# 主机漏洞利用

**路径**: 告警 > 网络攻击 > 主机漏洞利用

## 描述

监控并预警针对主机系统漏洞的网络攻击利用尝试。

## 基本信息

- **分类ID**: `network_attack_host_exploit`
- **所属主分类**: 网络攻击 (`network_attack`)
- **所属类型**: 告警

## 字段定义

本事件类型包含以下字段：

| 字段ID | 字段名称 | 数据类型 | 重要性 | 描述 |
|--------|---------|---------|--------|------|
| `vulName` | 漏洞名称 | `string` | RECOMMENDED | 漏洞的标准化描述性名称，用于唯一标识特定漏洞类型。通常遵循行业通用命名规范，如CVE编号、CNVD编号或厂商公开的漏洞公告名称。 |
| `vulOrg` | 漏洞系统研制厂商 | `string` | OPTIONAL | 该字段用于标识存在漏洞的软件或硬件产品的原始研发或生产厂商名称，例如操作系统、应用程序或硬件设备的供应商。值为字符串类型，建议使用厂商官方常用名称或简称，避免使用缩写或内部代号。 |
| `vulCode` | 漏洞编号 | `string` | OPTIONAL | 漏洞编号，指按照CNVD、CNNVD等国家标准漏洞库定义的格式进行标识的漏洞唯一标识符。格式需符合相应标准编号规范，通常为“标准前缀-年份-序列号”的结构，例如CNVD-YYYY-XXXXX或CNNVD-YYYY-XXX。 |
| `vulDescription` | 漏洞描述 | `string` | OPTIONAL | 漏洞的技术特性和潜在风险描述。该字段内容为文本字符串，应清晰、准确地阐述漏洞的成因、技术细节、可能被利用的方式以及可能造成的安全影响。 |
| `vulDetector` | 漏洞发现者 | `string` | OPTIONAL | 漏洞发现者字段记录首次发现并报告该漏洞的个人、组织或研究团队的名称。 |
| `processName` | 进程名称 | `string` | RECOMMENDED | 进程可执行文件的基本名称，不包含路径信息。 |
| `processId` | 进程ID | `string` | RECOMMENDED | 进程ID是操作系统分配给进程的唯一数字标识符，用于在操作系统中唯一标识一个正在运行的进程。该字段为字符串类型，通常由数字组成，长度和具体值取决于操作系统和进程状态。 |
| `processUserName` | 进程用户名 | `string` | RECOMMENDED | 该字段表示执行进程的操作系统用户账号。格式要求：用户名应为有效的操作系统用户标识，通常由字母、数字、下划线等字符组成。 |
| `image` | 进程路径 | `string` | RECOMMENDED | 该字段表示进程可执行文件在文件系统中的完整路径。路径格式应符合操作系统规范，通常为字符串形式，例如以斜杠（/）开头的绝对路径（Linux/Unix系统）或包含盘符和反斜杠的路径（Windows系统）。 |
| `processMd5` | 进程MD5 | `string` | RECOMMENDED | 进程可执行文件的MD5哈希值，用于唯一标识和校验文件。该值为32个字符的十六进制字符串，由数字0-9和小写字母a-f组成，格式必须符合标准的MD5摘要算法输出格式。 |
| `parentProcessName` | 父进程名称 | `string` | OPTIONAL | 该字段表示创建当前进程的父进程的可执行文件名称。此字段但应避免包含路径信息，仅保留纯名称。 |
| `parentProcessId` | 父进程ID | `string` | OPTIONAL | 父进程ID是操作系统分配给父进程的唯一数字标识符，通常为非负整数。 |
| `parentProcessUserName` | 父进程用户名 | `string` | OPTIONAL | 父进程在操作系统中的用户账号名称，用于标识启动该进程的用户身份。 |
| `parentImage` | 父进程路径 | `string` | OPTIONAL | 该字段表示父进程可执行文件在文件系统中的完整路径。其值应为符合操作系统规范的字符串格式，通常为绝对路径，例如以斜杠（/）开头的Unix/Linux路径或以盘符（如C:\）开头的Windows路径。路径中不应包含非法字符，且长度应在系统允许的范围内。示例：/usr/bin/bash 或 C:\Windows\System32\cmd.exe。 |
