【YD通讯标准】 移动互联网恶意程序监测与处置管理平台数据接口规范

ICS33.060
中华人民共和国通信行业标准
YD/T2847-2015
移动互联网恶意程序监测与
处置管理平台数据接口规范
System data interface specificationfor mobile Internet maliciouscodemonitoringandisposal
2015-04-30发布
2015-07-01实施
中华人民共和国工业和信息化部发布前言·
1范围
2术语、定义和缩略语.
2.1术语和定义
2.2缩略语
3移动互联网恶意程序与处置管理平台3.1平台架构
3.2平台功能平台…·
4移动互联网恶意程序监测与处置管理平台X接口定义·4.1处置建议下发接口
4.2恶意事件上报接口
4.3状态信息上报接口
YD/T2847-2015
YD/T2847-2015
本标准按照GB/T1.1一2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任，本标准由中国通信标准化协会提出并归口。本标准起草单位：国家计算机网络应急技术处理协调中心、中国联合网络通信集团有限公司、中国移动通信集团公司、中国电信集团公司、恒安嘉新（北京）科技有限公司、安天科技股份有限公司。本标准主要起草人：云晓春、王明华、舒敏、高胜、何能强、李海灵、邹潇湘、陈阳、纪玉春、阿曼太、仇冠中、闫攀、徐娜、徐原。TiiKAoNiKAca
YD/T2847-2015
随着移动互联网业务的快速发展，移动互联网安全威胁日益凸显。从移动智能终端，到移动网络和各类移动业务应用，安全威胁无处不在。恶意程序、垃圾彩信、隐私窃取、拒绝服务攻击等都对移动互联网的安全造成巨大影响。
依据工信部出台的《移动互联网恶意程序监测与处置机制》，授权国家计算机网络应急技术处理协调中心（CNCERT/CC）、移动通信运营企业负责对移动互联网恶意程序进行监测，给予处置建议，并开展相关通报工作。其中移动通信运营企业负责本公司内网恶意程序的监测和处置工作，并通过本接口规范实时向国家计算机网络应急技术处理协调中心报送移动互联网恶意程序事件。国家计算机网络应急技术处理协调中心汇总通过自主监测、移动通信运营企业报送等事件后，通过本接口给移动通信运营企业下发出处置建议和相关信息。m
HiiKAoiKAca
YD/T2847-2015
移动互联网恶意程序监测与处置管理平台数据接口规范1范围
本标准规定了移动互联网恶意程序监测与处置管理平台的平台架构、平台功能要求，并定义了平台相关接口的接口流程和消息上报格式。本标准适用于国家互联网应急协调组织、移动通信运营企业等机构对移动互联网恶意程序事件的监测与处置。
2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件：2.1.1
受控事件ControlledEvents
用户感染恶意程序后向控制端通信的事件。2.1.2
传播事件SpreadEvents
用户下载恶意程序或者恶意程序传播的事件。2.1.3
接口XInterface
国家互联网应急协调组织侧移动互联网恶意程序监测与处置管理平台（MVCC）与运营商的移动互联网恶意程序监测与处置管理网关（MVCG）之间的接口。2.2缩略语
下列缩略语适用于本文件：
HypertextTransferProtocol overSecureSocketLayerHTTPS
Interface
Internet Protocol
JavaScriptObjectNotation
Mobile Internet Malicious Code Monitor And DisposalManagement Platform
HTTP的安全版
互联网协议
JavaScript的对象符号
移动互联网恶意程序监测与处置管理平台
1移动互联网恶意程序监测与处置MobileInternetMalicious Code Monitor And DisposalManagement Gateway
Transmission Control ProtocolSecure File Transfer ProtocolUniform/UniversalResourceLocator管理网关
