Q GDW 11982-2019 网络与信息安全风险监控预警平台告警规范.pdf

1、 IC S 35.0 4 0 Q /G DW 国 家 电 网 有 限 公 司 企 业 标 准 Q /G D W 1 1 9 8 2 2 0 1 9 网络与信 息安 全 风 险监 控 预 警 平 台 告 警 规范 N e tw o r k a n d in f o r m a tio n s e c u r ity r is k m o n ito r in g a n d e a r ly - w a rn in g p la tf o rm w a rn in g s p e c ifi c a tio n 2 0 2 0 - 0 9 - 2 8 发布 2 0 2 0 - 0 9 - 2 8

2、 实施 国 家 电 网 有 限 公 司 发 布 0-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 0-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 20

3、20-10-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 部 谢天喜 2020-10-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 省电力有限公司 设备管理部 谢天喜 2020-10-10 国网江苏省电力有限公司 设备

4、管理部 谢天喜 2020-10-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 国网江苏省电力有限公司 设备管理部 谢天喜 2020-10-10 Q/ G D W 11 98 2 2 01 9 I 目 次 . . . . . . . . . . . . . . . . . II 1 . . . . . . . . . . . . . . . . . . 1 2 . . . . . . . . . . . . . . . . . 1 3 . . . . . . . . . . . . . . . . . 1 4 缩 . . . . . . . . . . . . . .

5、. . . . 4 5 . . . . . . . . . . . . . . . . . 4 5.1 . . . . . . . . . . . . . . . . . 4 5.2 . . . . . . . . . . . . . . . . . 5 6 . . . . . . . . . . . . . . . . . 6 6.1 . . . . . . . . . . . . . . . . . 6 6.2 脆 弱 . . . . . . . . . . . . . . . . . 12 6.3 胁 . . . . . . . . . . . . . . . . . 15 A（ ） 详

6、 . . . . . . . 38 . . . . . . . . . . . . . . . . . 44 Q/GD W 11 98 2 2 01 9 I I 前 言 ， ， ， 。 释。 归 。 ： 、 瑞 、 、 、 、 浙 、 、 川 、 、 、 。 ： 莹 、 峰 、 赵 斌 、 欣、 、 、 郭靓 、 炜键 、 栋 、 辛锐、 廖鹏 、 倩 倩 、 姜帆 、 凯、 晓 、 贾 雪 、 俞 皓 、 、 、 焦 、 赵迪 、 倪 、 萌 、 赵 、 叶 、 敏 、 晶、 朱 、 萧、 甘炜 、 郑 、 靳敏、 琳 姗、 魁、 辰 、 栋 、 、 镜宇 、 珂 翔 、 啸、 玮 、 欣

7、、 、 咸 、 辛 晓鹏 、 静、 赵 丛、 芳 、 琳 、 、 、 剑 、 晓 蕾、 戴 、 祉岐 。 。 馈 。 Q/ G D W 11 98 2 2 01 9 1 网 络与信 息安全风 险 监 控 预 警 平 台 告警 规 范 1 范围 （ ） （ “ S6 00 0 ” ） 描 、 、 。 、 、 端 S6 00 0 ， 。 2 规范性 引用 文 件 。凡 ， 。 凡 ， （ ） 。 GB/Z 2 0986 20 0 7 GB/ T 2 224 0 20 0 8 GB /T 2 5 069 20 1 0 GB/T 3 2924 20 16 GB/T 3 664 3 20 1 8 胁 3

8、 术语和 定义 GB/T 2 2 240 20 0 8、 GB/T 2 5069 201 0、 G B/ T 3 292 4 2016 GB / T 3 6643 20 1 8 。 3.1 S6 000 平台 S 600 0 pl atfo r m ， 、 。 、 滤 ， 插 掌握 脆弱 ， 、 ， 脆弱 踪 溯 。 3.2 信息安 全 i nf o r m ati on s e curity 、 、 ， 、 、 抗抵赖 、 。 3.3 信息安 全 事 件 i nf o r m ati o n secu rity inc i den t 硬 陷 ， ， 。 3.4 Q/GD W 11 98 2

9、 2 01 9 2 网络安 全 威 胁 c yb e r sec u rity t hrea t 一 潜 。 ： 恶 、 。 3.5 攻击 a tt a c k ， 坏 、泄 、 丧 尝 （ 窃 ） 。 3.6 日志 l og 、 噪 。 3.7 告警 w a r ni n g 醒 呈 。 3.8 告警规 则 w a r ni ng r u les 、 、 归 操 。 ， 阈 ， 一 含 一 。 3.9 数据来 源 d a t a s our ce 。 3.10 告警级 别 w a r ni n g l ev el 一 、 、 衡 逻 辑 ， 、 、 。 3.11 告警适 用范 围 s c o

