YD ICS 35.110 CCS M 11 YD/T XXXXX —XXXX 网络空间安全仿真 网络数据采集指南 Cybersecurity emulation — Data acquisition guidance （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发布 中华人民共和国通信行业标准 YD/T XXXXX—XXXX 1目  次 前言 ................................................................................... 2 1 范围 ................................................................................. 3 2 规范性引用文件 ....................................................................... 3 3 术语和定义 ........................................................................... 3 4 缩略语 ............................................................................... 3 5 数据采集概述 ......................................................................... 4 5.1 采集内容 ......................................................................... 4 5.2 采集方式 ......................................................................... 5 5.3 采集器 ........................................................................... 7 6 数据采集需考虑的因素 ................................................................. 7 6.1 总则 ............................................................................. 7 6.2 日志数据采集 ..................................................................... 8 6.3 流量数据采集 ..................................................................... 9 参考文献 .............................................................................. 10 YD/T XXXXX—XXXX 2前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 　第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出 并归口。 本文件牵头起草单位 ：鹏城实验室、深圳融安网络科技有限公司、广州大学网络空间先进技术研究 院。 本文件参与起草单位 ：华为技术有限公司、中兴通讯股份有限公司、北京天融信网络安全技术有限 公司、中国电信集团有限公司 、北京神州绿盟科技有限公司 、新华三技术有限公司 、深信服科技股份有 限公司、中国信息通信研究院、中电长城网际安全技术研究院（北京）有限公司。 本文件主要起草人：汪敦全、李树栋、贾焰、王志宾、韩伟红、柳扬、田志宏、吴晓波、殷丽华 、 文新根、曾宪武、滕俐军、陈桂耀、陶莎、胡宁、顾钊铨、余晓光、游世林、尹立、邓晓东、刘涛、刘 伯仲、肖岩军、谢玮、崔涛、林飞。 YD/T XXXXX—XXXX 3网络空间安全仿真 网络数据采集指南 1　范围 本文件提供了网络空间安全仿真平台网络数据采集方面的指导 ，包括数据采集内容 、采集方式等说 明，以及数据采集时考虑的因素。 本文件适用于指导网络空间安全仿真平台的数据采集工作 ，为网络空间安全仿真平台后续的数据分 析处理、评估和态势分析等提供基础数据 。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件，其最新版本（包括所有的修改单 ）适用于本 文件。 GB/T 25069 信息安全技术 术语 3　术语和定义 GB/T 25069界定的以及下列术语和定义适用于本文件。 3.1　 带内采集 　in-band acquisition 采集的数据传输通道和其它数据传输通道共用的采集方式。 3.2　 带外采集 　out-of-band acquisition 采集的数据传输通道和其它数据传输通道不共用的采集方式。 4　缩略语 下列缩略语适用于本文件。 BACnet：楼宇自动化与控制网络（ Building Automation and Control networks ） CPU：中央处理器（ Central Processing Unit） DHCP：动态主机配置协议（ Dynamic Host Configuration Protocol ） DNP3：分布式网络协议 3（Distributed Network Protocol 3） DNS：域名系统（ Domain Name System） YD/T XXXXX—XXXX 4FTP：文件传输协议（ File Transfer Protocol ） HTTP：超文本传输协议（ Hyper Text Transfer Protocol ） HTTPS：超文本传输安全协议（ Hyper Text Transfer Protocol Secure） IDS：入侵检测系统（ Intrusion Detection System） IEC：国际电工委员会（ International Electrotechnical Commission ） IP：网际互连协议（ Internet Protocol ） IPS：入侵防御系统（ Intrusion Prevention System） IMAP：因特网消息访问协议（ Internet Message Access Protocol ） JDBC：Java数据库连接（ Java Database Connectivity ） KVM：基于内核的虚拟机（ Kernel-based Virtual Machine） MAC：介质访问控制（ Medium Access Control） MQTT：消息队列遥测传输（ Message Queuing Telemetry Transport ） ODBC：开放数据库连接（ Open Database Connectivity ） OPC：用于过程控制的对象连接与嵌入（ Object Linking and Embedding for Process Control） POP3：邮局协议版本 3（Post Office Protocol - Version 3） RMON：远端网络监控（ Remote Network Monitoring ） SFTP：安全文件传输协议（ Secure File Transfer Protocol ） SMTP：简单邮件传输协议（ Simple Mail Transfer Protocol ） SNMP：简单网络管理协议（ Simple Network Management Protocol ） SSH：安全外壳协议（ Secure Shell） TCP：传输控制协议（ Transmission Control Protocol ） TLS：传输层安全性协议（ Transport Layer Security ） UDP：用户数据报协议（ User Datagram Protocol ） USB：通用串行总线（ Universal Serial Bus） VPN：虚拟专用网络（ Virtual Private Networks ） VMI：虚拟机内省（ Virtual Machine Introspection ） 5　数据采集概述 5.1　采集内容 网络空间安全仿真数据采集的对象为网络空间安全仿真平台的目标网络节点 ，包括交换机 、路由器 等网络设备，防火墙、 IDS/IPS、VPN、蜜罐等安全设备，靶标应用系统、操作站及服务器等。 网络空间安全仿真数据采集的内容通常包括日志数据和流量数据。