数字政府 城市网络安全威胁流量监测数据管理规范.docx

ICS35.020CCSL01DB3205苏州市地方标准DB3205/T10432022数字政府城市网络安全威胁流量监测数据管理规范Digitalgovernment-Specificationfordatamanagementofnetworktrafficmonitor2022-08-26实施2022-0879发布苏州市市场监督管理局发布目次前言II引言III1范围12规范性引用文件13 术语和定义14 管理职责25数据采集25.1数据采集总体要求25.2安全威胁监测数据要求25.3流量元数据采集要求25.4原始数据包和还原文件数据采集要求36数据传输36.1数据传输过程36.2数据传输方式37数据存储与使用48数据安全48.1审计日志数据要求48.2报警日志数据要求48.3数据传输安全要求4附录A（规范性）输出数据内容和格式5附录B（规范性）攻击告警分类15附录C（资料性）网络威胁流量监测设备的功能要求和性能要求19参考文献21本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件由苏州市公安局提出并归口。本文件起草单位：苏州市公安局、国家计算机网络与信息安全管理中心江苏分中心、苏州市质量和标准化院、三六零科技集团有限公司、三六零数字安全科技集团有限公司、苏州三六零安全科技有限公司、江苏百达智慧网络科技有限公司、北京天云海数技术有限公司、北京网御星云信息技术有限公司、亚信科技（成都）有限公司、山石网科通信技术股份有限公司。本文件主要起草人：李晶、庄唯、袁欣、厉白、高威、朱泽洲I、赵云、顾弘、周文渊、李姝、殷倩、张欣艺、宋剑超、罗冬雪、郭鹏程、宋贵生、龙伟、杨凯、季海晨。本文件为首次发布。近年来，随着信息化建设的不断发展，网络安全事件层出不穷，其种类、手段也呈现出了多样化的态势，网络安全形势面临着一个又一个的威胁与挑战。为了准确把握安全威胁、风险和隐患，有效应对网络安全的严峻威胁和挑战，获取海量网络安全数据，并且对海量安全数据进行分析，获取全面实时的网络安全态势和趋势就变得尤为重要。而在海量的网络安全数据中，网络安全威胁流量监测设备采集的数据占有较大的比重，因此更应引起重视。当前，不同厂商提供的设备或系统所产生的网络安全威胁流量监测数据格式不统一、不规范，客观上对网络安全体系的建设和相关平台与系统的数据对接造成了不利影响。在这种情况下，我们决定制定网络安全威胁流量监测数据的管理规范，对监控数据的类型、数据内容和管理要求等内容做出明确规定，其目的是确保网络安全威胁流量监测数据能高效、便捷地与城市网络安全防护平台进行数据传输，相关管理工作能高效、持续、稳定地进行，从而保障城市网络安全的稳定可靠。本文件对数据采集、数据传输、数据存储与使用、数据安全等多方面提出了明确的要求，以此来保障数据的归一化，为网络安全体系和相关平台提供规范化、统一标准的网络安全威胁流量监测数据。数字政府城市网络安全威胁流量监测数据管理规范1范围本文件规定了城市网络安全威胁流量监测的管理职责、数据采集、数据传输、数据存储与使用、数据安全。本文件适用于教育、医疗卫生、水利、电力、能源等关键行业和重点单位的网络安全评估与管理工作，可在进行网络安全评估与管理工作中的网络安全威胁流量监测数据采集时使用本文件，其他相关关键行业和重点单位可参考执行。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件，不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069-2010信息安全技术术语GB/T34960.5-2018信息技术服务治理第5部分：数据治理规范GB/T37973-2019信息安全技术大数据安全管理指南3术语和定义下列术语和定义适用于本文件。3.1网络流量networktraffic能够连接网络的设备在网络上所产生的数据包的集合。