TNJCESS 002-2024 內(nèi)生安全系統(tǒng)安全日志技術(shù)要求

ICS35.030CCSL70T/NJCESS團(tuán) 體 標(biāo) 準(zhǔn)T/NJCESS002-2024內(nèi)生安全系統(tǒng)安全日志技術(shù)要求Technicalrequirementsforsecuritylogsinendogenoussecuritysystems2024-12-26發(fā)布 2025-06-30實(shí)施南京市網(wǎng)絡(luò)空間內(nèi)生安全協(xié)會(huì)發(fā)布目次前 言 II范圍 1規(guī)范性引用文件 1術(shù)語(yǔ)和定義 1縮略語(yǔ) 3概述 3內(nèi)生安全系統(tǒng)安全日志記錄要求 3內(nèi)生安全系統(tǒng)安全日志記錄的組件 4內(nèi)生安全系統(tǒng)安全領(lǐng)域內(nèi)具體可觀測(cè)事件最小集 6內(nèi)生安全系統(tǒng)安全日志事件記錄編碼 6內(nèi)生安全系統(tǒng)安全日志文件形式信息載體的約束規(guī)范 7內(nèi)生安全系統(tǒng)安全日志采集要求 8明確采集目標(biāo) 8選擇采集工具 9配置采集策略 9日志采集安全 9內(nèi)生安全系統(tǒng)安全日志存儲(chǔ)要求 9日志存儲(chǔ)保證可用性和可擴(kuò)展性 9日志存儲(chǔ)的時(shí)長(zhǎng) 10日志存儲(chǔ)路徑 10日志存儲(chǔ)安全 10內(nèi)生安全系統(tǒng)安全日志共享要求 10日志共享標(biāo)準(zhǔn)化 10日志共享安全 10附錄A 11事件記錄的級(jí)別說(shuō)明 11location編碼表說(shuō)明 11日志類型說(shuō)明 11附錄B 12事件自身屬性字段字典說(shuō)明 12輸入代理事件分類標(biāo)簽通用詞匯表最小集說(shuō)明 12輸入代理字段字典說(shuō)明 13輸出代理事件分類標(biāo)簽通用詞匯表最小集說(shuō)明 13輸出代理字段字典說(shuō)明 14擬態(tài)裁決事件分類標(biāo)簽通用詞匯表最小集說(shuō)明 14擬態(tài)裁決字段字典說(shuō)明 15負(fù)反饋控制器事件分類標(biāo)簽通用詞匯表最小集說(shuō)明 17負(fù)反饋控制器字段字典說(shuō)明 18I前 言GB/T1草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由南京市網(wǎng)絡(luò)空間內(nèi)生安全協(xié)會(huì)提出并歸口。本文件起草單位：紫金山實(shí)驗(yàn)室、戰(zhàn)略支援部隊(duì)信息工程大學(xué)、南京市網(wǎng)絡(luò)空間內(nèi)生安全協(xié)會(huì)本文件主要起草人：蔣笑笑、胡先君、卜佑軍、陳韻、喬偉、張橋、蔡翰智、康藝霖、朱緒全、王涵IIPAGEPAGE16范圍本文件規(guī)定了基于動(dòng)態(tài)異構(gòu)冗余構(gòu)建的內(nèi)生安全系統(tǒng)安全日志的統(tǒng)一技術(shù)要求和規(guī)范，包括安全日志的通用記錄要素、日志采集要求、日志存儲(chǔ)要求，以及日志共享要求。本文件適用于內(nèi)生安全系統(tǒng)的產(chǎn)品以及其派生品等日志信息提供方與需求方之間進(jìn)行規(guī)范性引用文件（包括所有的修改單）適用于本文件。IETFRFC2119RFC文檔用于指出要求級(jí)別的關(guān)鍵詞(KeywordsforuseinRFCstoIndicateRequirementLevels)IETFRFC5424系統(tǒng)日志協(xié)議(TheSyslogProtocol)IETFRFC5234(AugmentedBNFforSyntaxSpecifications:ABNF)IETFRFC4627JSON（Theapplication/jsonMediaforJavaScriptObjectNotation）GB/T7408日期和時(shí)間信息交換表示法GM/T0054信息系統(tǒng)密碼應(yīng)用基本要求YD/T4223-2023支持?jǐn)M態(tài)防御功能設(shè)備的總體技術(shù)指南術(shù)語(yǔ)和定義IETFRFC2119、IETFRFC5424、IETFRFC5234、IETFRFC4627、GB/T7408、GM/T0054、YD/T4223-2023界定的以及下列術(shù)語(yǔ)和定義適用于本文件。編碼encoding每個(gè)編碼聲明都定義了如何使用特定語(yǔ)法將事件記錄為構(gòu)建成便于消費(fèi)者解析的事件記錄的過(guò)程。解碼decoding事件的消費(fèi)者通過(guò)特定語(yǔ)法簡(jiǎn)單地解碼的事件記錄以獲得原始事件信息的過(guò)程。字段字典fieldtypesdictionary是應(yīng)用于領(lǐng)域內(nèi)的事件記錄的字段和數(shù)據(jù)類型等信息的列表。通用字段字典commonfieldtypesdictionary定義了跨擬態(tài)設(shè)備和應(yīng)用程序類型的字段字典。最佳實(shí)踐字段字典specificfieldtypesdictionary定義了單個(gè)業(yè)務(wù)形態(tài)內(nèi)擬態(tài)設(shè)備和應(yīng)用程序中使用的字段字典。