DB11-T 1288-2015 電子政務信息安全監(jiān)控數(shù)據(jù)規(guī)范

ICS35.040

A24

備案號：64530-2019

DB11

北京市地方標準

DB11/T1288—2015

電子政務信息安全監(jiān)控數(shù)據(jù)規(guī)范

Dataspecificationofinformationsecuritymonitoringinelectronic

government

2015-12-30發(fā)布2016-04-01實施

北京市質(zhì)量技術(shù)監(jiān)督局發(fā)布

DB11/T1288—2015

電子政務信息安全監(jiān)控數(shù)據(jù)規(guī)范

1范圍

本標準規(guī)定了電子政務信息安全監(jiān)控數(shù)據(jù)與信息安全監(jiān)控系統(tǒng)、安全設備的數(shù)據(jù)交互關(guān)系，監(jiān)控數(shù)

據(jù)的類型，報警信息類、通訊交互類和狀態(tài)獲取類數(shù)據(jù)的格式。

本標準適用于電子政務信息安全監(jiān)控系統(tǒng)與各類安全設備之間的數(shù)據(jù)交互關(guān)系。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/Z19669XML在電子政務中的應用指南

3術(shù)語和定義

GB/T25069-2010界定的以及下列術(shù)語和定義適用于本文件。

3.1

監(jiān)控數(shù)據(jù)monitoringdata

信息安全監(jiān)控系統(tǒng)從安全設備獲取的報警、通訊交互和狀態(tài)獲取等數(shù)據(jù)信息。

3.2

信息安全監(jiān)控系統(tǒng)informationsecuritymonitoringsystem

為發(fā)現(xiàn)信息安全事件和及時預警提供支撐的信息系統(tǒng)。

3.3

報警信息類數(shù)據(jù)alarminformationclassdata

安全設備向信息安全監(jiān)控系統(tǒng)發(fā)送的安全報警數(shù)據(jù)。

3.4

通訊交互類數(shù)據(jù)communicationinteractiveclassdata

信息安全監(jiān)控系統(tǒng)與安全設備間進行信息交互的數(shù)據(jù)。包括信息查詢數(shù)據(jù)和策略下發(fā)數(shù)據(jù)。

3.5

狀態(tài)獲取類數(shù)據(jù)stateacquisitionclassdata

信息安全監(jiān)控系統(tǒng)從安全設備獲取運行狀態(tài)和系統(tǒng)日志的數(shù)據(jù)。

4縮略語

下列縮略語適用于本文件。

IP：網(wǎng)絡之間互連的協(xié)議（InternetProtocol）

1

DB11/T1288—2015

MIB：管理信息庫（ManagementInformationBase）

OID：對象標識(ObjectIDentifier)

SNMP：簡單網(wǎng)絡管理協(xié)議（SimpleNetworkManagementProtocol）

UTF：Unicode轉(zhuǎn)換格式（UnicodeTransformationFormat）

URL：統(tǒng)一資源定位符（UniformResourceLocator）

XML：可擴展置標語言（eXtensibleMarkupLanguage）

5數(shù)據(jù)交互關(guān)系

本標準涵蓋的安全設備包含但不限于入侵檢測/防御類設備、防病毒類設備、防火墻類設備、審計

類設備、Web安全類設備和漏洞掃描類設備。

信息安全監(jiān)控系統(tǒng)與安全設備間的交互數(shù)據(jù)包括：

a）報警信息類數(shù)據(jù)：信息安全監(jiān)控系統(tǒng)接收到的安全設備報警日志數(shù)據(jù)；

b）通訊交互類數(shù)據(jù)：信息安全監(jiān)控系統(tǒng)與安全設備間進行信息交互的上下行數(shù)據(jù)；

c）狀態(tài)獲取類數(shù)據(jù)：信息安全監(jiān)控系統(tǒng)從安全設備獲取運行狀態(tài)和系統(tǒng)日志時的上下行數(shù)據(jù)。