传输控制协议
安全文件传输协议
统一资源定位符
HiiKAoNiKAca
YD/T2847-2015
3移动互联网恶意程序与处置管理平台3.1平台架构
图1为移动互联网恶意程序监测与处置通用架构图，国家互联网应急协调组织侧移动互联网恶意程序监测与处置管理平台（MVCC）用来实时接收运营商报送移动互联网恶意程序事件，并通过运营商的移动互联网恶意程序监测与处置管理网关（MVCG）把相关恶意程序的最终命名、处置方案及规则发送给运营商发送。
移动通信网络
国家互联网应
急协调组织
移动运营商
相关网元
相关网元
图1移动互联网恶意程序监测与处置通用架构图国家互联网应急协调组织侧移动互联网恶意程序监测与处置管理平台（MVCC）与运营商侧的移动互联网恶意程序监测与处置管理网关（MVCG）之间的接口，称为X接口。在本标准中，X接口也叫移动恶意程序监测与处置电子接口，MVCG也可称作恶意程序监测网关。MVCG与移动网络中相关的恶意程序监测与处置网元（或子系统）之间的接口称为Y接口。MVCC与MVCG之间物理上应采用专线连接或者是加密链路。MVCC是监测与处置的初始发起者，也是移动互联网恶意程序事件信息，告事件信息的最终接收者。
MVCG位于运营商网络侧，接收MVCC发来的监测与处置信息，并上报移动互联网恶意程序事件信息。
本标准仅定义X接口，即移动互联网恶意程序监测与处置管理平台（MVCC）与移动互联网恶意程序监测与处置管理网关（MVCG）之间的接口规范。本标准不包含对Y接口的定义。3.2平台功能平台
3.2.1恶意事件上报功能
MVCG每隔一段时间将该时间段产生的恶意程序事件全部上报到MVCC，其中恶意程序事件包括用户受控事件和恶意程序传播事件。3.2.2处置要求下发功能
国家互联网应急协调组织负责汇总通过自主捕获、移动通信运营商报送和其他渠道收集的恶意程序及事件，之后将相关的处置建议要求通过本接口下发到运营商进行处理。3.2.3状态信息上报功能
MVCG将移动互联网恶意程序监测与处置管理网关状态实时报送到MVCC。2
HiiKANiKAca
4移动互联网恶意程序监测与处置管理平台X接口定义4.1处置建议下发接口
4.1.1接口描述
YD/T2847-2015
MVCC会将相关恶意程序或者恶意程序事件处置要求下发到MVCG，MVCG负责将MVCC下发的处置建议下发给运营商侧移动相关网元，并将运营商侧移动相关网元对事件的处置效果按X接口要求上报给MVCC
接口消息包含一个JSON文档，其通过接口协议HTTPS的body发送出来，具体消息根据处置要求方式的不同、下发的接口消息格式的不同，具体分为监测处置建议、重定向处置建议、封堵处置建议。4.1.2接口协议
MVCC与MVCG系统数据的交互接口使用HTTPS协议（基于TCP/IP），使用POST方式提交数据，使用GET方式获取数据。接口消息会以JSON（IETFRFC4627）文档的格式通过HTTPS协议传输，4.1.3接口流程
此流程完成事件的处置要求的下发，具体如图2所示。a）MVCC将处置要求信息下发给MVCG：b）MVCG收到之后，返回下发处理响应，同时下发给运营商侧相关网元进行处置：c）运营商侧相关网元对处置要求进行处理。MVCC
处置要求下发消息
下发消息响应
图2处量建议下发接口流程图
4.1.4接口消息
4.1.4.1监测处置建议消息
监测处置建议消息见表1。
表1监测处量建议消息
参数名称
Message
Carrier
MaliciousProgransMD5
VXName
SigDesc
FileMDS
消息类型标签，固定为\Monitor”该ID为MVCC生成，全局唯一，长度为12位，表示该处置建议的唯一标识
运营商唯一标示，由中心下发
恶意程序库中恶意程序唯一MD5值对应恶意程序名称（按照工信部下发的命名规范命名）
控制端URL列表，使用“#”分隔对应恶意程序的描述
样本MD5列表，使用“；”分隔
数据类型
String
Number
String
String
String
String
String
String
是否必填
HiiKAoNiKAca
YD/T2847-2015
MVCG需能够处理MVCC不同时间多次下发的同一恶意程序的监测处置建议，相关处置结果需覆盖该恶意事件的多次监测处置建议的要求。4.1.4.2重定向处置建议消息