事件分類標(biāo)簽eventtaxonomylabel由一組類別以及最能描述事件的每個(gè)類別的標(biāo)簽值組成。事件分類標(biāo)簽詞匯表eventtaxonomylabeltable是內(nèi)生安全領(lǐng)域內(nèi)事件分類標(biāo)簽的受控詞匯表。通用事件分類標(biāo)簽表commoneventtaxonomylabeltable定義了跨擬態(tài)設(shè)備和應(yīng)用程序類型的事件標(biāo)簽的受控詞匯表。最佳實(shí)踐事件分類標(biāo)簽表specificeventtaxonomylabeltable定義了單個(gè)業(yè)務(wù)形態(tài)內(nèi)擬態(tài)設(shè)備和應(yīng)用程序中使用的事件標(biāo)簽的受控詞匯表。結(jié)構(gòu)化數(shù)據(jù)structureddata多維動(dòng)態(tài)重構(gòu)multi-dimensiondynamicreconfigure按照事先制定的重構(gòu)重組方案從異構(gòu)資源池中抽取構(gòu)件元素生成功能等價(jià)的新執(zhí)行體或編碼架構(gòu)的過(guò)程。狀態(tài)同步statesynchronization清洗恢復(fù)后的執(zhí)行體需要與在線執(zhí)行體進(jìn)行狀態(tài)或場(chǎng)景再同步以維持與擬態(tài)裁決機(jī)制WPS_1699600586WPS_1699600586縮略語(yǔ)下列縮略語(yǔ)適用于本文件。JSON：JavaScript對(duì)象表示法（JavaScriptObjectNotation）UTF-8：比特可變長(zhǎng)度Unicode編碼轉(zhuǎn)換格式（8-bitUnicodeTransformationFormat8）MTU：最大傳輸單元（MaximumTransmissionUnit）API：應(yīng)用程序接口（ApplicationProgrammingInterface）CPU：中央處理器（CentralProcessingUnit）DHR：動(dòng)態(tài)異構(gòu)冗余（Dynamicheterogeneousredundancy）概述1。輸入/輸出代理作為系統(tǒng)的左右邊界功能，一方面需要將外圖1內(nèi)生安全系統(tǒng)架構(gòu)內(nèi)生安全系統(tǒng)安全日志記錄要求內(nèi)生安全系統(tǒng)安全日志記錄的組件6個(gè)信息維度，對(duì)領(lǐng)域內(nèi)可觀測(cè)的事件進(jìn)行描述；應(yīng)提供一種以定義明確、易于解析和解釋的數(shù)據(jù)格式來(lái)表達(dá)事件的機(jī)制。內(nèi)生安全系統(tǒng)安全日志事件記錄的字段字典字段/字段應(yīng)用域標(biāo)識(shí)符（即對(duì)象和名稱組件）應(yīng)由美國(guó)信息互換標(biāo)準(zhǔn)代碼字母數(shù)字和_（下劃線）字符組成；字段/字段應(yīng)用域標(biāo)識(shí)符不區(qū)分大小寫，并且分層結(jié)構(gòu)為零個(gè)或多個(gè)上下文對(duì)象和標(biāo)識(shí)字段名稱的組合；字段/255；通用字段字典中的字段必應(yīng)足夠常見(jiàn)以保證包含，不常見(jiàn)或不通用的字段不應(yīng)包括在內(nèi)；最佳實(shí)踐字段字典應(yīng)保證包含本業(yè)務(wù)形態(tài)內(nèi)特有的字段，即使只有一個(gè)事件報(bào)告使用了該字段，該字段名稱也將被概括，以允許未來(lái)的進(jìn)入者使用該字段；最佳實(shí)踐字段字典中不得出現(xiàn)與通用字段字典同名字段，如果某一業(yè)務(wù)形態(tài)內(nèi)需要用同名不同義、同名同義不同類型的字段時(shí)，應(yīng)在最佳實(shí)踐字段中新增不同名字段；最佳實(shí)踐字段字典中出現(xiàn)與通用字段字典同名同義同類型不同取值范圍時(shí)，最佳實(shí)踐字段字典中的字段取值范圍應(yīng)明確說(shuō)明；字段字典中的每個(gè)字段都應(yīng)指定一個(gè)數(shù)據(jù)類型，該數(shù)據(jù)類型指定字段值的表示方式。如果沒(méi)有類型限制，則應(yīng)使用字符串類型。字段類型應(yīng)是對(duì)本文件中有效數(shù)據(jù)類型的引用，不得使用此列表之外的數(shù)據(jù)類型。有效的數(shù)據(jù)類型是：字符串、比特、布爾、整數(shù)型、空值、時(shí)間戳、ipv4、ipv6、對(duì)象、文件、數(shù)組。內(nèi)生安全系統(tǒng)安全日志事件分類標(biāo)簽WPS_1699600586WPS_1699600586事件分類標(biāo)簽標(biāo)識(shí)符應(yīng)為有意義的標(biāo)識(shí)符；某一個(gè)事件分類標(biāo)簽如果是數(shù)據(jù)類型字符串，其屬性值的枚舉應(yīng)受到限制。內(nèi)生安全系統(tǒng)安全日志事件記錄數(shù)據(jù)組織格式內(nèi)生安全領(lǐng)域內(nèi)事件記錄的數(shù)據(jù)組織格式遵循擴(kuò)展的巴科斯諾爾范式。事件記錄數(shù)據(jù)組織格式應(yīng)為mimiceventexpress=HEADERSPENTITYCRLF。HEADER表示頭域數(shù)據(jù)，ENTITY表示實(shí)體數(shù)據(jù)。