YD_T 4586-2023 网络安全态势感知 数据采集要求.docx

ICS35.110CCS1.67YD中华人民共和国通信行业标准YDfI45862023网络安全态势感知数据采集要求Cybersecuritysituationa1.awareness-Requirementsfordataco1.1.ection2024-04-01实施2023T2-20发布中华人民共和国工业和信息化部发布目次前言II1.2规范性引用文件13术语和定义14缩略语25献36jowae频要求3.7数据采集总体要求48日志数据采献求48.1 采集对象48.2 采集方式49流量采集要求59.1 补方式59.2 采集内容59.3 流数据采集处理510资求610.1 610.2 牍内容610.3 采集方式6PftAMMSeaaaaaMaaaaaaMeaaaaMaaeaaaM7丹姬8本文件按照GBT1.1-2020W标准化工作导则第1部分：标准化文件的结构和起草规则令的规定起草。本文件是网络安全态势感知系列标准之一，马YnT琰83）22次网络脆弱性指数评估方法、Yiyr2389-20224网络或防数评估方法共同构成网络安全态势感知的标准体系。该标准体系还计划发布网络安全态势自知态势分析要求工网络安全态势感知资源管理要求9，网络安全态势必知数据描述要求3工网络安全态势掇知事件检测要求34网络安全态势感知口化评估要求3等标准。请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别专利的责任。本文件由中国通信标准化协公提出并归口.本文件起草单位：粥城实舱室,国家计算机网络应急技术处理协调中心、广州大学网络空间先进技术研究院、哈尔滨工业大学（深圳）、四川亿览态势科技有限公司、北京天融信网络安全技术有限公司、北京神州绿盟科技有限公司、郑州信大捷安信息技术股份有限公司、深信服科技股份有限公司、长扬科技（北京）股份有限公司.本文件主要起草人：贾焰、王海燕、李树栋、韩伟红、李润旭、谢敏容、舒娘、贺敬、ZnM刘为华、赵华、陶涉、肖岩军、谭运强、钟广辉.，网络安全态势感知数据采集要求1范BI本文件规定了网络安全态势掇知的数据采集要求.本文件适用于网络安全态势自知的事件检测、量化评估、态势分析等方面的业务应用.2规范性引用文件卜列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中.注日期的引用文件.仅该日期对应的版本适用于本文件：不注日期的引用文件,其最新版本（包括所有的修改的）适用于本文件.GB/T25069-2022信息安全技术术语GB.T292462017信息技术安全技术信息安全管理体系概述和词汇3术语和定义GB.T250692022.GBT292462017界定的以及卜列术语和定义适用千本文件.3.1KdRXdatasource网络安全平台中目标网络中的节点,提供节点状态信息、日志数据或流量数据的设名或系统，也称为采集对象.3.2采集叁co1.1.ector从数据源获取数据的组件或系统。33日志Iog各类型网络产品的运行记录，记录的内容是未经判断的客观事实。日志通常从网络流量中提取元数据信息而生成，分为系统日志和网络日志两大类.系统日志是由操作系统、应用程序自身生成，汜录系统运行的情况。网络H志是网络上发生的行为的记录，通常是根据分析的需要，从网络流信中提取元数据信息生成的，GB.'T25068.12020.定义3.53.4网薛旋收networktraficdata计算机网络上传输的数据，包括网络协议封装格式信息，以及时装的净负软信息，或掂于这些信息不同维度的统计数据,不同协议层的网络波Ift数据分类组成不尽相同,IP脾络的流量数据在传输层上包括源IP地址、目的IP地址、源端口、目的端口、传输协议类型，以及传输层封装的净负载信息.3.5安全IHfMxurityakrt安全告警站安全产品报据对网络流量、日志、扫描掬测返回信息等数据的分析结论或基于机器学习、引梨类产品、工具、殂件关联分析生成的，描述界常网络情况、异常系统访问或系统腌弱性的信息。4下列海略谱适用于本文件.DDoS分命式拒绝服务Distributeddenia1.ofserviceDNS域名系统DomainNameSystemFrP文件传愉协议Ei1.c,ransfcrProtoco1.HTTP超文本传输例议HyperTextTransferProtoco1.HPS超文木传输安全协议HypertextTransferProtoc<1.SecureIDS入侵总测系统IntrusionDetectionSystemsIPS入侵防御系统IntrusionPreven1.iunSystemIMAP交互信息访问仍议InternetMessageAccessProtoco1.JDBCJava数据库连接(JavaDatabaseconnect)MQTT消息队列遥测传怆协议MessageQueuingTe1.emetryTntnspoiiODBC开放式数据悔互连OpenDci