信息安全監(jiān)控數(shù)據(jù)與信息安全監(jiān)控系統(tǒng)、安全設備的關(guān)系如圖1所示：

圖1監(jiān)控數(shù)據(jù)與信息安全監(jiān)控系統(tǒng)和安全設備的關(guān)系

6監(jiān)控數(shù)據(jù)類型

6.1報警信息類

報警信息類監(jiān)控數(shù)據(jù)子分類包括：

a）入侵檢測/防御類設備的報警信息；

b）防病毒類設備的報警信息；

c）審計類設備的報警信息；

d）WEB安全類設備的報警信息；

e）防火墻類設備的報警信息；

f）其他設備的報警信息。

2

DB11/T1288—2015

6.2通訊交互類

通訊交互類監(jiān)控數(shù)據(jù)子分類包括：

a)知識庫查詢:安全設備為信息安全監(jiān)控系統(tǒng)提供指定報警日志的詳細信息和相關(guān)知識查詢服務

的標準與規(guī)范，通過使用知識庫唯一標識（事件編號或報警名稱）查詢條件，獲得知識庫中相關(guān)詳細描

述；

b)審計查詢:審計類安全設備為信息安全監(jiān)控系統(tǒng)提供統(tǒng)計信息查詢、行為審計詳細信息查詢和內(nèi)

容日志詳細信息查詢的標準與規(guī)范，通過使用時間范圍、源/目的ip、源/目的端口和協(xié)議等查詢條件，

獲得相應范圍內(nèi)的網(wǎng)絡行為統(tǒng)計結(jié)果和詳細信息，在以上查詢條件的基礎上添加源賬號、目的賬號、是

否攜帶附件、關(guān)鍵字和主題等查詢條件，可以查詢網(wǎng)絡行為內(nèi)容詳細信息；

c)流量查詢:安全設備為信息安全監(jiān)控系統(tǒng)提供流量信息和流量趨勢查詢服務的標準和規(guī)范，通過

使用IP、協(xié)議及時間范圍等查詢條件，獲得時間范圍內(nèi)的流量信息和流量趨勢；

d)資產(chǎn)信息查詢:監(jiān)控系統(tǒng)為安全設備提供資產(chǎn)信息查詢服務的標準和規(guī)范，安全設備或其他系統(tǒng)

通過此數(shù)據(jù)，進行監(jiān)控系統(tǒng)上資產(chǎn)信息的查詢，為安全設備提高報警準確性提供依據(jù)；

e)Web監(jiān)控策略下發(fā):安全設備為監(jiān)控系統(tǒng)提供WEB監(jiān)控策略下發(fā)服務的標準和規(guī)范，監(jiān)控系統(tǒng)通過

此數(shù)據(jù)將WEB監(jiān)控策略下發(fā)至安全設備，設備使用該監(jiān)控策略進行監(jiān)控；

f)漏洞掃描策略下發(fā):安全設備為監(jiān)控系統(tǒng)提供漏洞掃描策略下發(fā)服務的標準和規(guī)范，監(jiān)控系統(tǒng)通