10、 pe of a ppli ca tion 描 ， 。 ， 、 。 3.12 脆弱性 v ul n e r a bili ty 一 胁 弱 。 3.13 安全设 备 s ec u r i ty dev i c e 硬 。 ： 墙 、 ID S（ 侵 ）、 I PS （ Q/ G D W 11 98 2 2 01 9 3 侵 御 ）、 隔 闸、 WA F（ W E B 墙 ） 。 3.14 业务类 系统 b us s i n e ss s y st e m 、 。 3.15 系统服 务 s ys te m se rv i c e 撑 。 3.16 网络流 量 分 析 n et w o r k t

11、 r affic anal ysis 一 。 3.17 根权限 r oo t a c coun t 一 ， 。 Li n u x Unix 帐 ， ， 操 。 3.18 僵尸程 序 b ot p r oce ss 享 漏 洞 ， 一 一 一 。 3.19 拖库 d um p 。 拖 操 窃 欲 侵 。 3.20 病毒 v ir u s 蓄 、 ， 。 3.21 蠕虫 w or m 一 ， ， 恶 。 3.22 桌面终 端 管 理系 统 d es k t o p term inal man agem e nt s ystem ， 智 ， 一 Wind o w s 桌 端 。 3.23 待处置 告

12、警 p en d i n g war n i ng Q/GD W 11 98 2 2 01 9 4 。 3.24 待研判 告警 j ud g i n g war n ing ， 。 3.25 供回溯 消 息 b ac k t r a ckin g notic e 几 ， 。 3.26 威胁情 报 t hr e a t in tel l i gence ， 、 、 、 含 。 4 缩略语 缩 。 APT ： 胁 （ A d va n c ed Per s ist ent Thre a t） CVE ： 漏洞 暴 （ C o mm o n V uln e r abi liti es A 1 0 ，

13、 一 址 “ 漏洞扫描” B。 ， B ： “ ” ， 一 ， “ ” ， 一 溯 ， “ ” Q/GD W 11 98 2 2 01 9 2 8 表 31 ( 续 ) ， 一 。 5 “ w e b s h e l l” A， A 3 0 ， “ 1 0 秒 一 址 1 0 0 0 ” B； A B， A 址 B 址。 ， B ： “ ” ， 一 ， “ ” ， 一 溯 ， “ ” ， 一 。 6 “ w e b s h e l l” A ； 1 ， 一 址 “端 扫描” “漏洞扫描” B； A， B。 ， B ： “ ” ， 一 ， “ ” ， 一 溯 ， “ ” ， 一 。 7 一 “

14、” ， 一 3 0 ， 一 I P， 一 I P ， 。 ， 一 。 c) 一 ： 1) 宜 ： NTA ； 2) 2 一 ， 3 2。 表 32 “一般 后门 攻 击 ”告 警规 则 1 N T A “ ” S 6 0 0 0。 ， “ ” ， 一 ， “ ” ， 一 溯 ， “ ” ， 一 。 2 “缓 溢 ” A ， 1 “ ” B， A B 址 ， 址 址 ， 。 ， “ ” ， 一 ， “ ” ， 一 溯 。 6.3. 2 . 5 网络扫 描窃 听 告 警 Q/ G D W 11 98 2 2 01 9 2 9 扫 描 窃 ， 、 端 、 、 脆 弱 。 宜 遍 1 ， ： a) 宜

15、 ： NTA 胁 溯 ； b) 2 一 ， 3 3。 表 33 “目录 遍历 ” 告 警规 则 1 “ 遍 ” ， 窗（ 默 阈 ： 5 ） ， I P 归 。 ， “ ” ， 一 ， “ ” ， 一 溯 ， “ ” ， 一 。 2 一 “ 遍 ” ， 一 3 0 ， 一 I P， 一 I P ， 。 ， 一 。 6.3. 2 . 6 网络钓 鱼告 警 欺 骗 ， 泄漏 。 ， 欺 骗 帐 。宜 钓 鱼 、伪 、 恶 3 ， ： a) 钓鱼 ： 1) 宜 ： 胁 溯 NTA ； 2) 2 一 ， 3 4。 表 34 “钓鱼 网站 ” 告 警规 则 1 “钓鱼 ” ， 窗（默 阈 ： 5 ） ，

