《数字政府 城市网络安全威胁流量监测数据管理规范》

ICS35.020

CCSL01

DB3205

苏州市地方标准

DB3205/T1043—2022

数字政府城市网络安全威胁流量监测

数据管理规范

Digitalgovernment-Specificationfordatamanagementofnetwork

trafficmonitor

2022-08-19发布2022-08-26实施

苏州市市场监督管理局发布

DB3205/T1043—2022

目次

前言...............................................................................................................................................................II

引言.............................................................................................................................................................III

1范围...................................................................................................................................................................1

2规范性引用文件...............................................................................................................................................1

3术语和定义.......................................................................................................................................................1

4管理职责...........................................................................................................................................................2

5数据采集...........................................................................................................................................................2

5.1数据采集总体要求...............................................................................................................................2

5.2安全威胁监测数据要求.......................................................................................................................2

5.3流量元数据采集要求...........................................................................................................................2

5.4原始数据包和还原文件数据采集要求..............................................................................................3

6数据传输...........................................................................................................................................................3

6.1数据传输过程.......................................................................................................................................3

6.2数据传输方式.......................................................................................................................................3

7数据存储与使用...............................................................................................................................................4

8数据安全...........................................................................................................................................................4

8.1审计日志数据要求...............................................................................................................................4

8.2报警日志数据要求...............................................................................................................................4

8.3数据传输安全要求...............................................................................................................................4

附录A（规范性）输出数据内容和格式..........................................................................................................5

附录B（规范性）攻击告警分类....................................................................................................................15

附录C（资料性）网络威胁流量监测设备的功能要求和性能要求...........................................................19

参考文献...............................................................................................................................................................21

I

DB3205/T1043—2022

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

本文件由苏州市公安局提出并归口。

本文件起草单位：苏州市公安局、国家计算机网络与信息安全管理中心江苏分中心、苏州市质量和

标准化院、三六零科技集团有限公司、三六零数字安全科技集团有限公司、苏州三六零安全科技有限公

司、江苏百达智慧网络科技有限公司、北京天云海数技术有限公司、北京网御星云信息技术有限公司、

亚信科技（成都）有限公司、山石网科通信技术股份有限公司。

本文件主要起草人：李晶、庄唯、袁欣、厉白、高威、朱泽洲、赵云、顾弘、周文渊、李姝、殷倩、

张欣艺、宋剑超、罗冬雪、邬鹏程、宋贵生、龙伟、杨凯、季海晨。

本文件为首次发布。

DB3205/T1043—2022

引言

近年来，随着信息化建设的不断发展，网络安全事件层出不穷，其种类、手段也呈现出了多样化的

态势，网络安全形势面临着一个又一个的威胁与挑战。为了准确把握安全威胁、风险和隐患，有效应对

网络安全的严峻威胁和挑战，获取海量网络安全数据，并且对海量安全数据进行分析，获取全面实时的

网络安全态势和趋势就变得尤为重要。而在海量的网络安全数据中，网络安全威胁流量监测设备采集的

数据占有较大的比重，因此更应引起重视。

当前，不同厂商提供的设备或系统所产生的网络安全威胁流量监测数据格式不统一、不规范，客观

上对网络安全体系的建设和相关平台与系统的数据对接造成了不利影响。在这种情况下，我们决定制定

网络安全威胁流量监测数据的管理规范，对监控数据的类型、数据内容和管理要求等内容做出明确规定，

其目的是确保网络安全威胁流量监测数据能高效、便捷地与城市网络安全防护平台进行数据传输，相关

管理工作能高效、持续、稳定地进行，从而保障城市网络安全的稳定可靠。

本文件对数据采集、数据传输、数据存储与使用、数据安全等多方面提出了明确的要求，以此来保

障数据的归一化，为网络安全体系和相关平台提供规范化、统一标准的网络安全威胁流量监测数据。

III

DB3205/T1043—2022

数字政府城市网络安全威胁流量监测数据管理规范

1范围

本文件规定了城市网络安全威胁流量监测的管理职责、数据采集、数据传输、数据存储与使用、数

据安全。

本文件适用于教育、医疗卫生、水利、电力、能源等关键行业和重点单位的网络安全评估与管理工

作，可在进行网络安全评估与管理工作中的网络安全威胁流量监测数据采集时使用本文件，其他相关关

键行业和重点单位可参考执行。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件，不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069-2010信息安全技术术语

