1Xxxxx內生安全系統(tǒng)安全日志技術要求本要求規(guī)定了內生安全領域內的事件表達、事件記錄、記錄交換與存儲、記錄安全等內容，包括內生安全領域日志事件表達數(shù)據模型、日志事件表達語義、事件記錄的數(shù)據載體、日志采集、日志存儲、日志共享，以及所有涉及整個事件記錄生命周期的管理規(guī)范。本文檔適用于內生安全領域內的產品以及其派生品等日志信息提供方與需求方之間進行事件信息的生成、共享和使用。領域內產品的運維平臺與安全威脅信息共享平臺的建設與運營可參考使用。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。IETFRFC2119在RFC中用于指示要求級別的關鍵詞(KeywordsforuseinRFCstoIndicateRequirementLevels)IETFRFC5424系統(tǒng)日志協(xié)議(TheSyslogProtocol)IETFRFC5234增強型的用語規(guī)范(AugmentedBNFforSyntaxSpecifications:ABNF)IETFRFC4627JSON要求（Theapplication/jsonMediaTypeforJavaScriptObjectNotation）ISO8601數(shù)據存儲和交換形式·信息交換·日期和時間的表示方法(DateandTimeFormats)中華人民共和國主席令第53號中華人民共和國網絡安全法3術語和定義本文件的術語與定義主要分為兩部分，分別是規(guī)范的術語與定義、內生安全系統(tǒng)安全日志術語與定義。3.1系統(tǒng)日志或系統(tǒng)記錄協(xié)議syslogsyslog常被稱為系統(tǒng)日志或系統(tǒng)記錄，是一種用來在互聯(lián)網協(xié)議(TCP/IP)環(huán)境中傳遞記錄檔消息的要求協(xié)議，RFC文檔編號為5424。3.2JavaScript對象表示法JavaScriptObjectNotation,JSON是一種互聯(lián)網常用數(shù)據交換的文本格式，而不是一種編程語言。23.3UTF-88-bitUnicodeTransformationFormat8比特可變長度Unicode編碼轉換格式。3.4最大傳輸單元MaximumTransmissionUnit,MTU一般常見以太網的MTU為1500字節(jié)。3.5編碼encoding每個編碼聲明都定義了如何使用特定語法將事件表達為構建成便于消費者解析的事件記錄的過程。3.6解碼decoding事件的消費者通過特定語法簡單地解碼的事件記錄以獲得原始事件信息的過程。3.7字段字典fieldtypesdictionary是應用于領域內的事件表達的字段和數(shù)據類型等信息的列表。3.8通用字段字典commonfieldtypesdictionary定義了跨擬態(tài)設備和應用程序類型的字段字典。3.9最佳實踐字段字典specificfieldtypesdictionary定義了單個業(yè)務形態(tài)內擬態(tài)設備和應用程序中使用的字段字典。3.10事件分類法eventtaxonomy用于1個或多個類別對事件進行分類，用于明確事件的類型。3.11事件分類標簽eventtaxonomylabel由一組類別以及最能描述事件的每個類別的標簽值組成。3.12事件所屬域event_domain3Xxxxx是事件發(fā)生的作用域。3.13事件動作event_action是描述事件發(fā)生的動作。3.14作用對象event_object事件的目標對象或影響的對象3.15服務類型event_service是事件涉及的服務或者操作類型3.16事件結果event_status是事件發(fā)生后產生的結果3.17事件意義event_subject是事件本身的產生的意義。3.18事件分類標簽詞匯表eventtaxonomylabeltable是內生安全領域內事件分類標簽的受控詞匯表。3.19通用事件分類標簽表commoneventtaxonomylabeltable定義了跨擬態(tài)設備和應用程序類型的事件標簽的受控詞匯表。3.20最佳實踐事件分類標簽表specificeventtaxonomylabeltable定義了單個業(yè)務形態(tài)內擬態(tài)設備和應用程序中使用的事件標簽的受控詞匯表。3.21結構化數(shù)據structureddata一種數(shù)據表示形式，按此種形式，由數(shù)據元素匯集而成的每一個記錄的結構都是一致的并且可以使用關系模型予以有效描述。3.224非結構化數(shù)據unstructureddata不具有預定義模型或未以預定義方式組織的數(shù)據。3.23日志數(shù)據分析logdataanalysis為提取有價值信息和形成決策而對日志數(shù)據加以詳細研究和概況總結的過程。3.24日志數(shù)據安全logdatasecurity通過采取必要措施，確保數(shù)據處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。3.25日志數(shù)據脫敏logdatamasking是指對某種或多種敏感日志數(shù)據通過脫敏規(guī)則進行數(shù)據的變形，實現(xiàn)對敏感日志數(shù)據的保護。3.26功能等價異構執(zhí)行體functionequalexecuteobject功能等價結構不同的執(zhí)行體，執(zhí)行體可以是網絡、平臺、系統(tǒng)、部件或模塊、構件等不同層面、不同粒度的設備或設施，也可以是軟件實現(xiàn)對象、硬件實現(xiàn)對象、軟硬結合實現(xiàn)對象、虛擬化實現(xiàn)對象。3.27擬態(tài)裁決mimicmultimoderuling依據相對正確公理做出多數(shù)或少數(shù)、一樣或不一樣的判別。3.28清洗恢復機制cleaningandrecover用來處理異常輸出矢量的異構執(zhí)行體。3.29多維動態(tài)重構multi-dimensiondynamicreconfigure按照事先制定的重構重組方案從異構資源池中抽取構件元素生成功能等價的新執(zhí)行體或編碼架構的過程。3.30狀態(tài)同步statesynchronization清洗恢復后的執(zhí)行體需要與在線執(zhí)行體進行狀態(tài)或場景再同步以維持與擬態(tài)裁決機制的同步的過程。5Xxxxx3.31動態(tài)異構冗余架構dynamicheterogeneousredundancy,DHR動態(tài)異構冗余架構，理論上要求系統(tǒng)具有視在結構表征的不確定性。包括非周期的從功能等價的異構冗余體池中隨機的抽取若干個元素組成當前服務集，或者重構、重組、重建異構冗余體自身，或者借助虛擬化技術改變冗余執(zhí)行體內在的資源配置方式或視在運行環(huán)境,或者對異構冗余體作預防性或修復性的清洗、初始化等操作，使攻擊者在時空維度上很難有效的再現(xiàn)成功攻擊的場景。3.32擬態(tài)界mimicinterface,MI擬態(tài)界一般包含若干組定義規(guī)范、協(xié)議嚴謹?shù)姆眨ú僮鳎┕δ埽ㄟ^要求化協(xié)議或可歸一化規(guī)范實施一致性或符合性測試，且能夠判定多個異構執(zhí)行體在給定服務（操作）功能甚至性能上的等價性4內生安全系統(tǒng)安全日志記錄要素要求4.1內生安全系統(tǒng)安全日志事件本要求將內生安全系統(tǒng)安全日志的發(fā)生的事件分為兩類，擬態(tài)產品的系統(tǒng)運行事件與網絡空間擬態(tài)防御安全事件。本要求為基于多模裁決的策略分發(fā)和多維動態(tài)重構負反饋控制構造（DHR架構）的產品（設備）提供一種統(tǒng)一的結構化事件表達方法，并將事件信息的生產、共享和消費的過程可以分為五個步驟的生命周期，本要求將其稱為網絡空間擬態(tài)防御事件的生命周期。統(tǒng)一的通用表達模型，確保領域內基于DHR架構的產品（設備）產生的事件表達的一致性，從而提高事件信息共享的效率、互操作性。