過此數(shù)據(jù)將漏洞掃描策略下發(fā)至安全設備，策略驅(qū)動漏洞掃描設備執(zhí)行一個即時掃描任務，或制定一個

周期性掃描任務計劃；

g)其他交互通訊交互：除以上類別以外的所有交互訊息。

6.3狀態(tài)獲取類

狀態(tài)獲取類監(jiān)控數(shù)據(jù)子分類包括：

a)獲取狀態(tài):周期性向安全設備輪詢系統(tǒng)狀態(tài)信息；

b)獲取日志：安全設備實時向信息安全監(jiān)控系統(tǒng)上報系統(tǒng)操作日志；

c)其他狀態(tài)：除以上類別以外的所有狀態(tài)獲取數(shù)據(jù)。

7報警信息類數(shù)據(jù)格式

7.1基本格式

報警信息類數(shù)據(jù)由公共域和專有域組成，公共域指報警信息類監(jiān)控數(shù)據(jù)的共有信息，專有域指特有

信息。每個域由多個字段拼接而成，所有字段與前字段無間隔。

字段格式形式為：“name:value;”，“name”代表字段名，“value”代表字段值。具體格式如下：

a）字段名與字段值之間為半角的冒號，字段值用半角分號作為字段結(jié)束標識；

b）“value”中不應出現(xiàn)冒號、分號以及無意義的空格，不可避免時采用半角反斜杠’\’轉(zhuǎn)義。

報警信息類數(shù)據(jù)格式參見附錄A。

7.2報警信息公共域

報警公共域描述格式見表1。

3

DB11/T1288—2015

表1公共域描述格式

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

安全設備產(chǎn)生報警日志的時間點，時間戳的數(shù)據(jù)格式

Date時間戳字符20

為“yyyy/mm/ddhh-mm-ss”

產(chǎn)生報警日志的安全設備管理IP地址，數(shù)據(jù)格式

IP設備IP地址字符32

“xxx.xxx.xxx.xxx”

報警日志在安全設備中所定義安全等級，規(guī)范定義為

Severity報警安全等級字符2三級，用“1、2、3”表示，其意義為1=高、2=中、

3=低

EventCode報警唯一標識字符32安全報警的唯一標識，唯一確定一條或一組報警

EventName報警名稱字符32安全設備對報警信息的定義

報警日志中記錄信息安全事態(tài)所使用和涉及的網(wǎng)絡

ProtocolType協(xié)議字符16

協(xié)議

報警日志中信息安全事態(tài)發(fā)起方的IP地址，數(shù)據(jù)格

SrcIP源IP地址字符32

式“xxx.xxx.xxx.xxx”

報警日志中信息安全事態(tài)發(fā)起方使用的網(wǎng)絡傳輸層

SrcPort源端口字符5

端口號

報警日志中信息安全事態(tài)受害方的IP地址，數(shù)據(jù)格

DstIP目的IP地址字符32

式“xxx.xxx.xxx.xxx”

報警日志中信息安全事態(tài)受害方使用的網(wǎng)絡傳輸層

DstPort目的端口字符5

端口號

7.3報警信息專有域

7.3.1入侵檢測/防御類專有域

入侵檢測/防御類專有域描述格式見表2。

表2入侵檢測/防御類專有域基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

AlarmCount報警連續(xù)次數(shù)字符5安全設備檢測連續(xù)發(fā)現(xiàn)相同報警的次數(shù)

安全設備對信息安全事態(tài)的應對方式，用“檢測、阻斷、

Action操作字符10

刪除”表示

可選項字符用于信息的擴展

7.3.2防病毒類專有域

防病毒類專有域描述格式見表3。

表3防病毒類專有域基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

User用戶名字符52被感染病毒主機的用戶名或設備名

4

DB11/T1288—2015

表3防病毒類專有域基本信息(續(xù))

