GA/T 699-2007
基本信息
标准号: GA/T 699-2007
中文名称:信息安全技术计算机网络入侵报警通讯交换技术要求
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:8692276
相关标签: 信息安全 技术 计算机网络 入侵 报警 通讯 交换
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 699-2007.Information security technology-Communication exchange criterion for alert of computer network intrusion.
1范围
GA/T 699规定了报警处置系统中网络型入侵检测系统的相关接口元素定义、保存格式、命名规范和报警流程。
GA/T 699适用于报警处置系统的开发和建设,相关开发商或集成商可参照本标准执行。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。
GB/T 2260中华 人民共和国行政区划代码
GB 2312- 1980信息交换用汉字编码字符集基本集
GB 18030- -2000 信息技术信息交换用汉字编码字符集 基本集的扩 充
GA/Z 02- -2005 公安业 务基础数据元素代码集
GA/T 700- -2007 信息安全技术计算机网络入侵分级要求
3术语和定义
3.1网络型入侵检测系统network intrusion detection system
通过监视网络中的数据包,发现是否有恶意用户或误用用户尝试非正常进人系统的产品套件。网络型入侵检测系统可以运行在目标机上监视自己的通迅,也可以在独立的机器上以混杂模式监剥所有的网络通讯。本标准覆盖网络型入侵检测系统(英文简写为NIDS) ,不涉及主机基人侵检测系统(英文简写为HIDS)。
1范围
GA/T 699规定了报警处置系统中网络型入侵检测系统的相关接口元素定义、保存格式、命名规范和报警流程。
GA/T 699适用于报警处置系统的开发和建设,相关开发商或集成商可参照本标准执行。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。
GB/T 2260中华 人民共和国行政区划代码
GB 2312- 1980信息交换用汉字编码字符集基本集
GB 18030- -2000 信息技术信息交换用汉字编码字符集 基本集的扩 充
GA/Z 02- -2005 公安业 务基础数据元素代码集
GA/T 700- -2007 信息安全技术计算机网络入侵分级要求
3术语和定义
3.1网络型入侵检测系统network intrusion detection system
通过监视网络中的数据包,发现是否有恶意用户或误用用户尝试非正常进人系统的产品套件。网络型入侵检测系统可以运行在目标机上监视自己的通迅,也可以在独立的机器上以混杂模式监剥所有的网络通讯。本标准覆盖网络型入侵检测系统(英文简写为NIDS) ,不涉及主机基人侵检测系统(英文简写为HIDS)。
标准图片预览
标准内容
ICS35.240
中华人民共和国公共安全行业标准GA/T699—2007
信息安全技术
计算机网络入侵
报警通讯交换技术要求
Information security technologyCommunication exchange criterion foralertof computernetworkintrusion2007-05-14发布
数码防伪
中华人民共和国公安部
2007-07-01实施
规范性引用文件
术语和定义
运行环境
4.1系统结构
4.2网络型入侵检测系统运行要求4.2.1信息处理功能
信息上报功能
4.2.3数据保存功能
5数据交换接口元素定义
5.1基本数据类型
基本属性说明
报警接口元素定义
Alarm元素定义
Alert元索定义
HeartBeat元素定义
Analyzer元素定义
Unit元素定义
Node元索定义
Address元索定义
Source元素定义..