HEADER應(yīng)使用字段字典中的字段，組成格式應(yīng)為HEADER=VERSIONSPTIMESTAMPSPPRIVALSPLOCATIONSPLOGTYPE[SPMSGIDSPMSGOFFSET]。應(yīng)遵循一下規(guī)則：對(duì)于更改任何部分的任何新協(xié)議規(guī)范，VERSION應(yīng)遞增；TIMESTAMP的格式應(yīng)遵循GB/T7408中定義的日期時(shí)間格式；RILmeencyAertricarrorrngNoceInfoDebu（A；的數(shù)據(jù)格式應(yīng)為L(zhǎng)OCATIONTYPE:process_id:100;thread_id:100location編碼表（location編碼表見(jiàn)A；LOGTYPE應(yīng)從下列類型中選擇：desc、stat、visit、biz、dmf、sched、ids。具體（A；MSGID應(yīng)為可選字段，為遞增序列；MSGOFFSETMSGIDENTITY 的組織格式應(yīng)為 ENTITY =EVENT-STRUCTURED-EXP，STRUCTURED-DATA，ADDITION-MSG。應(yīng)遵循以下規(guī)則：EVENT-STRUCTURED-EXP6EVENT-STRUCTURED-EXPkey-value鍵值對(duì)的數(shù)據(jù)格式對(duì)事件記錄的六個(gè)要素記錄。Key值應(yīng)為事件記錄的六個(gè)要素。值應(yīng)來(lái)自字段字典、事件分類標(biāo)簽詞匯表中的字段或標(biāo)簽。如果為空值，則取值應(yīng)為空值""，舉例：event_domain:""值有多個(gè)取值時(shí)，此值應(yīng)以列表形式組織[]，多個(gè),應(yīng)通過(guò)key-value鍵值對(duì)的數(shù)據(jù)格式對(duì)事件關(guān)鍵信息記錄。KeyKey值字段屬性值有多個(gè)取值時(shí)，此值應(yīng)以列表形式組織[]，多個(gè)取值直接采ADDITION-MSG應(yīng)提供一種利用非結(jié)構(gòu)化的數(shù)據(jù)(NO-STRUCTURED-DATA)組織格式補(bǔ)充事件信息的機(jī)制,key-value鍵值對(duì)的數(shù)據(jù)格式對(duì)事件關(guān)鍵信息記錄；ADDITION-MSG中使用的字符集應(yīng)是87ASCII。示例："event_domain":"mimic_multimode_ruling","event_action":"access","event_object":"configure_table","event_service":"multimode_ruling","event_status":"success","event_subject":"dmf_security_abnormal","mimicrouter.msg_src":"config_multimode_ruling","mimicrouter.exception_time":"2022-01-0109:48:07","addition_msg":"finderrorconfig!"\r\n。內(nèi)生安全系統(tǒng)安全領(lǐng)域內(nèi)具體可觀測(cè)事件最小集內(nèi)生安全系統(tǒng)安全領(lǐng)域內(nèi)具體可觀測(cè)事件最小集規(guī)范：事件自身屬性字段字典應(yīng)遵循事件自身屬性字段字典說(shuō)明（事件自身屬性字段字；輸入代理可觀測(cè)的事件最小集應(yīng)包括內(nèi)容激勵(lì)信號(hào)、激勵(lì)信號(hào)分發(fā)動(dòng)作、激勵(lì)信號(hào)適配動(dòng)作、激勵(lì)信號(hào)的合規(guī)控制、黑白名單過(guò)濾等主被動(dòng)防御措施，輸入代理事件分類標(biāo)簽通用詞匯表最小集應(yīng)遵循輸入代理事件分類標(biāo)簽通用詞匯表最小集說(shuō)明（B（；輸出代理可觀測(cè)的事件最小集應(yīng)包括內(nèi)容：接收多模輸出矢量、提取擬態(tài)保護(hù)的關(guān)注點(diǎn)信息、多模輸出矢量預(yù)處理、輸出預(yù)處理后的多模輸出矢量。輸出代理事件分類標(biāo)簽通用詞匯表最小集應(yīng)遵循輸出代理事件分類標(biāo)簽通用詞匯表最小集說(shuō)明B；擬態(tài)裁決可觀測(cè)的事件最小集應(yīng)包括內(nèi)容：執(zhí)行裁決策略、裁決多模輸出矢量、記錄差模擾動(dòng)、輸出裁決狀態(tài)信息。擬態(tài)裁決事件分類標(biāo)簽通用詞匯表最小集應(yīng)遵循擬態(tài)裁決事件分類標(biāo)簽通用詞匯表最小集說(shuō)明（擬態(tài)裁決事件分類標(biāo)簽通用B擬；負(fù)反饋控制器可觀測(cè)的事件最小集應(yīng)包括內(nèi)容：接收調(diào)度策略、執(zhí)行調(diào)度策略、清洗異常執(zhí)行體、下線異常執(zhí)行體、上線新執(zhí)行體、同步執(zhí)行體狀態(tài)、通知輸入代理、記錄調(diào)度日志，負(fù)反饋控制器事件分類標(biāo)簽通用詞匯表最小集應(yīng)遵循負(fù)反饋控制器事件分類標(biāo)簽通用詞匯表最小集說(shuō)明（負(fù)反饋控制器事件分類標(biāo)簽通用典說(shuō)明B。