GB/T34960.5-2018信息技术服务治理第5部分：数据治理规范

GB/T37973-2019信息安全技术大数据安全管理指南

3术语和定义

下列术语和定义适用于本文件。

3.1

网络流量networktraffic

能够连接网络的设备在网络上所产生的数据包的集合。

3.2

网络威胁流量监测networkthreattrafficmonitoring

对网络出口处的流量进行实时采集，通过协议分析、与已知安全威胁规则匹配、与威胁情报库匹配

等方式，发现流量中的异常信息，并生成对应网络安全告警。

3.3

网络安全威胁流量监测设备networkthreattrafficmonitoringequipment

又称为网络流量探针，从被观察的信息系统中，通过感知、监测等收集事态数据的一种部件或代理。

[来源：GB/T25069-2010，7,有修改]

3.4

心跳heartbeat

在设备监测中，各设备之间通过周期性发送的信息，并以此判断设备的健康状况，判断对方是否存

活。

3.5

隧道tunnel

在联网的设备之间，一种隐藏在其他可见性更高的协议内部的数据路径。

[来源：GB/T25069-2010，05]

1

DB3205/T1043—2022

3.6

添加变量salt

作为单向函数或加密函数的二次输入而加入的随机变量，可用于导出口令验证数据。

[来源：GB/T25069-2010，86]