| `parentProcessMd5` | 父进程MD5 | `string` | OPTIONAL | 父进程可执行文件的MD5哈希值，用于唯一标识该文件。格式要求：必须是一个32位的十六进制字符串，由数字0-9及大写字母A-F组成，不包含连字符或其他分隔符。 |
| `processChain` | 进程链 | `string` | OPTIONAL | 进程链表示从系统初始化到当前进程的完整进程派生序列，用于追溯进程的创建来源。格式为由箭头符号“→”连接的进程名称与进程ID对，每个进程对格式为“进程名称(进程ID)”，例如：systemd(1) → sshd(4326) → bash(14617)。 |
| `commandLine` | 进程命令行 | `string` | RECOMMENDED | 进程命令行是启动进程时传入的完整命令行字符串，用于记录执行进程的具体命令和参数。 |
| `parentCommandLine` | 父进程命令行 | `string` | OPTIONAL | 父进程启动时传入的完整命令行字符串。 |
| `md5` | 文件MD5 | `string` | OPTIONAL | 文件MD5值，表示使用MD5算法计算的文件内容哈希值。该值必须为32位十六进制字符串，不区分大小写，用于唯一标识文件内容。 |
| `cve` | CVE编号 | `string` | OPTIONAL | 该字段表示通用漏洞披露(CVE)标准漏洞标识符，用于唯一标识一个公开的网络安全漏洞。其格式必须严格遵循“CVE-YYYY-NNNN…”模式，其中YYYY为4位数字的年份，NNNN…为漏洞在该年份中的序列号（数字位数不固定）。例如：CVE-2012-3152。 |
| `hostName` | 主机名称 | `string` | OPTIONAL | 主机在网络中的标识名称，通常用于在局域网或DNS系统中识别特定设备，例如NetBIOS名称或DNS主机名。格式要求：必须为有效的字符串，允许使用字母、数字、连字符（-）和点号（.），但不得以连字符或点号开头或结尾。 |
| `machineCode` | 机器码 | `string` | REQUIRED | 机器码是日志来源设备的唯一标识符（设备ID），主要用于设备级联追踪。该字段值应保持全局唯一性，若无现成的设备ID，可参考硬件编码或基于许可证（license）信息生成。格式上，它必须为字符串，允许使用的字符包括大写字母（A-Z）、小写字母（a-z）和数字（0-9）。长度无固定限制，但应保证其唯一性和可管理性。 |
| `productVendorName` | 产品厂商名称 | `string` | REQUIRED | 产品厂商名称字段用于标识安全产品厂商的官方全称。格式为字符串，无特定字符集限制，但应使用厂商在工商注册或官方宣传中使用的标准名称，以确保一致性和准确性。 |
| `deviceSendProductName` | 设备产品名称 | `string` | REQUIRED | 设备产品名称用于标识生成日志的软件或硬件产品的官方标准名称。格式为字符串，需使用明确、规范的官方产品名称。 |
| `deviceName` | 设备名称 | `string` | REQUIRED | 设备名称，用于标识日志生成设备的名称，可添加资产属性（如总部、下级等）。 |
| `deviceAssetSubTypeId` | 设备子类型ID | `enum` | REQUIRED | 设备子类型ID是设备类型子分类的唯一数字标识符，用于标识具体的设备子类型。该字段为枚举类型，取值应在系统定义的枚举值范围内。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `1` | Windows | Microsoft Windows操作系统 |
| `2` | Nix | 类Unix操作系统，包括Linux和BSD变种 |
| `3` | 路由器 | 网络路由设备，用于在网络之间转发数据包 |
| `4` | 交换机 | 网络交换设备，用于在局域网内连接设备并转发数据帧 |
| `5` | VPN | 虚拟专用网络设备，提供安全的远程访问和站点到站点连接 |
| `6` | 负载均衡 | 负载均衡设备，用于分发网络流量以提高性能和可靠性 |
| `7` | 防火墙 | 网络安全设备，用于控制进出网络的流量基于安全规则 |