3.2网络威胁流量监测networkthreattrafficmonitoring对网络出口处的流量进行实时采集，通过协议分析、与已知安全威胁规则匹配、与威胁情报库匹配等方式，发现流量中的异常信息，并生成对应网络安全告警。3.3网络安全威胁流量监测设备networkthreattrafficmonitoringequipment又称为网络流量探针，从被观察的信息系统中，通过感知、监测等收集事态数据的一种部件或代理。来源:GB/T25069-2010,2.2.1.27,有修改3.4心跳heartbeat在设备监测中，各设备之间通过周期性发送的信息，并以此判断设备的健康状况，判断对方是否存活。3.5隧道tunneI在联网的设备之间，一种隐藏在其他可见性更高的协议内部的数据路径。来源：GB/T25069-2010,2.2.1,1053. 6添加变量salt作为单向函数或加密函数的二次输入而加入的随机变量，可用于导出口令验证数据。来源：GB/T25069-2010,2.2.2.1864管理职责网络安全威胁流量监测数据的责任单位，应对数据的操作、使用、共享等方面进行管理和监控，要求如下：a）数据所有者、各行业主管部门、公安机关、国家网信部门等应在各自职责范围内对数据进行管理与监控；b）应对数据的使用与共享等操作进行规范化管理，并建设对应的管理制度；c）应配备数据管理人员，对数据进行统一管理与维护；d）应对数据操作人员及操作信息进行记录。注：各行业主管部门是指教育、医疗卫生、水利、电力、能源、交通等关键行业的主管部门。5数据采集3.1 总体要求数据提供机构提供的城市网络安全威胁流量监测数据应包含如下几类：安全威胁监测数据、流量元数据、原始数据包和还原文件、心跳信息。针对实时采集获取的流量数据，应在遵循GB/T37973-2019中8.2的前提下，满足如下要求：a）应为实时解析的网络出口原始全会话流量，并包含相关协议以及还原后的文件；b）应包含未经加工的原始全会话流量，流量覆盖率应为100%;c）应能依据特定匹配条件提供对应的流量数据。3.2 安全威胁监测数据要求针对安全威胁监测的数据，要求如下：a）应包含根据已知漏洞的特点和攻击特征监测出的利用已知漏洞的网络攻击行为数据，并需要包含对典型攻击成功与否的判定结果；b）应包含根据威胁情报信息发现的高级威胁告警数据，告警数据中应包含对域名、IP地址、文件哈希等多种威胁情报的匹配结果，并需要包含对典型攻击成功与否的判定结果；c）应包含WEB类威胁监测结果数据，至少应含有如下类型：SQL注入、跨站脚本攻击（XSS）、命令执行、浏览器劫持、溢出攻击、WEBSHELL等，并需要包含对典型攻击成功与否的判定结果；d）应包含多种网络协议下恶意代码检测结果数据（包括木马、网络型病毒、蠕虫、僵尸网络等），网络协议类型至少应含有：HTTP、SMTP、PC）P3、IMAP、FTP协议；e）应包含根据已知木马的网络行为特征、数据流特征或文件特征等监测出的已知木马的攻击行为数据，并需要包含对典型攻击成功与否的判定结果；f）应包含异常通信行为数据，类型至少应含有：定时异常通信、DNS子域名发现、Web目录探测、暴力破解、隧道通信、扫描探测、挖矿木马、DDC）S攻击等。针对流量元数据，要求如下：a）应包括解析后的TCP、UDP通信会话的相关元数据；b）应包括解析后HTTP协议的相关元数据；c）应包括解析后DNS协议的相关元数据；d）应包括解析后SMTP、PoP3、IMAP协议的相关元数据；e）应包括解析后FTP协议的相关元数据；f）应包括解析后Telnet协议的相关元数据；g）应包括解析后SSH协议的相关元数据；h）应能提供依据IP地址、协议类型、协议字段等过滤规则过滤后的日志数据。5. 4原始数据包和还原文件数据采集要求安全告警对应原始数据包以及城市网络安全防护平台进行安全分析时产生的特定IP、域名等信息对应的原始数据包需向平台进行传输，原始数据包与还原文件的要求如下：a）原始数据包应包含依据IP、域名等信息捕获特定通信流量的原始数据包；b）还原文件应包含HTTP、SMTP、Pe）P3、IMAP、FTP协议的还原文件；c）文件格式至少应支持以下几类：压缩文件（如RAR、ZIP、7Z）、可执行文件；d）应能提供依据自定义文件类型、协议等过滤规则过滤后的数据；e）针对检测到的恶意文件，回传内容应包含恶意文件的哈希值、大小、文件类型、文件、流量日志五要素。