16、 I P 归 。 ， “ ” ， 一 ， “ ” ， 一 溯 ， “ ” ， 一 。 2 一 “钓 鱼 ” ， 一 3 0 ， 一 I P， 一 I P ， 。 ， 一 。 b) 伪 ： 1) 宜 ： ； Q/GD W 11 98 2 2 01 9 3 0 2) ： ， 址 ， 址 一 ， 拦 截 ， 拦 截 ， 一 ， 拦截， 一 溯 。 c) 恶 ： 1) 宜 ： 胁 ； 2) 3 一 ， 3 5。 表 35 “疑似 恶意 附 件 ”告 警规 则 1 含“ . e x e” ， ， p d f、 d o c、 d o c x ， 拦截 。 ， 拦截 ， 一 ， 拦截， 一 溯 。 2 箱

17、， 拦截 。 ， 拦截 ， 一 ， 拦截， 一 溯 。 3 胁 “ 恶 ” 。 ， 一 一 一 。 6.3. 2 . 7 篡改信 息攻 击 告 警 篡 ， 胁 。 宜 篡 1 ， ： a) 宜 ： 溯 ； b) 2 一 ， 3 6。 表 36 “篡 改 信 息攻 击 告 警 ” 告 警规 则 1 “ 篡 ” ， 窗（ 默 阈 ： 5 ） ， I P 归 。 ， “ ” ， 一 ， “ ” ， 一 溯 ， “ ” ， 一 。 2 篡 篡 S 6 0 0 0， 址 累 。 ，一 一 。 6.3. 2 . 8 拒绝服 务攻 击 告 警 Q/ G D W 11 98 2 2 01 9 3 1 陷 、

18、暴 ， 耗 C PU 、 、 磁 宽 ， 。宜 拒 、 拒 、 拒 3 ， ： a) 拒 ： 1) 宜 ： NTA ； 2) 10 一 ， 3 7。 表 37 “流量 异常 引 发 的拒 绝 服 务 攻击 ”告 警规 则 1 “拒 ” ， 窗 （默 阈 ： 5 ） ， I P 归 。 ， “ ” ， 一 ， “ ” ， 一 溯 ， “ ” ， 一 。 2 N T A “ ” 。 ，一 一 。 3 N T A “ ” 。 ，一 一 。 4 1 ， 一（ ） “ ”， “ I C M P”， I P 址 1 0 0 0 。 ， 一 溯 。 5 1 ， 一（ ） “ ”， “ T C P”， I P

19、 址 1 0 0 0 。 ， 一 溯 。 6 1 ， 一（ ） “ ”， 端 8 0 4 4 3 8 0 8 0 一 ， I P 址 1 0 0 0 。 ， 一 溯 。 7 1 ， 一 址、 址 “拒 ”， 2 0 。 ， 一 。 8 1 ， 一（ ） 址 “ ”， “ U D P”， I P 址 1 0 0 0 。 ， 一 溯 。 9 1 ， I P 一 （ ） “ ”， “ ”， I P 址 1 0 0 0 。 ， 一 溯 。 1 0 一 “拒 ” ， 一 3 0 ， 一 I P， 一 I P ， 。 ， 一 。 b) 拒 ： 1) 宜 ： NTA ； Q/GD W 11 98 2 2 0

20、1 9 3 2 2) 6 一 ， 3 8。 表 38 “非针 对数 据 库 的拒 绝服 务攻击 ”告 警规 则 1 1 ， 一 （ ） 址 端 1 1 2 1 1， （ ） 址 1 0 0 0 “ ”。 ， “ ” ， 一 ， “ ”， 一 溯 。 2 1 0 ， 一 址 端 1 1 2 1 1 “ ”， 址 5 。 ， “ ” ， 一 ， “ ”， 一 溯 。 3 5 ， 一 （ ） 址 一 端 ( 2 2 2 5 1 4 3 3 3 3 0 6 3 3 8 9 ) 址 2 0 。 ， 一 溯 。 4 5 ， 一 址 一 端 ( 端 端 端 ) 址 2 0 。 ， 一 溯 。 5 一 址 一

21、 址 端 扫描 ， 1 0 ， 端 “ ”（默 阈 ： 1 0 秒 1 0 0 0 ）。 ， “ ” ， 一 ， “ ”， 一 溯 。 6 “ 拒 ” ， 一（ ） 址 （ ） 址 1 0 。 ， 一 溯 。 c) 拒 ： 1) 宜 ： NTA ； 2) 2 一 ， 3 9。 表 39 “针对 数据 库的 拒 绝 服务 攻击 ” 告 警 规则 1 1 ， 1 . 一 址 I P 一 （ ） 址 I P “ ”， 端 端 （默 ： 3 3 0 6 1 4 3 3 1 5 2 1）， 1 0 0 0 。 ， “ ” ， 一 ， “ ”， 一 溯 。 2 “拒 ” 。 ，一 一 。 6.3. 2 .