| `8` | 网闸 | 网络隔离设备，用于在安全级别不同的网络之间进行安全数据交换 |
| `9` | 入侵检测系统(IDS) | 入侵检测系统，用于监控网络或系统活动以检测恶意行为 |
| `10` | 入侵防护系统(IPS) | 入侵防护系统，在检测到威胁时主动阻止恶意流量 |
| `11` | 统一威胁管理(UTM) | 统一威胁管理设备，集成多种安全功能如防火墙、防病毒和入侵防护 |
| `12` | 下一代防火墙 | 下一代防火墙，提供应用层检测、深度包检查和高级威胁防护 |
| `13` | Web应用防火墙(WAF) | Web应用防火墙，专门保护Web应用程序免受SQL注入、XSS等攻击 |
| `14` | 流量监测设备 | 网络流量监测设备，用于实时分析和监控网络流量模式 |
| `15` | 网页防篡改 | 网页防篡改系统，保护网站内容不被未经授权修改 |
| `16` | 抗DDoS系统 | 抗分布式拒绝服务攻击系统，缓解DDoS攻击以保护服务可用性 |
| `17` | 防病毒系统 | 防病毒系统，检测和清除恶意软件、病毒和木马 |
| `18` | 防间谍系统 | 防间谍软件系统，防止间谍软件窃取敏感信息和监控用户活动 |
| `19` | 防泄密系统 | 数据防泄密系统，监控和防止敏感数据通过各类渠道泄露 |
| `20` | 邮件审计系统 | 邮件审计系统，监控和审计电子邮件内容以符合安全策略和合规要求 |
| `21` | 身份管理系统 | 身份和访问管理系统，管理用户身份认证、授权和权限 |
| `22` | 流量清洗系统 | 流量清洗系统，过滤恶意流量以保护网络资源和业务连续性 |
| `23` | 数据库审计系统 | 数据库审计系统，监控和记录数据库访问、操作和权限变更 |
| `24` | Web审计系统 | Web审计系统，审计Web应用程序的访问、操作和安全事件 |
| `25` | 运维审计系统 | 运维审计系统，监控和记录系统运维操作，防止越权访问 |
| `26` | 上网行为审计系统 | 上网行为审计系统，监控和审计员工网络使用行为以符合安全策略 |
| `27` | 统一审计网关 | 统一审计网关，集中收集、规范化和分析各类审计日志 |
| `28` | 日志审计系统 | 日志审计系统，收集、存储、分析和告警系统安全日志 |
| `29` | 安全管理系统 | 安全管理系统，集成安全管理功能如策略管理、风险管理和事件响应 |
| `30` | 蜜罐系统 | 蜜罐系统，诱骗攻击者以收集攻击信息和分析攻击手法 |
| `31` | 应用扫描器 | 应用程序漏洞扫描器，检测Web应用和移动应用的安全漏洞 |
| `32` | 网络扫描器 | 网络漏洞扫描器，扫描网络设备、服务和端口以发现安全漏洞 |
| `33` | 主机扫描器 | 主机漏洞扫描器，扫描操作系统和应用程序漏洞及配置问题 |
| `34` | WEB服务器 | Web服务器软件，如IIS、Apache、Nginx等，托管网站和应用 |
| `35` | 数据库服务器 | 数据库服务器软件，如MySQL、Oracle、SQL Server等，存储和管理数据 |
| `36` | 邮件服务器 | 邮件服务器软件，如Exchange、Postfix等，处理电子邮件收发 |
| `37` | 存储服务器 | 存储服务器，提供数据存储、备份和共享服务 |
| `38` | FTP服务器 | FTP服务器，提供文件传输协议服务，支持文件上传下载 |
| `39` | 应用服务器 | 应用服务器，运行企业应用程序和业务逻辑，如Java EE、.NET应用 |
| `43` | Windows审计代理 | Windows系统审计代理，收集Windows事件日志和系统活动 |
| `44` | Nix审计代理 | 类Unix系统审计代理，收集Linux/Unix系统日志和审计数据 |
| `45` | WMI审计代理 | Windows管理规范审计代理，通过WMI收集系统信息和事件 |
| `51` | 采集器 | 日志采集器，从各种数据源收集和转发日志数据 |
| `52` | 通信服务器 | 通信服务器，处理网络通信、消息传递和协议转换 |
| `53` | 关联引擎 | 安全事件关联引擎，分析日志数据以检测复杂安全事件 |
| `55` | 其他 | 其他未分类的设备类型 |
| `56` | 主机安全管理系统(EDR) | 端点检测与响应系统，监控主机活动、检测威胁并响应安全事件 |
