MH-T 0075-2020民用航空網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)接口格式規(guī)范

ICS35.020

L07

MH

中華人民共和國(guó)民用航空行業(yè)標(biāo)準(zhǔn)

MH/T0075—2020

民用航空網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)接口格式規(guī)范

Datainterfaceformatspecificationofcivilaviationcybersecuritymonitoring

2020-07-20發(fā)布2020-10-01實(shí)施

中國(guó)民用航空局發(fā)布

MH/T0075—2020

民用航空網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)接口格式規(guī)范

范圍

本標(biāo)準(zhǔn)規(guī)定了民用航空（以下簡(jiǎn)稱民航）重要信息系統(tǒng)安全監(jiān)控預(yù)警及應(yīng)急處置平臺(tái)（以下簡(jiǎn)稱平

臺(tái)）接口功能要求、接口方法定義、數(shù)據(jù)代碼表等要求。

本標(biāo)準(zhǔn)適用于民航重要信息系統(tǒng)安全監(jiān)控預(yù)警及應(yīng)急處置平臺(tái)的數(shù)據(jù)交換接口。

民航各企事業(yè)單位建設(shè)多級(jí)網(wǎng)絡(luò)安全監(jiān)控預(yù)警及應(yīng)急處置平臺(tái)，可參照本標(biāo)準(zhǔn)執(zhí)行。

平臺(tái)框架

民航重要信息系統(tǒng)安全監(jiān)控預(yù)警及應(yīng)急處置平臺(tái)分二級(jí)部署。一級(jí)平臺(tái)具備組織協(xié)同、人員協(xié)同、

技術(shù)協(xié)同等網(wǎng)絡(luò)與信息安全管理功能，實(shí)現(xiàn)監(jiān)測(cè)、預(yù)警、處置、驗(yàn)證的風(fēng)險(xiǎn)閉環(huán)管理，同時(shí)具備向國(guó)家

管理部門上報(bào)情況、接收信息，以及和相關(guān)部門單位交換數(shù)據(jù)功能。二級(jí)平臺(tái)具備采集、分析和管理企

事業(yè)單位的網(wǎng)絡(luò)設(shè)備、安全設(shè)備和業(yè)務(wù)系統(tǒng)等安全信息功能。各平臺(tái)間的數(shù)據(jù)交換采用安全通道和接口

標(biāo)準(zhǔn)交換。其中一級(jí)平臺(tái)由民航管理部門統(tǒng)一建設(shè)，二級(jí)平臺(tái)由民航各企事業(yè)單位自行建設(shè)。平臺(tái)整體

框架見圖1。

二級(jí)平臺(tái)

（民航企事業(yè)單位）

國(guó)家管理部門

二級(jí)平臺(tái)一級(jí)平臺(tái)

（民航企事業(yè)單位）（行業(yè)主管部門）

外部單位

二級(jí)平臺(tái)

（民航企事業(yè)單位）

圖1平臺(tái)整體框架圖

接口功能要求MH

一級(jí)平臺(tái)數(shù)據(jù)接口

數(shù)據(jù)接收接口

包括：

二級(jí)平臺(tái)報(bào)送數(shù)據(jù)接口：接收二級(jí)平臺(tái)報(bào)送的數(shù)據(jù)信息；

威脅情報(bào)接收接口：接收情報(bào)合作單位的威脅情報(bào)信息。

數(shù)據(jù)輸出接口

1

MH/T0075—2020

包括：

a)反饋結(jié)果輸出接口：向二級(jí)平臺(tái)反饋接收到數(shù)據(jù)的統(tǒng)計(jì)信息；

b)威脅情報(bào)輸出接口：向情報(bào)需求單位輸出指定的威脅情報(bào)消息。

二級(jí)平臺(tái)數(shù)據(jù)接口

數(shù)據(jù)接收接口

數(shù)據(jù)接收接口是統(tǒng)計(jì)結(jié)果接收接口，用于接收一級(jí)平臺(tái)反饋的數(shù)據(jù)統(tǒng)計(jì)信息。

數(shù)據(jù)輸出接口

數(shù)據(jù)輸出接口是數(shù)據(jù)報(bào)送接口，用于響應(yīng)一級(jí)平臺(tái)的數(shù)據(jù)采集請(qǐng)求信息，向一級(jí)平臺(tái)上報(bào)安全數(shù)據(jù)。