圖1.DHR典型架構DHR典型架構：6a)輸入/輸出代理：作為擬態(tài)括號的左右邊界功能，一方面需要將擬態(tài)界的輸入激勵按照調度策略導入相應的執(zhí)行體，另一方面將功能等價可重構執(zhí)行體集合輸出矢量導入裁決器。b)功能等價執(zhí)行體集：功能等價結構不同的執(zhí)行體集合，執(zhí)行體可以是網絡、平臺、系統(tǒng)、部件或模塊、構件等不同層面、不同粒度的設備或設施，也可以是軟件實現(xiàn)對象、硬件實現(xiàn)對象、軟硬結合實現(xiàn)對象、虛擬化實現(xiàn)對象。c)擬態(tài)裁決：依據相對正確公理做出多數(shù)或少數(shù)、一樣或不一樣的判別。d)基于反饋控制函數(shù)的控制器：基于擬態(tài)裁決的異常感知機制，生成多維動態(tài)重構的策略，并對擬態(tài)括號內的功能等價執(zhí)行體進行重構。內生安全系統(tǒng)安全日志事件的生命周期：a)事件表達：領域內事件的描述記錄基于合規(guī)要求、政策和行業(yè)最佳實踐制定的要求，按照行業(yè)數(shù)據模型準確地對事件進行描述；b)事件信息編碼：將對事件的描述按照通用和相關數(shù)據被編碼成一個日志記錄；本要求中事件記錄與日志同義，不做區(qū)分；c)事件信息交換與共享：這些記錄通過文件或數(shù)據包的形式由在生產設備、中繼設備、消費設備之間交換與共享；d)事件信息解碼：對編碼的日志記錄進行解碼以理解與分析日志承載的原始事件信e)事件消費：分析事件，從而進行一系列數(shù)據消費行為，例如：根據事件標簽分類存儲歸檔，或對其分析以確定它們是否符合已識別的要求，從而判斷是否需要進一步調查事件。4.2內生安全系統(tǒng)安全日志事件表達模型4.2.1內生安全系統(tǒng)安全日志事件表達的組件本要求在內生安全系統(tǒng)安全內事件在生命周期的每個步驟中定義了關鍵組件的規(guī)范。關鍵組件包括：事件表達的信息維度、事件表達的字段字典、事件分類標簽詞匯表、事件表達的數(shù)據組織格式。事件表達的信息維度：定義事件表達的6個信息維度，包括事件所屬域(event_domain)、事件動作(event_action)、作用對象(event_object)、服務類型(event_service)、事件結果(event_status)、事件意義(event_subject)，對領域內可觀測的事件進行描述。事件表達的字段字典：定義領域內通用字段字典，提供可用于記錄、共享和分析事件的通用詞匯和語法來解決領域內不同業(yè)務設備的供應商之間的對同一事件的表達術語不一致問題，以便寫入日志數(shù)據的設備和應用程序可以使用統(tǒng)一的字段描述。事件分類標簽詞匯表：定義了由一組類別以及最能描述事件的每個類別的標簽值組成詞匯表。利用統(tǒng)一的分類標簽詞匯表給領域內的事件打上事件分類標簽信息，可實現(xiàn)跨不同擬態(tài)防御產品與擬態(tài)防御組織的事件類型得到一致的表達。如果多個內生安全領域的系統(tǒng)觀察到同一事件，則它們對該事件的分類描述應該相同。事件表達的數(shù)據組織格式：定義提供了一種以定義明確、易于解析和解釋的數(shù)據格式來表達事件的機制。4.2.2內生安全系統(tǒng)安全日志事件表達的信息維度本要求規(guī)定領域內DHR架構的各個組件產生的“可觀測性系統(tǒng)運行事件”與基于多個異構執(zhí)行體提供群體態(tài)勢感知能力產生“網絡空間擬態(tài)防御安全事件”的表達必須具備如下六個維度的信息：7Xxxxx事件所屬域(event_domain)：事件發(fā)生的時空信息、作用域或上下文環(huán)境，可以分為擬態(tài)界內事件、非擬態(tài)界內事件、操作系統(tǒng)事件、應用程序事件、網絡事件等；事件動作(event_action)：描述事件發(fā)生的動作，例如：登錄、訪問、執(zhí)行或修改等；作用對象(event_object)：描述事件的目標對象或影響的對象；服務類型(event_service)：描述事件涉及的服務或者操作類型，也可以是事件發(fā)生的上下文描述、以及更精確的事件發(fā)生域；事件結果(event_status):描述事件發(fā)生后產生的結果，例如：動作執(zhí)行成功、執(zhí)行失敗事件意義(event_subject)：描述事件發(fā)生后的產生的影響或本次事件的意義。例如：擬態(tài)路由器中記錄的事件，有的是記錄正常運行事件，有的是記錄差模擾動安全事件；有的差模擾動事件觸發(fā)相應的調度事件，有的差模擾動事件無關聯(lián)事件觸發(fā)；本要求定義的事件表達六要素是必須選項。4.2.3內生安全系統(tǒng)安全日志事件表達的字段字典字段字典字段字典（FieldTypesDictionary）是應用于領域內的事件表達的字段和數(shù)據類型等信息的列表。字典中的每個字段都包含一個字段應用域標識符、字段標識符、字段類型、字段值取值范圍、字段的準確含義的描述。領域內的工程實踐往往執(zhí)行相同功能的不同應用程序或設備用不同的詞匯來報告信息，或用相同的詞匯表達不同功能的執(zhí)行信息。本要求的字段字典通過提供可用于記錄、共享和分析日志數(shù)據的通用詞匯和語法來解決領域內不同業(yè)務設備的供應商之間的這些不一致問題，以便寫入日志數(shù)據的設備和應用程序可以使用統(tǒng)一字段。使用相同的字段字典可確保事件消費者和最終用戶始終包含并使用預期的事件詳細信息，這將降低日志管理的成本并使所提供的信息更加一致和準確，更加關注日志管理的核心功能研發(fā)上。領域通用字段字典與最佳實踐字段字典考慮內生安全領域的開放性與專有業(yè)務的多樣性，沒有一個單一的、大而全的字段字典可以要求的、規(guī)范的對領域內所有可能的事件維度完整的統(tǒng)一的表達。本要求允許領域內任何組織可以為任何用途的設備與應用程序創(chuàng)建特定業(yè)務形態(tài)的字段字典，字段字典包括兩部分：a)通用字段字典（CommonFieldTypesDictionary）：定義了跨擬態(tài)設備和應用程序類型的字段字典。最佳實踐字段字典（SpecificFieldTypesDictionary）：定義了單個業(yè)務形態(tài)內擬態(tài)設備和應用程序中使用的字段字典。b)通用字段字典由內生安全聯(lián)盟擬態(tài)防御要求委員會維護，是領域內事件描述術語的最小集。最佳實踐字段字典由領域內不同組織創(chuàng)建本組織內的字段字典，并提交給聯(lián)盟要求委員會審核、歸檔、發(fā)布。要求委員會周期匯總最佳實踐字段字典內字段，同義字段在超過50%以上的最佳實踐字段字典中出現(xiàn)時，必須新增到通用字段字典，并在最佳實踐字典中刪除。8字段字典約束規(guī)范為了確保字段在領域內的許多產品中有用并真正要求化事件表達，字段字典中的所有字段及其屬性都必須符合以下要求：a)字段/字段應用域標識符（即對象和名稱組件）只能由ASCII字母數(shù)字和_（下劃線）字符組成：[0-9a-zA-Z]+。b)字段/字段應用域標識符不區(qū)分大小寫，并且分層結構為零個或多個上下文對象和標識字段名稱的組合。具有上下文對象的分層結構的字段/字段應用域標識符應該表示為用點(.)分隔，這稱為內聯(lián)字段語法。例如：src對象中的ipv4字段可以表示為src.ipv4。這種模式遵循許多常見的編程語言，包括Java、C++和Javascript。c)字段/字段應用域標識符總長度小于255。d)通用字段字典中的字段必須足夠常見以保證包含，不常見或不通用的字段不應該包括在內。e)最佳實踐字段字典應該保證包含本業(yè)務形態(tài)內特有的字段，即使只有一個事件報告使用了該字段，該字段名稱也將被概括，以允許未來的進入者使用該字段。f)最佳實踐字段字典中不得出現(xiàn)與通用字段字典同名字段，如果某一業(yè)務形態(tài)內需要用同名不同義、同名同義不同類型的字段時，應該在最佳實踐字段中新增不同名字段。g)最佳實踐字段字典中不得出現(xiàn)與通用字段字典同名同義同類型不同取值范圍時，最佳實踐字段字典中的字段取值范圍必須明確說明。