Target元素定义
MatchRecord元素定义
AlertLevel元素定义
Impact元素定义
Classification元素定义
CImpact元素定义
AdditionalData元素定义
StatRecord元素定义
Status元素定义
6数据交换保存格式
6.1格式描述表
6.2说明·
上报文件命名规范
7.1命名格式
GA/T699—2007
GA/T699-2007
7.2示例·
报警流程:
8.1在线报警流程·
8.2离线报警流程
9数据接口描述文档·
查标准上建标网wwiz321.net
本标准由公安部公共信息网络安全监察局提出。GA/T699—2007
本标准由公安部信息系统安全标准化技术委员会归口。本标推起草单位:公安部计算机信息系统安全产品质量监督检验中心、上海金诺网络安全技术发展股份有限公司、北京中科网威信息技术有限公司、北京启明星辰信息技术有限公司、北京榕基网安科技有限公司。
本标准主要起草人:沈亮、顾健、丁鼎、肖江、徐秋芬、朱代祥日
查标准上建标网wwiz321.net
1范围
信息安全技术计算机网络入侵
报警通讯交换技术要求
GA/T699—2007
本标准规定了报警处置系统中网络型入侵检测系统的相关接口元素定义、保存格式、命名规范和报警流程。
本标准适用于报替处置系统的开发和建设,相关开发商或集成商可参照本标准执行2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标推,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GB/T2260中华人民共和国行政区划代码GB2312—1980信息交换用汉字编码字符集基本集GB18030--2000信息技术信息交换用汉字编码字符集基本集的扩充
GA/Z02一2005公安业务基础数据元素代码集GA/T700一2007信息安全技术计算机网络人侵分级要求3术语和定义
网络型入侵检测系统network intrusiondetection system通过监视网络中的数据包,发现是否有恶意用户或误用用户尝试非正常进人系统的产品套件。网络型入侵检测系统可以运行在目标机上监视自己的通迅,也可以在独立的机器上以混杂模式监测所有的网络通讯。本标准覆盖网络型人侵检测系统(英文简写为NIDS),不涉及主机基入侵检测系统(英文简写为HIDS)。
alarm manager system
报警处置系统
对来自各类业务系统的报警进行统一处置的平台,其中包含对前端侵检测设备的数据传输接口。本标准涉及的是报警处置系统的前端信息接收部分。3.3
居uploaddata
上报数据
网络型人侵检测系统向报警处置系统远程接口上报的信息。上报数据应符合本标准中对数据格式的要求。
4运行环境
4.1系统结构
系统结构由网络型人侵检测系统、报替处置系统的远程接口组成。网络型入侵检测系统实现对网络行为的识别和处理、规则匹配和报警等功能;报警处置系统定义接收上报数据的远程接口,实现了信息收集和汇总。结构如图1所示。1
查标准上建标网wwwiz321.net
GA/T699-2007
入侵检测系统
报咨接口模块
本标准没盖的
系统范围
入侵检阅系统
接口模块
入侵检系统
4.2网络型入侵检测系统运行要求4.2.1信息处理功能
报警处置系统
其他业务系统
报警接口模块
入受检测系统
接口模块
入假检测系统
报警处置系统结构
其他业务系统
报警接口模块
入侵检副系统
接口模块
入侵检测系统
网络型入侵检测系统应能够按照本标准第6章的要求生成上报信息。4.2.2信息上报功能
网络型入侵检测系统应提供向报替处置系统在线上报和离线上报信息的功能:a)
在线上报信息时,网络型入侵检测系统应能够通过网络向报警处置系统的远程接口上报信b)
息,推荐使用XML进行网络传输:;离线上报信息时,网络型入侵检测系统应按照本标准第6章的要求向固定的存储介质进行c)
导出。
数据保存功能
网络型人侵检测系统应能够按照主管部门要求,在本地保存规定时间间隔的上报信息。5数据交换接口元素定义
5.1基本数据类型
基本数据类型见表1。
表1基本数据类型
类型名称
日期时间型
字符串型
枚举型
整数型
数据类型
datatime
enumeration
integer
GA/Z02—2005
已知长度的,由多个字符组成的数据类型。例如,“the number is 19”
有序的一列可接受值组成的数据类型,每个值有一个等级序号。本标准对等级序号没有要求,值之间关系为“或”。使用“()”进行内容描述,“|”进行分隔。