內(nèi)生安全系統(tǒng)安全日志事件記錄編碼字段字典映射規(guī)范：JSON等被廣泛使用的編碼；JSON64位整數(shù)內(nèi)表示，范圍為[-(2^63),2^63-1]有符號(hào)或[0,2^64-1]無(wú)符號(hào)；浮點(diǎn)值應(yīng)可以用IEEE75464位浮點(diǎn)格式表示；JSON數(shù)組；objectJSON對(duì)象值類型；JSONJSON的字符串或?qū)ο笾殿愋?；JSON類型進(jìn)行編碼。對(duì)應(yīng)于這些原生類型的值不應(yīng)出現(xiàn)在引號(hào)字符中。JSON編碼事件記錄的規(guī)范約束：JSON編碼的事件記錄應(yīng)完全符合RFC4627規(guī)范；JSON要求外，換行符和回車符在用作字段值時(shí)也應(yīng)轉(zhuǎn)義；JSONUTF-8Unicode字符序列；JSONJSON數(shù)組機(jī)制進(jìn)行編碼，JSON數(shù)組中；JSON對(duì)象結(jié)構(gòu)應(yīng)用于表示字段層次結(jié)構(gòu)。也可以使用內(nèi)聯(lián)字段名稱。示例：{"event_header":["V.1.0.0","2021-11-22T17:50:51,520+08:00","INFO","line_id:248","stat","0000","0"],"event_entity":{"event_domain":"mimic_multimode_ruling","event_action":"multimode_ruling","event_object":"configure_table","event_service":"multimode_ruling","event_status":"success","event_subject":"dmf_security_abnormal","mimicrouter.msg_src":"config_multimode_ruling","addition_msg":"Reconnectingandresending!"}}內(nèi)生安全系統(tǒng)安全日志文件形式信息載體的約束規(guī)范事件記錄在文件中的組織方式：\r\n日志記錄的長(zhǎng)度。本文件本身不對(duì)日志記錄的大小限制；每條日志記錄會(huì)被映射到指定的文件中，其大小由其所在的文件系統(tǒng)與其記錄所有者決定；如果記錄本身需要分多行存儲(chǔ)應(yīng)提供明確標(biāo)識(shí)多行為同一事件記錄，標(biāo)識(shí)方法應(yīng)顯示提供給記錄共享方；不同日志記錄應(yīng)顯示區(qū)分。日志記錄應(yīng)支持多線程，不同線程之間的日志信息寫同一日志文件時(shí)不應(yīng)產(chǎn)生沖突，日志信息應(yīng)能被顯示區(qū)分出來(lái)。日志文件的組織方式：?jiǎn)蝹€(gè)日志文件大小。本文件本身不對(duì)日志文件的大小限制，其大小由其所在的文100MB~500MB之間；日志文件分割規(guī)范要求：當(dāng)單個(gè)周期內(nèi)日志量超過(guò)文件大小限制時(shí)，應(yīng)按照單一文件配置大小分割。當(dāng)單個(gè)日志出現(xiàn)跨周期時(shí)，日志文件不應(yīng)只以日志量大小進(jìn)行分割，應(yīng)創(chuàng)建新的日志文件；日志文件的命名組織方式規(guī)范要求：YYYYMMDDmimicrouter_dmf_20220101.log，其中，日期20220101，應(yīng)按照“YYYYMMDD”的格式進(jìn)行統(tǒng)一；單個(gè)周期內(nèi)日志文件按照單一文件配置大小分割時(shí)，文件命名應(yīng)按照文件編XXXXXXXX四位數(shù)字編號(hào)，并以0001當(dāng)單個(gè)日志出現(xiàn)跨周期時(shí)，應(yīng)重新創(chuàng)建一個(gè)以最新日志日期命名的文件，不應(yīng)在前一個(gè)日期的日志日期文件中繼續(xù)追加寫入。例如：當(dāng)前某個(gè)日志文件202201011M(不需要按照大小分割的自然時(shí)間周期，那么后續(xù)記錄，應(yīng)重新創(chuàng)建一個(gè)日志日期為2022010220220101的已有文件中繼續(xù)追加寫入；日志文件的命名組織方式，"設(shè)備類型_日志類型_日期.log"；設(shè)備類型，mimic*，舉例：mimicrouter；4.4LOGTYPE字段；日志類型不同語(yǔ)義（層次）的標(biāo)識(shí)符之間以下劃線'_'字符進(jìn)行連接；相同語(yǔ)義（層次）的標(biāo)識(shí)符之間以'-'進(jìn)行連接。日志文件目錄的組織方式：日志文件目錄的組織方式，應(yīng)能夠直觀反映出日志的組織方式，包括分類、索引以及層級(jí)等信息；6.1.2章節(jié)通用事件分類標(biāo)簽表和最佳實(shí)踐事件分類標(biāo)簽表描述的標(biāo)簽元素；日志文件目錄的命名禁止使用無(wú)法區(qū)分意義的純數(shù)字、與擬態(tài)業(yè)務(wù)場(chǎng)景、擬態(tài)事件類型無(wú)關(guān)的命名方式。