h)字段字典頭部必須包含對象應用域、字段標識符、字段類型、字段描述、取值范圍，除非本要求本身發(fā)生變化，否則這些頭部字段不得更改。i)字段字典中的每個字段都必須指定一個數(shù)據類型，該數(shù)據類型指定字段值的表示方式。如果沒有類型限制，則應該使用string類型。字段類型必須是對本要求中有效數(shù)據類型的引用，不得使用此列表之外的數(shù)據類型。有效的數(shù)據類型是：1)string：0個或多個UTF-8編碼的Unicode字符序列。2)byte:1個UTF-8編碼的字符。3)bool：布爾值true或false。4)number：整數(shù)（短整型short\整型int\長整型long）或浮點數(shù)值(單精度float/雙精度double)。數(shù)值可以是正數(shù)或負數(shù)，并且可以使用科學計數(shù)法。5)null：空值或null值。6)datetime：Datetime值表示時間戳，允許精確到毫秒的完整時間規(guī)范，包括時區(qū)UTC偏移量。如果未提供時區(qū)信息，則必須假定日期時間以UTC形式給出。首選的表示格式是ISO8601中定義的datetime格式。7)ipv4：IPv4值用于表示IPv4網絡地址。首選格式是使用點分十進制字符串表示：、8)ipv6：IPv6值代表IPv6網絡地址。IPv6地址的首選格式是要求的十六進制冒號和所有批準的縮寫格式（例如：::）。9)object：對象值由多個基本類型的結構化數(shù)據組成復雜對象，表示為一系列名稱-值對。10)file：文件對象。11)array：數(shù)組或列表對象。9Xxxxx字段字典舉例object_domainField_identifierTypeDescriptionRangemimicrouterexception_timedatetime發(fā)現(xiàn)異常的時間符合"YYYY-MM-DDHTH:MM:SS,sss+hh:mm"格式，例如："2020-09-11T08:45:57+08:00"4.2.4內生安全系統(tǒng)安全日志事件分類標簽事件分類標簽事件分類法(eventtaxonomy)是用于指定類別對事件進行分類，用于明確事件的類型。事件分類維度必須取自事件表達的六個信息維度。事件分類標簽(eventtaxonomylabel)由一組類別以及最能描述事件的每個類別的標簽值組成。事件分類將事件打上事件分類標簽信息，可實現(xiàn)跨不同擬態(tài)防御產品與擬態(tài)防御組織的事件類型得到一致的表達。如果多個內生安全領域的系統(tǒng)觀察到同一事件，則它們對該事件的分類描述應該相同。因此，后端日志分析系統(tǒng)應該能夠立即確定兩個日志是否引用相同類型的事件。事件分類標簽詞匯表(commoneventtaxonomylabeltable)是內生安全領域內事件分類標簽的受控詞匯表。在事件分類標簽詞匯表中每一行由所屬分類、類別標簽值、定義描述。領域通用事件分類標簽與最佳實踐事件分類標簽內生安全領域的開放性與專有業(yè)務的多樣性，領域內的產品和專有業(yè)務的所有可能事件類別既有共同可觀測到的事件又有其特有的事件。本要求允許領域內任何組織可以為任何用途的設備與應用程序創(chuàng)建特定業(yè)務相關的事件分類標簽，事件分類標簽表包括兩部分：a)通用事件分類標簽表(commoneventtaxonomylabeltable)：定義了跨擬態(tài)設備和應用程序類型的事件標簽的受控詞匯表。b)最佳實踐事件分類標簽表(specificeventtaxonomylabeltable)：定義了單個業(yè)務形態(tài)內擬態(tài)設備和應用程序中使用的事件標簽的受控詞匯表。通用事件分類標簽表由內生安全聯(lián)盟擬態(tài)防御要求委員會維護，是領域內共性事件類型描述術語的詞匯表。最佳實踐事件分類標簽表由領域內不同組織創(chuàng)建，并提交給聯(lián)盟要求委員會審核、歸檔、發(fā)布。事件分類標簽的約束規(guī)范事件分類標簽表與字段字典中的字段在標識符方面要求保持一致，但有以下特有的約束規(guī)范：a)事件分類標簽標識符應該為有意義的標識符。b)某一個事件分類標簽如果是數(shù)據類型字符串，其屬性值的枚舉應該受到限制。c)各類別標簽的屬性值必須指定至少一個可能的值；當一個維度存在多個類別標簽值時通過分隔符','進行分割。d)通用事件分類標簽表中的類別標簽必須是領域內共性事件類別標簽，不通用的類別不應該包括在內。4.2.5內生安全系統(tǒng)安全日志事件表達數(shù)據組織格式內生安全領域內事件表達的數(shù)據組織格式遵循擴展的巴科斯諾爾范式(ABNFRFC5234)版本。事件表達數(shù)據組織格式mimiceventexpress=HEADERSPENTITYCRLF事件表達頭域數(shù)據組織格式事件表達頭域（HEADER）數(shù)據組織格式目的在于通過領域內字段字典中的字段，確定本次信息的數(shù)據邊界，為數(shù)據交換的雙方提供一些互操作性，雙方必須都支持的字段，字段字典以外的的字段不得在頭域部分擴展。HEADER=VERSIONSPTIMESTAMPSPPRIVALSPLOCATIONSPLOGTYPE[SPMSGIDSPMSGOFFSET]#消息頭組成a)VERSION：VERSION字段表示領域內事件表達規(guī)范的版本。對于更改HEADER格式的任何部分的任何新協(xié)議規(guī)范，版本號必須遞增。更改包括添加或刪除字段，或更改現(xiàn)有字段的語法或語義。VERSION值通過本要求第7章節(jié)中描述的要求操作方法來分配。b)TIMESTAMP：TIMESTAMP字段表示事件發(fā)生的時間，允許精確到毫秒的完整時間規(guī)范，包括時區(qū)UTC偏移量。如果未提供時區(qū)信息，則必須假定日期時間以YYYY-MM-DDThh:mm:ss,sss±hh:mm。范例：如要表示北京時間2004年5月3日下午5點30分8秒，可以寫成2004-05-03T17:30:08+08:00；如UTC時間下午2點30分5秒表示為14:30:05Z；c)PRIVAL：PRIVAL字段表示事件記錄的級別。1)PRIVAL遵循RFC5424，取值”Emergency，Alert，Critical，Error，Warning，Notice，Info，Debug“；2)PRIVAL取值不區(qū)分大小寫；表1事件記錄的級別code定義0systemisunusableEmergency1actionmustbetakenimmediatelyAlert2criticalconditionsCritical3errorconditionsError4warningconditionsWarning5normalbutsignificantconditionNotice6informationalmessagesInfo7debug-levelmessagesDebugXxxxxd)LOCATION：LOCATION字段旨在定位事件發(fā)生的空間位置。LOCATION字段數(shù)據組織格式如下：LOCATION=0*(LOCATIONTYPE:LOCATIONVALUE;)表2location編碼表類型編碼(code)類型定義(definition)舉例1process_id進程標識：標識事件發(fā)生在哪個進程。process_id:1002thread_id線程標識：標識事件發(fā)生在哪個線程。thread_id:1003function_name函數(shù)標識：標識事件發(fā)生在哪個函數(shù)。function_name:main4line_id行號標識：標識事件發(fā)生在哪一行。line_id:1005file_name文件標識：標識事件發(fā)生在哪個代碼文件file_name:main.c1)LOCATIONVALUE表示具體的位置值，使用的字符集必須是8位字段中的7位ASCII中可顯示字符集，如[RFC5234]中所述。2)LOCATION字段由0或多個元素組成。