6数据传输6.1 数据传输过程各数据提供机构应按照第5章数据采集、附录A输出数据内容和格式以及附录B攻击告警分类的要求进行数据采集，并根据数据提供机构各自的情况选择不同的数据传输方式进行数据传输，数据管理方对数据的质量进行审核，审核通过后的数据由数据管理方进行数据的治理入库，网络安全威胁流量监测设备的功能要求和性能要求可参照附录C。6.2 数据传输方式6. 2.1通过高吞吐量的分布式发布订阅消息系统传输本方法适用于已接入监管侧第三方要求的端到端加密网络系统的网络安全威胁流量监测设备或平台传输数据时使用，具体要求如下：a）传输数据类型：安全威胁监测数据、流量元数据、原始数据包和还原文件；b）数据以JSON的格式封装单条记录，经过Kafka等高吞吐量的分布式发布订阅消息系统传输至数据接收前置机；c）外发字符串应采用UTF-8编码；d）数据传输频率为实时传输。7. 2.2通过APl接口方式传输本方法适用于未接入监管侧第三方要求的端到端加密网络系统的平台传输数据，或传输数据中的附件文件太大，超出Kafka允许最大长度时使用，具体要求如下：a）传输数据类型：心跳数据、安全威胁监测数据、流量元数据、原始数据包和还原文件；b）平台流量告警数据对接接口为HTTP协议的通信接口，方法为POST；c）数据传输格式为JSON；d）外发字符串应采用UTF-8编码；e）认证方式：在JSoN体中增加token和Send_time（unixms级）,其中token=md5（from+send_time+SALT+key）,用于校验用户，每次调用均需生成；f）数据传输频率为实时传输；g）发送的心跳信息应至少包含如下内容：厂家、型号、部署位置、IP、状态、今日经过流量数、今日生成日志数、今日生成告警数、当前CPU利用率、当前磁盘利用率、当前内存利用率、系统版本、授权到期日。7数据存储与使用7.1数据所有者、各行业主管部门、公安机关、国家网信部门等应在各自职责范围内承担数据的存储与安全监管职责。7. 2已建设网络安全威胁流量监测能力的平台或单位，应最终实现与苏州市城市网络安全防护平台关于网络安全威胁流量监测数据的对接。8. 3网络安全监管单位应对接收的网络安全威胁流量监测数据进行数据治理、入库及数据备份工作，数据治理工作应按照GB/T34960.5-2018要求执行。7.4城市网络安全防护平台基于治理后的网络安全威胁流量监测数据，通过安全验证与分析，发现网络安全威胁，并下发对应的重点单位进行整改，以此确保城市的网络安全状况稳定。8数据安全8.1 审计日志数据要求每一条审计日志中均应包含该行为发生的日期、时间、用户标识、描述和结果。审计日志的生成条件如下：a）用户登录行为，包括成功和失败；b）对安全规则进行更改的操作；c）因鉴别尝试不成功的次数达到设定值，导致的会话连接终止；d）对日志记录的备份；e）用户的其它操作。8.2 报警日志数据要求报警日志内容应包含事件发生的日期、时间、事件主体和事件描述，且应为管理员可理解的，具体报警日志的生成条件如下：a）存储空间达到设定值；b）用户鉴别失败的次数达到设定值；c）其它系统事件。8.3 数据传输安全要求网络安全威胁流量监测数据应能通过基于监管侧第三方要求的端到端加密网络系统进行加密传输，保证数据传输安全。附录A（规范性）输出数据内容和格式A.1安全威胁监测日志格式安全威胁监测日志包括攻击监测日志、恶意代码监测日志和威胁情报告警日志三种。每种类型的日志由通用部分和专用部分两部分组成。通用部分即每种日志公用的头部信息（见表A.1）,其余各部分参见各章节定义。对于各种类型的威胁监测日志，本文件定义了比较明确的威胁日志类型和字段，如有不在定义范围内的，可扩展和补充。表A.1规定了安全威胁监测日志通用部分的数据内容与格式。表A.2规定了安全威胁监测日志中攻击监测日志专用部分的内容与格式，攻击监测日志包含附录B中拒绝服务攻击、后门攻击、漏洞攻击这三类告警的专用部分。