接口方法定義

數(shù)據(jù)接收接口

一級(jí)平臺(tái)數(shù)據(jù)接收接口

見表1。

一級(jí)平臺(tái)數(shù)據(jù)接收接口

接口名稱數(shù)據(jù)接收接口（一級(jí)平臺(tái)）

功能描述接收二級(jí)平臺(tái)推送的數(shù)據(jù)信息（數(shù)據(jù)類型包括4類：詳見本表格中“傳入?yún)?shù)”部分）

接口實(shí)現(xiàn)方一級(jí)平臺(tái)

{

“taskId”：“任務(wù)id”，//按需監(jiān)測(cè)任務(wù)編號(hào)[1]

“taskName”：“任務(wù)名稱”，//按需監(jiān)測(cè)任務(wù)名稱[1]

“taskType”：“time_acquisition”，//任務(wù)類型[2]

“sender”：“subCACSMP”，//發(fā)送者（統(tǒng)一編號(hào)）

“senderIP”：“”，//發(fā)送者IP（系統(tǒng)獲?。?/p>

“senderUnit”：“二級(jí)平臺(tái)某單位”，//發(fā)送者單位（二級(jí)平臺(tái)統(tǒng)一編號(hào)）

“senderTime”：“2018-09-1212:09”，//發(fā)送時(shí)間

“dataType”：“threat_event”，//數(shù)據(jù)類型[3]

“data”：“data”//list類型數(shù)據(jù)[4]

}

備注：

[1].在涉及按需監(jiān)測(cè)任務(wù)數(shù)據(jù)上報(bào)時(shí)，參數(shù)taskId、taskName必填。

[2].taskType取值：

according_monitor-按需監(jiān)測(cè)任務(wù)

time_acquisition-定時(shí)采集任務(wù)

[3].datatype取值：

threat_event-攻擊事件

2

MH/T0075—2020

表1（續(xù)）

接口名稱數(shù)據(jù)接收接口（一級(jí)平臺(tái)）

system_status-運(yùn)行狀態(tài)日志

asset_info-系統(tǒng)資產(chǎn)信息

audit-審計(jì)數(shù)據(jù)

flow-網(wǎng)絡(luò)流量數(shù)據(jù)

depth_analysis-載荷深度分析數(shù)據(jù)

傳入?yún)?shù)vulnerability-脆弱性數(shù)據(jù)

[4].data

攻擊事件（詳見5.1）

運(yùn)行狀態(tài)日志（詳見5.2）

系統(tǒng)資產(chǎn)信息（詳見5.3）

按需監(jiān)測(cè)數(shù)據(jù)（審計(jì)、網(wǎng)絡(luò)流量、載荷深度分析和脆弱性數(shù)據(jù)，詳見5.4）

//請(qǐng)求成功：

{

“status”：“success”，

}

返回結(jié)果//請(qǐng)求失?。?/p>

{

“status”：“201”，//狀態(tài)碼含義詳見5.6.1

“msg”：“errormsg”//失敗原因

}

威脅情報(bào)接收接口

見表2。

威脅情報(bào)數(shù)據(jù)接收接口

接口名稱數(shù)據(jù)接收接口

功能描述一級(jí)平臺(tái)接收情報(bào)共享單位的安全情報(bào)消息

接口實(shí)現(xiàn)方一級(jí)平臺(tái)

{

“URL”：“”

MH…

傳入?yún)?shù)

…

}[1]

備注：

[1].根據(jù)威脅情報(bào)不同類型傳入不同的屬性值（詳見第5.5）

3

MH/T0075—2020

表2（續(xù)）

接口名稱數(shù)據(jù)接收接口

//請(qǐng)求成功：

{

“status”：“success”,

}

返回結(jié)果

//請(qǐng)求失?。?/p>

{

“status”：“fail”，

“msg”：“errormsg”//失敗原因

}

數(shù)據(jù)輸出接口

反饋結(jié)果輸出接口

見表3。

反饋結(jié)果輸出接口

接口名稱反饋結(jié)果輸出接口（一級(jí)平臺(tái)）

返回?cái)?shù)據(jù)處理后的結(jié)果信息，包括：成功上傳的數(shù)據(jù)數(shù)量、類型、耗費(fèi)時(shí)間。

功能描述

該接口用于數(shù)據(jù)上傳單位查詢自己的數(shù)據(jù)貢獻(xiàn)情況。

接口實(shí)現(xiàn)方一級(jí)平臺(tái)