例如:(datetimel stringlintegeri boolean| xml)10进制编码,使用0~9进行表示,“十”和“”符号可选。例如:“123”,“+123”,*—123”类型名称
布尔型
自定义型
数据类型
boolean
portlist
表1(续)
表示条件的有效性,使用“0”代表假,“1\代表真。例如:“0”,“1”
GA/T699—2007
表示端口列表。使用逗号分隔整数-使用“-”表示范围。例如:“22.80.6881-6889#
基本属性说明
本标准中在Alert、Analyzer、Unit、Node、Source、User、UserId、Process、Target、File、MatchRecord、AlertLevel都定义了ident属性,此属性可以表示节点的唯一编号,但并不要求全局唯一。不同的网络型人侵检测系统可以采用自身唯一的编号,在自身范围中有效。报警处置系统与网络型入侵检测系统可以通过预定义的方式,使用ident属性传递内部定义的编号,以达到减少通讯流量,加快信息收集的目的。5.3报警接口元素定义
5.3.1Alarm元素定义
a)简述:
Alarm元素是构成报警信息的根节点。它由version属性规定格式版本,由alarm_type属性定义产生报警的类型。缩写的定义见表2。等级序号
表2报警的类型
scanner
firewall
e-mail
router
switch
网络型入侵检测系统
主机型入侵检测系统
扫描器系统
防火墙
短信系统
邮件系统
路由器
交换机
其他信息系统
由于本标准属于网络型人侵检测系统数据接口技术规范,在alarm_type中默认为“nids\。Alarm由报警内容信息的Alert、探测设备的同步信息的HeartBeat这两个元素组成。b)属性表:
属性类型见表3。
属性名
version
alarm_type
属性类型
string
enumeration
表3属性
报警格式的版本。现在固定值1.0解
报警的整体类型,表明属于哪一大类的报警信息。内容为:
(nids hids scanner|firewallsms e-mail|router switchlinfo)2
GA/T699—2007
c)子元素表:
子元素名见表4。
子元素名
HeartBeat
DTD模板:
报警内容信息
探测设备的同步信息
表4子元素
alarm_type(nids|hids|firewall|scanner|sms/e-maillinfo|router|switch)'nids'>
5.3.2Alert元素定义
a)简述:
Alert是网络型人侵检测系统向报警处置系统上报安全事件的内容节点。它由报警生成时间Cre-ateTime、信息接收时间AcceptTime、探测设备信息的Analyzer、事件源信息的Source、事件目标信息的Target、具体安全事件内容的MatchRecord以及其他附加信息的AdditionalData这八个元素组成。CreateTime可以由多个组成,表示信息在不同的时间点或某个时间区域中产生(由time_field属性决定);不同的报替类型可以定义不同的MatchRecord节点内容,以描述其特有的具体安全事件内容,或者使用AdditionalData节点内容进行扩充。b)属性表:
属性类型见表5。
表5属性
属性名
子元素表:
子元素名见表6。
子元素名
CreateTime
AcceptTime
Analyzer
Source
Target
MatchRecord
AdditionalData
DTD模板:
属性类型
string
上级系统处理的流水号,默认为0表6子元素
报替被创建的日期时间,类型为datetime报替信息接收的日期时间,类型为datetime探测设备信息
报警事件源信息
报替事件目标信息
具体的报替事件内容
报替事件其他信息
5.3.3HeartBeat元素定义
GA/T699—2007
a)简述:
HeartBeat是入侵检测系统定时发送给报警处置系统,汇报当前运行状态的内容节点。它由探测设备信息的Analyzer、探测设备日期时间的AnalyzerTime、探测设备状态的Status、探测设备监测流量信息的StatRecord以及其他附加信息的AdditionalData这五个元素组成。不同的探测设备可以定义不同的Status节点内容,以描述其特有的状态内容,或者使用Addition-alData节点内容进行扩充。Status和StatRecord元素任取其一。b)属性表:
属性类型见表7。
属性名
