YD_T 2847-2015移动互联网恶意程序监测与处置管理平台数据接口规范.pdf

ICS 33.060M 16YD中华人民共和国通信行业标准YD/T2847-2015移动互联网恶意程序监测与处置管理平台数据接口规范Systemdatainterfacespecificationformobile Internetmaliciouscodemonitoringandisposal2015-04-30发布2015-07-01实施中华人民共和国工业和信息化部发布 YD/T报事件文件的命名规则为：业务功能简写_YYYYMMDDHH24MISS_文件ID.xml.gz。MVCG须对XML文件须采用GZIP进行压缩后，再上报到MVCC。业务功能简写受控事件为COL，传播事件为TRN。YYYYMMDDHH24MISS：表示生成文件时的时刻，取4字符年、取2字符月份、2字符天、24小时制的小时、2字符分钟、2字符秒。例如：COL_20121011121323_001.xml.gz、TRN_20121011121323_001.xml.gz.b）恶意事件文件传输完成标志该XML.GZ文件传输完成后，MVCG需同时生成一个同名且扩展名为xml.gz.ok的空文件，标识此文件上传完毕。c）恶意事件文件存储当MVCG需存储已上报的XML.GZ文件3天，该存储时间需可配置，用于恶意事件重报，详见本章恶意事件重报一节。接口协议MVCG.上报逐意程序事件到MVCC采用安全文件传送协议(SecureFileTransferProtocol，简称SFTP)实现，MVCG使用符合国际规范的XML格式文件将恶意程序事件文件传输到MVCC指定目录中。接口流程接口流程如下，a）移动互联网恶意程序事件文件内容采用XML格式，需符合XML文件的相关国际规范,MVCG需采用GZIP压缩上报的XML文件，再将该XML压缩文件上报到MVCC；b）悉意事件上报接口是非实时接口，每个文件的恶意事件数量为C1，C1为1至10000，文件上报时间间隔最多T1min，T1为15min：其中C1与T1需满足可配置要求：c）具体文件传输过程为：启动T1计时和C1计数，如果在T1min内MVCG所辖移动互联网络产生的恶意事件达到C1，应立即上报文件给MVCC，T1计时和CI计数重新开始；如果在T1min内MVCG所辖移动互联网络产生的恶意事件数量不足C1且大于0，应生成一个文件并上报给MVCC，T1计时和C1计数重新开始：如果在TImin内MVCG所辖移动互联网络产生的恶意事件为0条，则MVCG不上报文件给MVCCd）MVCC提供MVCG上传恶意事件的IP地址、FTP用户名、密码、上传目录：e）MVCG根据MVCC分配的IP地址、上传目录，并根据XML定义规范要求将数据文件上传给MVCC；MVCG可以支持同时向MVCC多个IP地址或目录上传数据文件。接口消息.1受控事件上报消息受控事件上报XML格式，详见表7。表7受控事件XML格式受控事件XML格式精述type:type 的值为 col_info;resultmum：十进制数字，表示一个文件中log消息的个XML格式信息，XML结构如下，数;≤xml version=*1.0 eacoding-UTF-8*?Carrier:运营商唯一标示，由中心下发；6 YD/T7 (续)受控事件XML格式?xml version*1.0” encoding=*UTF-8*?MaliciousProgramsMD5:恶意程序库中恶意程序唯MDS :log Carrier id运营商 ID*EventTime:事件发生时间，格式为yyyy-MM-ddMaliciousProgramsMD5*哆意程序 MD5 序 cEvenfTimeHH;mmcss:v事件发生时间InfectedPhone:移染电话号码：InfectedPhonen电话号码*InfectedPhoneLocation:手机号感案时所在的省一增市；InfectedPhoneLocation=f手机号够荣时所在的省-地市InfectedPhoneAttribution：感染手机号归属地：.InfectedPhoneAttributionf染手机号归属给*Phonelnfo:对应的手机的类型厂育一手机型号-手机渠Phonelnfo=o手机信息*作系统-操作系统版本；VXName-N恶意程序名称VXName:对应恶意程序名称（按照工信部下发的命名Risk-n风险等级上报);SIP=源 IP*Risk:对应事件的风险（忍意程序对应的风险等级）；Sport=f源端口*SIP:源IP（手机上网时分配到的公网IP，IP采用点分DIP= 目标 IP*十进制表示，用.分制)；DPort=o目标端口Sport:源端口（手机上网时的公网端口)：DDN