MH∕T 0075—2020 民用航空网络安全监测数据接口格式规范(民用航空).pdf
《MH∕T 0075—2020 民用航空网络安全监测数据接口格式规范(民用航空).pdf》由会员分享,可在线阅读,更多相关《MH∕T 0075—2020 民用航空网络安全监测数据接口格式规范(民用航空).pdf(35页珍藏版)》请在咨信网上搜索。
1、ICS 35.020 L 07 MH 中 华 人 民 共 和 国 民 用 航 空 行 业 标 准 MH/T 00752020 民用航空网络安全监测数据接口格式规范 Data interface format specification of civil aviation cyber security monitoring 2020 - 07 - 20发布 2020 - 10 -01实施中国民用航空局 发 布 MH/T 00752020 I 前 言 本标准按照GB/T 1.1-2009标准化工作导则 第1部分:标准的结构和编写给出的规则起草。 本标准由中国民用航空局人事科教司提出。 本标准由中国
2、民航科学技术研究院归口。 本标准起草单位:中国民航大学、中国民用航空局空中交通管理局。 本标准主要起草人:周景贤、王双、张礼哲、顾兆军、唐屹、刘春波、隋翯、刘超、吕宗平、杨锐、陈宝刚。 MH/T 00752020 1 民用航空网络安全监测数据接口格式规范 范围 本标准规定了民用航空(以下简称民航)重要信息系统安全监控预警及应急处置平台(以下简称平台)接口功能要求、接口方法定义、数据代码表等要求。 本标准适用于民航重要信息系统安全监控预警及应急处置平台的数据交换接口。 民航各企事业单位建设多级网络安全监控预警及应急处置平台,可参照本标准执行。 平台框架 民航重要信息系统安全监控预警及应急处置平台
3、分二级部署。一级平台具备组织协同、人员协同、技术协同等网络与信息安全管理功能,实现监测、预警、处置、验证的风险闭环管理,同时具备向国家管理部门上报情况、接收信息,以及和相关部门单位交换数据功能。二级平台具备采集、分析和管理企事业单位的网络设备、 安全设备和业务系统等安全信息功能。 各平台间的数据交换采用安全通道和接口标准交换。其中一级平台由民航管理部门统一建设,二级平台由民航各企事业单位自行建设。平台整体框架见图1。 国家管理部门一级平台(行业主管部门)外部单位二级平台(民航企事业单位)二级平台(民航企事业单位)二级平台(民航企事业单位) 图1 平台整体框架图 接口功能要求 一级平台数据接口
4、数据接收接口包括:二级平台报送数据接口:接收二级平台报送的数据信息; 威胁情报接收接口:接收情报合作单位的威胁情报信息。 数据输出接口 MH/T 00752020 2 包括: a) 反馈结果输出接口:向二级平台反馈接收到数据的统计信息; b) 威胁情报输出接口:向情报需求单位输出指定的威胁情报消息。 二级平台数据接口 数据接收接口 数据接收接口是统计结果接收接口,用于接收一级平台反馈的数据统计信息。 数据输出接口 数据输出接口是数据报送接口, 用于响应一级平台的数据采集请求信息, 向一级平台上报安全数据。 接口方法定义 数据接收接口 一级平台数据接收接口 见表1。 一级平台数据接收接口 接口名
5、称 数据接收接口(一级平台) 功能描述 接收二级平台推送的数据信息(数据类型包括 4 类:详见本表格中“传入参数”部分)接口实现方 一级平台 “taskId” : “任务 id” ,/按需监测任务编号1 “taskName” : “任务名称” ,/按需监测任务名称1 “taskType” : “time_acquisition” ,/任务类型2 “sender” : “subCACSMP” ,/发送者(统一编号) “senderIP” : “10.12.12.3” ,/发送者 IP(系统获取) “senderUnit” : “二级平台某单位” ,/发送者单位(二级平台统一编号) “sender
6、Time” : “2018-09-12 12:09” ,/发送时间 “dataType” : “threat_event” ,/数据类型3 “data” : “data”/list 类型数据4 备注: 1.在涉及按需监测任务数据上报时,参数 taskId、taskName 必填。 2.taskType 取值: according_monitor - 按需监测任务 time_acquisition - 定时采集任务 3.datatype 取值: threat_event - 攻击事件 MH/T 00752020 3 表 1(续) 接口名称 数据接收接口(一级平台) 传入参数 system_sta
7、tus - 运行状态日志 asset_info - 系统资产信息 audit - 审计数据 flow - 网络流量数据 depth_analysis - 载荷深度分析数据 vulnerability - 脆弱性数据 4.data 攻击事件(详见 5.1) 运行状态日志(详见 5.2) 系统资产信息(详见 5.3) 按需监测数据(审计、网络流量、载荷深度分析和脆弱性数据,详见 5.4) 返回结果 /请求成功: “status” : “success” , /请求失败: “status” : “201” ,/状态码含义详见 5.6.1 “msg” : “error msg”/ 失败原因 威胁情报接
8、收接口见表2。 威胁情报数据接收接口 接口名称 数据接收接口 功能描述 一级平台接收情报共享单位的安全情报消息 接口实现方 一级平台 传入参数 “URL” : “” 1 备注: 1.根据威胁情报不同类型传入不同的属性值(详见第 5.5) MH/T 00752020 4 表 2(续) 接口名称 数据接收接口 返回结果 /请求成功: “status” : “success”, /请求失败: “status” : “fail” , “msg” : “error msg”/ 失败原因 数据输出接口 反馈结果输出接口见表3。 反馈结果输出接口 接口名称 反馈结果输出接口(一级平台) 功能描述 返回数据处