4管理职责

网络安全威胁流量监测数据的责任单位，应对数据的操作、使用、共享等方面进行管理和监控，要

求如下：

a）数据所有者、各行业主管部门、公安机关、国家网信部门等应在各自职责范围内对数据进行管

理与监控；

b）应对数据的使用与共享等操作进行规范化管理，并建设对应的管理制度；

c）应配备数据管理人员，对数据进行统一管理与维护；

d）应对数据操作人员及操作信息进行记录。

注：各行业主管部门是指教育、医疗卫生、水利、电力、能源、交通等关键行业的主管部门。

5数据采集

5.1总体要求

数据提供机构提供的城市网络安全威胁流量监测数据应包含如下几类：安全威胁监测数据、流量元

数据、原始数据包和还原文件、心跳信息。

针对实时采集获取的流量数据，应在遵循GB/T37973-2019中8.2的前提下，满足如下要求：

a）应为实时解析的网络出口原始全会话流量，并包含相关协议以及还原后的文件；

b）应包含未经加工的原始全会话流量，流量覆盖率应为100%；

c）应能依据特定匹配条件提供对应的流量数据。

5.2安全威胁监测数据要求

针对安全威胁监测的数据，要求如下：

a）应包含根据已知漏洞的特点和攻击特征监测出的利用已知漏洞的网络攻击行为数据，并需要包

含对典型攻击成功与否的判定结果；

b）应包含根据威胁情报信息发现的高级威胁告警数据，告警数据中应包含对域名、IP地址、文件

哈希等多种威胁情报的匹配结果，并需要包含对典型攻击成功与否的判定结果；

c）应包含WEB类威胁监测结果数据，至少应含有如下类型：SQL注入、跨站脚本攻击（XSS）、命

令执行、浏览器劫持、溢出攻击、WEBSHELL等，并需要包含对典型攻击成功与否的判定结果；

d）应包含多种网络协议下恶意代码检测结果数据（包括木马、网络型病毒、蠕虫、僵尸网络等），

网络协议类型至少应含有：HTTP、SMTP、POP3、IMAP、FTP协议；

e）应包含根据已知木马的网络行为特征、数据流特征或文件特征等监测出的已知木马的攻击行为

数据，并需要包含对典型攻击成功与否的判定结果；

f）应包含异常通信行为数据，类型至少应含有：定时异常通信、DNS子域名发现、web目录探测、

暴力破解、隧道通信、扫描探测、挖矿木马、DDoS攻击等。

5.3流量元数据采集要求

2

DB3205/T1043—2022

针对流量元数据，要求如下：

a）应包括解析后的TCP、UDP通信会话的相关元数据；

b）应包括解析后HTTP协议的相关元数据；

c）应包括解析后DNS协议的相关元数据；

d）应包括解析后SMTP、POP3、IMAP协议的相关元数据；

e）应包括解析后FTP协议的相关元数据；

f）应包括解析后Telnet协议的相关元数据；

g）应包括解析后SSH协议的相关元数据；

h）应能提供依据IP地址、协议类型、协议字段等过滤规则过滤后的日志数据。

5.4原始数据包和还原文件数据采集要求

安全告警对应原始数据包以及城市网络安全防护平台进行安全分析时产生的特定IP、域名等信息对

应的原始数据包需向平台进行传输，原始数据包与还原文件的要求如下：

a）原始数据包应包含依据IP、域名等信息捕获特定通信流量的原始数据包；

b）还原文件应包含HTTP、SMTP、POP3、IMAP、FTP协议的还原文件；

c）文件格式至少应支持以下几类：压缩文件（如RAR、ZIP、7Z）、可执行文件；

d）应能提供依据自定义文件类型、协议等过滤规则过滤后的数据；

e）针对检测到的恶意文件，回传内容应包含恶意文件的哈希值、大小、文件类型、文件、流量日

志五要素。

6数据传输

6.1数据传输过程

各数据提供机构应按照第5章数据采集、附录A输出数据内容和格式以及附录B攻击告警分类的要求

进行数据采集，并根据数据提供机构各自的情况选择不同的数据传输方式进行数据传输，数据管理方对

数据的质量进行审核，审核通过后的数据由数据管理方进行数据的治理入库，网络安全威胁流量监测设

备的功能要求和性能要求可参照附录C。

6.2数据传输方式

6.2.1通过高吞吐量的分布式发布订阅消息系统传输

本方法适用于已接入监管侧第三方要求的端到端加密网络系统的网络安全威胁流量监测设备或平

台传输数据时使用，具体要求如下：

a）传输数据类型：安全威胁监测数据、流量元数据、原始数据包和还原文件；

b）数据以JSON的格式封装单条记录，经过Kafka等高吞吐量的分布式发布订阅消息系统传输至

数据接收前置机；

c）外发字符串应采用UTF-8编码；

d）数据传输频率为实时传输。

6.2.2通过API接口方式传输

本方法适用于未接入监管侧第三方要求的端到端加密网络系统的平台传输数据，或传输数据中的附

件文件太大，超出Kafka允许最大长度时使用，具体要求如下：