多個元素必須通過分隔符;分割；0個元素則以空字符串標識"";例如：”process_id:100;thread_id:100“。e)LOGTYPE:LOGTYPE字段用于表示記錄事件的日志類型，其編碼如下：表3日志類型Code定義1系統(tǒng)啟動、運行過程中記錄的日志，表明系統(tǒng)的一些啟動日志、啟動參數(shù)等desc2系統(tǒng)性能統(tǒng)計日志，應用會定時收集一些性能信息，便于查詢應用當前狀態(tài)stat3外部請求相關的日志，定位該請求相關的所有日志visit4業(yè)務數(shù)據相關日志，主要提供給數(shù)據統(tǒng)計使用biz5差模擾動日志dmf6執(zhí)行體調度日志sched7idsf)MSGID：MSGID唯一標識一條消息，可選字段；1)相同的消息MSGID攜帶的消息實體應該反映相同語義的事件；2)MSGID為遞增序列；g)MSGOFFSET:MSGOFFSET標識當前消息實體部分相對于初始消息實體部分的偏移值。1)MSGOFFSET必須在MSGID存在的前提下填寫；2)MSGOFFSET用于同一MSGID需要分多行記錄時消息接收端對消息的重組。當前記錄是最后一分段時此值為-1；3)消息無分段，則MSGOFFSET可不填。事件表達實體數(shù)據組織格式a)EVENT-STRUCTURED-EXPEVENT-STRUCTURED-EXP提供了一種以定義明確、易于解析和解釋的數(shù)據格式來表達事件的機制。EVENT-STRUCTURED-EXP必須包含6個結構化數(shù)據元素，在本文檔中稱為“SD-ELEMENT”。EVENT-STRUCTURED-EXP中的6個結構化數(shù)據元素必須涵蓋事件表達的六個要素：事件所屬域（event_domain）、事件動作（event_action）、事件作用對象（event_object）、服務類型（event_service）、事件結果（event_status）、事件意義（event_subject）。SD-ELEMENT通過key-value鍵值對的數(shù)據格式對事件表達的六個要素記錄。1)Key值必須為事件表達的六個要素；2)Value值必須來自本要求中的字段字典、事件分類標簽詞匯表中的字段或標簽；3)Value可以有0至多個取值；4)在EVENT-STRUCTURED-EXP中，如果Value為空值，則取值為空值""，舉例：event_domain:"";5)當某一Value值有多個取值時，此值應該以列表形式組織[]，多個取值直接采用分隔符,，這樣的好處是可讀性更高；下面給出EVENT-STRUCTURED-EXP數(shù)據組織的示例："event_domain":"mimic_multimode_ruling","event_action":"access","event_object":"configure_table","event_service":"multimode_ruling","event_status":"success","event_subject":"dmf_security_abnormal"b)STRUCTURED-DATASTRUCTURED-DATA提供了一種以定義明確、易于解析和解釋的結構化數(shù)據格式（“SD-ELEMENT”）來記錄事件關鍵信息的機制。SD-ELEMENT通過key-value鍵值對的數(shù)據格式對事件關鍵信息記錄。1)Key值必須來自本要求的字段字典中的字段；2)Value值必須滿足對應的Key值字段屬性定義；3)當某一Value值有多個取值時，此值應該以列表形式組織[]，多個取值直接采用分隔符,，這樣的好處是可讀性更高；下面給出STRUCTURED-DATA數(shù)據組織的示例："mimicrouter.msg_src":"config_multimode_ruling","mimicrouter.exception_time":"2022-01-0109:48:07"c)ADDITION-MSGADDITION-MSG提供一種利用非結構化的數(shù)據(NO-STRUCTURED-DATA)組織格式補充事件信息的機制。ADDITION-MSG中使用的字符集必須是8位字段中的7位ASCII，如[RFC5234]中所述。事件表達實體數(shù)據組織格式示例："event_domain":"mimic_multimode_ruling","event_action":"access","event_object":"configure_table","event_service":"multimode_ruling","event_status":"success","event_subject":"dmf_security_abnormal","mimicrouter.msg_src":"config_multimode_ruling","mimicrouter.exception_time":"2022-01-0109:48:07","addition_msg":"finderrorconfig!"\r\n4.2.6內生安全系統(tǒng)安全領域內具體可觀測事件最小集本要求將內生安全領域內的可觀測事件記錄為日志，因此，日志可以分為兩類：DHR架構各組件的的系統(tǒng)運行日志與內生安全系統(tǒng)安全日志；DHR架構各組件的可觀測的系統(tǒng)運行事件a)事件自身屬性（event）Xxxxx表4事件自身屬性字段字典字段對象域（object_domain）字段標識符（Field_identifier）字段類型字段描述(Description)字段取值范圍（Range）eventhost_namestring事件主機的名字1~255ipv4ipv4事件所在的主機IPV4地址/32ipv6ipv6事件所在的主機IPV6地址::/128portnumber事件所在主機的應用端口號0~65535app_namestring事件所屬應用名字1~255pnamestring產生事件的進程的名字1~255msgstring事件描述信息msgidstring事件描述信息的身份標識pidstring產生事件的進程的身份標識privstring事件級別（參照表3事別）tidnumber與產生事件相關的線程的身份標識輸入代理（input_agent）輸入代理功能主要是將擬態(tài)界外的輸入激勵信號靈活地連接到相應地異構執(zhí)行體，因此，輸入代理事件記錄是與輸入信號分發(fā)與適配有關。可觀測的事件最小集包括內容：1)激勵信號，擬態(tài)界外輸入的信號；2)激勵信號分發(fā)動作，擬態(tài)界上的輸入代理執(zhí)行輸入信號分發(fā)動作將輸入信號導入相應的執(zhí)行體；3)激勵信號適配動作，擬態(tài)界上的輸入代理根據透明性的要求將輸入的信號與各個執(zhí)行體要求的輸入信號之間存在的差異做適配處理；4)激勵信號的合規(guī)控制、黑白名單過濾等主被動防御措施表5輸入代理事件分類標簽通用詞匯表最小集事件類別類別標簽值定義/描述event_domainmimic_interface事件記錄發(fā)生在擬態(tài)界上input_agent事件記錄發(fā)生在輸入代理event_actiondistribute事件的動作是分發(fā)激勵信號adapte事件的動作是處理激勵信號以適配相應的執(zhí)行體check事件的動作是激勵信號檢查filter事件的動作是激勵信號過濾event_objectexcitation_signal事件作用的目標對象，擬態(tài)界外輸入的激勵信號event_serviceinput_distribution事件涉及的操作類型是輸入分發(fā)input_adpator事件涉及的操做類型是輸入適配input_compliancecheck事件涉及的操作類型是輸入信號的合規(guī)性檢查input_filter事件涉及的操作類型是對輸入信號進行黑白名單過濾eventstatusfail事件結果失敗success事件結果成功pass事件結果通過block事件結果阻斷event_subjectsystemrunning_normal正常系統(tǒng)運行事件記錄systemrunning_abnormal異常系統(tǒng)運行事件記錄security_normal主被動防御動作記錄正常安全事件security_abnormal主被動防御動作記錄異常安全事件表6輸入代理字段字典字段對象域（object_domain）字段標識符（Field_identifier）字段類型字段描述(Description)字段取值范圍（Range）input_agentcompliance_rules_filefile合規(guī)規(guī)則文件compliance_rules_listobject合規(guī)規(guī)則列表black_white_filefile黑白名單規(guī)則文件black_white_rules_listobject黑白名單過濾規(guī)則列表relation_feeoobject關聯(lián)的執(zhí)行體信息輸出代理（output_agent）輸出代理功能主要是消除多異構執(zhí)行體因為實現(xiàn)算法、支撐環(huán)境和處理平臺方面差異造成的輸出響應方面的差異。