內(nèi)生安全系統(tǒng)安全日志采集要求明確采集目標(biāo)明確采集目標(biāo)應(yīng)符合以下要求：應(yīng)確定需要采集的擬態(tài)設(shè)備類型、型號(hào)及其網(wǎng)絡(luò)位置和業(yè)務(wù)情況；應(yīng)了解設(shè)備的功能和可能產(chǎn)生的日志類型，例如系統(tǒng)日志、攻擊日志、錯(cuò)誤日志等；應(yīng)針對(duì)不同類型的日志，明確其重要性和優(yōu)先級(jí)，以便在采集過(guò)程中重點(diǎn)關(guān)注。選擇采集工具選擇采集工具應(yīng)符合以下要求：應(yīng)選擇業(yè)界類似業(yè)務(wù)場(chǎng)景的主流技術(shù)選型，具備成熟的社區(qū)，方便問(wèn)題解決；（能需要開(kāi)發(fā)后予以評(píng)估給出詳細(xì)報(bào)告）應(yīng)具備靈活的對(duì)外接口，支持多種輸出方式；采集器其代碼應(yīng)開(kāi)源，開(kāi)發(fā)語(yǔ)言與現(xiàn)有開(kāi)發(fā)人員技術(shù)棧相符，便于二次開(kāi)發(fā)；采集器應(yīng)支持?jǐn)?shù)據(jù)加密傳輸，同時(shí)保證傳輸可靠性；采集器應(yīng)記錄對(duì)日志數(shù)據(jù)的訪問(wèn)和操作日志，方便進(jìn)行審計(jì)追溯；采集器應(yīng)具備故障恢復(fù)能力、故障報(bào)警能力；應(yīng)盡量選擇擬態(tài)設(shè)備目前采用的日志采集器。配置采集策略配置采集策略應(yīng)符合以下要求：應(yīng)確定擬態(tài)設(shè)備中需要裁決日志的系統(tǒng)、應(yīng)用或服務(wù)，如裁決模塊、調(diào)度模塊；應(yīng)根據(jù)業(yè)務(wù)需求，采集所需數(shù)據(jù)，如系統(tǒng)運(yùn)行的指標(biāo)、運(yùn)行狀態(tài)和被攻擊日志；應(yīng)根據(jù)擬態(tài)設(shè)備應(yīng)用或服務(wù)的特點(diǎn)，配置具體的日志采集規(guī)則，包括日志文件的路徑、采集頻率、過(guò)濾條件、采集的日志級(jí)別等。日志采集安全日志采集安全應(yīng)符合以下要求：日志采集狀態(tài)監(jiān)控，確保采集工具正常運(yùn)行，與擬態(tài)設(shè)備的連接保持穩(wěn)定；日志采集過(guò)程不能影響擬態(tài)設(shè)備正常業(yè)務(wù)運(yùn)行，避免因采集器的配置不當(dāng)導(dǎo)致設(shè)CPU使用率過(guò)高、內(nèi)存泄露、占用大量磁盤等問(wèn)題；適當(dāng)限制日志采集器的訪問(wèn)權(quán)限，避免對(duì)設(shè)備上非授權(quán)文件的訪問(wèn)及操作；對(duì)敏感日志數(shù)據(jù)進(jìn)行安全保護(hù)，采取加密、訪問(wèn)控制等措施，防止日志數(shù)據(jù)泄露或被篡改。內(nèi)生安全系統(tǒng)安全日志存儲(chǔ)要求日志存儲(chǔ)保證可用性和可擴(kuò)展性日志存儲(chǔ)的可用性和可擴(kuò)展性應(yīng)符合以下要求：日志存儲(chǔ)的時(shí)長(zhǎng)日志存儲(chǔ)的時(shí)長(zhǎng)應(yīng)符合以下要求：日志存儲(chǔ)時(shí)長(zhǎng)應(yīng)不少于六個(gè)月。日志存儲(chǔ)路徑日志存儲(chǔ)的路徑應(yīng)符合以下要求：應(yīng)支持根路徑的可配置，支持路徑場(chǎng)景遷移；應(yīng)采用含有分類、索引等隱含的信息的命名方式、采用分層的目錄組織結(jié)構(gòu)。日志存儲(chǔ)安全日志存儲(chǔ)安全應(yīng)符合以下要求：應(yīng)分類分級(jí)，根據(jù)日志的級(jí)別限制訪問(wèn)；應(yīng)對(duì)相關(guān)人員進(jìn)行日志數(shù)據(jù)安全的培訓(xùn)，明確日志數(shù)據(jù)的管理和使用流程；（（的存儲(chǔ)策略控制來(lái)保護(hù)存儲(chǔ)系統(tǒng)和基礎(chǔ)設(shè)施以及內(nèi)生安全系統(tǒng)安全日志共享要求日志共享標(biāo)準(zhǔn)化日志共享標(biāo)準(zhǔn)化應(yīng)符合以下要求：API接口，方便第三方工具和系統(tǒng)集成，實(shí)現(xiàn)日志數(shù)據(jù)的共享和交換。日志共享安全日志共享安全應(yīng)符合以下要求：與外部合作伙伴（如安全廠商、監(jiān)管機(jī)構(gòu)等）共享日志數(shù)據(jù)，應(yīng)遵守相關(guān)的隱私和法律要求。在共享日志數(shù)據(jù)時(shí)，應(yīng)對(duì)敏感信息進(jìn)行匿名化處理，保護(hù)用戶隱私；GM/T0054等國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)定的密碼技術(shù)，保證通信過(guò)程中數(shù)據(jù)的保密性和完整性。附錄A（規(guī)范性）內(nèi)生安全系統(tǒng)安全日志事件記錄數(shù)據(jù)組織格式說(shuō)明A.1.事件記錄的級(jí)別說(shuō)明事件記錄的級(jí)別說(shuō)明見(jiàn)表A.1。