表A.3规定了安全威胁监测日志中恶意代码监测日志专用部分的内容与格式，恶意代码监测日志包含附录B中有害程序告警的专用部分。表A.4规定了安全威胁监测日志中威胁情报告警日志专用部分的内容与格式，威胁情报告警日志包含附录B中威胁情报告警的专用部分。表A.1通用部分序号数据项英文名称数据项中文描述必填说明1device_ip设备IP是设备IP2time时间是安全威胁发生时间3sip_ipv4源IPv4地址是安全威胁关联的源IPv4地址4sip_ipv6源IPv6地址否安全威胁关联的源IPv6地址5smac源MAC地址否安全威胁关联的源MAC地址6sport源端口是安全威胁关联的源端口7sregion源IP归属地否当源IP是互联网IP时填写，例如美国、日本8dipipv4目的IPv4地址是安全威胁关联的目的IPv4地址9dipipv6目的IPv6地址否安全威胁关联的目的IPv6地址10dmac目的三C地址否安全威胁关联的目的MAC地址11dport目的端口是安全威胁关联的目的端口12dregion目的IP归属地否当目的IP是互联网IP时填写，例如美国、日本13proto_l传输层协议否传输层协议14attack_id攻击类型是参见附录B攻击告警分类15ename告警名称是安全威胁的名称16level告警等级是0：信息,1：低危,2：中危,3：高危，4：超危17msg告警描述是安全威胁的简要描述表A.2攻击监测日志序号数据项英文名称数据项中文描述必填说明1proto_2应用层协议类型否应用层协议类型，如HTTP、FTP等2rid匹配规则ID否匹配规则ID3appendix附加信息否附加描述,如SQL注入攻击,则把SQL注入的URL地址记录在此4pcap数据包ID否与数据包进行关联5result结果判定否0：失败，1：成功，2：未知6direction攻击方向否攻击的方向7external_ip外联IP否外联IP8avg_time_tv平均请求时间间隔否针对定时木马通信告警9user_name用户名否针对暴力破解告警10password密码否针对暴力破解告警11root_domain根域名否针对隧道通信告警12sub_domain_count子域名个数否针对隧道通信告警14avg_domain_len域名平均长度否针对隧道通信告警15phase攻击阶段否所处的攻击阶段16count攻击次数否攻击的次数统计17Start_time攻击开始时间否攻击开始的时间18end_time攻击结束时间否攻击结束的时间表A.3恶意代码监测日志序号数据项英文名称数据项中文描述必填说明1name_id恶意代码ID否恶意代码的ID2name恶意代码名称是恶意代码的名称3type恶意代码分类否病毒、木马、蠕虫、僵尸程序等4proto_2应用层协议类型是HTTP、FTP、SMTP等5infect感染文件是文件名6op操作否处理方式7md5文件MD5字符型是文件的MD58file_type文件类型是文件的类型9appendixl附加信息1否邮件、URL信息等表A.4威胁情报告警日志序号数据项英文名称数据项中文描述必填说明1source_type数据源类型是登录、文件传输、DNS及Web访问，哪一种数据源匹配中了IOC2SOUrCe_contentioc命中的原始内容否ioc命中的原始内容3attacker_ipv4攻击者IPv4地址是攻击者IPv4地址4attacker_ipv6攻击者IPv6地址否攻击者IPv6地址5victim_ipv4受害者IPv4地址是受害者IPv4地址6ViCtim_ipv6受害者IPV6地址否受害者IPv6地址7ioc情报内容是具体命中的威胁情报内容8ioc_name情报规则名是情报规则名9ioc_type情报类型是命中情报的类型10ioc_desc情报描述是情报中对攻击组织及攻击手法的描述11group攻击组织否通过情报确定最后的攻击组织A.2流量元数据提取日志格式流量元数据提取日志包括：HTTP审计、FTP审计、邮件审计、数据库审计、登录动作审计、DNS数据审计、文件传输审计日志等。