c)子元素表:
子元素名见表8。
子元素名
Analyzer
AnalyzerTime
Status
StatRecord
AdditionalData
属性类型
string
探测设备信息
探测设备时间
探测设备状态
表7属性
同步唯一编号,默认为0
表8子元素
探测设备流量信息
探测设备其他信息
d)DTD模板:
ident CDATA'o'>
5.3.4Analyzer元素定义
a)简述:
Analyzer是描述探测器自身信息以及部署位置信息的内容节点。它由描述部署单位信息的Unit、描述单位中具体位置信息的Node这两个元素组成。属性描述了产品自身的信息内容。type属性描述了网络型人侵检测系统产品的位置类型,缩写的定义见表9。表9网络型入侵检测系统产品位置类型等级序号
属性表:
属性类型见表10。
unknown
single
network
gateway
位置未知
产品位于单独的计算机上
产品位于网络专用计算机上
产品位于网关或防火墙上
GA/T699-2007
属性名
manufacturer
policy_version
os_type
os_version
os_patch
子元素表:
子元素名见表11。
子元素名
DTD模板:
属性类型
string
string
enumeration
string
stringWww.bzxZ.net
string
string
string
string
表10属性
探测器产品信息的唯一编号,前4位表示公司,后11位表示部署产品标识,默认为0
探测器产品名称
探测器产品位置类型,默认为\network”。内容为:
(singlel networklgateway|unknown)探测软硬件产品的生产厂家
探测软硬件产品的软硬件版本号,表示方式为:“软件版本”+“\+“硬件版本”
探测软硬件产品的策略库版本号操作系统的类型。与POSIX1003.1兼容的系统,可通过系统调用un-ame()的utsname.sysname的返回值得到,或者\uname-s\命令行得到操作系统版本号。与POSIX1003.1兼容的系统,可通过系统调用un-ame()的utsname.release的返回值得到,或者“unamer\命令行得到操作系统补丁版本
表11子元素
探测器所属单位信息
探测器的位置信息
'network
5.3.5Unit元素定义
(Unit,Node?)>
manufacturer
policy_version
os_type
os_version
os_patch
CDATA'O\
CDATA#IMPLIED
(singlelnetwork|gatewaylunknown)CDATA
#IMPLIED
#IMPLIED
#IMPLIED
#IMPLIED
#IMPLIED
#IMPLIED>
a)简述:
Unit是描述具体部署单位信息的节点。category属性中的单位性质代码按照主管部门的要求进行设置,可能的内容为:国有企业、外资企业、私营企业、事业、学院、机关等。Unit由描述单位全称的Name、描述单位区位码的Location、描述单位地址额UnitAddress这三个6
内容组成。
b)属性表:
属性类型见表12。
属性名
category
c)子元素表:
子元素名见表13。
子元素名
Location
UnitAddress
d)DTD模板:
属性类型
string
string
表12属性
探测器所属单位的唯一编号,默认为0探测器所属单位性质。
可能的内容为:
国有企业、外资企业、私营企业、事业、学院、机关表13子元素
探测器所属单位名称,类型为string探测器所属单位区位码,类型为string探测器所属单位的地址,类型为string解
(Name,Location,UnitAddress?)>5.3.6Node元素定义
CDATA'o'
categoryCDATA #IMPLIED>
GA/T699—2007
a)简述:
Node是描述探测或网络设备位置信息的节点。category属性描述了Name的来源,缩写的定义见表14。
等级序号
unknown
nisplus
Name来源类型
未知命名系统
域名解析系统
网络信息服务
网络信息服务+
视窗互联网名称服务
名称文件
Node由描述探测或网络设备名称的Name、描述位置信息的Location、描述网络或硬件地址的Address这三个元素组成。
b)属性表:
属性类型见表15。
GA/T699—2007
属性名
category
子元素表:
子元素名见表16。
子元素名
Location