| `57` | 虚拟化设备 | 虚拟化平台设备，如VMware ESXi、Hyper-V等，运行虚拟机 |
| `58` | 网络打印机 | 网络连接的打印机设备，支持网络打印功能 |
| `59` | APT | 高级持久威胁检测系统，针对APT攻击进行监测和防护 |
| `60` | DNS服务器 | 域名系统服务器，提供域名解析服务和DNS安全防护 |
| `61` | API风险监测系统 | API风险监测系统，监控API接口的安全风险和使用异常 |
| `62` | API安全网关 | API安全网关，保护API接口免受攻击，提供认证、授权和限流 |
| `63` | 脆弱性扫描系统 | 脆弱性扫描系统，全面扫描系统、网络和应用漏洞 |
| `65` | UES | 统一端点安全系统，集成终端防护、检测和响应功能 |

| `deviceAddress` | 设备IP地址 | `string` | REQUIRED | 设备产生日志时的IP地址，用于标识日志来源设备。格式要求：必须为有效的IPv4或IPv6地址格式。 |
| `eventId` | 事件ID | `string` | REQUIRED | 事件ID是日志事件的全局唯一标识符，通常采用UUID或时间戳序列等不可重复算法生成。格式应为标准的UUID字符串，例如：550e8400-e29b-41d4-a716-446655440000。要求全局唯一，不可重复。 |
| `name` | 概要名称 | `string` | REQUIRED | 概要名称是日志或告警的简要标题或标识，用于快速识别事件内容。该字段为字符串类型，需保持简洁明了。 |
| `message` | 描述 | `string` | OPTIONAL | 用于记录日志或告警的详细描述信息，以文本字符串形式存储。内容通常包含对安全事件、系统活动或异常情况的说明、上下文及关键参数。 |
| `startTime` | 开始时间 | `string` | REQUIRED | 该字段记录事件活动开始的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。 |
| `endTime` | 结束时间 | `string` | REQUIRED | 记录事件活动结束的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。 |
| `deviceReceiptTime` | 设备接收时间 | `string` | OPTIONAL | 该字段记录设备采集器本地接收并生成日志事件的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。 |
| `collectorReceiptTime` | 采集器接收时间 | `string` | REQUIRED | 采集器接收日志事件的精确时间，时间格式必须为标准的日期时间字符串，格式要求为yyyy-mm-dd HH:mm:ss。 |
| `severity` | 安全威胁等级 | `integer` | REQUIRED | 标识日志或告警的安全威胁严重程度等级。该字段为整型数值，取值范围为0至10，每个数值对应特定的威胁级别：0表示无风险，1-3表示低危，4-6表示中危，7-9表示高危，10表示危急。 |
| `catOutcome` | 结果分类 | `enum` | REQUIRED | 该字段用于标识事件操作或攻击的最终结果状态。其值为预定义的枚举类型，当前主要可选值包括：OK（表示操作成功）、FAIL（表示操作失败）、Attempt（表示尝试性操作）。取值应严格限定在系统定义的枚举值范围内。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `OK` | 成功 | 可以合理的推测事件已成功 |
| `FAIL` | 失败 | 可以合理的推测事件已失败 |
| `Attempt` | 尝试 | 事件已发生，但是无法明确成功或失败 |

| `logType` | 日志类型 | `enum` | REQUIRED | 该字段标识日志事件的功能或对象实体分类。其值为预定义的枚举字符串，例如：alert（告警类日志）、traffic（网络通信类日志）、process（进程操作类日志）、command（命令执行类日志）、file（文件操作类日志）等。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `alert` | 告警类日志 | 安全告警事件日志，包含威胁检测、异常行为和安全风险告警 |