{

“noticeID”:“no-012”//發(fā)送過的通知ID

傳入?yún)?shù)}

//注：若輸入?yún)?shù)noticeID為空，則返回所有的通知反饋消息

//請(qǐng)求成功：

{

“status”：“success”，

“data”：

{

“num”：“102302”，//數(shù)量

“dataType”：“assetInfo”，//類型

“uploadTotalTime”：“3092”//耗費(fèi)時(shí)間(單位：秒)

返回結(jié)果}

}

//請(qǐng)求失?。?/p>

{

“status”:“fail”,

“msg”:“errormsg”//失敗原因

}

4

MH/T0075—2020

威脅情報(bào)輸出接口

見表4。

威脅情報(bào)輸出接口

接口名稱威脅情報(bào)輸出接口（一級(jí)平臺(tái)）

功能描述根據(jù)情報(bào)共享單位的輸入請(qǐng)求，返回指定的威脅情報(bào)數(shù)據(jù)

接口實(shí)現(xiàn)方一級(jí)平臺(tái)

{

“URL”：“”，//域名url

“SamMD5”：“0240308a1ae03b98fe6628fe6fa5c59d”，//樣本的MD5值

“reqIP”：“1”，//查詢者的IP

傳入?yún)?shù)

“reqID”：“A-012-12”，//查詢者的編號(hào)

}

//注：輸入?yún)?shù)URL和SamMD5不可以同時(shí)為空，否則返回?cái)?shù)據(jù)為空，其它情況均可以

返回?cái)?shù)據(jù)

//請(qǐng)求成功：

{

“status”：“success”，

“data”：

{

{

“URL”：“”//字段詳見第5.5各章節(jié)

…

…

返回結(jié)果

}

}

}

//請(qǐng)求失?。?/p>

{

“status”：“fail”，

“msg”：“errormsg”//失敗原因

MH}

數(shù)據(jù)報(bào)送接口

見表5。

數(shù)據(jù)報(bào)送接口

接口名稱數(shù)據(jù)報(bào)送接口（二級(jí)平臺(tái)）

功能描述向一級(jí)平臺(tái)上報(bào)安全數(shù)據(jù)的接口。

接口實(shí)現(xiàn)方二級(jí)平臺(tái)

5

MH/T0075—2020

//請(qǐng)求成功：

{

“status”:“200”,//返回響應(yīng)狀態(tài)碼

“data”:“data”//加密后的數(shù)據(jù)

//data對(duì)應(yīng)的原始數(shù)據(jù)（即解密后數(shù)據(jù)）字段表分別為：（詳見5.1-5.3數(shù)據(jù)代碼表）

//事件和日志（SecLog）字段表

//系統(tǒng)運(yùn)行狀態(tài)（SysState）字段表

返回結(jié)果//系統(tǒng)資產(chǎn)信息（assetInfo）字段表

}

//請(qǐng)求失敗：

{

“status”:“201”,//返回響應(yīng)狀態(tài)碼

“msg”:“errormsg”//失敗原因

}

數(shù)據(jù)交互內(nèi)容及數(shù)據(jù)代碼表

攻擊事件

事件報(bào)告

各二級(jí)平臺(tái)對(duì)各類安全監(jiān)測(cè)日志進(jìn)行驗(yàn)證分析，形成事件報(bào)告，事件報(bào)告內(nèi)容涵蓋攻擊者信息、受

害信息、攻擊過程、處置情況以及分析驗(yàn)證過程中產(chǎn)生的情報(bào)等內(nèi)容，并提供相關(guān)的攻擊告警日志明細(xì)

記錄。事件報(bào)告數(shù)據(jù)格式規(guī)范如表6所示。

攻擊事件報(bào)告數(shù)據(jù)格式

{

"id":"1GK3JBZ5XEI2UCRPGXKH8XI5I4WE4ZI3",

"name":"xxxxx系統(tǒng)遭遇網(wǎng)絡(luò)入侵",

"desc":"xx局的xxxxx系統(tǒng)遭遇黑客入侵",

"initiator":{

"ips":["06","07"],

"geo":[{

"ip":"06",

"country":"中國(guó)",

"province":"江西省",

"city":"南昌市"