1.aBaseConnec1.iviiySFTP安全文件传输力议SecureFi1.eTransferProtoco1.SMTP简单邮件传输协议Simp1.eMai1.TransfcrProtocoISNMP简单网络管理协议Simp1.eNetworkManagementProtoco1.SSH安全外壳协议SecureShe1.1.TCP传*控制的议TransmissionContro1.Protoco1.T1.S传，层安全性协议Transport1.ayerSecurityT1.CP椅，层密码悔议Transport1.ayerCryptographyPro<oco1.VPN虚拟专用网络Viriuii1.PrivateNetwork数据源提供的数据采集接11不尽相同，有的提供了专用日志接口，有的只是存放在文件或数据库中.采集器需要依据采集对象的采集接口、采集数树类别情况进行相应的适配处理，采取合适的采集方式。网络安全态势他知中数据采集的对象为H标网络节点，包括交换机.路由滞等网络设备、防火墙、IDSnPS、VPN,蜜窿等安全设备、应用系统及操作站'服务器等.按照数据传通方式，采集方式可分为被动采集方式或主动采集方式，被动来集方式是被动地从采集对象接收数据，主动采集方式是主动地向来集对象轮询获取数据。主动采集方式通常有FrP,SFTPI:动采姒ODBcJDBC、InTRJHTTPS、SNMP.SSH、Agen1.f5程序方式等：被动采集方式通常在Kafka、MQTT、S*k）g、SNMPTRAP.FTPzSFrP被动方式等。网络安全态势感知中数据采城的数据类别包括FI志数据、网络流状数据、资产数据、安全告警数据以及业务数据等.6收案的类别可根据应用场跟不同进行自定义.来条的数据类别应支持以卜至少两种不同类型数据的收集.a）日志数据D应支持对不同类型日志的收集，包括但不限于更要业务日志、操作日志、登录日志、系统日志和告警日志等.2）应支持对不同数据来源日志的收集，包括但不仅限不安全设备、网络设备、操作系统、数据库管理系统、终端、应用系统等。b）网络流最数据D应支持对全网网络流及数据的实时收集数据内容应包括但不限于时间、源IP、源端口、目的1P、目的端口、协议等。2）应支持对协议的识别、统计，包括但不限jTCPInTP、FTP、IMAP、SNMP、TE1.NET,DNS、SMTP等.3）应支持从原始数据包中还原不同文件格式的样本,包括压缩包、可执行文件等0O资产数据D应支持对网络中资产数据的收集，并进行定期更新，资产数据类型包括但不限于网站、信息系统等.2）应支持对资产数据多维度属性的收集，数据内容包括但不限资产名称、资产类至、资产IP地址、资产IP归属地、域名、资产重要程度、所属关系、数量等。（1）安全告警数据1）应支持不同类1网络攻击事件（见附录A）的收集，包括但不限于DDOS攻击、后门攻击、漏洞攻击、网络扫描窃听、干扰事件等。2）应支持不同类型有害程序事件的收集，包括但不限于计停机病毒、蠕虫、特洛伊木马、假尸网络、混合攻击程序、网页内嵌恶意代码事件等，C）业务数据D应支持应急处置业务场景数据的收集包括但不限于处置启动时间、结束时间、处置类里、处置人员、处置事件描述、处置方式、处置结果等.2）应支持通报预警业务场景数据的收集，包括但不限于通报下发时间、通报对您名称、通报类型、通报人员、通报事件描述、通报反馈期限、通报反馈结果等.数据采集总体要求如卜内容“a）数据采柒的对象和采集内容应湎足数据分析的要求，潮免数据内容的缺失，但也无需过度采集，满足要求即可，避免时系统性能造成影响，b）数据采集传输时宜采用可靠安全的传输方式，例如基FT1.S,T1.CPM1.密传输等。C）采集通道出现故埠时，采集器应进行告警，故障恢夏时采集工作应自动恢S1.S未象器应及时采集数据源产生的数据满足及时性要求，e）采集的数据提取后，宜以JSON等格式提供给后续分析模块使用，8 日«8.1 果第对象应支持包括交换机、路由器等网络设备、防火墙、IDS,IPS.VPN.蜜跳等安全设备.靶标应用系统、操作站、服务器等的数据采集.8.2 采集方式通常口志类数据聚集方式“FTP/SFrP、ODBCJDBC、KaIkKMQTT,HTTR1.11TPS.Sys1.og,SNMPTRAP、SNMP,SSH、AgendC理程序方式，采集方式至少支持一种被动式和一种主动式的日志采集方式，建议优先采用被动式志采柒方式。采集方式应支持扩展.8.2.1主动式采集要求如下：a）主动式数据采集,应支持采集对象上的多个数据文件或多个数据表等多个数据存放处的数据采集：b）主动采集时，应支持采集频率、采集数据砧等的配置或自适应网整，以战轻对采集对软的性能影响.