ICS35.030 CCSL80 中华人民共和国国家标准 GB/T44886.3—2025 网络安全技术 网络安全产品互联互通 第3部分:告警信息格式 Cybersecuritytechnology—Cybersecurityproductinterconnectivity— Part3:Alarminformationformat 2025-12-02发布 2026-07-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 1 …………………………………………………………………………………………………… 5 告警分类 2 ………………………………………………………………………………………………… 5.1 概述 2 ………………………………………………………………………………………………… 5.2 恶意程序告警 2 ……………………………………………………………………………………… 5.3 网络攻击告警 2 ……………………………………………………………………………………… 5.4 数据安全告警 3 ……………………………………………………………………………………… 5.5 异常行为告警 3 ……………………………………………………………………………………… 5.6 其他告警 3 …………………………………………………………………………………………… 6 告警信息格式 3 …………………………………………………………………………………………… 6.1 概述 3 ………………………………………………………………………………………………… 6.2 字段类型 3 …………………………………………………………………………………………… 6.3 告警通用信息 3 ……………………………………………………………………………………… 6.4 告警专有信息 5 ……………………………………………………………………………………… 6.4.1 恶意程序告警 5 ………………………………………………………………………………… 6.4.2 网络攻击告警 6 ………………………………………………………………………………… 6.4.3 数据安全告警 9 ………………………………………………………………………………… 6.4.4 异常行为告警 10 ………………………………………………………………………………… 6.4.5 其他告警 11 ……………………………………………………………………………………… 附录A(资料性) 告警信息格式 12 ………………………………………………………………………… A.1 概述 12 ……………………………………………………………………………………………… A.2 告警信息格式示例 12 ……………………………………………………………………………… 附录B(资料性) 网络安全产品互联互通告警信息分类代码 13 ………………………………………… B.1 编码方法 13 …………………………………………………………………………………………… B.2 分类代码表 13 ………………………………………………………………………………………… 参考文献 15 …………………………………………………………………………………………………… ⅠGB/T44886.3—2025 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件是GB/T44886《网络安全技术 网络安全产品互联互通》的第3部分。GB/T44886已发 布了以下部分: ———第1部分:框架; ———第2部分:资产信息格式; ———第3部分:告警信息格式。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:国家信息中心、中国电子技术标准化研究院、国家计算机网络应急技术处理协调 中心、国家信息技术安全研究中心、清华大学、公安部第三研究所、中国科学院信息工程研究所、中国信 息安全测评中心、北京国信京宁信息安全科技有限公司、北京赛西科技发展有限责任公司、北京江民新 科技术有限公司、北京天融信网络安全技术有限公司、山东省大数据中心、宁波市数据服务中心、亚信 科技(成都)有限公司、北京升鑫网络科技有限公司、北京神州绿盟科技有限公司、深信服科技股份有限 公司、杭州安恒信息技术股份有限公司、安天科技集团股份有限公司、奇安信网神信息技术(北京)股份 有限公司、长扬科技(北京)股份有限公司、新疆维吾尔自治区数据资源和政务服务中心、北京邮电大学、 中国雄安集团数字城市科技有限公司、山东中测信息技术有限公司。 本文件主要起草人:刘蓓、闫桂勋、禄凯、陈韵然、程浩、张卫博、杨莹、朱雪峰、郭红、许玉娜、包莉娜、 孙彦、刘楠、赵新强、张涛、李广恺、段斯斯、崔牧凡、陈妍、刘玉岭、梁利、高洋、李烨昊、隋笑、严冬、 寇增杰、刘洞宾、卞建超、郭英华、杨信磊、袁志千、文博、何茂根、孙凌、林明峰、苗佳艺、丁宇征、白荣华、 赵华、马向亮、姚凯旋、吴博。 ⅢGB/T44886.3—2025 引 言 GB/T44886《网络安全技术 网络安全产品互联互通》拟由以下部分构成。 ———第1部分:框架。目的在于明确网络安全产品互联互通应用场景,提出互通建设思路。 ———第2部分:资产信息格式。目的在于提出网络安全产品互联互通时的资产描述。 ———第3部分:告警信息格式。目的在于有效整合网络安全产品报送的告警信息,提高告警应急处 置效率。 ———第4部分:威胁信息格式。目的在于统一网络安全产品及各组织威胁信息共享格式。 ———第5部分:行为信息格式。目的在于促进网络安全产品行为信息的分析利用。 ———第6部分:功能接口。目的在于高效整合网络安全信息,促进网络安全产品功能协同。 ⅣGB/T44886.3—2025 网络安全技术 网络安全产品互联互通 第3部分:告警信息格式 1 范围 本文件给出了网络安全产品互联互通时告警分类和告警信息的描述格式。 本文件适用于网络安全产品互联互通的设计、开发、应用和测试。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T25069 信息安全技术 术语 3 术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 网络安全产品互联互通 cybersecurityproductinterconnectivity 通过统一的网络安全信息描述和功能接口定义,有效共享网络安全产品感知或产生的信息,协同不 同网络安全产品的功能,支撑监测预警、信息共享、应急响应、态势感知等应用,提升网络安全防护能力 和网络安全事件处置效率的一种机制。 [来源:GB/T44886.1—2024,3.2] 3.2 告警信息 alarminformation 网络安全产品依据设定的规则,对采集到的网络安全信息自动进行规则匹配、归并、分析等活动后 产生的警示信息。 4 缩略语 APT:高级持续性威胁(AdvancedPersistentThreat) CPU:中央处理器(CentralProcessingUnit) IP:网际互连协议(InternetProtocol) SYN:同步序列编号(SynchronizeSequenceNumbers) UDP:用户数据报协议(UserDatagramProtocol) URL:统一资源定位符(UniformResourceLocator) 1GB/T44886.3—2025 5 告警分类 5.1 概述 本文件依据GB/T20986中的网络安全事件分类,将网络安全产品互联互通告警分为恶意程序告 警、网络攻击告警、数据安全告警、异常行为告警和其他告警5类,每个类别分别包括若干子类。 5.2 恶意程序告警 恶意程序告警包括计算机病毒告警、网络蠕虫告警、特洛伊木马告警、僵尸网络告警、恶意代码内嵌 网页告警、勒索软件告警和挖矿软件告警7个子类,具体如下: a) 计算机病毒告警:发现传播或利用恶意程序,影响计算机使用,破坏计算机功能,毁坏或窃取数 据,发出警示; b) 网络蠕虫告警:发现利用网络缺陷,通过网络自动复制并传播网络蠕虫,发出警示; c) 特洛伊木马告警:发现传播或利用具有远程控制功能的恶意程序,实现非法窃取或截获数 据,发出警示; d) 僵尸网络告警:发现利用僵尸工具程序形成僵尸网络,发出警示; e) 恶意代码内嵌网页告警:发现受害对象在访问被嵌入恶意代码而受到污损的网页时,该恶意代 码在访问该网页的计算机系统中安装恶意软件,发出警示; f) 勒索软件告警:发现采取加密或屏蔽用户操作等方式劫持用户对系