每种类型的日志由两部分组成，通用部分和专用部分，通用部分即每种日志公用的头部信息（表A.5通用部分），其余各部分参见各章节定义，若无对应的专用部分，则可只传输通用部分。表A.5规定了流量元数据提取日志通用部分的内容与格式，表A.6规定了流量元数据提取日志中HTTP审计专用部分的内容与格式，表A.7规定了流量元数据提取日志中FTP审计专用部分的内容与格式，表A.8规定了流量元数据提取日志中邮件审计专用部分的内容与格式，表A.9规定了流量元数据提取日志中数据库审计专用部分的内容与格式，表A.10规定了流量元数据提取日志中登录动作审计专用部分的内容与格式，表A.11规定了流量元数据提取日志中DNS数据审计专用部分的内容与格式，表A.12规定了流量元数据提取日志中文件传输审计专用部分的内容与格式。表A.5通用部分序号数据项英文名称数据项中文描述必填说明1device_ip设备IP是设备IP2time时间是发生时间3sipipv4源IPv4地址是关联的源IPv4地址4sipipv6源IPv6地址否关联的源IPv6地址5smac源MAC地址否关联的源三c地址6sport源端口是关联的源端口7sregion源IP归属地否当源IP是互联网IP时填写，例如美国、日本8dipipv4目的IPv4地址是关联的目的IPv4地址9dipipv6目的IPv6地址否关联的目的IPv6地址10dmac目的三C地址否关联的目的MAC地址11dport目的端口是关联的目的端口12dregion目的IP归属地否当目的IP是互联网IP时填写，例如美国、日本13proto_2应用层协议是应用层协议邮件审计包括但不限于：pop3smtpimap数据库审计包括但不限于：mysql表A.6HTTP审计序号数据项英文名称数据项中文描述必填说明1methodHTTP请求方法是HTTP请求方法2uri请求的资源是HTTP审计日志中的请求资源3host请求的域名是HTTP审计日志中的请求的域名4origin请求的原始来源否HTTP审计日志中的请求的原始来源5cookiecookie否HTTP审计日志中的cookie6agent请求者信息否HTTP审计日志中的请求者信息7referer链接来源否HTTP审计日志中的链接来源8xff请求真实ip和代理否HTTP审计日志中的请求真实ip和代理9data传送的数据是PoSt类型的数据，截取PoSt的部分原始数据，最多1000字节10status状态码是响应状态11setcookiesetcookie否setcookie12COntent_type内容类型否内容类型表A.7FTP审计序号数据项英文名称数据项中文描述必填说明1user用户名是用户名2seq操作命令序号是FTP的控制命令每产生一个操作就会产生一条日志。用户每次登录后会有多个操作，这个字段用来标明操作顺序，计数从0开始3op操作命令是操作命令4ret操作结果是操作的结果表A.8邮件审计序号数据项英文名称数据项中文描述必填说明1mid邮件message-id否邮件message-id2mail_time发送或接收时间是邮件的发送或接收时间3mail_from发件人是邮件的发件人4to收件人是邮件的收件人5CC抄送人否邮件的抄送人6subject邮件主题是邮件的主题7body邮件正文是邮件的正文8references被回复的id否邮件中被回复的id9bcc密送否邮件的密送10returnpathReturnpath头部否邮件的Returnpath头部11receivedReceived头部否邮件的Received头部12attachmd5附件md5否附件md513mime_type附件类型否附件类型14name附件名称否附件名称表A.9数据库审计序号数据项英文名称数据项中文描述必填说明1version协议版本是协议的版本2db_type数据库类型是Mssql,oracle,mysql,postgresql等值3user用户名是用户名4dbname数据库名是数据库名5ret_code操作返回信息是操作返回信息6sql_info操作信息是操