},

{

"ip":"07",

6

MH/T0075—2020

"country":"中國(guó)",

"province":"江西省",

"city":"南昌市"

},

],

"att_org":"黑暗能量"

},

"victim":{

"sys_id":"55D2328A5CE35603BFBFE521CA241AA4",

"node":["1E4ED95FF1B5B69934D3B024E2D35627"],

"asset_id":["2991531C0E2F12E2C7DD779315E8C492"],

"desc":"xx系統(tǒng)下的xx站遭受網(wǎng)絡(luò)入侵",

"unit":"xxxx局",

"geo":{

"country":"中國(guó)",

"province":"遼寧省",

"city":"沈陽(yáng)市"

}

},

"sumary":{

"att_ct":299,

"att_time":{

"fts":"2018-06-1213:57:21",

"lts":"2018-12-1213:57:21"

},

"level":4

},

"offer":{

MH"ts":"2018-12-1515:57:21",

"unit":"xxxx",

"ver":"1.0"

},

"dealinfo":{

"status":"fix",

"sts":"2018-12-1415:57:21",

"desc":"xx系統(tǒng)下的xx站遭受網(wǎng)絡(luò)入侵，相關(guān)安全人員發(fā)現(xiàn)并快速處置，修復(fù)相關(guān)漏洞，有效

阻止入侵!"

7

MH/T0075—2020

},

"behavior":["木馬程序","違規(guī)外聯(lián)","違規(guī)接入","通訊阻斷"],

"threat_sign":[

{

"sign_type":"ip",

"threat_type":"fm",

"sign_value":"06"

},

{

"sign_type":"ip",

"threat_type":"fm",

"sign_value":"07"

},

{

"sign_type":"url",

"threat_type":"c2",

"sign_value":""

},

{

"sign_type":"url",

"threat_type":"c2",

"sign_value":""

}

],

"loadinfo":[{

"name":"file0.exe",

"type":"exe",

"md5":"3EC7B103B769E5CB8B63A02E96EBED3D",

"malname":"Trojan[Backdoor]/Win32.PcClient",

"maltype":"Trojan",

"risk":4,

"behavior":["竊取行為","下載者"],

"cve":["cve-2017-7269","cve-2015-0249"]

},

{

"name":"geo2ca.exe",

"type":"exe",

8

MH/T0075—2020

"md5":"2BC36DFAE2A1C39C507CCEC628849AEC",

"malname":"GrayWare[AdWare]/Win32.DLBoost",

"maltype":"GrayWare",

"risk":4,

"behavior":["竊取行為","下載者"],

"cve":["cve-2017-7269","cve-2015-0249"]

}

],

"dev_logs":[

{違規(guī)外聯(lián)日志},

{惡意代碼檢測(cè)日志},

{網(wǎng)絡(luò)入侵監(jiān)測(cè)日志},

{C&C通訊日志},

...

]

}

相關(guān)日志

通則

安全設(shè)備及對(duì)應(yīng)輸出的安全數(shù)據(jù)種類繁多，本標(biāo)準(zhǔn)定義11種樣例安全數(shù)據(jù)結(jié)構(gòu)規(guī)范；更多安全數(shù)據(jù)

日志結(jié)構(gòu)定義，可根據(jù)實(shí)際情況，參考已有日志結(jié)構(gòu)規(guī)范，擴(kuò)充日志內(nèi)容定義。

防火墻檢測(cè)數(shù)據(jù)格式及含義說明見表7。

防火墻檢測(cè)數(shù)據(jù)格式及含義說明

{

"type"："WF",//日志類型

"ts"："2018-12-2112:54:45",//發(fā)生時(shí)間

"level":3,//嚴(yán)重級(jí)別

"raw_msg":"xxxxx",//原始報(bào)文

"sip":MH"ip_xxx",//源IP標(biāo)識(shí)

"sport":52201,//源端口

"dip":"ip_xxxx",//目的IP標(biāo)識(shí)