9、理后的结果信息,包括:成功上传的数据数量、类型、耗费时间。 该接口用于数据上传单位查询自己的数据贡献情况。 接口实现方 一级平台 传入参数 “noticeID”:“no-012” /发送过的通知 ID /注:若输入参数 noticeID 为空,则返回所有的通知反馈消息 返回结果 /请求成功: “status” : “success” , “data” : “num” : “102302” ,/ 数量 “dataType” : “assetInfo” ,/ 类型 “uploadTotalTime” : “3092”/耗费时间(单位:秒) /请求失败: “status”:“fail”, “msg”
10、:“error msg”/ 失败原因 MH/T 00752020 5 威胁情报输出接口见表4。 威胁情报输出接口 接口名称 威胁情报输出接口(一级平台) 功能描述 根据情报共享单位的输入请求,返回指定的威胁情报数据 接口实现方 一级平台 传入参数 “URL” : “” ,/域名 url “SamMD5” : “0240308a1ae03b98fe6628fe6fa5c59d” ,/样本的 MD5 值 “reqIP” : “120.123.12.11” ,/查询者的 IP “reqID” : “A-012-12” ,/查询者的编号 /注:输入参数 URL 和 SamMD5 不可以同时为空,否则返
11、回数据为空,其它情况均可以返回数据 返回结果 /请求成功: “status” : “success” , “data” : “URL” : “” /字段详见第 5.5 各章节 /请求失败: “status” : “fail” , “msg” : “error msg”/ 失败原因 数据报送接口见表5。 数据报送接口 接口名称 数据报送接口(二级平台) 功能描述 向一级平台上报安全数据的接口。 接口实现方 二级平台 MH/T 00752020 6 返回结果 /请求成功: “status”:“200”,/返回响应状态码 “data”:“data”/加密后的数据 /data 对应的原始数据(即解密后
12、数据)字段表分别为: (详见 5.1-5.3 数据代码表)/事件和日志(SecLog)字段表 /系统运行状态(SysState)字段表 /系统资产信息(assetInfo)字段表 /请求失败: “status”:“201”, /返回响应状态码 “msg”:“error msg” /失败原因 数据交互内容及数据代码表 攻击事件 事件报告各二级平台对各类安全监测日志进行验证分析,形成事件报告,事件报告内容涵盖攻击者信息、受害信息、攻击过程、处置情况以及分析验证过程中产生的情报等内容,并提供相关的攻击告警日志明细记录。事件报告数据格式规范如表6所示。 攻击事件报告数据格式 id: 1GK3JBZ5X
13、EI2UCRPGXKH8XI5I4WE4ZI3, name: xxxxx系统遭遇网络入侵, desc: xx局的xxxxx系统遭遇黑客入侵, initiator: ips: 120.78.121.206, 120.78.121.207, geo: ip: 120.78.121.206, country: 中国, province: 江西省, city: 南昌市 , ip: 120.78.121.207, MH/T 00752020 7 country: 中国, province: 江西省, city: 南昌市 , , att_org: 黑暗能量 , victim: sys_id: 55D232
14、8A5CE35603BFBFE521CA241AA4, node: 1E4ED95FF1B5B69934D3B024E2D35627, asset_id: 2991531C0E2F12E2C7DD779315E8C492, desc: xx系统下的xx站遭受网络入侵, unit: xxxx局, geo: country: 中国, province: 辽宁省, city: 沈阳市 , sumary: att_ct: 299, att_time: fts: 2018-06-12 13:57:21, lts: 2018-12-12 13:57:21 , level: 4 , offer: ts: 2
15、018-12-15 15:57:21, unit: xxxx, ver: 1.0 , dealinfo: status: fix, sts: 2018-12-14 15:57:21, desc: xx系统下的xx站遭受网络入侵,相关安全人员发现并快速处置,修复相关漏洞,有效阻止入侵! MH/T 00752020 8 , behavior: 木马程序,违规外联,违规接入,通讯阻断, threat_sign: sign_type: ip, threat_type: fm, sign_value: 120.78.121.206 , sign_type: ip, threat_type: fm, si
16、gn_value: 120.78.121.207 , sign_type: url, threat_type: c2, sign_value: http:/ , sign_type: url, threat_type: c2, sign_value: http:/ , loadinfo: name: file0.exe, type: exe, md5: 3EC7B103B769E5CB8B63A02E96EBED3D, malname: TrojanBackdoor/Win32.PcClient, maltype: Trojan, risk: 4, behavior: 窃取行为,下载者, cv
17、e: cve-2017-7269, cve-2015-0249 , name: geo2ca.exe, type: exe, MH/T 00752020 9 md5: 2BC36DFAE2A1C39C507CCEC628849AEC, malname: GrayWareAdWare/Win32.DLBoost, maltype: GrayWare, risk: 4, behavior: 窃取行为,下载者, cve: cve-2017-7269, cve-2015-0249 , dev_logs: 违规外联日志, 恶意代码检测日志, 网络入侵监测日志, C&C通讯日志, . 相关日志通则 安全设