作信息7normal_ret操作结果否0：失败，L成功表A.10登录动作审计序号数据项英文名称数据项中文描述必填说明1passwd登陆密码是不能以明文显示或回传2info登陆结果是0：失败，L成功3user用户名是用户名4db_type数据库类型否当登录的是数据库时，该字段会有数值，表示数据库具体类型表A.11DNS数据审计序号数据项英文名称数据项中文描述必填说明1dns_typeDNS访问类型是DNS访问类型2hostHost是Host3addr地址资源是地址资源4mx邮件交换记录是邮件的交换记录5cname域名规范名称是域名的规范名称6reply_code响应结果状态是响应结果状态7count统计值否dns头部统计信息表A.12文件传输审计序号数据项英文名称数据项中文描述必填说明1uri传输的资源及路径否http使用2host域名否http使用3referer链接来源否http使用4status状态码否http使用5file_dir标示文件方向否http使用，0：服务端传往客户端，1：客户端传往服务端6trans_mode传输模式否ftp使用，0：上传，1：下载7method方法否http使用8file_name文件名字是文件名字9file_md5文件MD5是文件MD510mime_type文件类型是文件类型A.3原始数据包和样本格式原始数据包、样本包括数据包文件格式、TCP会话审计、UDP会话审计、HTTP、FTP类格式、邮件类格式等。表A.13规定了原始数据包和样本中数据包的内容与格式，表A.14规定了原始数据包与样本中TCP会话审计的内容与格式，表A.15规定了原始数据包与样本中UDP会话审计的内容与格式，表A.16规定了原始数据包与样本中HTTP、FTP类的内容与格式，表A.17规定了原始数据包与样本中邮件类的内容与格式。表A.13数据包文件格式序号数据项英文名称数据项中文描述必填说明1device_ip设备IP是设备IP2link_id设备链路ID否设备链路ID3file_name数据包文件名称是数据包的文件名称4file_size数据包文件大小是数据包的文件大小5alter_time警报触发时间是警报触发的时间6altername警报名称是警报的规则名称7alter_type警报类型是警报的类型8alter_level警报级别是1：三j,2：中，3：低9msg触发条件否触发条件10src触发警报源IP是触发警报源IP11sport触发警报源端口是触发警报源端口12dst触发警报目标IP是触发警报目标IP13dsport触发警报目标端口是触发警报目标端口表A.14TCP会话审计序号数据项英文名称数据项中文描述必填说明1device_ip设备IP是设备IP2Clientipaddr客户端IP是客户端IP3server_ip_addr服务器IP是服务器IP4client_port客户端端口是客户端端口5server_port服务器端口是服务器端口6client_netsegment_id客户端网段否客户端网段7SerVejnetSegment_id服务器网段否服务器网段8app应用否应用9proto_l传输层协议是传输层协议10client_country_id客户端IP所属国家否客户端IP所属国家11server_country_id服务器IP所属国家否服务器IP所属国家12client_total_byte客户端总字节数是客户端总字节数13Client_tOtaI_packet客户端总包数是客户端总包数14server_total_byte服务器总字节数否服务器总字节数15server_total_packet服务器总包数是服务器总包数16flow_start_time流开始时间是流开始时间17flow_end_time流结束时间是流结束时间18flow_duration流持续时间否流持续时间19total_byte总字节数否总字节数20total_byteps每秒字节数否每秒字节数21total_packet总包数否总包数22total_packetps每秒包数否每秒包数23avg