| `traffic` | 网络通信类日志 | 网络流量和通信会话日志，记录网络连接、数据传输和协议通信 |
| `process` | 进程操作类日志 | 进程生命周期管理日志，记录进程创建、终止、注入等操作 |
| `command` | 命令执行类日志 | 命令行和脚本执行日志，记录系统命令、PowerShell和Shell命令执行 |
| `file` | 文件操作类日志 | 文件系统操作日志，记录文件创建、修改、删除、访问等操作 |
| `account` | 账号操作类日志 | 用户账户管理日志，记录用户登录、注销、权限变更和账户管理操作 |
| `config` | 配置操作类日志 | 系统配置变更日志，记录安全策略、系统设置和配置修改操作 |
| `status` | 系统状态类日志 | 系统运行状态日志，记录系统启动、关机、重启和运行状态变更 |
| `system_operation` | 系统操作类日志 | 系统级管理操作日志，记录系统维护、管理和控制操作 |
| `system_resource` | 系统资源类日志 | 系统资源使用日志，记录CPU、内存、磁盘和网络资源使用情况 |
| `domain` | 域名操作类日志 | 域名解析和查询日志，记录DNS查询、域名解析和网络定位操作 |
| `registry` | 注册表操作类日志 | Windows注册表操作日志，记录注册表键值创建、修改和删除操作 |
| `app` | 应用程序类日志 | 应用程序运行日志，记录应用程序启动、运行、错误和业务操作 |
| `service` | 服务操作类日志 | 系统服务管理日志，记录Windows/Linux服务的创建、启动、停止和配置变更 |
| `task` | 任务操作类日志 | 计划任务和作业日志，记录定时任务创建、执行、修改和删除操作 |
| `thread` | 线程操作类日志 | 线程管理日志，记录线程创建、终止、挂起和优先级变更操作 |
| `module` | 模块操作类日志 | 程序模块管理日志，记录DLL、SO等模块的加载、卸载和内存映射 |
| `driver` | 驱动操作类日志 | 设备驱动程序日志，记录内核驱动加载、卸载和运行状态 |
| `pipe` | 管道操作类日志 | 进程间通信日志，记录命名管道创建、连接、数据传输操作 |
| `wmi` | WMI操作类日志 | Windows管理规范操作日志，记录WMI查询、事件订阅和代码执行 |
| `winrm` | WinRM操作类日志 | Windows远程管理日志，记录远程PowerShell命令执行和系统管理操作 |
| `others` | 其他类型日志 | 未分类的其他日志类型，包含无法归入上述分类的日志事件 |

| `opType` | 操作类型 | `enum` | RECOMMENDED | 操作类型，标识事件中对目标对象执行的具体操作行为。本字段为枚举类型，其值必须为预定义的操作类型字符串，例如：read（读取）、write（写入）、create（创建）、delete（删除）、modify（修改）等。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `read` | 读取 | 读取数据操作，包括文件读取、注册表查询、内存读取等 |
| `write` | 写入 | 写入数据操作，包括文件写入、注册表修改、配置变更等 |
| `create` | 创建 | 创建新对象操作，包括文件创建、进程创建、用户账户创建等 |
| `delete` | 删除 | 删除对象操作，包括文件删除、注册表项删除、用户账户删除等 |
| `modify` | 修改 | 修改对象属性操作，包括文件属性修改、权限变更、配置调整等 |
| `login` | 登录 | 身份认证成功操作，包括系统登录、应用登录、远程访问登录等 |
| `logout` | 登出 | 会话终止操作，包括用户登出、会话超时、强制注销等 |
| `execute` | 执行 | 程序执行操作，包括进程启动、命令执行、脚本运行等 |
| `start` | 启动 | 服务启动操作，包括系统服务启动、计划任务触发、守护进程启动等 |
| `stop` | 停止 | 服务停止操作，包括系统服务停止、进程终止、任务结束等 |
| `access` | 访问 | 资源访问操作，包括进程访问、内存访问、共享资源访问等 |