Address
DTD模板:
5.3.7Address元素定义
a)简述:
属性类型
string
enumeration
表15属性
设备位置的唯一编号,默认为0
产生name的“域”的类型,默认为“unknown”。内容为:
(unknown dns /nis/nisplus/wins| file)表16子元素
探测或网络设备名称,当Address和ident没有提供时,此名称不可缺,类型为string
具体位置序列号,类型为string设置的网络或硬件地址,如果没有Name和ident时,此地址不可缺(Name,Location?,Address*)>
ident CDATA'o\
category (dns file|nis|nisplus/wins/unknown)“unknown'>
Address是描述探测或网络设备具体网络或硬件地址信息的节点。category属性描述了Name格式的来源,缩写的定义见表17。表17Name格式类型
等级序号
unknown
ipv4-addr
ipv4-net
ipv6-addr-hex
ipv6-net
未知格式
IPv4十进制主机地址。例如:10.0.0.1IPv4十进制网络地址,/,掩码。例如:10.0.0.1/24IPv6十六进制主机地址。
例如:fe80:0000:0000:0000:0000:0000:0000:0001IPv6十六进制网络地址,/,掩码。例如:2001:0471:1f11:0246:0000:0000:0000:0000/64Address由描述探测或网络设备网络或硬件地址名的Name、描述网络掩码的Netmask两个元素组成。
b)属性表:
属性类型见表18。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T699—2007
信息安全技术
计算机网络入侵
报警通讯交换技术要求
Information security technologyCommunication exchange criterion foralertof computernetworkintrusion2007-05-14发布
数码防伪
中华人民共和国公安部
2007-07-01实施
规范性引用文件
术语和定义
运行环境
4.1系统结构
4.2网络型入侵检测系统运行要求4.2.1信息处理功能
信息上报功能
4.2.3数据保存功能
5数据交换接口元素定义
5.1基本数据类型
基本属性说明
报警接口元素定义
Alarm元素定义
Alert元索定义
HeartBeat元素定义
Analyzer元素定义
Unit元素定义
Node元索定义
Address元索定义
Source元素定义..
Target元素定义
MatchRecord元素定义
AlertLevel元素定义
Impact元素定义
Classification元素定义
CImpact元素定义
AdditionalData元素定义
StatRecord元素定义
Status元素定义
6数据交换保存格式
6.1格式描述表
6.2说明·
上报文件命名规范
7.1命名格式
GA/T699—2007
GA/T699-2007
7.2示例·
报警流程:
8.1在线报警流程·
8.2离线报警流程
9数据接口描述文档·
查标准上建标网wwiz321.net
本标准由公安部公共信息网络安全监察局提出。GA/T699—2007
本标准由公安部信息系统安全标准化技术委员会归口。本标推起草单位:公安部计算机信息系统安全产品质量监督检验中心、上海金诺网络安全技术发展股份有限公司、北京中科网威信息技术有限公司、北京启明星辰信息技术有限公司、北京榕基网安科技有限公司。
本标准主要起草人:沈亮、顾健、丁鼎、肖江、徐秋芬、朱代祥日
查标准上建标网wwiz321.net
1范围
信息安全技术计算机网络入侵
报警通讯交换技术要求
GA/T699—2007
本标准规定了报警处置系统中网络型入侵检测系统的相关接口元素定义、保存格式、命名规范和报警流程。
本标准适用于报替处置系统的开发和建设,相关开发商或集成商可参照本标准执行2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标推,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GB/T2260中华人民共和国行政区划代码GB2312—1980信息交换用汉字编码字符集基本集GB18030--2000信息技术信息交换用汉字编码字符集基本集的扩充