重定向处置建议消息见表2。
表2重定向处重建议消息
参数名称
Message
MaliciousProgramsMD5
Carrier
VXName
SinkholeIP
CCDomain
消息类型标签，固定为\Sinkhole\该ID为MVCC生成，全局唯一，长度为12位，表示该处置建议的唯一标识
恶意程序库中恶意程序唯一MD5值运营商唯一标示，由中心下发
对应恶意程序名称（按照工信部下发的命名规范命名）
重定向目标地址或域名
被重定向的地址或域名列表,使用“；”分隔数据类型
String
Number
String
String
String
String
String
是否必填
MVCG需能够处理MVCC不同时间多次下发的同一恶意程序的重定向处置建议，相关处置结果需覆盖该恶意事件的多次重定向处置建议的要求。4.1.4.3封堵建议消息
封堵处置建议消息见表3。
表3封堵建议消息参数
参数名称
Message
Carrier
消息类型标签，固定为Control\该ID为MVCC生成，全局唯一，长度为12位，表示该处置建议的唯一标识
运营商唯一标识，由中心下发
被封堵向的地址或域名(不包含前缀，如http:/)被封堵端口
数据类型
String
Number
String
String
String
是否必填
MVCG需能够处理MVCC不同时间多次下发的同一恶意程序的封堵处置建议，相关处置结果需覆盖该恶意事件的多次封堵处置建议的要求。4.1.4.4运营商标识通道消息
通过运营商命名标识通道消息，MVCC定期更新下发运营商ID给各MVCG，使其同步。MVCG根据更新后的运营商ID将消息发送给对应的运营商。详见表4。表4运营商标识消息
参数名称
Message
OldCarrierID
NewCarrierID
UpdateTime
消息类型标签，固定为\centreid”原运营商标识
更新后的运营商标识
格式为
更新运营商标识后的生效时间，yyyy-MM-dd HH:mm:ss
数据类型
String
String
string
String
是否必填
iiKAoNiKAca
4.1.4.5撤销处置建议消息
YD/T2847-2015
通过撤销处置建议通道，MVCC可向MVCG下发撤销监测处置建议、重定向处置建议、封堵处置建议的消息。详见表5。
表5撤销处量建议消息参数
参数名称
Message
MaliciousProgramsMD5
Carrier
消息类型标签，固定为\revocationDisposal\该LID与MVCC下发处置建议ID对应恶意程序库中恶意程序唯一MD5值运营商唯一标识，由MVCC下发
已下发的处置建议类型
监测处置建议（取消该监测处置）1.
重定向建议（取消该重定向建议）3.封堵建议（取消该封堵建议）命令通道消息（取消该命令通道消息）数据类型
String
Number
String
String
Number
是否必填
MVCG根据MVCC已下发的处置建议的LID标识撤销该LID对应的处置消息，如同一恶意程序有多个处置建议，MVCG则根据该处置建议的LID标识的处置要求进行撤销，其他该恶意程序的处置建议要求依然生效。
4.1.4.6处置建议响应消息
MVCG处置建议响应消息，详见表6。表6处重建议响应消息参数
参数名称
Message
MaliciousProgramsMD5www.bzxz.net
Carrier
StateCode
failDesc
4.2恶意事件上报接口
4.2.1恶意事件上报
4.2.2.1接口描述
消息类型标签，固定为\response\该LID与MVCC下发的处置建议ID对应恶意程序库中恶意程序唯一MD5值运营商唯一标识，由中心下发
状态码
2.失败（处置失败后，MVCG应向MVCC发送失败原因，同时MVCC将根据该LID重新下发该处置建议）
失败原因描述
数据类型
String
String
String
String
Number
String
是否必填
否（如果失败则
为必填项）
MVCG通过此接口定时向MVCC上报恶意程序事件的监测信息。接口中的恶意事件包括受控事件（COL）和传播事件(TRN)。
a）恶意事件XML文件命名
HiiKAoNiKAca