| `connect` | 连接 | 网络连接操作，包括网络连接建立、会话创建、远程连接等 |
| `load` | 加载 | 模块加载操作，包括驱动加载、DLL加载、插件加载等 |
| `send` | 发送 | 数据发送操作，包括网络数据发送、邮件发送、消息发送等 |
| `receive` | 接收 | 数据接收操作，包括网络数据接收、邮件接收、消息接收等 |
| `combine` | 组合操作 | 复合操作类型，表示多个操作的组合执行 |
| `others` | 其他操作 | 未分类的其他操作类型 |
| `query` | 查询 | 数据查询操作，包括数据库查询、目录查询、信息检索等 |
| `rename` | 重命名 | 对象重命名操作，包括文件重命名、账户重命名、服务重命名等 |
| `listen` | 监听 | 网络监听操作，包括端口监听、会话监听、事件监听等 |
| `setValue` | 设置键值 | 键值设置操作，包括注册表键值设置、配置参数设置、环境变量设置等 |
| `addedGroup` | 添加至组 | 组成员添加操作，包括用户添加到组、计算机加入域等 |
| `removedGroup` | 组中移除 | 组成员移除操作，包括用户从组中移除、计算机脱离域等 |
| `changePassword` | 修改密码 | 密码修改操作，包括用户密码修改、服务账户密码变更等 |
| `resetPassword` | 重置密码 | 密码重置操作，包括管理员重置用户密码、密码恢复等 |
| `disable` | 禁用 | 对象禁用操作，包括用户账户禁用、服务禁用、策略禁用等 |
| `enable` | 启用 | 对象启用操作，包括用户账户启用、服务启用、策略启用等 |
| `lock` | 锁定 | 对象锁定操作，包括用户账户锁定、会话锁定、资源锁定等 |
| `unlock` | 解锁 | 对象解锁操作，包括用户账户解锁、会话解锁、资源解锁等 |

| `XFF` | XFF头 | `string` | OPTIONAL | XFF头字段用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 |
| `srcPort` | 源端口 | `integer` | OPTIONAL | 源端口是指网络连接发起方的端口号，用于标识发起通信的应用程序或服务。端口号必须是整数，取值范围为0到65535，其中0通常保留，1到1023为知名端口，1024到49151为注册端口，49152到65535为动态或私有端口。 |
| `destPort` | 目的端口 | `integer` | OPTIONAL | 目的端口是网络连接接收方的端口号，用于标识接收方应用程序或服务。该字段为整数类型，取值范围为0-65535，其中0-1023为知名端口，1024-49151为注册端口，49152-65535为动态或私有端口。 |
| `srcMacAddress` | 源MAC地址 | `string` | OPTIONAL | 源MAC地址表示网络数据帧发送方的媒体访问控制地址。格式要求：必须为标准MAC地址格式，即6组由冒号分隔的十六进制字节（xx:xx:xx:xx:xx:xx），每组两个字符，取值范围为00-FF。 |
| `destMacAddress` | 目的MAC地址 | `string` | OPTIONAL | 目的MAC地址表示网络数据帧接收方的媒体访问控制地址。格式要求：必须为标准MAC地址格式，即6组由冒号分隔的十六进制字节（xx:xx:xx:xx:xx:xx），每组两个字符，取值范围为00-FF。 |
| `srcGeoCountry` | 来源国家 | `string` | OPTIONAL | 该字段表示网络连接发起方IP地址所对应的国家或地区信息。 |
| `srcGeoRegion` | 来源地区 | `string` | OPTIONAL | 该字段表示网络连接发起方IP地址所对应的省级行政区域名称，用于标识流量的地理来源。其值应为中国省级行政区划的名称，例如“北京市”、“浙江省”、“新疆维吾尔自治区”等，或国际公认的国家及地区名称。格式为字符串，无固定长度限制，建议使用标准、完整的官方名称以确保一致性和准确性。 |
| `srcGeoCity` | 来源城市 | `string` | OPTIONAL | 该字段表示网络连接发起方IP地址所对应的城市级别行政区域名称。其值为字符串类型，该信息通常由IP地址归属地查询服务提供，无特定的格式或字符集强制要求，但建议保持名称的一致性。 |