GA/Z02一2005公安业务基础数据元素代码集GA/T700一2007信息安全技术计算机网络人侵分级要求3术语和定义
网络型入侵检测系统network intrusiondetection system通过监视网络中的数据包,发现是否有恶意用户或误用用户尝试非正常进人系统的产品套件。网络型入侵检测系统可以运行在目标机上监视自己的通迅,也可以在独立的机器上以混杂模式监测所有的网络通讯。本标准覆盖网络型人侵检测系统(英文简写为NIDS),不涉及主机基入侵检测系统(英文简写为HIDS)。
alarm manager system
报警处置系统
对来自各类业务系统的报警进行统一处置的平台,其中包含对前端侵检测设备的数据传输接口。本标准涉及的是报警处置系统的前端信息接收部分。3.3
居uploaddata
上报数据
网络型人侵检测系统向报警处置系统远程接口上报的信息。上报数据应符合本标准中对数据格式的要求。
4运行环境
4.1系统结构
系统结构由网络型人侵检测系统、报替处置系统的远程接口组成。网络型入侵检测系统实现对网络行为的识别和处理、规则匹配和报警等功能;报警处置系统定义接收上报数据的远程接口,实现了信息收集和汇总。结构如图1所示。1
查标准上建标网wwwiz321.net
GA/T699-2007
入侵检测系统
报咨接口模块
本标准没盖的
系统范围
入侵检阅系统
接口模块
入侵检系统
4.2网络型入侵检测系统运行要求4.2.1信息处理功能
报警处置系统
其他业务系统
报警接口模块
入受检测系统
接口模块
入假检测系统
报警处置系统结构
其他业务系统
报警接口模块
入侵检副系统
接口模块
入侵检测系统
网络型入侵检测系统应能够按照本标准第6章的要求生成上报信息。4.2.2信息上报功能
网络型入侵检测系统应提供向报替处置系统在线上报和离线上报信息的功能:a)
在线上报信息时,网络型入侵检测系统应能够通过网络向报警处置系统的远程接口上报信b)
息,推荐使用XML进行网络传输:;离线上报信息时,网络型入侵检测系统应按照本标准第6章的要求向固定的存储介质进行c)
导出。
数据保存功能
网络型人侵检测系统应能够按照主管部门要求,在本地保存规定时间间隔的上报信息。5数据交换接口元素定义
5.1基本数据类型
基本数据类型见表1。
表1基本数据类型
类型名称
日期时间型
字符串型
枚举型
整数型
数据类型
datatime
enumeration
integer
GA/Z02—2005
已知长度的,由多个字符组成的数据类型。例如,“the number is 19”
有序的一列可接受值组成的数据类型,每个值有一个等级序号。本标准对等级序号没有要求,值之间关系为“或”。使用“()”进行内容描述,“|”进行分隔。
例如:(datetimel stringlintegeri boolean| xml)10进制编码,使用0~9进行表示,“十”和“”符号可选。例如:“123”,“+123”,*—123”类型名称
布尔型
自定义型
数据类型
boolean
portlist
表1(续)
表示条件的有效性,使用“0”代表假,“1\代表真。例如:“0”,“1”
GA/T699—2007
表示端口列表。使用逗号分隔整数-使用“-”表示范围。例如:“22.80.6881-6889#
基本属性说明
本标准中在Alert、Analyzer、Unit、Node、Source、User、UserId、Process、Target、File、MatchRecord、AlertLevel都定义了ident属性,此属性可以表示节点的唯一编号,但并不要求全局唯一。不同的网络型人侵检测系统可以采用自身唯一的编号,在自身范围中有效。报警处置系统与网络型入侵检测系统可以通过预定义的方式,使用ident属性传递内部定义的编号,以达到减少通讯流量,加快信息收集的目的。5.3报警接口元素定义
5.3.1Alarm元素定义
a)简述:
Alarm元素是构成报警信息的根节点。它由version属性规定格式版本,由alarm_type属性定义产生报警的类型。缩写的定义见表2。等级序号
表2报警的类型
scanner
firewall
router
switch
网络型入侵检测系统
主机型入侵检测系统
扫描器系统
防火墙
短信系统
邮件系统
路由器
交换机
其他信息系统
由于本标准属于网络型人侵检测系统数据接口技术规范,在alarm_type中默认为“nids\。Alarm由报警内容信息的Alert、探测设备的同步信息的HeartBeat这两个元素组成。b)属性表:
属性类型见表3。
属性名