YD/T2847-2015
上报事件文件的命名规则为：<业务功能简写>_<文件ID>.xml.gzMVCG须对XML文件须采用GZIP进行压缩后，再上报到MVCC。<业务功能简写>：受控事件为COL，传播事件为TRN。：表示生成文件时的时刻，取4字符年、取2字符月份、2字符天、24小时制的小时，2字符分钟，2字符秒。例如：COL20121011121323_001.xml.gz、TRN_20121011121323_001.xml.gz。b）恶意事件文件传输完成标志
该XML.GZ文件传输完成后，MVCG需同时生成一个同名且扩展名为xml.gz.ok的空文件，标识此文件上传完毕。
c）恶意事件文件存储
当MVCG需存储已上报的XML.GZ文件3天，该存储时间需可配置，用于恶意事件重报，详见本章4.2.3.3恶意事件重报一节。
4.2.2.2接口协议
MVCG上报恶意程序事件到MVCC采用安全文件传送协议(SecureFileTransferProtocol，简称SFTP)实现。MVCG使用符合国际规范的XML格式文件将恶意程序事件文件传输到MVCC指定目录中。4.2.2.3接口流程
接口流程如下：
a）移动互联网恶意程序事件文件内容采用XML格式，需符合XML文件的相关国际规范,MVCG需采用GZIP压缩上报的XML文件，再将该XML压缩文件上报到MVCC：b）恶意事件上报接口是非实时接口，每个文件的恶意事件数量为C1，C1为1至10000，文件上报时间间隔最多T1min，T1为15min；其中CI与T1需满足可配置要求；c）具体文件传输过程为：启动T1计时和C1计数，如果在TImin内MVCG所辖移动互联网络产生的恶意事件达到C1，应立即上报文件给MVCC，T1计时和C1计数重新开始；如果在TImin内MVCG所辖移动互联网络产生的恶意事件数量不足C1且大于O，应生成一个文件并上报给MVCC，T1计时和C1计数重新开始：如果在T1min内MVCG所辖移动互联网络产生的恶意事件为O条，则MVCG不上报文件给MVCC：
d）MVCC提供MVCG上传恶意事件的IP地址、FTP用户名、密码、上传目录：e）MVCG根据MVCC分配的IP地址、上传目录，并根据XML定义规范要求将数据文件上传给MVCC：MVCG可以支持同时向MVCC多个IP地址或目录上传数据文件。4.2.2.4接口消息
4.2.2.4.1受控事件上报消息
受控事件上报XML格式，详见表7。表7受控事件XML格式
受控事件XML格式
XML格式信息，XML结构如下：
6
type:type的值为col_info：
resultnum：十进制数字，表示一个文件中log消息的个Carier.运营商唯一标示，由中心下发受控事件XMIL格式
表7（续）
YD/T2847-2015
MaliciousProgramsMD5:恶意程序库中恶意程序唯MD5值：
EventTime:事件发生时间，格式为yyyy-MM-ddMaliciousProgramsMD5-“恶意程序MD5序cEventTime-V事件发生时间”
InfectedPhone-n电话号码”
InfectedPhoneLocation=f手机号感染时所在的省-地市”InfectedPhoneAttribution=f感染手机号归属地”PhoneInfo=o手机信息”
VXName=N恶意程序名称”
Risk=n风险等级\
SIP源IP
Sport=f源端口
DIP=目标IP\
DPort-o目标端口”
DDN=目标域名”
DUI目标URL
CCinfo-i控制端信息\
DeviceID=y监测设备ID
Category-\危害类型”
/info>
4.2.2.4.2传播事件上报消息
传播事件上报XML格式，详见表8。HH:mm:ss:
InfectedPhone:感染电话号码：InfectedPhoneLocation：手机号感染时所在的省一地市；InfectedPhoneAtribution：感染手机号归属地：Phonelnfo:对应的手机的类型厂商一手机型号-手机操作系统-操作系统版本；
VXName:对应恶意程序名称（按照工信部下发的命名上报）：
Risk:对应事件的风险（恶意程序对应的风险等级）：SIP:源IP（手机上网时分配到的公网IP，IP采用点分十进制表示，用.分割）：