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

Long病毒長度字符5被感染病毒的文件大小

Site位置字符256病毒所在位置

防病毒類設備對帶毒文件的處置，用“隔離、清除、放

Action操作字符10

行”表示

可選項字符用于信息的擴展

7.3.3防火墻類專有域

防火墻類專有域描述格式見表4。

表4防火墻類專有域基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

LogDesc日志描述字符52簡要說明產(chǎn)生報警的網(wǎng)絡行為

Action操作字符10對信息安全事態(tài)的處置結(jié)果

可選項字符用于信息的擴展

7.3.4審計類專有域

審計類專有域描述格式見表5。

表5審計類專有域基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

LogDesc報警描述字符52對報警日志內(nèi)容的簡要描述

Keyword關(guān)鍵字字符20審計檢測規(guī)則中設置的關(guān)鍵字

審計報警中，網(wǎng)絡行為活動或內(nèi)容違反的檢測規(guī)則所對

RuleID規(guī)則標識字符5

應的標識號

可選項字符用于信息的擴展

7.3.5Web安全類專有域

Web安全類專有域描述格式見表6。

表6Web安全類專有域基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

SiteURL網(wǎng)站URL字符52設定進行監(jiān)測網(wǎng)站的URL地址

下發(fā)網(wǎng)站監(jiān)測策略后，WEB安全類設備針對具體網(wǎng)站策略

URLID網(wǎng)站URL標識字符20

返回的網(wǎng)站URL唯一標識

Descp特征描述字符5風險行為所采用的技術(shù)特征

5

DB11/T1288—2015

表6Web安全類專有域基本信息（續(xù)）

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

AlarmURL報警網(wǎng)頁地址字符52產(chǎn)生報警的網(wǎng)頁地址

Desc輔助信息字符52對報警日志的補充性說明

HttpMethodHttp方法字符20攔截日志信息時，該字段用于指明網(wǎng)絡行為的Http方法

可選項字符用于信息的擴展

8通訊交互類數(shù)據(jù)要求

8.1基本格式

通訊交互類數(shù)據(jù)應采用XMLSchema格式。并遵照本規(guī)范規(guī)定的邏輯結(jié)構(gòu)、元素、元素屬性以及元素

間的關(guān)系。

通訊交互類數(shù)據(jù)格式參見附錄B。

8.2知識庫查詢交互數(shù)據(jù)

8.2.1知識庫查詢請求數(shù)據(jù)

知識庫查詢請求以KBRequest字段為標識，描述格式見表7。

表7知識庫查詢請求基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

KBNameID查詢標識字符64知識庫的唯一標識，是知識庫查詢條件

8.2.2知識庫查詢應答數(shù)據(jù)

知識庫查詢應答以KBResponse字段為標識，描述格式見表8。

表8知識庫查詢應答基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

返回查詢標識在知識庫中所對應的詳細描述內(nèi)容，未查

KB應答內(nèi)容字符不限

詢到結(jié)果則此字段內(nèi)容為空

8.3審計查詢數(shù)據(jù)

8.3.1審計查詢請求數(shù)據(jù)

審計查詢請求以AuditInfoQueryRequest字段為標識，RequestType字段標識查詢應答的類別，描述

格式見表9。

6

DB11/T1288—2015

表9審計查詢請求基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

查詢限定時間范圍的開始時間，數(shù)據(jù)格式為

StartTime開始時間字符20

“yyyy/mm/ddhh-mm-ss”

查詢限定時間范圍的結(jié)束時間，數(shù)據(jù)格式為

EndTime結(jié)束時間字符20

“yyyy/mm/ddhh-mm-ss”

查詢請求中限定的網(wǎng)絡行為源IP地址，可為單個地址，

SrcIP源IP字符32

也可為地址段

查詢請求中限定的網(wǎng)絡行為目的IP地址，可為單個地址，

DstIP目的IP字符32

也可為地址段

SrcPort源端口號字符5查詢條件中限定的網(wǎng)絡行為源傳輸層端口號

DstPort目的端口號字符5查詢條件中限定的網(wǎng)絡行為目的傳輸層端口號

Protocol應用協(xié)議字符64查詢條件中限定的網(wǎng)絡行為所采用的網(wǎng)絡應用協(xié)議

Application應用服務字符64應用服務在指定應用前，指定協(xié)議類別字段

URL具體URL字符256針對協(xié)議類型選擇http協(xié)議時，填寫的具體URL

Keyword限定條件字符128內(nèi)容詳細信息查詢中設置的限定條件

Protocol字段選擇郵件或即時通訊類別時，填寫的發(fā)件

SrcAccount發(fā)件人賬號字符64

人賬號或者即時通訊賬號

Protocol字段選擇郵件或即時通訊類別時，填寫的收件

DstAccount收件人賬號字符64

人賬號或者即時通訊賬號

行為詳細信息查詢和內(nèi)容詳細信息查詢中，郵件類查詢

Subject郵件主題字符64

的郵件主題

行為詳細信息查詢中郵件類是否攜帶附件，字段值域為：

HasAttachment是否攜帶附件字符5

Yes/No

Limit最大條數(shù)字符5最大條數(shù)