a）传输数据类型：心跳数据、安全威胁监测数据、流量元数据、原始数据包和还原文件；

3

DB3205/T1043—2022

b）平台流量告警数据对接接口为HTTP协议的通信接口，方法为POST；

c）数据传输格式为JSON；

d）外发字符串应采用UTF-8编码；

e）认证方式：在JSON体中增加token和send_time（unixms级），其中token=md5(from+send_

time+SALT+key)，用于校验用户，每次调用均需生成；

f）数据传输频率为实时传输；

g）发送的心跳信息应至少包含如下内容：厂家、型号、部署位置、IP、状态、今日经过流量数、

今日生成日志数、今日生成告警数、当前CPU利用率、当前磁盘利用率、当前内存利用率、系

统版本、授权到期日。

7数据存储与使用

7.1数据所有者、各行业主管部门、公安机关、国家网信部门等应在各自职责范围内承担数据的存储

与安全监管职责。

7.2已建设网络安全威胁流量监测能力的平台或单位，应最终实现与苏州市城市网络安全防护平台关

于网络安全威胁流量监测数据的对接。

7.3网络安全监管单位应对接收的网络安全威胁流量监测数据进行数据治理、入库及数据备份工作，

数据治理工作应按照GB/T34960.5-2018要求执行。

7.4城市网络安全防护平台基于治理后的网络安全威胁流量监测数据，通过安全验证与分析，发现网

络安全威胁，并下发对应的重点单位进行整改，以此确保城市的网络安全状况稳定。

8数据安全

8.1审计日志数据要求

每一条审计日志中均应包含该行为发生的日期、时间、用户标识、描述和结果。审计日志的生成条

件如下：

a）用户登录行为，包括成功和失败；

b）对安全规则进行更改的操作；

c）因鉴别尝试不成功的次数达到设定值，导致的会话连接终止；

d）对日志记录的备份；

e）用户的其它操作。

8.2报警日志数据要求

报警日志内容应包含事件发生的日期、时间、事件主体和事件描述，且应为管理员可理解的，具体

报警日志的生成条件如下：

a）存储空间达到设定值；

b）用户鉴别失败的次数达到设定值；

c）其它系统事件。

8.3数据传输安全要求

网络安全威胁流量监测数据应能通过基于监管侧第三方要求的端到端加密网络系统进行加密传输，

保证数据传输安全。

4

DB3205/T1043—2022

附录A

（规范性）

输出数据内容和格式

A.1安全威胁监测日志格式

安全威胁监测日志包括攻击监测日志、恶意代码监测日志和威胁情报告警日志三种。

每种类型的日志由通用部分和专用部分两部分组成。通用部分即每种日志公用的头部信息（见表

A.1），其余各部分参见各章节定义。对于各种类型的威胁监测日志，本文件定义了比较明确的威胁日

志类型和字段，如有不在定义范围内的，可扩展和补充。

表A.1规定了安全威胁监测日志通用部分的数据内容与格式。表A.2规定了安全威胁监测日志中攻击

监测日志专用部分的内容与格式，攻击监测日志包含附录B中拒绝服务攻击、后门攻击、漏洞攻击这三

类告警的专用部分。表A.3规定了安全威胁监测日志中恶意代码监测日志专用部分的内容与格式，恶意

代码监测日志包含附录B中有害程序告警的专用部分。表A.4规定了安全威胁监测日志中威胁情报告警日

志专用部分的内容与格式，威胁情报告警日志包含附录B中威胁情报告警的专用部分。

表A.1通用部分

序号数据项英文名称数据项中文描述必填说明

1device_ip设备IP是设备IP

2time时间是安全威胁发生时间

3sip_ipv4源IPv4地址是安全威胁关联的源IPv4地址

4sip_ipv6源IPv6地址否安全威胁关联的源IPv6地址

5smac源MAC地址否安全威胁关联的源MAC地址

6sport源端口是安全威胁关联的源端口

当源IP是互联网IP时填写，例如美国、日

7sregion源IP归属地否

本

8dip_ipv4目的IPv4地址是安全威胁关联的目的IPv4地址

9dip_ipv6目的IPv6地址否安全威胁关联的目的IPv6地址

10dmac目的MAC地址否安全威胁关联的目的MAC地址

11dport目的端口是安全威胁关联的目的端口

当目的IP是互联网IP时填写，例如美国、

12dregion目的IP归属地否

日本

13proto_1传输层协议否传输层协议

14attack_id攻击类型是参见附录B攻击告警分类

15ename告警名称是安全威胁的名称

0：信息，1：低危，2：中危，3：高危，4：

16level告警等级是

超危

17msg告警描述是安全威胁的简要描述

5

DB3205/T1043—2022

表A.2攻击监测日志

序号数据项英文名称数据项中文描述必填说明