Sport:源端口（手机上网时的公网端口）：DIP:目标IP（手机访问网站的IP，IP采用点分十进制表示，用.分割）；
DPort：目标端口（手机访问网站的端口）DDN：目标域名：
DUrl:目标URL:
CCinfo:控制端信息（恶意程序的详细url）：DevicelD:监测设备ID,通过该ID运营商能够定位其监测的具体地点：
Category：危害类型
传播事件XML格式
受控事件XML格式
XML格式信息，XML结构如下：
MaliciousProgramsMD5-\恶意程序MD5序cEventTime=v事件发生时间”
InfectedPhone-n电话号码”
InfectedPhoneLocation=f手机号感染时所在的省-地市InfectedPhoneAttribution-f感染手机号归属地”Phonelnfo=o手机信息”
VXName=N恶意程序名称”
Risk=风险等级”
type:type的值为col_info
resultnum：十进制数字，表示一个文件中log消息的个Carrier:运营商唯一标示，由中心下发；MaliciousProgramsMD5:恶意程序库中恶意程序唯一MD5值：
EventTime:事件发生时间，，格式为yyyy-MM-ddHH:mm:ss;
InfectedPhone:感染电话号码：InfectedPhoneLocation：手机号感染时所在的省一地市：InfectedPhoneAttribution感染手机号归属地：7
YD/T2847-2015
受控事件XML格式
SIP源IP
Sport一源端口
DIP=目标IP\
DPort=o目标端口”
DDN=目标域名”
DUrI-目标URL\
FMD5-疑似样本的MD5”
FSize-i疑似样本的文件大小”
FName=a疑似样本下载完整路径”DeviceID=v监测设备ID
Category=“危害类型”害/
/info>
4.2.2恶意事件重报
4.2.2.1接口描述
表8（续）
Phonelnfo:对应的手机的类型厂商一手机型号-手机操作系统-操作系统版本；
VXName:对应恶意程序名称（按照工信部下发的命名上报）：
Risk:对应事件的风险(恶意程序对应的风险等级)：SIP:源IP（手机上网时分配到的公网IP，IP采用点分十进制表示，用.分割)：
Sport:源端口（手机上网时的公网端口）；DIP:目标IP（手机访问网站的IP，IP采用点分十进制表示，用.分割)；
DPort:目标端口（手机访问网站的端口）；DDN：目标域名：
DUrl：目标URL；
FMD5:对应疑似样本的MD5（各个运营商需确保MD5的唯一性）
FSize:对应疑似样本的文件大小（单位为KB)；FName:对应疑似样本下载完整路径（url路径）：DeviceID:监测设备ID,通过该ID运营商能够定位其监测地点：
Category危害类型
接口中的消息包含一个JSON文档，其通过接口协议HTTPS的body发送。4.2.2.2接口协议
MVCC与MVCG系统数据的交互接口使用HTTPS协议（基于TCP/IP），使用POST方式提交数据，使用GET方式获取数据。接口定义遵循IETFRFC1945、IETFRFC2616、IETFRFC0959(FTP)、IETFRFC1866、IETFRFC4627。接口消息以JSON文档的格式通过HTTPS协议进行传输。接口流程
此流程完成恶意事件的重报，具体流程如下：a）MVCC下发恶意事件重报请求给MVCG；b）MVCG收到该重报请求后回复重报响应给MVCC，同时将对应的恶意事件文件重报到MVCC对：c）MVCG支持3天以上（该时间可配置），已经上报的恶意事件文件的重报。4.2.2.3接口消息
4.2.2.3.1重报请求消息
重报请求消息见表9。
表9重报请求消息
参数名称
Message
Carrier
beginFilename
endFilename
消息类型标签，固定为\report\运营商唯一标识，由中心下发
重报开始文件
重报结束文件
数据类型
String
String
String
String
是否必填
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。