查詢類別，RequestType=1表示行為統(tǒng)計信息查詢；

RequestType查詢類別字符2RequestType=2表示行為詳細信息查詢；RequestType=3

表示內(nèi)容詳細信息查詢

統(tǒng)計分類在查詢類別為行為統(tǒng)計信息查詢時，返回結(jié)果

的統(tǒng)計分類依據(jù)，包括SrcIP:源IP、DstIP:目的IP、

Classificatio

統(tǒng)計分類字符64Protocol:協(xié)議、Application:應用、SrcAccount:發(fā)件

n

人、DstAccount:收件人、SrcPort:源端口、DstPort:目

的端口、Day:時間--天、Hour:時間--小時

8.3.2行為統(tǒng)計信息應答數(shù)據(jù)

7

DB11/T1288—2015

行為統(tǒng)計信息應答以LogStatResponse字段為標識，描述格式見表10。

表10行為統(tǒng)計信息應答基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

Logs結(jié)果集字符不限按classification進行統(tǒng)計分類后得到的結(jié)果集

TotalCount結(jié)果集大小字符32按classification進行統(tǒng)計分類后得到的結(jié)果集大小

Log單一結(jié)果字符32結(jié)果集的一條結(jié)果

ID結(jié)果編號字符32結(jié)果編號

統(tǒng)計分類，當查詢類別為行為統(tǒng)計信息查詢時，返回結(jié)

果的統(tǒng)計分類依據(jù)，包括SrcIP:源IP、DstIP:目的IP、

Classificatio

統(tǒng)計分類字符64Protocol:協(xié)議、Application:應用、SrcAccount:發(fā)件

n

人、DstAccount:收件人、SrcPort:源端口、DstPort:目

的端口、Day:時間--天、Hour:時間--小時

ClassifyValue具體值字符64根據(jù)Classification字段而返回的具體值

Count數(shù)量字符8根據(jù)統(tǒng)計條件統(tǒng)計后的數(shù)量

Percentage比例字符2百分比

8.3.3行為詳細信息應答數(shù)據(jù)

行為詳細信息應答以LogDetailResponse字段為標識，描述格式見表11。

表11行為詳細信息應答基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

TotalCount數(shù)量字符32返回結(jié)果的數(shù)量

Log單一結(jié)果字符32一個返回結(jié)果

ID結(jié)果編號字符32一個返回結(jié)果的編號

Time統(tǒng)計分類字符20行為日志發(fā)生的時間，格式為“yyyy/mm/ddhh-mm-ss”

SrcIP源IP字符32返回行為日志的源IP地址，格式為“xxx.xxx.xxx.xxx”

返回行為日志的目的IP地址，格式為

DstIP目的IP字符32

“xxx.xxx.xxx.xxx”

SrcPort源端口號字符5返回行為日志的源端口號

DstPort目的端口號字符5返回行為日志的目的端口號

返回行為日志的源MAC地址，格式為

SrcMac源MAC地址字符32

“xx-xx-xx-xx-xx-xx”

8

DB11/T1288—2015

表11行為詳細信息應答基本信息（續(xù)）

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

返回行為日志的目的MAC地址，格式為

DstMac目的MAC地址字符32

“xx-xx-xx-xx-xx-xx”

Protocol應用協(xié)議字符64查詢條件中限定的網(wǎng)絡行為所采用的網(wǎng)絡應用協(xié)議

SessionSize日志大小字符10返回網(wǎng)絡行為活動日志的大小

SrcAccount發(fā)件人賬號字符64源賬號

DstAccount收件人賬號字符64目的賬號

8.3.4內(nèi)容詳細信息應答數(shù)據(jù)

內(nèi)容詳細信息應答以ContentResponse字段為標識，描述格式見表12。

表12內(nèi)容詳細信息應答基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

TotalCount數(shù)量字符32返回結(jié)果的數(shù)量。

Log單一結(jié)果字符32一個返回結(jié)果。

ID結(jié)果編號字符32一個返回結(jié)果的編號。

Time統(tǒng)計分類字符20行為日志發(fā)生的時間，格式為“yyyy/mm/ddhh-mm-ss”