_pkt_size平均包长否平均包长表A.15UDP会话审计序号数据项英文名称数据项中文描述必填说明1device_ip设备IP是设备IP2client_ip_addr客户端IP是客户端IP3server_ip_addr服务器IP是服务器IP4client_port客户端端口是客户端端口5server_port服务器端口是服务器端口6CIient_netsegment_id客户端网段否客户端网段7SerVejnetSegment_id服务器网段否服务器网段8app应用否应用9proto_l传输层协议是传输层协议10client_country_id客户端IP所属国家是客户端IP所属国家11server_country_id服务器IP所属国家是服务器IP所属国家12client_total_byte客户端总字节数是客户端总字节数13client_total_packet客户端总包数是客户端总包数14server_total_byte服务器总字节数否服务器总字节数15server_total_packet服务器总包数是服务器总包数16flow_start_time流开始时间是流开始时间17flow_end_time流结束时间是流结束时间18flow_duration流持续时间否流持续时间19total_byte总字节数否总字节数20total_byteps每秒字节数否每秒字节数21total_packet总包数否总包数22total_packetps每秒包数否每秒包数23avg_pkt_size平均包长否平均包长表A.16HTTP,FTP类格式序号数据项英文名称数据项中文描述必填说明1device_ip设备IP是设备IP2proto_2应用层协议是例如：http3access_time日志生成时间是日志生成时间4sip源IP是源IP5sip_v6源IP(ipv6)否源IP(ipv6)6sport源端口是源端口7dip目的IP是目的IP8dipv6目的IP(ipv6)否目的IP(ipv6)9dport目的端口是目的端口10uri传输的资源及路径否http使用11host域名否http使用12referer链接来源否http使用13status状态码否http使用14file_dir标示文件方向否http使用0：服务端传往客户端1：客户端传往服务端15trans_mode传输模式否ftp使用，0：上传，1：下载16method方法否http使用17file_name文件名字是文件名字18file_md5文件MD5是文件MD519mime_type文件类型是文件类型20payload文件内容是文件内容表A.17邮件类格式序号数据项英文名称数据项中文描述必填说明1device_ip设备IP是设备IP2proto_2应用层协议是pop3smtpimap3access_time日志生成时间是日志生成时间4sip源IP是源IP5sip_v6源IP(ipv6)否源IP(ipv6)6sport源端口是源端口7dip目的IP是目的IP8dip_v6目的IP(ipv6)否目的IP(ipv6)9dport目的端口是目的端口10time发送或接收时间是邮件的发送或接收时间11mail_from发件人是邮件的发件人12to收件人是邮件的收件人13CC抄送人否邮件的抄送人14bcc密送否邮件的密送15subject邮件主题是邮件的主题16returnpath返回路径否返回路径17received邮件头的路由信息否邮件头中的received字段18attachmd5附件md5否邮件中附件的md519mime_type附件类型否邮件中附件的类型20attachname附件名称否邮件中附件的名称21payload文件内容是文件内容附录B（规范性）攻击告警分类表B.1规定了攻击告警的分类。表B.1攻击告警分类类别名称代码有害程序告警有害程序010000计算机病毒010100蠕虫010200邮件蠕虫010201即时消息蠕虫010202U盘蠕虫010203漏洞利用蠕虫010204其它蠕虫010299木马010300盗号木马010301网银木马