| `srcGeoAddress` | 来源详细地址 | `string` | OPTIONAL | 该字段表示网络连接发起方IP地址所对应的详细地址描述，用于定位来源的具体物理或行政位置。其值为字符串类型，通常包含国家、省份、城市、区县、街道及门牌号等层级信息。 |
| `srcGeoLatitude` | 来源纬度 | `string` | OPTIONAL | 该字段表示网络连接发起方IP地址所对应的地理纬度坐标，以字符串格式存储。纬度坐标应遵循十进制表示法，取值范围为-90.000000到90.000000，其中北纬为正，南纬为负。 |
| `srcGeoLongitude` | 来源经度 | `string` | OPTIONAL | 来源经度表示网络连接发起方IP地址所对应的地理经度坐标。格式为十进制浮点数字符串，取值范围为-180.000000到180.000000，保留小数点后六位，使用点号（.）作为小数点分隔符，负值表示西经，正值表示东经。 |
| `destGeoCountry` | 目的国家 | `string` | OPTIONAL | 目的国家，指网络连接接收方IP地址所对应的国家名称。该字段值为国家或地区的完整中文名称，例如“中国”、“美国”等。 |
| `destGeoRegion` | 目的地区 | `string` | OPTIONAL | 该字段表示网络连接接收方IP地址所对应的中国省级行政区域名称，用于标识网络流量的地理目的地。其值应为中国省级行政区划的规范名称，例如“浙江省”、“北京市”或“新疆维吾尔自治区”等，不包含“省”、“市”、“自治区”等后缀的简称（如“浙江”、“北京”、“新疆”）也可接受。该字段为字符串类型，无特定字符集或长度限制，但应确保名称的准确性和一致性。 |
| `destGeoCity` | 目的城市 | `string` | OPTIONAL | 目的城市是指网络连接接收方IP地址所对应的城市级别行政区域名称。该字段为字符串类型，需使用标准城市名称。 |
| `destGeoAddress` | 目的详细地址 | `string` | OPTIONAL | 目的详细地址，描述网络连接接收方IP地址所对应的详细地址信息。格式为字符串，应包含国家、省/州、城市、街道等层级的详细信息，以构成一个完整的物理位置描述。 |
| `destGeoLatitude` | 目的纬度 | `string` | OPTIONAL | 目的纬度表示网络连接接收方IP地址所对应的地理纬度坐标。该值为字符串类型，通常以十进制小数形式表示，取值范围为-90.000000到90.000000。 |
| `destGeoLongitude` | 目的经度 | `string` | OPTIONAL | 目的经度是指网络连接接收方IP地址所对应的地理经度坐标。格式为十进制小数形式的字符串，取值范围为-180.000000至180.000000。 |
| `dataSourceAddress` | 数据来源地址 | `string` | RECOMMENDED | 数据来源地址，指提供数据的设备网络地址。该字段必须是合法的IP地址格式，支持IPv4和IPv6地址。IPv4地址为点分十进制格式（如192.168.1.5），IPv6地址为冒号分隔的十六进制格式。 |
| `transProtocol` | 传输协议 | `enum` | OPTIONAL | 传输层协议类型，表示OSI模型中传输层使用的协议。可选值包括：TCP（传输控制协议）、UDP（用户数据报协议）等标准传输层协议。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `TCP` | 传输控制协议 | 面向连接的可靠传输协议，提供数据包顺序传输、错误检测和重传机制 |
| `UDP` | 用户数据报协议 | 无连接的不可靠传输协议，提供低延迟的数据传输，适用于实时应用 |

| `appProtocol` | 应用协议 | `enum` | OPTIONAL | 应用协议字段表示OSI模型中应用层使用的协议类型。该字段为枚举类型，取值范围应在预定义的协议标识符列表中。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `http` | http | http |
| `https` | https | https |
| `dns` | dns | dns |