18、备及对应输出的安全数据种类繁多, 本标准定义11种样例安全数据结构规范; 更多安全数据日志结构定义,可根据实际情况,参考已有日志结构规范,扩充日志内容定义。 防火墙检测数据格式及含义说明见表7。 防火墙检测数据格式及含义说明 type:WF, /日志类型 ts:2018-12-21 12:54:45, /发生时间 level: 3, /严重级别 raw_msg: xxxxx, /原始报文 sip: ip_xxx, /源 IP 标识 sport: 52201, /源端口 dip: ip_xxxx, /目的 IP 标识 dport: 80, /目的端口 send: 1024, /发送字节大小 re
19、cvd: 1024, /接收字节大小 proto: tcp, /攻击使用的协议 szone: DMZ 区, /源安全域 dzone: test 区, /目的安全域 policy: r_xxx, /策略 MH/T 00752020 10 action: deny, /处置动作 字段 类型 含义说明 M-必选 O-可选 type string 数据类型,WF M ts string 发生时间,格式:yyyy-mm-dd hh:mm:ss M level integer 严重级别:严重性 1-4 M raw_msg String 原始报文 O proto String 协议 tcp、udp、icmp
20、、http、ftp、telnet、pop3、smtp、snmp 等 M sip string 源 IP 标识 M sport int 源端口 M dip string 目的 IP 标识 M dport int 目的端口 M send int 发送字节,源到目的的字节 O recvd int 接收字节,目的到源的字节 O szone string 源安全域 O dzone string 目的安全域 O policy string 策略名称,日志的策略号或策略名, 即日志由哪条策略生成 O action string 处置动作,accept(允许)|deny(拒绝) M WEB 应用防火墙 见表8
21、。 WEB 应用防火墙安全数据格式及含义说明 type:WAF, /日志类型 ts: 2018-12-21 12:54:45, /发生时间 level: 3, /严重级别 raw_msg : xxxxx, /原始报文 sip: ip_xxx, /源 IP 标识 sport: 52201, /源端口 dip: ip_xxxx, /目的 IP 标识 dport: 80, /目的端口 url: http:/ / url tag: 扫描工具, /事件标签 client_env: Windows, /访问用户环境 action: “deny”, /处置动作 MH/T 00752020 11 字段 类型
22、含义说明 M-必选,O-可选 type string 数据类型,WAF M ts string 发生时间,格式:yyyy-mm-dd hh:mm:ss M level integer 严重级别:严重性 1-4 M raw_msg String 原始报文 M sip string 源 IP 标识 M sport int 源端口 M dip string 目的 IP 标识 M dport int 目的端口 M url string url M tag string 事件标签,例如:漏洞防护、扫描工具等 M action string 处置动作,accept(允许)|deny(拒绝) M clien
23、t_env string 访问客户环境,例如:windows、Linux 等 O 入侵检测 见表9。 入侵检测安全数据格式及含义说明 type: IDS, /数据类型 ts: 2018-12-21 12:54:45, /监测时间 level: 1, /严重级别 raw_msg : xxxxx, /原始报文 sip: 119.55.3.11, /入侵者使用的IP地址 sport: 52201, /入侵者使用的端口 dip: ip_xxxx, /被攻击的IP标识 dport: 80, /被攻击的端口 proto: http, /攻击使用的协议 desc: test, /入侵事件描述 字段 类型 含
24、义说明 M-必选,O-可选 type string 数据类型,IDS M ts string 监测时间,格式:yyyy-mm-dd hh:mm:ss M level integer 严重级别:严重性1-4 M MH/T 00752020 12 raw_msg string 原始报文 O sip string 入侵者使用的IP地址 M sport integer 入侵者使用的端口 M dip string 被攻击的IP标识 M dport integer 被攻击的端口 M proto string 攻击使用的协议 M desc string 入侵事件描述 M 入侵防御 见表10。 入侵防御安全数
25、据格式及含义说明 type: IPS, /数据类型 ts: 2018-12-21 12:54:45, /监测时间 level: 1, /严重级别 raw_msg : xxxxx, /原始报文 sip: ip_xxx, /源IP地址标识 sport: 52201, /源端口 dip: ip_xxxx, /目的 IP标识 dport: 80, /目的端口 proto: http, /协议 action: deny, /处置动作 desc: test, /入侵防御事件描述 字段 类型 含义说明 M-必选,O-可选 type string 数据类型,IPS M ts string 监测时间,格式:yy
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- MHT 00752020 民用航空网络安全监测数据接口格式规范民用航空 MH 0075 2020 民用航空 网络 安全 监测 数据 接口 格式 规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。