事件記錄的級(jí)別code定義值0systemisunusableEmergency1actionmustbetakenimmediatelyAlert2criticalconditionsCritical3errorconditionsError4warningconditionsWarning5normalbutsignificantconditionNotice6informationalmessagesInfo7debug-levelmessagesDebuglocationlocation編碼表說(shuō)明見(jiàn)表A.1。location編碼表類型編碼(code)（type）類型定義(definition)舉例1process_id進(jìn)程標(biāo)識(shí)：標(biāo)識(shí)事件發(fā)生在哪個(gè)進(jìn)程。process_id:1002thread_id線程標(biāo)識(shí)：標(biāo)識(shí)事件發(fā)生在哪個(gè)線程。thread_id:1003function_name函數(shù)標(biāo)識(shí)：標(biāo)識(shí)事件發(fā)生在哪個(gè)函數(shù)。function_name:main4line_id行號(hào)標(biāo)識(shí)：標(biāo)識(shí)事件發(fā)生在哪一行。line_id:1005file_name文件標(biāo)識(shí)：標(biāo)識(shí)事件發(fā)生在哪個(gè)代碼文件file_name:main.c日志類型說(shuō)明日志類型說(shuō)明見(jiàn)表A.3。A.3.日志類型Code定義值1系統(tǒng)啟動(dòng)、運(yùn)行過(guò)程中記錄的日志，表明系統(tǒng)的一些啟動(dòng)日志、啟動(dòng)參數(shù)等desc2系統(tǒng)性能統(tǒng)計(jì)日志，應(yīng)用會(huì)定時(shí)收集一些性能信息，便于查詢應(yīng)用當(dāng)前狀態(tài)stat3外部請(qǐng)求相關(guān)的日志，定位該請(qǐng)求相關(guān)的所有日志visit4業(yè)務(wù)數(shù)據(jù)相關(guān)日志，主要提供給數(shù)據(jù)統(tǒng)計(jì)使用biz5差模擾動(dòng)日志dmf6執(zhí)行體調(diào)度日志sched7ids日志ids附錄B（規(guī)范性）內(nèi)生安全系統(tǒng)安全領(lǐng)域內(nèi)具體可觀測(cè)事件最小集說(shuō)明事件自身屬性字段字典說(shuō)明B.1。B.1.事件自身屬性字段字典字段對(duì)象域（object_domain）字段標(biāo)識(shí)符（Field_identifier）（Type）字段描述(Description)字段取值范圍（Range）eventhost_namestring事件主機(jī)的名字1~255ipv4ipv4事件所在的主機(jī)IPV4地址0.0.0.0/32ipv6ipv6事件所在的主機(jī)IPV6地址::/128portnumber事件所在主機(jī)的應(yīng)用端口號(hào)0~65535app_namestring事件所屬應(yīng)用名字1~255pnamestring產(chǎn)生事件的進(jìn)程的名字1~255msgstring事件描述信息1~1024msgidstring事件描述信息的身份標(biāo)識(shí)pidstring產(chǎn)生事件的進(jìn)程的身份標(biāo)識(shí)privstring事件級(jí)別（3事別）tidnumber與產(chǎn)生事件相關(guān)的線程的身份標(biāo)識(shí)輸入代理事件分類標(biāo)簽通用詞匯表最小集說(shuō)明輸入代理事件分類標(biāo)簽通用詞匯表見(jiàn)表B.2。輸入代理事件分類標(biāo)簽通用詞匯表最小集事件類別類別標(biāo)簽值定義/描述event_domainmimic_interface事件記錄發(fā)生在擬態(tài)界上input_agent事件記錄發(fā)生在輸入代理event_actiondistribute事件的動(dòng)作是分發(fā)激勵(lì)信號(hào)adapte事件的動(dòng)作是處理激勵(lì)信號(hào)以適配相應(yīng)的執(zhí)行體check事件的動(dòng)作是激勵(lì)信號(hào)檢查filter事件的動(dòng)作是激勵(lì)信號(hào)過(guò)濾event_objectexcitation_signal事件作用的目標(biāo)對(duì)象，擬態(tài)界外輸入的激勵(lì)信號(hào)event_serviceinput_distribution事件涉及的操作類型是輸入分發(fā)input_adpator事件涉及的操做類型是輸入適配input_compliancecheck事件涉及的操作類型是輸入信號(hào)的合規(guī)性檢查input_filter事件涉及的操作類型是對(duì)輸入信號(hào)進(jìn)行黑白名單過(guò)濾event_statusfail事件結(jié)果失敗success事件結(jié)果成功pass事件結(jié)果通過(guò)block事件結(jié)果阻斷event_subjectsystemrunning_normal正常系統(tǒng)運(yùn)行事件記錄systemrunning_abnormal異常系統(tǒng)運(yùn)行事件記錄security_normal主被動(dòng)防御動(dòng)作記錄正常安全事件security_abnormal主被動(dòng)防御動(dòng)作記錄異常安全事件輸入代理字段字典說(shuō)明輸入代理字段字典說(shuō)明見(jiàn)表B.3。