避免对网络造成拥堵也需避免数据枳压过多,影峋数据栗尔的及时性（尤其是系统刚上线时存在大俄历史数据的情况）:c）主动采集时应在采集端维持果集数据的读取指针，不粕遗漏数据,或用红采集造成数据冗余：d）在采集方式选取上，根据网络情况，应当选择安全的采集方式，如SFTP、HTrPS、SSH,避免数据被窃听：e）Agem代理程序采方式，应限制日志采集代理程序使用的内存和CPU资源，谕免对采集时象造成影响.CPU资源占用不宜超过5%,内存使用不宜超过10%:f）AgentH志采集代理应当将采集的日志数据及时发送到采型器，发送通道需要安全可靠，当通道发生网络故障时，应将H志数据在本地缓存，网络恢复时继续（媾，避免数据的丢失.&22被动式数据采集时,应满足日志接收的性能要求例如采用谖存机制,避免日志海数据发送过快时造成日志数据丢失.99.1 采集方式流量:数据常用的采集接口有SNMP、Nett1.ow,NetstreanuSF1.Ow、JFIom镜像侦听等。流量数据采集的采样方式采集和全St方式采集方式中应至少支持种，采集方式的选择应满足数据分析的需求.采样采集方式宜采用大多数设符厂商都支持的采集接口。9.2 M针对采样采集方式，采集内容应包括协议五元组内容，即源IP地址、目的IP地址、源端口、目的端口和桃议类型信息，还应包括网络流基础信息，例如，网络流起止时间、网络流中的总字节数及上下行字节数、网络流中的数据包数纨及上下行数据包数6、网络流中的第一个和城后一个数据包时间戳等。针对流量全量全集方式,应支持DNS、DHC1H11P.FTP、TE1.NET、SMTP、POp3、IMAP、SSH、T1.S、T1.CP等常用协议内容的采集，应采集这些协议网络层和应用层协议的内容。例如针时电子邮件协议SMTP*PoP3、IN1.AP等.应采集邮件的发送人、接收入、邮件主题、邮件内容、临件附件名称及内容等数据，针对工业互联网的流量数据采集，应支持OPC、MocItxisTCP.Pmfinct.BACnct.DNP3、IEC1.a等常用工业拄制系统的协议内容的采集提取.9.3流舐数据果案应支持按照聚集策略进行筛选处理,如果按照源或目的IP地址.源或I1.的端口,或者协议类型等策略进行筛选处理.YD/T45862023应支持流量数据的去重处理10a包括硬件及型号、操作系统及版本号、软件及版本号等资产信息。其中，资产包括主机节点、网络设备节点、安全设备节点等，包括且不限于：服务器、计算机等：交换机、路由器等：防火墙、入侵检测、防病库等。10.1 采靠内腐网站类数据、信息系统类数据、关键信息基础设施类数据、移动应用类数据、数据库类数据等。10.2根据采集数据来源分类：主动采集、被动采集.10.11 ±ua主动采集是通过主动向目标网络资产发送构造的数据包，并从返回数据包的相关信息（包括各层协议内容、包里传时间等）中提取目标指纹，与指纹进库中的指纹进行比时，实现对开放端口、操作系统、服务及应用类型的数据进行探测，10.3.2被动采集是采集目标网络的流量，对流班中应用层H1.TP'卜TP、SVTP等协议数据包中的特殊字段hanncr或IP、TCP三次握手、DHCP等协议数据包的指纹特征进行分析,实现对网络资产信息的被动探测.附录A数据采集架构由采集器构成,主要功能模块包括：数据提取、数据颈处理、累集配置管理、数据缓存等部分，如图AJ所示.采集卷需考虑到数据采集的灵活性和扩展性，可采用插件的方式.采集插件根据果集对望、采集内容和采集接11等进行相应的设计，实现数据提取和预处理的功能.采集插件可以是独立的采集彳弋理程序，也可以是不同的采集插件，对于数擀励较大的网络流量数据，宜采用胞独的流量采集插件.数据提取模块，将采柒的原始数据进行抽取和格式化处理，解析出具有明确意义的字段。数据提取的粒度粗细取决于数据分析使用的需要，数据预处理模块，将采集的重发数据进行清洗、数据过谑处理或者数据补全处理（例如添加标签、补充来源名称等）等。采集配设管理模块，主要配的采集的数据源采集方式及其接口信息（数据海IP地址、认证方式等），来的策略，数据提取的配置等，并对采集插件等进行管理，数据媛存,针对采集提取到的数据进行缓存处理,提供给后续的数据分析模块使用。通常Ur采用内存数据降或Katka等消息队列方式缓存.JRf1.SSJR里插件S制+SSUI«rAp«»»t|Netroe%*Mf1.NCWrcum兄处杯NJWCKnnW展集场件F1.P采集忸件SFIP歌集稿件!R*Wrt考文1 f网络安全态势感知技术标准化白皮书，（2020版）.2 M网络安全态势感知3.贾焰,方滨兴等编著,中国工信出版集团,2020.3GBT20278-2013信息安全技术网络脆弱性扫描产品安全技术要求4GBT20280-2006信息安全技术网络脆弱性扫描产品测试评价方法5GBT20984-2007信息安全技术佶息安全风险评估规范6GBT31509-2015信息安全技术信息安全风降评估实施指南7GBT31722-2015信息技术安全技术信息安全风险管理8YD"22522011网络与信息安全风险评估服芬能力评估方法9YD,T27072014互联网主机网络安全属性描述格式11OYD,T3I532016Web应用安全评估系统技术要求11YOT3463-2019混涧扫描系统通用技术要求12YD.T2388-2022网络脆弱性指数评估方法113IYDrr23892022网络威防指数评估方法