求，以此来保障数据的归一化，为网络安全体系和相关平台提供规范化、统一标准的网络安全威胁流量监测数据。DB3205/T1043—20221数字政府城市网络安全威胁流量监测数据管理规范本文件规定了城市网络安全威胁流量监测的管理职责、数据采集、数据传输、数据存储与使用、数据安全。本文件适用于教育、医疗卫生、水利、电力、能源等关键行业和重点单位的网络安全评估与管理工作，可在进行网络安全评估与管理工作中的网络安全威胁流量监测数据采集时使用本文件，其他相关关键行业和重点单位可参考执行。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件，不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069-2010信息安全技术术语GB/T34960.5-2018信息技术服务治理第5部分：数据治理规范GB/T37973-2019信息安全技术大数据安全管理指南3术语和定义下列术语和定义适用于本文件。3.1网络流量networktraffic能够连接网络的设备在网络上所产生的数据包的集合。3.2网络威胁流量监测networkthreattrafficmonitoring对网络出口处的流量进行实时采集，通过协议分析、与已知安全威胁规则匹配、与威胁情报库匹配等方式，发现流量中的异常信息，并生成对应网络安全告警。3.3网络安全威胁流量监测设备networkthreattrafficmonitoringequipment又称为网络流量探针，从被观察的信息系统中，通过感知、监测等收集事态数据的一种部件或代理。[来源：GB/T25069-2010，7,有修改]3.4心跳heartbeat在设备监测中，各设备之间通过周期性发送的信息，并以此判断设备的健康状况，判断对方是否存3.5隧道tunnel在联网的设备之间，一种隐藏在其他可见性更高的协议内部的数据路径。[来源：GB/T25069-2010，05]2DB3205/T1043—20223.6添加变量salt作为单向函数或加密函数的二次输入而加入的随机变量，可用于导出口令验证数据。[来源：GB/T25069-2010，86]4管理职责网络安全威胁流量监测数据的责任单位，应对数据的操作、使用、共享等方面进行管理和监控，要求如下：a）数据所有者、各行业主管部门、公安机关、国家网信部门等应在各自职责范围内对数据进行管理与监控；b）应对数据的使用与共享等操作进行规范化管理，并建设对应的管理制度；c）应配备数据管理人员，对数据进行统一管理与维护；d）应对数据操作人员及操作信息进行记录。注：各行业主管部门是指教育、医疗卫生、水利5数据采集5.1总体要求数据提供机构提供的城市网络安全威胁流量监测数据应包含如下几类：安全威胁监测数据、流量元数据、原始数据包和还原文件、心跳信息。针对实时采集获取的流量数据，应在遵循GB/T37973-2019中8.2的前提下，满足如下要求：a）应为实时解析的网络出口原始全会话流量，并包含相关协议以及还原后的文件；b）应包含未经加工的原始全会话流量，流量覆盖率应为100%；c）应能依据特定匹配条件提供对应的流量数据。5.2安全威胁监测数据要求针对安全威胁监测的数据，要求如下：a）应包含根据已知漏洞的特点和攻击特征监测出的利用已知漏洞的网络攻击行为数据，并需要包含对典型攻击成功与否的判定结果；b）应包含根据威胁情报信息发现的高级威胁告警数据，告警数据中应包含对域名、IP地址、文件哈希等多种威胁情报的匹配结果，并需要包含对典型攻击成功与否的判定结果；c）应包含WEB类威胁监测结果数据，至少应含有如下类型：SQL注入、跨站脚本攻击（XSS）、命令执行、浏览器劫持、溢出攻击、WEBSHELL等，并需要包含对典型攻击成功与否的判定结果；d）应包含多种网络协议下恶意代码检测结果数据（包括木马、网络型病毒、蠕虫、僵尸网络等网络协议类型至少应含有：HTTP、SMTP、POP3、IMAP、FTP协议；e）应包含根据已知木马的网络行为特征、数据流特征或文件特征等监测出的已知木马的攻击行为数据，并需要包含对典型攻击成功与否的判定结果；f）应包含异常通信行为数据，类型至少应含有：定时异常通信、DNS子域名发现、web目录探测、暴力破解、隧道通信、扫描探测、挖矿木马、DDoS攻击等。