1proto_2应用层协议类型否应用层协议类型，如HTTP、FTP等

2rid匹配规则ID否匹配规则ID

附加描述,如SQL注入攻击,则把SQL注入

3appendix附加信息否

的URL地址记录在此

4pcap数据包ID否与数据包进行关联

5result结果判定否0：失败，1：成功，2：未知

6direction攻击方向否攻击的方向

7external_ip外联IP否外联IP

8avg_time_tv平均请求时间间隔否针对定时木马通信告警

9user_name用户名否针对暴力破解告警

10password密码否针对暴力破解告警

11root_domain根域名否针对隧道通信告警

12sub_domain_count子域名个数否针对隧道通信告警

14avg_domain_len域名平均长度否针对隧道通信告警

15phase攻击阶段否所处的攻击阶段

16count攻击次数否攻击的次数统计

17start_time攻击开始时间否攻击开始的时间

18end_time攻击结束时间否攻击结束的时间

表A.3恶意代码监测日志

序号数据项英文名称数据项中文描述必填说明

1name_id恶意代码ID否恶意代码的ID

2name恶意代码名称是恶意代码的名称

3type恶意代码分类否病毒、木马、蠕虫、僵尸程序等

4proto_2应用层协议类型是HTTP、FTP、SMTP等

5infect感染文件是文件名

6op操作否处理方式

7md5文件MD5字符型是文件的MD5

8file_type文件类型是文件的类型

9appendix1附加信息1否邮件、URL信息等

6

DB3205/T1043—2022

表A.4威胁情报告警日志

序号数据项英文名称数据项中文描述必填说明

登录、文件传输、DNS及web访问，哪一种数

1source_type数据源类型是

据源匹配中了IOC

2source_contentioc命中的原始内容否ioc命中的原始内容

3attacker_ipv4攻击者IPv4地址是攻击者IPv4地址

4attacker_ipv6攻击者IPv6地址否攻击者IPv6地址

5victim_ipv4受害者IPv4地址是受害者IPv4地址

6victim_ipv6受害者IPV6地址否受害者IPv6地址

7ioc情报内容是具体命中的威胁情报内容

8ioc_name情报规则名是情报规则名

9ioc_type情报类型是命中情报的类型

10ioc_desc情报描述是情报中对攻击组织及攻击手法的描述

11group攻击组织否通过情报确定最后的攻击组织

A.2流量元数据提取日志格式

流量元数据提取日志包括：HTTP审计、FTP审计、邮件审计、数据库审计、登录动作审计、DNS数

据审计、文件传输审计日志等。

每种类型的日志由两部分组成，通用部分和专用部分，通用部分即每种日志公用的头部信息（表

A.5通用部分），其余各部分参见各章节定义，若无对应的专用部分，则可只传输通用部分。

表A.5规定了流量元数据提取日志通用部分的内容与格式，表A.6规定了流量元数据提取日志中

HTTP审计专用部分的内容与格式，表A.7规定了流量元数据提取日志中FTP审计专用部分的内容与格

式，表A.8规定了流量元数据提取日志中邮件审计专用部分的内容与格式，表A.9规定了流量元数据

提取日志中数据库审计专用部分的内容与格式，表A.10规定了流量元数据提取日志中登录动作审计专

用部分的内容与格式，表A.11规定了流量元数据提取日志中DNS数据审计专用部分的内容与格式，表

A.12规定了流量元数据提取日志中文件传输审计专用部分的内容与格式。

7

DB3205/T1043—2022

表A.5通用部分

序号数据项英文名称数据项中文描述必填说明

1device_ip设备IP是设备IP

2time时间是发生时间

3sip_ipv4源IPv4地址是关联的源IPv4地址

4sip_ipv6源IPv6地址否关联的源IPv6地址

5smac源MAC地址否关联的源MAC地址

6sport源端口是关联的源端口

7sregion源IP归属地否当源IP是互联网IP时填写，例如美国、日本

8dip_ipv4目的IPv4地址是关联的目的IPv4地址

9dip_ipv6目的IPv6地址否关联的目的IPv6地址

10dmac目的MAC地址否关联的目的MAC地址

11dport目的端口是关联的目的端口

当目的IP是互联网IP时填写，例如美国、日

12dregion目的IP归属地否

本

应用层协议

13proto_2应用层协议是邮件审计包括但不限于：pop3/smtp/imap

数据库审计包括但不限于：mysql

表A.6HTTP审计

序号数据项英文名称数据项中文描述必填说明