version
alarm_type
属性类型
string
enumeration
表3属性
报警格式的版本。现在固定值1.0解
报警的整体类型,表明属于哪一大类的报警信息。内容为:
(nids hids scanner|firewallsms e-mail|router switchlinfo)2
GA/T699—2007
c)子元素表:
子元素名见表4。
子元素名
HeartBeat
DTD模板:
报警内容信息
探测设备的同步信息
表4子元素
alarm_type(nids|hids|firewall|scanner|sms/e-maillinfo|router|switch)'nids'>
5.3.2Alert元素定义
a)简述:
Alert是网络型人侵检测系统向报警处置系统上报安全事件的内容节点。它由报警生成时间Cre-ateTime、信息接收时间AcceptTime、探测设备信息的Analyzer、事件源信息的Source、事件目标信息的Target、具体安全事件内容的MatchRecord以及其他附加信息的AdditionalData这八个元素组成。CreateTime可以由多个组成,表示信息在不同的时间点或某个时间区域中产生(由time_field属性决定);不同的报替类型可以定义不同的MatchRecord节点内容,以描述其特有的具体安全事件内容,或者使用AdditionalData节点内容进行扩充。b)属性表:
属性类型见表5。
表5属性
属性名
子元素表:
子元素名见表6。
子元素名
CreateTime
AcceptTime
Analyzer
Source
Target
MatchRecord
AdditionalData
DTD模板:
属性类型
string
上级系统处理的流水号,默认为0表6子元素
报替被创建的日期时间,类型为datetime报替信息接收的日期时间,类型为datetime探测设备信息
报警事件源信息
报替事件目标信息
具体的报替事件内容
报替事件其他信息
5.3.3HeartBeat元素定义
GA/T699—2007
a)简述:
HeartBeat是入侵检测系统定时发送给报警处置系统,汇报当前运行状态的内容节点。它由探测设备信息的Analyzer、探测设备日期时间的AnalyzerTime、探测设备状态的Status、探测设备监测流量信息的StatRecord以及其他附加信息的AdditionalData这五个元素组成。不同的探测设备可以定义不同的Status节点内容,以描述其特有的状态内容,或者使用Addition-alData节点内容进行扩充。Status和StatRecord元素任取其一。b)属性表:
属性类型见表7。
属性名
c)子元素表:
子元素名见表8。
子元素名
Analyzer
AnalyzerTime
Status
StatRecord
AdditionalData
属性类型
string
探测设备信息
探测设备时间
探测设备状态
表7属性
同步唯一编号,默认为0
表8子元素
探测设备流量信息
探测设备其他信息
d)DTD模板:
ident CDATA'o'>
5.3.4Analyzer元素定义
a)简述:
Analyzer是描述探测器自身信息以及部署位置信息的内容节点。它由描述部署单位信息的Unit、描述单位中具体位置信息的Node这两个元素组成。属性描述了产品自身的信息内容。type属性描述了网络型人侵检测系统产品的位置类型,缩写的定义见表9。表9网络型入侵检测系统产品位置类型等级序号
属性表:
属性类型见表10。
unknown
single
network
gateway
位置未知
产品位于单独的计算机上
产品位于网络专用计算机上
产品位于网关或防火墙上
GA/T699-2007
属性名
manufacturer
policy_version
os_type
os_version
os_patch
子元素表:
子元素名见表11。
子元素名
DTD模板:
属性类型
string
string
enumeration
string
stringWww.bzxZ.net
string
string
string
string
表10属性
探测器产品信息的唯一编号,前4位表示公司,后11位表示部署产品标识,默认为0
探测器产品名称
探测器产品位置类型,默认为\network”。内容为:
(singlel networklgateway|unknown)探测软硬件产品的生产厂家
探测软硬件产品的软硬件版本号,表示方式为:“软件版本”+“\+“硬件版本”