此外，為了減少裁決實驗往往輸出代理會使用一些預處理算法。可觀測的事件最小集包括內容：1)接收多模輸出矢量；2)提取擬態(tài)保護的關注點信息；3)多模輸出矢量預處理；4)輸出預處理后的多模輸出矢量；表7輸出代理事件分類標簽通用詞匯表最小集事件類別類別標簽值定義/描述event_domainmimic_interface事件記錄發(fā)生在擬態(tài)界上output_agent事件記錄發(fā)生在輸出代理event_actionreceive事件的動作是接收異構執(zhí)行體輸出的結果send事件的動作是發(fā)送輸出矢量到擬態(tài)裁決extract事件的動作是提取擬態(tài)保護的信息Xxxxxpreprocess事件的動作是對異構執(zhí)行體輸出是輸出矢量預處理event_objectoutput_vector事件作用的目標對象，多異構執(zhí)行體輸出矢量buffer_queue事件作用的目標對象，緩沖隊列event_serviceoutput_vector_receive事件涉及的操作類型是輸出矢量的接收output_vector_send事件涉及的操做類型是發(fā)送處理后的輸出矢量到擬態(tài)裁決output_vector_preprocess事件涉及的操作類型是輸出矢量的預處理output_vector_extraction事件涉及的操作類型是從原始輸出矢量中提取擬態(tài)保護的信息eventstatusfail事件結果失敗success事件結果成功full事件結果緩沖隊列滿empty事件結果緩沖隊列空event_subjectsystemrunning_normal正常系統(tǒng)運行事件記錄systemrunning_abnormal異常系統(tǒng)運行事件記錄表8輸出代理字段字典字段對象域（object_domain）字段標識符（Field_identifier）字段類型字段描述(Description)字段取值范圍（Range）output_agentbuffer_queueobject緩沖隊列output_vectorobject輸出矢量擬態(tài)裁決多模擬態(tài)裁決構成DHR架構廣義不確定擾動的感知能力，對多模輸出矢量進行策略性判決，并將相關狀態(tài)信息發(fā)送給反饋控制器。可觀測的事件最小集包括內容：1)執(zhí)行裁決策略；2)裁決多模輸出矢量；3)記錄差模擾動；4)輸出裁決狀態(tài)信息；表9擬態(tài)裁決事件分類標簽通用詞匯表最小集事件類別類別標簽值定義/描述event_domainmimic_multimode_ruling事件記錄發(fā)生在擬態(tài)裁決event_actionmultimode_ruling事件的動作是裁決輸出event_objectruling_policy事件作用的目標對象，裁決策略output_vector事件作用的目標對象，輸出矢量recorder事件作用的目標對象，差模擾動事件記錄file事件作用的目標對象，差模擾動日志文件ruling_policy_set事件作用的目標對象，裁決策略集event_servicepolicy_execution事件涉及的操做類型是裁決策略執(zhí)行dmf_logging事件涉及的操作類型是差模擾動日事件類別類別標簽值定義/描述志記錄ruling_status_logging事件涉及的操作類型是裁決狀態(tài)信息日志記錄eventstatusfail事件結果失敗success事件結果成功simple利用安全漏洞影響目標系統(tǒng)的難度“簡單”complex利用安全漏洞影響目標系統(tǒng)的難度“復雜”complete利用安全漏洞對目標系統(tǒng)造成的損害程度“完全”part利用安全漏洞對目標系統(tǒng)造成的損害程度“部分”slight利用安全漏洞對目標系統(tǒng)造成的損害程度“輕微”none利用安全漏洞對目標系統(tǒng)造成的損害程度“無”schedule差模擾動造成執(zhí)行體調度no_schedule差模擾動未造成執(zhí)行體調度different_mode_fault造成差模擾動no_dmf未造成差模擾動event_subjectsystemrunning_normal正常系統(tǒng)運行事件記錄systemrunning_abnormal異常系統(tǒng)運行事件記錄no_dmf_security_normal無差模擾動正常安全事件記錄dmf_single_executor_security_abnormal差模擾動單執(zhí)行體異常安全事件記錄dmf_multi_executors_security_abnormal差模擾動多執(zhí)行體異常安全事件記錄dmf_security_abnormal差模擾動異常安全事件記錄表10擬態(tài)裁決字段字典字段對象域（object_domain）字段標識符（Field_identifier）字段類（Type字段描述(Description)字段取值范圍（Range）mimic_multimode_rulingexecutor_infoobject執(zhí)行體信息[““,””]executorcountnumber在線執(zhí)行體數(shù)量“3~MAX_LONG（其中，MAX_LONG代表能表示最大的Long整數(shù)）executor_running_durationnumber執(zhí)行體運行時長0~MAX_LONGXxxxx字段對象域（object_domain）字段標識符（Field_identifier）字段類（Type字段描述(Description)字段取值范圍（Range）dmf_executor_countnumber發(fā)生差模擾動的執(zhí)行體數(shù)量0~executor_countdmf_logobject差模擾動日志數(shù)據結構，裁決作用對象dmf_countnumber差模擾動次數(shù)0~MAX_LONGruling_policyobject裁決策略algorithmstring多模裁決算法“majority_multimode_ruling“:(擇多裁決),“weight_multimode_ruling“:(權重裁決),“random_multimode_ruling“:(隨機裁決)levelstring多模裁決層次/粒度“executor_level“:(執(zhí)行體層次),“component_level“:(組件層次),“payload_level“:(載荷層次),”byte_level”:(字節(jié)層次),”bit_level”:(比特層次)conclusionstring多模裁決結論“completely_same“:(完全相同),“majority_same“:(多數(shù)相同),“minority_same“:(少數(shù)相同),“completely_different”:(完全不同)syslogobject志數(shù)據結構exploiting_difficultystring利用安全漏洞影響目標系統(tǒng)"simple"|"complex"字段對象域（object_domain）字段標識符（Field_identifier）字段類（Type字段描述(Description)字段取值范圍（Range）的難度damage_potentialstring利用安全標系統(tǒng)造成的損害程度"complete"|"part"|"slight"|noneoutput_statusobject輸出到負反饋控制器的狀態(tài)信息output_responseobject裁決后輸出給目標用戶的響應消息output_schedule_policyobject輸出到負反饋控制器的策略信息負反饋控制器DHR結構的負反饋控制器主要功能是根據多模裁決輸出的狀態(tài)信息或調度策略，啟動調度策略改變當前目標系統(tǒng)內服務的執(zhí)行體集的狀態(tài)，使得系統(tǒng)結構表征發(fā)生一次變化。