輸入代理字段字典字段對(duì)象域（object_domain）字段標(biāo)識(shí)符（Field_identifier）（Type）字段描述(Description)字段取值范圍（Range）input_agentcompliance_rules_filefile合規(guī)規(guī)則文件compliance_rules_listobject合規(guī)規(guī)則列表black_white_filefile黑白名單規(guī)則文件black_white_rules_listobject黑白名單過(guò)濾規(guī)則列表relation_feeoobject關(guān)聯(lián)的執(zhí)行體信息輸出代理事件分類標(biāo)簽通用詞匯表最小集說(shuō)明輸出代理事件分類標(biāo)簽通用詞匯表最小集說(shuō)明見(jiàn)表B.4。輸出代理事件分類標(biāo)簽通用詞匯表最小集事件類別類別標(biāo)簽值定義/描述event_domainmimic_interface事件記錄發(fā)生在擬態(tài)界上output_agent事件記錄發(fā)生在輸出代理event_actionreceive事件的動(dòng)作是接收異構(gòu)執(zhí)行體輸出的結(jié)果send事件的動(dòng)作是發(fā)送輸出矢量到擬態(tài)裁決extract事件的動(dòng)作是提取擬態(tài)保護(hù)的信息preprocess事件的動(dòng)作是對(duì)異構(gòu)執(zhí)行體輸出是輸出矢量預(yù)處理event_objectoutput_vector事件作用的目標(biāo)對(duì)象，多異構(gòu)執(zhí)行體輸出矢量buffer_queue事件作用的目標(biāo)對(duì)象，緩沖隊(duì)列event_serviceoutput_vector_receive事件涉及的操作類型是輸出矢量的接收output_vector_send事件涉及的操做類型是發(fā)送處理后的輸出矢量到擬態(tài)裁決output_vector_preprocess事件涉及的操作類型是輸出矢量的預(yù)處理output_vector_extraction事件涉及的操作類型是從原始輸出矢量中提取擬態(tài)保護(hù)的信息event_statusfail事件結(jié)果失敗success事件結(jié)果成功full事件結(jié)果緩沖隊(duì)列滿empty事件結(jié)果緩沖隊(duì)列空event_subjectsystemrunning_normal正常系統(tǒng)運(yùn)行事件記錄systemrunning_abnormal異常系統(tǒng)運(yùn)行事件記錄輸出代理字段字典說(shuō)明輸出代理事件分類標(biāo)簽通用詞匯表最小集說(shuō)明見(jiàn)表B.5。輸出代理字段字典字段對(duì)象域（object_domain）字段標(biāo)識(shí)符（Field_identifier）（Type）字段描述(Description)字段取值范圍（Range）output_agentbuffer_queueobject緩沖隊(duì)列output_vectorobject輸出矢量擬態(tài)裁決事件分類標(biāo)簽通用詞匯表最小集說(shuō)明擬態(tài)裁決事件分類標(biāo)簽通用詞匯表最小集說(shuō)明見(jiàn)表B.6。擬態(tài)裁決事件分類標(biāo)簽通用詞匯表最小集事件類別類別標(biāo)簽值定義/描述event_domainmimic_multimode_ruling事件記錄發(fā)生在擬態(tài)裁決event_actionmultimode_ruling事件的動(dòng)作是裁決輸出event_objectruling_policy事件作用的目標(biāo)對(duì)象，裁決策略output_vector事件作用的目標(biāo)對(duì)象，輸出矢量recorder事件作用的目標(biāo)對(duì)象，差模擾動(dòng)事件記錄file事件作用的目標(biāo)對(duì)象，差模擾動(dòng)日志文件ruling_policy_set事件作用的目標(biāo)對(duì)象，裁決策略集event_servicepolicy_execution事件涉及的操做類型是裁決策略執(zhí)事件類別類別標(biāo)簽值定義/描述行dmf_logging事件涉及的操作類型是差模擾動(dòng)日志記錄ruling_status_logging事件涉及的操作類型是裁決狀態(tài)信息日志記錄event_statusfail事件結(jié)果失敗success事件結(jié)果成功simple利用安全漏洞影響目標(biāo)系統(tǒng)的難度“簡(jiǎn)單”complex利用安全漏洞影響目標(biāo)系統(tǒng)的難度“復(fù)雜”complete利用安全漏洞對(duì)目標(biāo)系統(tǒng)造成的損害程度“完全”part利用安全漏洞對(duì)目標(biāo)系統(tǒng)造成的損害程度“部分”slight利用安全漏洞對(duì)目標(biāo)系統(tǒng)造成的損害程度“輕微”none利用安全漏洞對(duì)目標(biāo)系統(tǒng)造成的損害程度“無(wú)”schedule差模擾動(dòng)造成執(zhí)行體調(diào)度no_schedule差模擾動(dòng)未造成執(zhí)行體調(diào)度different_mode