22、 9 已知情 报攻 击 Q/ G D W 11 98 2 2 01 9 3 3 掌 握 胁 。宜 IP 、 胁 、 频 3 ， ： a) I P ： 1) 宜 ： NTA ； 2) ： “ ” ， （ ） 址， 址 “ I P” ， 隔 ， “ ” ， 一 溯 ， “ ” ， 一 。 b) 胁 ： 1) 宜 ： NTA 胁 ； 2) 3 一 ， 4 0。 表 40 “威胁 情报 命 中 ”告 警规 则 1 “ ” ， ， 址 （ 胁 ） 址。 ， “ ” ， 一 ， “ ”， 一 溯 。 2 “ ” ， ， 址 ， 址 恶 。 ， “ ” ， 一 ， “ ”， 一 溯 。 3 S 6 0 0

23、0 N T A D N S ， 胁 胁 。 ， 若 胁 ， 一 ， ， 一 溯 。 c) 频 ： 1) 宜 ： NTA ； 2) ： 1 ， “ ” ， 一 址 浏 览 1000 ， “ http ” “ ht t p s” ， 一 溯 。 6.3. 2 . 10 发现病 毒木 马 攻 击 、 、蠕虫 一 胁 。 宜 、 蠕 虫 、 谍 、 W an n a C r y 4 ， ： a) ： 1) 宜 ： ； 2) ： 扫描 ， 1 ， 一 IP 10 ， 一 （ ： ） ， 一 。 b) 蠕 虫 ： 1) 宜 ： NTA 胁 ； Q/GD W 11 98 2 2 01 9 3 4 2) 4

24、一 ， 4 1。 Q/ G D W 11 98 2 2 01 9 3 5 表 41 “发现 病毒 木 马 蠕虫 利 用 攻 击 ” 告 警 规则 1 “ 享 ”、“ ”、“ 混 ”、“ / ”、“盗 ”、“ 窃 篡 ”、“ D D o S ”、“ 混 ”、“ / 蠕 虫 ”、“ z o t o b 蠕 虫 ”、 “ L i n u x / U n i x 蠕虫” 、“ 蠕虫” 、“ 蠕虫” 、“ 蠕虫” 、“震荡 / 蠕 虫” 、“ 坏 蠕虫” 一 ， 窗 （默 阈 ： 5 ） ， I P 归 。 ， “ ” ， 一 ， “ ” ， 一 溯 ， “ ” ， 一 。 2 1 ， 一 址 5 “蠕

25、虫 ” ， ， 扫描 匹 。 ， 若 ， 一 ， 一 。 3 1 ， 5 址 尝 “蠕 虫 ” ， ， 扫描 匹 。 ， 若 ， 一 ， 一 。 4 一 “ 享 、 、 混 、 / 、盗 、 窃 篡 、 D D o S 、混 、 / 蠕 虫、 z o t o b 蠕虫、 L i n u x / U n i x 蠕虫、 蠕虫 、 蠕虫、 蠕虫、 震 荡 / 蠕 虫 、 坏 蠕 虫 ” ， 一 3 0 ， 一 I P， 一 I P ， 。 ， 一 。 1： 1 、 、蠕虫 S 6 0 0 0 、 、 蠕虫 归 。 、 一 、 、 蠕虫 ， 1 枚 ， 。 c) 谍 ： 1) 宜 ： NTA 胁 ；

26、 2) 2 一 ， 4 2。 Q/GD W 11 98 2 2 01 9 3 6 表 42 “发现 间谍 软 件 利用 攻击 ”告警 规则 1 “ 谍 ” ， 窗（ 默 阈 ： 5 ） ， I P 归 。 ， “ ” ， 一 ， “ ” ， 一 溯 ， “ ” ， 一 。 2 一 “ 谍 ” ， 一 3 0 ， 一 I P， 一 I P ， 。 ， 一 。 d) W an n a C r y ： 1) 宜 ： NTA ； 2) 2 一 ， 4 3。 表 43 “发 现 Wan na C r y 攻 击 ” 告 警 规 则 1 “漏洞 ” ， 含 “ E T E R N A L B L U E”