可觀測的事件最小集包括內容：1)接收調度策略；2)執(zhí)行調度策略；3)清洗異常執(zhí)行體；4)下線異常執(zhí)行體；5)上線新執(zhí)行體；6)同步執(zhí)行體狀態(tài)；7)通知輸入代理；8)記錄調度日志；表11負反饋控制器事件分類標簽通用詞匯表最小集事件類別類別標簽值定義/描述event_domainfeedback_control_function事件記錄發(fā)生在負反饋控制器event_actionschedule事件的動作是調度異構執(zhí)行體receive事件的動作是接收調度策略logging事件的動作是日志記錄clear事件的動作是清洗異常執(zhí)行體recover事件的動作是恢復異常執(zhí)行體狀態(tài)Xxxxx事件類別類別標簽值定義/描述synchronize事件的動作是同步新執(zhí)行體狀態(tài)offline事件的動作是下線異常執(zhí)行體online事件的動作是上線新執(zhí)行體notify事件的動作是通知輸入代理當前執(zhí)行體集發(fā)生變化event_objectschedule_policy事件作用的目標對象，調度策略executor事件作用的目標對象，執(zhí)行體recorder事件作用的目標對象，調度事件記錄file事件作用的目標對象，調度日志文件schedule_policy_set事件作用的目標對象，裁決策略集event_serviceschedule_executor事件涉及的操作類型是異常執(zhí)行體調度policy_execution事件涉及的操做類型是調度策略執(zhí)行schedule_logging事件涉及的操作類型是調度日志記錄executor_clear事件涉及的操作類型是執(zhí)行體清洗executorrecover事件涉及的操作類型是執(zhí)行體恢復executor_offline事件涉及的操作類型是執(zhí)行體下線excutor_online事件涉及的操作類型是執(zhí)行體上線msg_notify事件涉及的操作類型是消息通知eventstatusfail事件結果失敗success事件結果成功disconnect鏈接異構執(zhí)行體池失敗no_response通知消息無響應no_schedule未執(zhí)行異構執(zhí)行體調度event_subjectsystemrunning_normal正常系統(tǒng)運行事件記錄systemrunning_abnormal異常系統(tǒng)運行事件記錄executor_schedule_abnormal執(zhí)行體調度異常事件記錄executor_schedule_normal執(zhí)行體調度正常事件記錄executor_recover_abnormal執(zhí)行體恢復異常事件記錄executor_clear_abnormal執(zhí)行體清洗異常事件記錄executor_synchronization_abnormal執(zhí)行體狀態(tài)同步異常事件記錄表12負反饋控制器字段字典字段對象域字段標識符字段類型字段描述字段取值范圍（object_dom（Field_identifier）（Type）(Description)（Range）feedback_control_functionrecorder.scheduleobject差模擾動日志數(shù)據結構recorder.syslogobjectsyslog日志數(shù)據結構executorobject執(zhí)行體信息schedule_policyobject調度策略字段對象域字段標識符字段類型字段描述字段取值范圍（object_dom（Field_identifier）（Type）(Description)（Range）schedule_countnumber調度次數(shù)0~MAX_LONGexecutorcountnumber在線執(zhí)行體數(shù)量3~max_longonline_executor_countnumber本次調度上線的執(zhí)行體數(shù)量0~executor_countonline_executor_listarray本次調度上線的執(zhí)行體IP列表offline_executor__countnumber下線的執(zhí)行體數(shù)量offline_executor_listarray下線的執(zhí)行體IP列表notification_msgobject通知消息數(shù)據結構recover_dataobject恢復的狀態(tài)信息數(shù)據結構clear_dataobject清洗的信息數(shù)據結構syn_dataobject同步的狀態(tài)信息數(shù)據結構recovercount_number執(zhí)行體狀態(tài)恢復次數(shù)clear_countnumber執(zhí)行體清洗的次數(shù)recoverexecutorcount_number恢復的執(zhí)行體數(shù)量clear_executor_countnumber清洗的執(zhí)行體數(shù)量4.3內生安全系統(tǒng)安全日志事件表達編碼本章節(jié)描述了對內生安全領域內采用本文檔的通用事件表達機制表達事件時，進行編碼和解碼的要求。這些要求旨在實現(xiàn)與現(xiàn)有事件編解碼交換要求的最大互操作性。為了確保與其他編碼要求的兼容性，本要求推薦使用XML（可擴展標記語言）和JSON（JavaScript對象表示法）等被廣泛使用的編碼。本文檔定義了與JSON（JavaScript對象表示法）兼容的編碼。本要求允許領域內各個組織定義與開發(fā)采用被廣泛使用的語法對事件表達進行編碼，但是事件表達必須符合章節(jié)4.2內生安全系統(tǒng)安全日志事件表達模型的要求。領域內各個組織指定語法時，必須明確定義了如何使用特定語法將事件表示為事件記錄，并提供最佳實踐。4.3.1日志事件表達語義的定義本要求對事件和事件編碼過程進行了區(qū)分。一旦發(fā)生應該記錄的事件，就會捕獲該事件的相關數(shù)據，然后將其編碼為事件記錄。然后，記錄事件記錄或與任何可以理解消費此事件Xxxxx記錄編碼的設備交換和共享。事件表達語義是為了讓事件消費者消費編碼的事件記錄，事件的生產者與消費者必須簡單地解碼編碼的記錄以獲得原始事件信息。因此，必須在不丟失任何事件數(shù)據的情況下執(zhí)行使用選定語法對事件表達進行編碼和解碼。本文檔定義了與JSON（JavaScript對象表示法）兼容的編碼。4.3.2字段字典映射到JSONJSON提供對六種值類型的對象支持：a)數(shù)值（整型值、浮點值）；b)字符串（""）;c)布爾型（true|false）;d)數(shù)組（[]）;e)對象（{}）：f)空值（null）。字段字典中字段類型到JSON值類型映射：a)數(shù)值類型與布爾類型直接映射到JSON數(shù)值和布爾類型；1)整數(shù)值必須在64位整數(shù)內表示，范圍為[-(2^63),2^63-1]有符號或[0,2^64-1]無符號；2)浮點值必須可以用IEEE75464位浮點格式表示。