"dport":80,//目的端口

"send":1024,//發(fā)送字節(jié)大小

"recvd":1024,//接收字節(jié)大小

"proto":"tcp",//攻擊使用的協(xié)議

"szone":"DMZ區(qū)",//源安全域

"dzone":"test區(qū)",//目的安全域

"policy":"r_xxx",//策略

9

MH/T0075—2020

"action":"deny",//處置動(dòng)作

字段類型含義說明M-必選O-可選

typestring數(shù)據(jù)類型，WFM

tsstring發(fā)生時(shí)間，格式：yyyy-mm-ddhh:mm:ssM

levelinteger嚴(yán)重級(jí)別：嚴(yán)重性1-4M

raw_msgString原始報(bào)文O

協(xié)議tcp、udp、icmp、http、ftp、telnet、

protoStringM

pop3、smtp、snmp等

sipstring源IP標(biāo)識(shí)M

sportint源端口M

dipstring目的IP標(biāo)識(shí)M

dportint目的端口M

sendint發(fā)送字節(jié),源到目的的字節(jié)O

recvdint接收字節(jié),目的到源的字節(jié)O

szonestring源安全域O

dzonestring目的安全域O

策略名稱,日志的策略號(hào)或策略名，即日志由哪

policystringO

條策略生成

actionstring處置動(dòng)作,accept(允許)|deny(拒絕)M

WEB應(yīng)用防火墻

見表8。

WEB應(yīng)用防火墻安全數(shù)據(jù)格式及含義說明

{

"type":"WAF",//日志類型

"ts":"2018-12-2112:54:45",//發(fā)生時(shí)間

"level":3,//嚴(yán)重級(jí)別

"raw_msg":"xxxxx",//原始報(bào)文

"sip":"ip_xxx",//源IP標(biāo)識(shí)

"sport":52201,//源端口

"dip":"ip_xxxx",//目的IP標(biāo)識(shí)

"dport":80,//目的端口

"url":"/xxxx",//url

"tag":["掃描工具"],//事件標(biāo)簽

"client_env":"Windows",//訪問用戶環(huán)境

"action:“deny”,//處置動(dòng)作

10

MH/T0075—2020

}

字段類型含義說明M-必選，O-可選

typestring數(shù)據(jù)類型，WAFM

tsstring發(fā)生時(shí)間，格式：yyyy-mm-ddhh:mm:ssM

levelinteger嚴(yán)重級(jí)別：嚴(yán)重性1-4M

raw_msgString原始報(bào)文M

sipstring源IP標(biāo)識(shí)M

sportint源端口M

dipstring目的IP標(biāo)識(shí)M

dportint目的端口M

urlstringurlM

tagstring[]事件標(biāo)簽，例如：漏洞防護(hù)、掃描工具等M

actionstring處置動(dòng)作，accept(允許)|deny(拒絕)M

client_envstring訪問客戶環(huán)境，例如：windows、Linux等O

入侵檢測(cè)

見表9。

入侵檢測(cè)安全數(shù)據(jù)格式及含義說明

{

"type":"IDS",//數(shù)據(jù)類型

"ts":"2018-12-2112:54:45",//監(jiān)測(cè)時(shí)間

"level":1,//嚴(yán)重級(jí)別

"raw_msg":"xxxxx",//原始報(bào)文

"sip":"1",//入侵者使用的IP地址

"sport":52201,//入侵者使用的端口

"dip":"ip_xxxx",//被攻擊的IP標(biāo)識(shí)

"dport":MH80,//被攻擊的端口

"proto":"http",//攻擊使用的協(xié)議

"desc":"test",//入侵事件描述

}

字段類型含義說明M-必選，O-可選

typestring數(shù)據(jù)類型，IDSM

tsstring監(jiān)測(cè)時(shí)間，格式：yyyy-mm-ddhh:mm:ssM

levelinteger嚴(yán)重級(jí)別：嚴(yán)重性1-4M

11

MH/T0075—2020

raw_msgstring原始報(bào)文O

sipstring入侵者使用的IP地址M

sportinteger入侵者使用的端口M

dipstring被攻擊的IP標(biāo)識(shí)M

dportinteger被攻擊的端口M

protostring攻擊使用的協(xié)議M

descstring入侵事件描述M

入侵防御

見表10。

入侵防御安全數(shù)據(jù)格式及含義說明

{

"type":"IPS",//數(shù)據(jù)類型

"ts":"2018-12-2112:54:45",//監(jiān)測(cè)時(shí)間

"level":1,//嚴(yán)重級(jí)別

"raw_msg":"xxxxx",//原始報(bào)文

"sip":"ip_xxx",//源IP地址標(biāo)識(shí)

"sport":52201,//源端口

"dip":"ip_xxxx",//目的IP標(biāo)識(shí)