27、 “ D O U B L E P U L S A R” “ W a n n a C r y”。 ， “ ” ， 一 ， “ ” ， 一 溯 。 2 “ ” ， 址 胁 W a n n C r y 恶 。 ， “ ” ， 一 ， “ ”， 一 。 6.3. 2 . 11 发现僵 尸网 络 利 用攻 击 一 ， b ot ， 一 。 途 径 僵 尸 ， 一 ， 一 僵尸 。 僵尸 僵 尸 胁 。宜 僵 尸 1 ， ： a) 宜 ： NTA 胁 ； b) 3 一 ， 4 4。 Q/ G D W 11 98 2 2 01 9 3 7 表 44 “发现 僵 尸 网 络 利用 攻击 ”告警 规则 1 “

28、僵尸 ” “ 僵 尸 蠕虫 ” ， 窗 （默 阈 ： 5 ） ， I P 归 。 ， “ ” ， 一 ， “ ” ， 一 溯 ， “ ” ， 一 。 2 3 0 址 I P， 5 “蠕虫 ” A； “ 蠕虫 5 址 蠕虫 ” B； A B。 ， 一 。 3 一 “僵 尸 ” “僵 尸 蠕虫 ” ， 一 3 0 ， 一 I P， 一 I P ， 。 ， 一 。 6.3. 2 . 12 网页内 嵌恶 意 代 码告 警 蓄 、 嵌 恶 ， 嵌 恶 ， 一 。 嵌 恶 嵌 ， 允 浏 览 ， 。 宜 1 ， ： a) 宜 ： NTA 胁 ； b) ： “ ” ， 窗 （默 阈 ： 5 ） ， IP 归

29、 ， “ ” ， 一 ， “ ” ， 一 溯 ， “ ” ， 一 。 Q/GD W 11 98 2 2 01 9 3 8 A A 附 录 A （资料 性附 录 ） 平台告 警详 细 分 类要 求 详 、 A. 1。 表 A.1 平台告 警详 细 分 类 一 二 1 端 2 端 3 端 端 4 D N S 5 端 频繁 尝 6 端频 繁 尝 7 帐 8 帐 （ ）、 9 串 1 0 帐 1 1 操 端 端 1 2 端 端 1 3 端 敏 端 1 4 1 5 眠帐 1 6 端 、 端 1 7 1 8 泄 敏 档频繁 1 9 泄 ， 频繁 敏 档 ， 端 2 0 泄 泄 Q/ G D W 11 98

30、 2 2 01 9 3 9 表 A. 1 ( 续 ) 一 二 2 1 泄 泄 2 2 泄 敏 泄 2 3 泄 敏 操 泄 端 2 4 泄 泄 2 5 泄 2 6 敏 频繁 2 7 坏 篡 端 伪 端 2 8 坏 篡 篡 2 9 坏 篡 操 3 0 脆 弱 陷 漏洞 漏洞 、 3 1 脆 弱 陷 弱 端弱 端 3 2 脆 弱 陷 弱 弱 3 3 脆 弱 陷 弱 弱 3 4 脆 弱 陷 弱 弱 3 5 脆 弱 陷 3 6 脆 弱 陷 3 7 脆 弱 陷 3 8 脆 弱 陷 端 3 9 脆 弱 陷 墙 Q/GD W 11 98 2 2 01 9 4 0 表 A. 1 ( 续 ) 一 二 4 0 脆 弱 陷 陷 4 1 脆 弱 陷 端 端、 4 2 脆 弱 陷 侵 4 3 脆 弱 陷 端 4 4 胁 端 R O O T 4 5 胁 端 4 6 胁 暴 猜 4 7 胁 暴 暴 （ ）、 4 8 胁 暴 暴 、 4 9 胁 暴 暴 （ ）、 5 0 胁 暴 暴 5 1 胁 恶 操 操 5 2 胁 恶 操 拖 5 3 胁 5 4 胁 5 5 胁 端 5 6 胁 钓鱼 5 7 胁 址 5 8 胁 Q/ G D W 11 98 2 2 01 9 4 1 表 A. 1 ( 续 ) 一 二 5 9 胁 静 混 端 端 6 0 胁 静 混 跨 伪 6 1 胁 静 混 跨 6 2