a)字段取值是多值則映射到JSON數(shù)組；b)字段字典中的object類型直接映射到JSON對象值類型；c)基本字符、字符串或其他非JSON支持的類型均映射到JSON的字符串或對象值類d)為了獲得最大的兼容性，整數(shù)、浮點數(shù)和布爾字段類型應該使用等效的內置JSON類型進行編碼。對應于這些原生類型的值不應該出現(xiàn)在引號字符中。JSON編碼事件記錄的規(guī)范約束：a)JSON編碼的事件記錄必須完全符合RFC4627規(guī)范。b)除了轉義字符的要求JSON要求外，換行符和回車符在用作字段值時也必須轉義。c)所有JSON編碼的事件記錄必須表示為有效的UTF-8編碼的Unicode字符序列。d)具有多個值的JSON編碼事件記錄中的字段必須使用本機JSON數(shù)組機制進行編碼。具有單個值的字段可以包裝在JSON數(shù)組中。e)JSON對象結構應該用于表示字段層次結構。也可以使用內聯(lián)字段名稱。4.3.3JSON編碼舉例#編碼后日志記錄{"event_header":["2021-11-22T17:50:51,520+08:00","INFO","line_id:248","stat","0000","event_entity":{"event_domain":"mimic_multimode_ruling","event_action":"multimode_ruling","event_object":"configure_table","event_service":"multimode_ruling","event_status":"success","event_subject":"dmf_security_abnormal","mimicrouter.msg_src":"config_multimode_ruling","addition_msg":"Reconnectingandresending!"}#編碼前日志記錄2021-11-2217:50:51,520-[arbitrament]:248-INFO-Reconnectingandresending4.4內生安全系統(tǒng)安全日志記錄的物理載體本章節(jié)描述了內生安全領域內通用日志記錄存儲與交換的要求，這些要求定義了日志存儲與傳輸協(xié)議的強制和可選功能。此類規(guī)范使編碼的事件記錄能夠以通用、機器可讀的方式在各方之間共享。本章節(jié)目的是為事件生產者和消費者提供有關如何可靠和安全地共享事件記錄的指導。4.4.1文件形式信息載體的約束規(guī)范文件作為日志的重要載體，至少遵循如下必要的規(guī)范約束：a)事件記錄在文件中的組織方式b)日志記錄之間的分隔。每條日志記錄之間必須通過換行符\r\n的方式進行分隔，界限劃分清晰。c)日志記錄的長度。本要求本身不對日志記錄的大小限制；每條日志記錄會被映射到指定的文件中，其大小由其所在的文件系統(tǒng)與其記錄所有者決定；如果記錄本身需要分多行存儲應該提供明確標識多行為同一事件記錄，標識方法應該顯示提供給記錄共享方。d)不同日志記錄應該顯示區(qū)分。日志記錄必須支持多線程，不同線程之間的日志信息寫同一日志文件時不應該產生沖突，日志信息應該能被顯示區(qū)分出來。e)日志文件的組織方式f)單個日志文件大小。本要求本身不對日志文件的大小限制，其大小由其所在的文件系統(tǒng)與其記錄所有者決定；單個日志文件大小，推薦設置在100M~500M之間。g)日志文件分割規(guī)范要求：1)以一定的周期生成日志文件，推薦以一個自然日為一個周期,便于分類歸檔。2)當單個周期內日志量超過文件大小限制時，必須按照單一文件配置大小分割。3)當單個日志出現(xiàn)跨周期時，日志文件不應該只以日志量大小進行分割，應該創(chuàng)建新的日志文件。h)日志文件的命名組織方式規(guī)范要求：“YYYYMMDD”，便于分類歸檔。例如：mimicrouter_dmf_20220101.log，其中，日期20220101，必須按照“YYYYMMDD”的格式進行統(tǒng)一。Xxxxx2)單個周期內日志文件按照單一文件配置大小分割時，文件命名必須按照文件編號順序生成新文件，日志文件名必須追加文件編號“XXXX”，其中XXXXmimicrouter_dmf_20220101_0001.log，mimicrouter_dmf_20220101_0002.log。3)當單個日志出現(xiàn)跨周期時，應該重新創(chuàng)建一個以最新日志日期命名的文件，不應該在前一個日期的日志日期文件中繼續(xù)追加寫入。例如:當前某個日志文件的日期為20220101，日志文件大小為1M(不需要按照大小分割)，但隨后進入20220102的自然時間周期，那么后續(xù)記錄，應該重新創(chuàng)建一個日志日期為20220102的文件，不應該在日志日期為20220101的已有文件中繼續(xù)追加寫入。4)日志文件的命名組織方式，"設備類型_日志類型_日期.log"；5)設備類型，mimic*，舉例：mimicrouter；6)日志類型，取自事件表達頭域數(shù)據組組織格式LOGTYPE字段；7)日志類型不同語義（層次）的標識符之間以下劃線'_'字符進行連接；8)相同語義（層次）的標識符之間以'-'進行連接。i)日志文件目錄的組織方式j)日志文件目錄的組織方式，應該能夠直觀反映出日志的組織方式，包括分類、索引以及層級等信息。k)日志文件目錄的命名必須取自章節(jié)通用事件分類標簽表和最佳實踐事件分類標簽表描述的標簽元素；l)日志文件目錄的命名禁止使用無法區(qū)分意義的純數(shù)字、與擬態(tài)業(yè)務場景、擬態(tài)事件類型無關的命名方式；4.4.2日志記錄網絡傳輸約束規(guī)范網絡數(shù)據包是日志記錄重要的信息載體之一。日志記錄網絡傳輸約束規(guī)范為安全、可互操作且可靠的日志基礎架構提供在傳輸、交換方面必要的技術支持。網絡數(shù)據包規(guī)范要求網絡數(shù)據包長度。本要求本身不對網絡數(shù)據包的長度做限制，其長度由其映射的傳輸協(xié)議與通信雙方約束決定。但作為日志記錄的載體，應該遵循最大傳輸效率優(yōu)先的準則。單條網絡數(shù)據包既不應該過小，因為過小的載荷會導致網絡傳輸效率的低下；單條網絡數(shù)據包也不應該超過實際傳輸鏈路層的MTU(例如：以太網MTU為1500)值，否則會引起鏈路分片，從而造成數(shù)據包處理效率的低下。網絡數(shù)據包封裝的格式，必須提供及時、準確的封裝格式字典，便于數(shù)據包接收之后的解析工作。網絡傳輸協(xié)議規(guī)范要求內生安全領域中日志記錄傳輸協(xié)議必須符合下面的要求列表，以及特定用例可能需要的附加功能。例如：傳輸協(xié)議必須能夠傳輸JSON編碼的事件記錄。更高級的傳輸協(xié)議可以提供額外的功能，例如：加密和完全確認。本要求根據領域內日志傳輸?shù)膱鼍皩⑦@些要求分為四組。一致性級別0是強制性一致性級別，包括基本能力。進一步的一致性級別描述了更高級的傳輸協(xié)議應該支持的可選功能。一致性級別1是核心能力，提供了穩(wěn)健性的最低要求。一致性級別2包含一組附加要求，用于解決在攻擊者存在的情況下進行日志記錄的問題。一致性級別3包含一組額外的要求，用于解決本地管理攻擊場景。一致性級別3是最強大的要求集。級別要求Level傳輸協(xié)議應該是一個已發(fā)布的協(xié)議規(guī)范，對互操作性沒有許可障礙，沒有特許權使用費，也沒有批準程序。應該僅使用那些公開可用的協(xié)議和要求。2.傳輸協(xié)議應該能夠在協(xié)議包的主體內傳輸至少一種形式的編碼事件記錄。3.傳輸協(xié)議的載荷部分應該支持多條編碼事件記錄批量傳輸?shù)囊蟆?.傳輸協(xié)議應該保持通道數(shù)據包邏輯順序的完整性，以便事件接收器能夠重建原始邏輯順序。5.傳輸協(xié)議應該支持通信雙方可靠的交換日志記錄，具備數(shù)據包確認機制以及應對網絡數(shù)據包的丟失、亂序、重傳等問題的機制。Level傳輸協(xié)議應該通過使用數(shù)字簽名或其他防篡改機制準確可靠地檢測任何篡改或數(shù)據損壞的問題。Level1.