5.3流量元数据采集要求DB3205/T1043—2022针对流量元数据，要求如下：a）应包括解析后的TCP、UDP通信会话的相关元数据；b）应包括解析后HTTP协议的相关元数据；c）应包括解析后DNS协议的相关元数据；d）应包括解析后SMTP、POP3、IMAP协议的相关元数据；e）应包括解析后FTP协议的相关元数据；f）应包括解析后Telnet协议的相关元数据；g）应包括解析后SSH协议的相关元数据；h）应能提供依据IP地址、协议类型、协议字段等过滤规则过滤后的日志数据。5.4原始数据包和还原文件数据采集要求安全告警对应原始数据包以及城市网络安全防护平台进行安全分析时产生的特定IP、域名等信息对应的原始数据包需向平台进行传输，原始数据包与还原文件的要求如下：a）原始数据包应包含依据IP、域名等信息捕获特定通信流量的原始数据包；b）还原文件应包含HTTP、SMTP、POP3、IMAP、FTP协议的还原文件；c）文件格式至少应支持以下几类：压缩文件（如RAR、ZIP、7Z）、可执行文件；d）应能提供依据自定义文件类型、协议等过滤规则过滤后的数据；e）针对检测到的恶意文件，回传内容应包含恶意文件的哈希值、大小、文件类型、文件、流量日志五要素。6数据传输6.1数据传输过程各数据提供机构应按照第5章数据采集、附录A输出数据内容和格式以及附录B攻击告警分类的要求进行数据采集，并根据数据提供机构各自的情况选择不同的数据传输方式进行数据传输，数据管理方对数据的质量进行审核，审核通过后的数据由数据管理方进行数据的治理入库，网络安全威胁流量监测设备的功能要求和性能要求可参照附录C。6.2数据传输方式6.2.1通过高吞吐量的分布式发布订阅消息系统传输本方法适用于已接入监管侧第三方要求的端到端加密网络系统的网络安全威胁流量监测设备或平台传输数据时使用，具体要求如下：a）传输数据类型：安全威胁监测数据、流量元数据、原始数据包和还原文件；b）数据以JSON的格式封装单条记录，经过Kafka等高吞吐量的分布式发布订阅消息系统传输至数据接收前置机；c）外发字符串应采用UTF-8编码；d）数据传输频率为实时传输。6.2.2通过API接口方式传输本方法适用于未接入监管侧第三方要求的端到端加密网络系统的平台传输数据，或传输数据中的附件文件太大，超出Kafka允许最大长度时使用，具体要求如下：a）传输数据类型：心跳数据、安全威胁监测数据、流量元数据、原始数据包和还原文件；DB3205/T1043—20224b）平台流量告警数据对接接口为HTTP协议的通信接口，方法为POST；c）数据传输格式为JSON；d）外发字符串应采用UTF-8编码；e）认证方式：在JSON体中增加token和send_time（unixms级），其中token=md5(from+send_time+SALT+key)，用于校验用户，每次调用均需生成；f）数据传输频率为实时传输；g）发送的心跳信息应至少包含如下内容：厂家、型号、部署位置、IP、状态、今日经过流量数、今日生成日志数、今日生成告警数、当前CPU利用率、当前磁盘利用率、当前内存利用率、系统版本、授权到期日。7数据存储与使用7.1数据所有者、各行业主管部门、公安机关、国家网信部门等应在各自职责范围内承担数据的存储与安全监管职责。