SrcIP源IP字符32返回行為日志的源IP地址，格式為“xxx.xxx.xxx.xxx”

返回行為日志的目的IP地址，格式為

DstIP目的IP字符32

“xxx.xxx.xxx.xxx”

源賬號，指內(nèi)容日志審計為電子郵件時，日志的發(fā)件人

SrcAccount發(fā)件人賬號字符64

賬號

目的賬號，指內(nèi)容審計為電子郵件時，日志的收件人帳

DstAccount收件人賬號字符64

戶

Subject郵件主題字符64主題，指當內(nèi)容審計為電子郵件時郵件的主題

MailSize郵件大小字符32郵件大小，單位為KB

郵件中是否帶附件，值域：true/false，true代表郵件

HasAttachment是否攜帶附件字符6

中存在附件，false代表郵件中不存在附件

8.4流量查詢數(shù)據(jù)

8.4.1流量信息查詢請求數(shù)據(jù)

9

DB11/T1288—2015

流量信息查詢請求以FlowStatQueryRequest字段為標識，描述格式見表13。

表13流量信息查詢請求基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

查詢限定時間范圍的開始時間，格式為“yyyy/mm/dd

StartTime開始時間字符20

hh-mm-ss”

查詢限定時間范圍的結(jié)束時間，格式為“yyyy/mm/dd

EndTime結(jié)束時間字符20

hh-mm-ss”

指定需要查詢流量的IP地址，為單個地址或地址段，單

IPList地址列表字符32個IP格式“xxx.xxx.xxx.xxx”，IP地址段格式

“xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx”

Protocol應用協(xié)議字符32應用協(xié)議

流量方向，包括：雙方向、流入、流出，用0、1、2表示，

Direction方向字符2

0表示雙方向，1表示流入，2表示流出

Count數(shù)量字符2前TOP多少數(shù)據(jù)，小于50的整數(shù)，0表示全部數(shù)據(jù)

8.4.2流量信息查詢應答數(shù)據(jù)

流量信息查詢應答以FlowStatQueryResponse字段為標識，描述格式見表14。

表14流量信息查詢應答基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

TotalCount數(shù)量字符2前TOP多少數(shù)據(jù)，小于50的整數(shù)，0表示全部數(shù)據(jù)

FlowIP流量字符32對應一個IP的一個返回結(jié)果

ID編號字符32一個返回結(jié)果的編號

標簽內(nèi)的流量信息為此IP產(chǎn)生，格式為

IPIP地址字符32

“xxx.xxx.xxx.xxx”

FlowSize流量大小字符32流量大小，每個流量大小標簽對應一個協(xié)議

流量信息查詢所基于的網(wǎng)絡協(xié)議，查詢條件為單個協(xié)議

查詢時，返回所查詢的協(xié)議對應的流量大?。徊樵儣l件

Protocol協(xié)議字符32

為多個協(xié)議查詢時，則返回統(tǒng)計流量總和以及每個協(xié)議

對應的流量大小

8.4.3流量趨勢查詢請求數(shù)據(jù)

流量趨勢查詢請求數(shù)據(jù)以FlowTrendQueryRequest字段為標識，查詢條件包括時間段、IP地址、流

量方向、返回方式和協(xié)議，描述格式見表15。

10

DB11/T1288—2015

表15流量趨勢查詢請求基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

查詢限定時間范圍的開始時間，格式為“yyyy/mm/dd

StartTime開始時間字符20

hh-mm-ss”

查詢限定時間范圍的結(jié)束時間，格式為“yyyy/mm/dd

EndTime結(jié)束時間字符20

hh-mm-ss”

指定需要查詢流量的IP地址，為單個地址或地址段，單

IPList地址列表字符32個IP格式“xxx.xxx.xxx.xxx”，IP地址段格式

“xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx”