探测软硬件产品的策略库版本号操作系统的类型。与POSIX1003.1兼容的系统,可通过系统调用un-ame()的utsname.sysname的返回值得到,或者\uname-s\命令行得到操作系统版本号。与POSIX1003.1兼容的系统,可通过系统调用un-ame()的utsname.release的返回值得到,或者“unamer\命令行得到操作系统补丁版本
表11子元素
探测器所属单位信息
探测器的位置信息
'network
5.3.5Unit元素定义
(Unit,Node?)>
manufacturer
policy_version
os_type
os_version
os_patch
CDATA'O\
CDATA#IMPLIED
(singlelnetwork|gatewaylunknown)CDATA
#IMPLIED
#IMPLIED
#IMPLIED
#IMPLIED
#IMPLIED
#IMPLIED>
a)简述:
Unit是描述具体部署单位信息的节点。category属性中的单位性质代码按照主管部门的要求进行设置,可能的内容为:国有企业、外资企业、私营企业、事业、学院、机关等。Unit由描述单位全称的Name、描述单位区位码的Location、描述单位地址额UnitAddress这三个6
内容组成。
b)属性表:
属性类型见表12。
属性名
category
c)子元素表:
子元素名见表13。
子元素名
Location
UnitAddress
d)DTD模板:
属性类型
string
string
表12属性
探测器所属单位的唯一编号,默认为0探测器所属单位性质。
可能的内容为:
国有企业、外资企业、私营企业、事业、学院、机关表13子元素
探测器所属单位名称,类型为string探测器所属单位区位码,类型为string探测器所属单位的地址,类型为string解
(Name,Location,UnitAddress?)>5.3.6Node元素定义
CDATA'o'
categoryCDATA #IMPLIED>
GA/T699—2007
a)简述:
Node是描述探测或网络设备位置信息的节点。category属性描述了Name的来源,缩写的定义见表14。
等级序号
unknown
nisplus
Name来源类型
未知命名系统
域名解析系统
网络信息服务
网络信息服务+
视窗互联网名称服务
名称文件
Node由描述探测或网络设备名称的Name、描述位置信息的Location、描述网络或硬件地址的Address这三个元素组成。
b)属性表:
属性类型见表15。
GA/T699—2007
属性名
category
子元素表:
子元素名见表16。
子元素名
Location
Address
DTD模板:
5.3.7Address元素定义
a)简述:
属性类型
string
enumeration
表15属性
设备位置的唯一编号,默认为0
产生name的“域”的类型,默认为“unknown”。内容为:
(unknown dns /nis/nisplus/wins| file)表16子元素
探测或网络设备名称,当Address和ident没有提供时,此名称不可缺,类型为string
具体位置序列号,类型为string设置的网络或硬件地址,如果没有Name和ident时,此地址不可缺(Name,Location?,Address*)>
ident CDATA'o\
category (dns file|nis|nisplus/wins/unknown)“unknown'>
Address是描述探测或网络设备具体网络或硬件地址信息的节点。category属性描述了Name格式的来源,缩写的定义见表17。表17Name格式类型
等级序号
unknown
ipv4-addr
ipv4-net
ipv6-addr-hex
ipv6-net
未知格式
IPv4十进制主机地址。例如:10.0.0.1IPv4十进制网络地址,/,掩码。例如:10.0.0.1/24IPv6十六进制主机地址。
例如:fe80:0000:0000:0000:0000:0000:0000:0001IPv6十六进制网络地址,/,掩码。例如:2001:0471:1f11:0246:0000:0000:0000:0000/64Address由描述探测或网络设备网络或硬件地址名的Name、描述网络掩码的Netmask两个元素组成。
b)属性表:
属性类型见表18。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。