1methodHTTP请求方法是HTTP请求方法

2uri请求的资源是HTTP审计日志中的请求资源

3host请求的域名是HTTP审计日志中的请求的域名

4origin请求的原始来源否HTTP审计日志中的请求的原始来源

5cookiecookie否HTTP审计日志中的cookie

6agent请求者信息否HTTP审计日志中的请求者信息

7referer链接来源否HTTP审计日志中的链接来源

8xff请求真实ip和代理否HTTP审计日志中的请求真实ip和代理

post类型的数据，截取post的部分原始数据，

9data传送的数据是

最多1000字节

10status状态码是响应状态

11setcookiesetcookie否setcookie

12content_type内容类型否内容类型

8

DB3205/T1043—2022

表A.7FTP审计

序号数据项英文名称数据项中文描述必填说明

1user用户名是用户名

FTP的控制命令每产生一个操作就会产生一条

2seq操作命令序号是日志。用户每次登录后会有多个操作，这个字

段用来标明操作顺序，计数从0开始

3op操作命令是操作命令

4ret操作结果是操作的结果

表A.8邮件审计

序号数据项英文名称数据项中文描述必填说明

1mid邮件message-id否邮件message-id

2mail_time发送或接收时间是邮件的发送或接收时间

3mail_from发件人是邮件的发件人

4to收件人是邮件的收件人

5cc抄送人否邮件的抄送人

6subject邮件主题是邮件的主题

7body邮件正文是邮件的正文

8references被回复的id否邮件中被回复的id

9bcc密送否邮件的密送

10returnpathReturnpath头部否邮件的Returnpath头部

11receivedReceived头部否邮件的Received头部

12attach_md5附件md5否附件md5

13mime_type附件类型否附件类型

14name附件名称否附件名称

表A.9数据库审计

序号数据项英文名称数据项中文描述必填说明

1version协议版本是协议的版本

2db_type数据库类型是Mssql，oracle，mysql，postgresql等值

3user用户名是用户名

4db_name数据库名是数据库名

5ret_code操作返回信息是操作返回信息

6sql_info操作信息是操作信息

7normal_ret操作结果否0：失败，1：成功

9

DB3205/T1043—2022

表A.10登录动作审计

序号数据项英文名称数据项中文描述必填说明

1passwd登陆密码是不能以明文显示或回传

2info登陆结果是0：失败，1：成功

3user用户名是用户名

当登录的是数据库时，该字段会有数值，表示

4db_type数据库类型否

数据库具体类型

表A.11DNS数据审计

序号数据项英文名称数据项中文描述必填说明

1dns_typeDNS访问类型是DNS访问类型

2hostHost是Host

3addr地址资源是地址资源

4mx邮件交换记录是邮件的交换记录

5cname域名规范名称是域名的规范名称

6reply_code响应结果状态是响应结果状态

7count统计值否dns头部统计信息

表A.12文件传输审计

序号数据项英文名称数据项中文描述必填说明

1uri传输的资源及路径否http使用

2host域名否http使用

3referer链接来源否http使用

4status状态码否http使用

http使用，0：服务端传往客户端，1：客户端

5file_dir标示文件方向否

传往服务端

6trans_mode传输模式否ftp使用，0：上传，1：下载

7method方法否http使用

8file_name文件名字是文件名字

9file_md5文件MD5是文件MD5

10mime_type文件类型是文件类型

A.3原始数据包和样本格式

原始数据包、样本包括数据包文件格式、TCP会话审计、UDP会话审计、HTTP、FTP类格式、邮件

类格式等。

表A.13规定了原始数据包和样本中数据包的内容与格式，表A.14规定了原始数据包与样本中TCP

会话审计的内容与格式，表A.15规定了原始数据包与样本中UDP会话审计的内容与格式，表A.16规

定了原始数据包与样本中HTTP、FTP类的内容与格式，表A.17规定了原始数据包与样本中邮件类的内

容与格式。

10

DB3205/T1043—2022

表A.13数据包文件格式

序号数据项英文名称数据项中文描述必填说明

1device_ip设备IP是设备IP

2link_id设备链路ID否