Protocol應用協(xié)議字符32應用協(xié)議

流量方向，包括：雙方向、流入、流出，用0、1、2表示，

Direction方向字符2

0表示雙方向，1表示流入，2表示流出

查詢結(jié)果返回方式，當ReturnType=month時，表示返回

結(jié)果時以月為單位；當ReturnType=day時，表示返回結(jié)

ReturnType返回方式字符10果時以天為單位；當ReturnType=hour時，表示返回結(jié)果

時以小時為單位；當ReturnType=minute時，表示返回結(jié)

果以分鐘為單位

8.4.4流量趨勢查詢應答數(shù)據(jù)

流量趨勢查詢應答數(shù)據(jù)以FlowTrendQueryResponse字段為標識，描述格式見表16。

表16流量趨勢查詢應答基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

TotalCount數(shù)量字符2前TOP多少數(shù)據(jù)，小于50的整數(shù)，0表示全部數(shù)據(jù)

FlowIP流量字符32對應一個IP的一個返回結(jié)果

ID編號字符32一個以IP為基準的返回結(jié)果的編號

IPIP地址字符32流量趨勢查詢的IP地址，每個IP地址對應多個FlowTime

FlowTime結(jié)果時間字符20一個時間點對應的返回結(jié)果

返回結(jié)果中的時間點，流量趨勢查詢數(shù)據(jù)中ReturnType

字段指定了返回結(jié)果中時間的單位：ReturnType=month

Time時間點字符20時，時間以月為單位；ReturnType=day時，時間以天為

單位；ReturnType=hour時，時間以小時為單位；

ReturnType=minute時，時間以分鐘為單位

FlowSize流量大小字符10流量大小信息，單位為KB

11

DB11/T1288—2015

表16流量趨勢查詢應答基本信息（續(xù)）

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

協(xié)議信息，查詢條件為單個協(xié)議查詢時，返回所查詢的

協(xié)議，“xxx”代表協(xié)議名稱；查詢?nèi)繀f(xié)議時，返回all

Protocol協(xié)議字符32

項；查詢條件為多個協(xié)議查詢時，返回多個協(xié)議對應的

項，此時流量大小標記有多項

8.5Web監(jiān)控策略下發(fā)數(shù)據(jù)

8.5.1策略下發(fā)數(shù)據(jù)

策略下發(fā)數(shù)據(jù)以WebMonitorPolicyIssue字段為標識，描述格式見表17。

表17策略下發(fā)數(shù)據(jù)基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

PolicyIssue策略主題字符32針對一個站點的web監(jiān)控策略下發(fā)

ID編號字符32policyIssue的編號

策略中定義的站點，對此站點進行監(jiān)控，站點為單個站

SiteURL站點地址字符256

點

SiteInfo站點信息字符32站點信息站點檢測功能

Usability可用性字符32可用性檢測功能

Content內(nèi)容字符32內(nèi)容檢測功能

Vul脆弱性字符32脆弱性檢測功能

策略是否被使用，Web監(jiān)控策略所包括的四種功能中，每

IsUse是否使用字符2一種功能都與一個isUse對應，isUse=0表示不使用該功

能，isUse=1表示使用該功能

策略的執(zhí)行周期，分為立即執(zhí)行、分鐘、小時、天、周

SycleSize執(zhí)行周期字符2和月。值域為：0-立即執(zhí)行，1-分鐘，2-小時，3-天，

4-周，5-月

周期值，當執(zhí)行周期選擇除0以外的選項值時才有作用。

SycleValue執(zhí)行周期字符2周期值分別為分鐘0-60、小時1-24、天1-7、周1-52、

月1-12

檢測的深度，指進行檢測的頁面深度，對于不同的功能

Depth深度字符2

模塊定義不同的深度

8.5.2策略下發(fā)應答數(shù)據(jù)

12

DB11/T1288—2015

策略下發(fā)應答以WebMonitorPolicyResponse字段為標識，描述格式見表18。

表18策略下發(fā)應答基本信息

字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明

TotalCount數(shù)量字符32