7.2已建设网络安全威胁流量监测能力的平台或单位，应最终实现与苏州市城市网络安全防护平台关于网络安全威胁流量监测数据的对接。7.3网络安全监管单位应对接收的网络安全威胁流量监测数据进行数据治理、入库及数据备份工作，数据治理工作应按照GB/T34960.5-2018要求执行。7.4城市网络安全防护平台基于治理后的网络安全威胁流量监测数据，通过安全验证与分析，发现网络安全威胁，并下发对应的重点单位进行整改，以此确保城市的网络安全状况稳定。8数据安全8.1审计日志数据要求每一条审计日志中均应包含该行为发生的日期、时间、用户标识、描述和结果。审计日志的生成条件如下：a）用户登录行为，包括成功和失败；b）对安全规则进行更改的操作；c）因鉴别尝试不成功的次数达到设定值，导致的会话连接终止；d）对日志记录的备份；e）用户的其它操作。8.2报警日志数据要求报警日志内容应包含事件发生的日期、时间、事件主体和事件描述，且应为管理员可理解的，具体报警日志的生成条件如下：a）存储空间达到设定值；b）用户鉴别失败的次数达到设定值；c）其它系统事件。8.3数据传输安全要求网络安全威胁流量监测数据应能通过基于监管侧第三方要求的端到端加密网络系统进行加密传输，保证数据传输安全。DB3205/T1043—20225（规范性）输出数据内容和格式A.1安全威胁监测日志格式安全威胁监测日志包括攻击监测日志、恶意代码监测日志和威胁情报告警日志三种。每种类型的日志由通用部分和专用部分两部分组成。通用部分即每种日志公用的头部信息（见表A.1其余各部分参见各章节定义。对于各种类型的威胁监测日志，本文件定义了比较明确的威胁日志类型和字段，如有不在定义范围内的，可扩展和补充。表A.1规定了安全威胁监测日志通用部分的数据内容与格式。表A.2规定了安全威胁监测日志中攻击监测日志专用部分的内容与格式，攻击监测日志包含附录B中拒绝服务攻击、后门攻击、漏洞攻击这三类告警的专用部分。表A.3规定了安全威胁监测日志中恶意代码监测日志专用部分的内容与格式，恶意代码监测日志包含附录B中有害程序告警的专用部分。表A.4规定了安全威胁监测日志中威胁情报告警日志专用部分的内容与格式，威胁情报告警日志包含附录B中威胁情报告警的专用部分。表A.1通用部分1是2是3是4否5否6是7否本8是9否否是否proto_1否是是是是DB3205/T1043—20226表A.2攻击监测日志1否2否3否4否5否6否7否8否9否否否否否否否否否表A.3恶意代码监测日志1否2是3否4是5是6否7是文件的MD58是9否DB3205/T1043—2022表A.4威胁情报告警日志1是2否3是4否5是6否7是8是9是是否A.2流量元数据提取日志格式流量元数据提取日志包括：HTTP审计、FTP审计、邮件审计、数据库审计、登录动作审计、DNS数据审计、文件传输审计日志等。每种类型的日志由两部分组成，通用部分和专用部分，通用部分即每种日志公用的头部信息（表A.5通用部分），其余各部分参见各章节定义，若无对应的专用部分，则可只传输通用部分。表A.5规定了流量元数据提取日志通用部分的内容与格式，表A.6规定了流量元数据提取日志中HTTP审计专用部分的内容与格式，表A.7规定了流量元数据提取日志中FTP审计专用部分的内容与格式，表A.8规定了流量元数据提取日志中邮件审计专用部分的内容与格式，表A.9规定了流量元数据提取日志中数据库审计专用部分的内容与格式，表A.10规定了流量元数据提取日志中登录动作审计专用部分的内容与格式，表A.11规定了流量元数据提取日志中DNS数据审计专用部分的内容与格式，表A.12规定了流量元数据提取日志中文件传输审计专用部分的内容与格式。