傳輸協(xié)議在攻擊者存在的情況下保持事件記錄的機密性、真實性。2.傳輸協(xié)議應該防止消息重放；3.傳輸協(xié)議應該保持傳輸中日志記錄的真實性。4.傳輸協(xié)議應該支持使用最佳實踐加密算法的傳輸加密。實現(xiàn)此要求的一種方法是使用傳輸層安全性(TLS)。保持數(shù)據的機密性，至少在數(shù)據包主體內。Level日志傳輸協(xié)議應該可能被中間人攻擊、冒充與篡改，必須至少執(zhí)行傳輸內容加密、內容傳輸兩端身份認證、傳輸內容完整性校驗的保護措施；實現(xiàn)此要求的一種方法是使用傳輸層安全性(TLS)。網絡傳輸協(xié)議映射實例本要求以映射到SYSLOG(RFC5424)為例介紹傳輸映射，syslog滿足level0。本文檔通過在Syslog消息中包含擬態(tài)領域事件表達的JSON（JavascriptObjectNotation）編碼，來舉例說明符合本要求和Syslog規(guī)范的事件傳輸映射。a)SysLogHeader必須使用要求的SyslogHeader。SyslogHeader的實際格式取決于Syslog協(xié)議版本，并且可能因實現(xiàn)而異。這些Header字段值用于Syslog協(xié)議并且獨立于擬態(tài)事件表達編碼。SyslogHeader字段值不應用于在封閉的擬態(tài)日志事件表達編碼中，不得添加或修改任何值。b)SysLogBody擬態(tài)事件表達必須使用4.3內生安全領域日志事件表達編碼規(guī)范編碼來表示。c)SysLog封裝擬態(tài)事件編碼舉例<165>122021-11-22T17:50:51,520+08:00process-example-event-1@mee:{"event_header":["2021-11-22T17:50:51,520+08:00","INFO","line_id:248","stat","0000"Xxxxx"event_entity":{"event_domain":"mimic_multimode_ruling","event_action":"multimode_ruling","event_object":"configure_table","event_service":"multimode_ruling","event_status":"success","event_subject":"dmf_security_abnormal","mimicrouter.executor_id":"","addition_msg":"Reconnectingandresending!"}5內生安全系統(tǒng)安全日志采集要求5.1明確采集目標a)確定學院采集的擬態(tài)設備類型、型號及其網絡位置和業(yè)務情況。b)了解設備的功能和可能產生的日志類型，例如系統(tǒng)日志、攻擊日志、錯誤日志等。c)針對不同類型的日志，明確其重要性和優(yōu)先級，以便在采集過程中重點關注。5.2選擇采集工具a)業(yè)界類似業(yè)務場景的主流技術選型，具備成熟的社區(qū)，方便問題解決；b)能夠滿足擬態(tài)設備日志數(shù)據與網絡流量采集的需求，具備靈活的采集策略配置，有明確的指導文檔；c)對被采集設備的性能影響在要求范圍內，輕量級，資源占用小資源占用與性能需要開發(fā)后予以評估給出詳細報告）d)具備靈活的對外接口，支持多種輸出方式；e)采集器其代碼開源，開發(fā)語言與現(xiàn)有開發(fā)人員技術棧相符，便于二次開發(fā)。f)采集器支持數(shù)據加密傳輸，同時保證傳輸可靠性。g)盡量選擇擬態(tài)設備目前采用的日志采集器。5.3配置采集策略a)確定日志源確定擬態(tài)設備中需要裁決日志的系統(tǒng)、應用或服務，如裁決模塊、調度模塊。b)確定采集內容根據業(yè)務需求，采集所需數(shù)據，如系統(tǒng)運行的指標、運行狀態(tài)和被攻擊日志。c)確定日志采集規(guī)則根據擬態(tài)設備應用或服務的特點，配置具體的日志采集規(guī)則，包括日志文件的路徑、采集頻率、過濾條件、采集的日志級別等。d)日志上報方式通過restful接口，支持主動告知和被動查詢。5.4日志采集安全a)日志采集狀態(tài)監(jiān)控，確保采集工具正常運行，與擬態(tài)設備的連接保持穩(wěn)定。b)日志采集過程不能影響擬態(tài)設備正常業(yè)務運行，避免應采集器的配置不當導致設備CPU使用率過高、內存泄露、占用大量磁盤等問題。c)適當限制日志采集器的訪問權限，避免對設備上非授權文件的訪問及修改。d)對敏感日志數(shù)據進行安全保護，采取加密、訪問控制等措施，防止日志數(shù)據泄露或被篡改。5.5采集自動化盡量實現(xiàn)日志采集的自動化，減少人工干預。可以通過編寫腳本或使用自動化工具來定時啟動采集任務、處理采集到的日志數(shù)據等。6內生安全系統(tǒng)安全日志存儲要求6.1日志存儲保證可用性日志的本地側存儲時，在業(yè)務形態(tài)允許條件下推薦采用備份存儲、冗余存儲等保證日志記錄存儲的可用性與可靠性的技術手段。日志在統(tǒng)一集中式日志平臺存儲時，在業(yè)務形態(tài)允許條件下推薦采用分布式擬態(tài)云存儲等技術手段，提高系統(tǒng)的可靠性、可用性和存取效率，且易于擴展。6.2日志存儲的時長日志的本地側存儲時，在業(yè)務形態(tài)允許條件下推薦至少保存15天，因為有些異常具備以“周”為頻次發(fā)生的特點。日志在統(tǒng)一集中式日志平臺存儲時按照《中華人民共和國網絡安全法》規(guī)定留存相關的網絡日志不少于六個月。6.3日志存儲文件的規(guī)范要求擬態(tài)日志存儲文件規(guī)范要求，參照4.4.1文件形式信息載體的約束規(guī)范的描述執(zhí)行。6.4日志存儲路徑擬態(tài)日志路徑的根路徑不能在源碼中固化，推薦支持根路徑的可配置，支持路徑場景遷移。擬態(tài)日志路徑，能夠反映出日志的組織方式，推薦采用含有分類、索引等隱含的信息的命名方式、采用分層的目錄組織結構。6.5日志存儲安全6.5.1日志數(shù)據分類分級推薦對于一些較為復雜的數(shù)據，人為手動定義好分類體系和規(guī)則體系；對標準化的日志數(shù)據推薦利用數(shù)據標簽技術、知識圖譜等技術進行系統(tǒng)自動化掃描可以簡化數(shù)據分類分級的過程，根據預定參數(shù)對數(shù)據進行分類和定級。擬態(tài)防御領域內各組織可根據國家相關法規(guī)標準，結合自身業(yè)務特點，采用合適日志數(shù)據分類分級方法。本標準推薦按照日志數(shù)據敏感級別分為敏感數(shù)據（L4級），較敏感數(shù)據（L3級），低敏感數(shù)據（L2級），不敏感數(shù)據（L1級）四個級別。根據日志的級別限制訪問：Xxxxxa)敏感數(shù)據（L4級）：最重要的和敏感的擬態(tài)日志，只限于特定極少數(shù)相關人員獲取，嚴格限制訪問權限。b)較敏感數(shù)據（L3級）：有重要價值的秘密擬態(tài)日志信息，只限于與該信息有關的部分人員獲取，訪問需確認確實有工作需要，并經過相應的審批流程。c)低敏感數(shù)據（L2級可在內部傳播的擬態(tài)日志信息，需要控制日志信息的公開，不允許外傳。d)不敏感數(shù)據（L1級）：可以免費獲得和訪問的信息，沒有任何限制或不利后果。6.5.2日志數(shù)據訪問控制為保證領域內日志數(shù)據被監(jiān)管和合規(guī)使用，推薦基于日志數(shù)據的分類分級制定數(shù)據訪問控制策略，形成敏感分級數(shù)據與用戶角色的訪問控制矩陣，為數(shù)據的安全合規(guī)使用提供支撐。哪些數(shù)據可以使用、哪些不可以使用、哪些能對外開放、哪些不能開放、不同等級的數(shù)據在不同場景使用哪種安全策略(存儲安全策略、交換安全策略等)。6.5.3敏感日志數(shù)據防泄露統(tǒng)一日志存儲管理平臺等大數(shù)據技術的使用讓數(shù)據的存儲和復制變得簡單，但也讓敏感數(shù)據的防泄漏變得極其困難。推薦遵循“最小可用”原則，盡量減