_fault造成差模擾動(dòng)no_dmf未造成差模擾動(dòng)event_subjectsystemrunning_normal正常系統(tǒng)運(yùn)行事件記錄systemrunning_abnormal異常系統(tǒng)運(yùn)行事件記錄no_dmf_security_normal無(wú)差模擾動(dòng)正常安全事件記錄dmf_single_executor_security_abnormal差模擾動(dòng)單執(zhí)行體異常安全事件記錄dmf_multi_executors_security_abnormal差模擾動(dòng)多執(zhí)行體異常安全事件記錄dmf_security_abnormal差模擾動(dòng)異常安全事件記錄擬態(tài)裁決字段字典說(shuō)明擬態(tài)裁決字段字典說(shuō)明見(jiàn)表B.7。擬態(tài)裁決字段字典字段對(duì)象域（object_domain）字段標(biāo)識(shí)符（Field_identifier）字段類型（Type）字段描述on)字段取值范圍（Range）mimic_multimode_rulingexecutor_infoobject執(zhí)行體信息[“1.1.1.1“,”2.2.2.2”]字段對(duì)象域（object_domain）字段標(biāo)識(shí)符（Field_identifier）字段類型（Type）字段描述on)字段取值范圍（Range）executor_countnumber在線執(zhí)行體數(shù)量“3~MAX_LONG（其中，MAX_LONG代表能表示最大的Long整數(shù)）executor_running_durationnumber執(zhí)行體運(yùn)行時(shí)長(zhǎng)0~MAX_LONGdmf_executor_countnumber發(fā)生差模擾動(dòng)的執(zhí)行體數(shù)量0~executor_countdmf_logobject差模擾動(dòng)日志數(shù)據(jù)決作用對(duì)象dmf_countnumber差模擾動(dòng)次數(shù)0~MAX_LONGruling_policyobject裁決策略algorithmstring多模裁決算法“majority_multimode_ruling“:(擇多裁決),“weight_multimode_ruling“:(權(quán)重裁決),“random_multimode_ruling“:(隨機(jī)裁決)levelstring多模裁決層次/粒度“executor_level“:(執(zhí)行體層次),“component_level“:(組件層次),“payload_level“:(載荷層次),”byte_level”:(字節(jié)層次),”bit_level”:(比特層次)conclusionstring多模裁決結(jié)論“completely_same“:(完全相同),“majority_same“:(多數(shù)相同),“minority_same“:(少數(shù)相同),“completely_different”:(完全不同)syslogobjectsyslog日字段對(duì)象域（object_domain）字段標(biāo)識(shí)符（Field_identifier）字段類型（Type）字段描述on)字段取值范圍（Range）志數(shù)據(jù)結(jié)構(gòu)exploiting_difficultystring利用安全漏洞影響目標(biāo)系統(tǒng)的難度"simple"|"complex"damage_potentialstring利用安全漏洞對(duì)目標(biāo)系統(tǒng)造成的損害程度"complete"|"part"|"slight"|"none"output_statusobject輸出到負(fù)反饋控制器的狀態(tài)信息output_responseobject裁決后輸出給目標(biāo)用戶的響應(yīng)消息output_schedule_policyobject輸出到負(fù)反饋控制器的策略信息負(fù)反饋控制器事件分類標(biāo)簽通用詞匯表最小集說(shuō)明負(fù)反饋控制器事件分類標(biāo)簽通用詞匯表最小集說(shuō)明見(jiàn)表B.8。負(fù)反饋控制器事件分類標(biāo)簽通用詞匯表最小集事件類別類別標(biāo)簽值定義/描述event_domainfeedback_control_function事件記錄發(fā)生在負(fù)反饋控制器event_actionschedule事件的動(dòng)作是調(diào)度異構(gòu)執(zhí)行體receive事件的動(dòng)作是接收調(diào)度策略logging事件的動(dòng)作是日志記錄clear事件的動(dòng)作是清洗異常執(zhí)行體recover事件的動(dòng)作是恢復(fù)異常執(zhí)行體狀態(tài)synchronize事件的動(dòng)作是同步新執(zhí)行體狀態(tài)offline事件的動(dòng)作是下線異常執(zhí)行體online事件的動(dòng)作是上線新執(zhí)行體notify事件的動(dòng)作是通知輸入代理當(dāng)前執(zhí)行體事件類別類別標(biāo)簽值定義/描述集發(fā)生變化event_objectschedule_policy事件作用的目標(biāo)對(duì)象，調(diào)度策略executor事件作用的