DB3205/T1043—20228表A.5通用部分1是2是3是4否5否6是7否8是9否否是否本是表A.6HTTP审计1是2是3是4否5否6否7否8否9是是否否DB3205/T1043—2022表A.7FTP审计1是2是3是4是表A.8邮件审计1否2是3是4是5否6是7是8否9否否否附件md5否否否表A.9数据库审计1是2是3是4是5是6是7否DB3205/T1043—2022表A.10登录动作审计1是2是3是4否表A.11DNS数据审计1是2是3是4是5是6是7否表A.12文件传输审计1否2否3否4否5否6否7否8是9文件MD5是文件MD5是A.3原始数据包和样本格式原始数据包、样本包括数据包文件格式、TCP会话审计、UDP会话审计、HTTP、FTP类格式、邮件类格式等。表A.13规定了原始数据包和样本中数据包的内容与格式，表A.14规定了原始数据包与样本中TCP会话审计的内容与格式，表A.15规定了原始数据包与样本中UDP会话审计的内容与格式，表A.16规定了原始数据包与样本中HTTP、FTP类的内容与格式，表A.17规定了原始数据包与样本中邮件类的内容与格式。DB3205/T1043—2022表A.13数据包文件格式1是2否3是4是5是6是7是8是9否是是是是表A.14TCP会话审计1是2是3是4是5是6否7否8否9proto_1是否否是是否是是是否否否否否否DB3205/T1043—2022表A.15UDP会话审计1是2是3是4是5是6否7否8否9proto_1是是是是是否是是是否否否否否否DB3205/T1043—2022表A.16HTTP，FTP类格式1是2是3是4是5否6是7是8否9是否否否否否否否是文件MD5是文件MD5是是DB3205/T1043—2022表A.17邮件类格式1是2是3是4是5否6是7是8否9是是是是否否是否否附件md5否否否是DB3205/T1043—2022攻击告警分类表B.1规定了攻击告警的分类。表B.1攻击告警分类DB3205/T1043—2022表B.1攻击告警分类（续）反射型DDoS攻击DB3205/T1043—2022表B.1攻击告警分类（续）DB3205/T1043—2022表B.1攻击告警分类（续）可疑的SSL或加密DB3205/T1043—2022（资料性）网络威胁流量监测设备的功能要求和性能要求C.1设备总体要求网络威胁流量监测设备作为平台的前端数据源之一，主要包括安全威胁监测、流量元数据提取和原始数据包及文件还原三个主要功能。其中，安全威胁监测通过实时流量采集、协议分析、已知安全威胁规则和威胁情报库匹配，生成网络安全告警。流量元数据提取通过协议字段的日志格式化输出，为基于大数据的用户行为分析提供数据源，为可能的事件追溯提供网络应用场景还原能力。原始数据包和文件还原功能模块能够输出还原文件，进行还原文件的后续分析。网络威胁流量监测设备采用旁路部署方式，可以通过交换机数据镜像或网络链路分光等方式获得用户网络流量数据，其中交换镜像方式与用户网络核心交换机的镜像口连接，交换机数据流量通过镜像口复制后发给监测设备。监测设备本身不对用户网络产生影响。网络威胁流量监测设备的输入是镜像或分光的全会话网络流量，输出是网络安全告警、流量元数据提取日志、原始数据包和还原文件。图C.1为其输入输出示意图。网络流量监测设备图C.1网络威胁流量监测设备的输入输出示意图C.2策略管理应考虑网络威胁流量监测设备具备以下策略管理：a）支持平台下发的规则和威胁情报；b）支持规则库和威胁情报库的手动和自动更新。C.3标识和鉴别C.3.1唯一性标识应考虑网络威胁流量监测设备为用户提供唯一标识，同时将用户的身份标识与该用户的所有可审计行为相关联。C.3.2身份鉴别应考虑网络威胁流量监测设备在执行任何与安全功能相关的操作之前对用户进行鉴别。C.3.3鉴别失败处理当用户鉴别失败的次数达到设定值时，应考虑网络威胁流量监测设备按以下措施处理：a）终止会话；b）锁定用户账号或远程登录主机的地址；c）产生系统报警消息，通知授权管理员。C.4安全管理DB3205/