"dport":80,//目的端口

"proto":"http",//協(xié)議

"action":"deny",//處置動(dòng)作

"desc:"test",//入侵防御事件描述

}

字段類型含義說明M-必選，O-可選

typestring數(shù)據(jù)類型，IPSM

tsstring監(jiān)測(cè)時(shí)間，格式：yyyy-mm-ddhh:mm:ssM

levelinteger嚴(yán)重級(jí)別：嚴(yán)重性1-4M

raw_msgstring原始報(bào)文O

actionstring處置動(dòng)作,accept(允許)|deny(拒絕)M

sipstring源IP標(biāo)識(shí)M

sportint源端口M

dipstring目的IP標(biāo)識(shí)M

dportint目的端口M

protostring協(xié)議M

descstring入侵防御事件描述M

12

MH/T0075—2020

惡意代碼傳輸

見表11。

惡意代碼傳輸數(shù)據(jù)格式及含義說明

{

"type":"MALCODE_TRANSTER",//數(shù)據(jù)類型

"ts":"2018-12-2112:54:45",//發(fā)生時(shí)間

"sip":"ip_xxxx",//源ip，使用資產(chǎn)唯一標(biāo)識(shí)符

"sport":"8080",//源端口

"dip":"3",//目的IP

"dport":27850,//目的端口

"proto":"http",//使用的協(xié)議

"url":"/cmd/data",//URL

"md5":"3EC7B103B769E5CB8B63A02E96EBED3D",//傳輸載荷

"filename":"file.exe",//文件名稱

"malname":"Trojan[Backdoor]/Win32.PcClient",//惡意代碼名稱

"level":3,//嚴(yán)重級(jí)別

}

字段類型含義說明M-必選，O-可選

typestring數(shù)據(jù)類型,這里取值為MALCODE_TRANSTERM

tsstring發(fā)生時(shí)間，格式：yyyy-mm-ddhh:mm:ssM

sipstring源ip，涉及二級(jí)監(jiān)測(cè)單位內(nèi)網(wǎng)IP，使用ip標(biāo)識(shí)符M

sportint源端口M

dipstring目的ipM

dportMHint目的端口M

protostring使用的協(xié)議M

urlstring通訊urlO

md5string傳輸載荷M

filenamestring文件名稱M

malnamestring惡意代碼名稱M

behaviorstring[]惡意行為M

levelinteger嚴(yán)重級(jí)別：嚴(yán)重性1-4M

13

MH/T0075—2020

惡意代碼檢測(cè)

見表11。

惡意代碼檢測(cè)數(shù)據(jù)格式及含義說明

{

"type":"MALWARE",//數(shù)據(jù)類型

"ts":"2018-12-2112:54:45",//發(fā)生時(shí)間

"level":1,//嚴(yán)重級(jí)別

"host":"ip_xxx",//受害主機(jī)，使用資產(chǎn)唯一標(biāo)識(shí)符

"md5":"3EC7B103B769E5CB8B63A02E96EBED3D",//惡意樣本

"filename":"file.exe",//文件名稱

"malname":"Trojan[Backdoor]/Win32.PcClient",//惡意代碼名稱

"virus_type":"Trojan",//威脅類型

"behavior":["竊取行為"],//惡意行為

"status":"clean",//處置結(jié)果

}

字段類型含義說明M-必選，O-可選

typestring數(shù)據(jù)類型M

tsstring發(fā)生時(shí)間，格式：yyyy-mm-ddhh:mm:ssM

levelinteger嚴(yán)重級(jí)別：嚴(yán)重性1-4M

hoststring受害主機(jī)，使用資產(chǎn)唯一標(biāo)識(shí)符M

md5string文件MD5值M

filenamestring文件名稱M

malnamestring惡意代碼名稱M

virus_typestring威脅類型O

virus_familystring惡意代碼家族O

behaviorstring[]惡意行為M

statusstring處置結(jié)果,clean-已清除，unclean-未清除M

C&C通訊

見表13。

C&C通訊數(shù)據(jù)格式及含義說明

{

"type":"C2",//數(shù)據(jù)類型

"ts":"2018-12-2112:54:45",//發(fā)生時(shí)間

"host":"ip_xxxx",//受害主機(jī)，使用資產(chǎn)唯一標(biāo)識(shí)符

"level":1,//嚴(yán)重級(jí)別

14

MH/T0075—2020

"raw_msg":"xxxxxxx",