| `ssh` | ssh | ssh |
| `telnet` | telnet | telnet |
| `telnets` | telnets | telnets |
| `rsync` | rsync | rsync |
| `tftp` | tftp | tftp |
| `ftp` | ftp | ftp |
| `sftp` | sftp | sftp |
| `smb` | smb | smb |
| `ntp` | ntp | ntp |
| `mysql` | mysql | mysql |
| `ms-sql-s` | ms-sql-s | ms-sql-s |
| `ms-sql-m` | ms-sql-m | ms-sql-m |
| `oracle` | oracle | oracle |
| `nfs` | nfs | nfs |
| `pop2` | pop2 | pop2 |
| `pop3` | pop3 | pop3 |
| `pop3s` | pop3s | pop3s |
| `smtp` | smtp | smtp |
| `imap` | imap | imap |
| `imaps` | imaps | imaps |
| `chargen` | chargen | chargen |
| `qotd` | qotd | qotd |
| `x11` | x11 | x11 |
| `uucp` | uucp | uucp |
| `rcp` | rcp | rcp |
| `postgres` | postgres | postgres |
| `bootps` | bootps | bootps |
| `bootpc` | bootpc | bootpc |
| `squid` | squid | squid |
| `ftps` | ftps | ftps |
| `ircs` | ircs | ircs |
| `echo` | echo | echo |
| `sunrpc` | sunrpc | sunrpc |
| `auth` | auth | auth |
| `tacacs` | tacacs | tacacs |
| `nntp` | nntp | nntp |
| `radius` | radius | radius |
| `netbios-ns` | netbios-ns | netbios-ns |
| `netbios-dgm` | netbios-dgm | netbios-dgm |
| `netbios-ssn` | netbios-ssn | netbios-ssn |
| `wins` | wins | wins |
| `snmp` | snmp | snmp |
| `snmptrap` | snmptrap | snmptrap |
| `bgp` | bgp | bgp |
| `irc` | irc | irc |
| `ldap` | ldap | ldap |
| `ldaps` | ldaps | ldaps |
| `timbuktu` | timbuktu | timbuktu |
| `nnsp` | nnsp | nnsp |
| `daytime` | daytime | daytime |
| `ircd` | ircd | ircd |
| `isakmp` | isakmp | isakmp |
| `printer` | printer | printer |
| `dhcpv6-client` | dhcpv6-client | dhcpv6-client |
| `dhcpv6-server` | dhcpv6-server | dhcpv6-server |
| `rtsp` | rtsp | rtsp |
| `nntps` | nntps | nntps |
| `discard` | discard | discard |
| `ipx` | ipx | ipx |
| `finger` | finger | finger |
| `rdp` | rdp | rdp |

| `dvcAction` | 设备处置动作 | `string` | OPTIONAL | 设备处置动作字段记录安全设备对检测到的威胁或异常行为采取的自动处置动作，例如阻断、放行、隔离或告警，取值应为描述处置动作的字符串。 |
| `direction` | 数据流方向 | `enum` | OPTIONAL | 基于源和目标IP地址的网络位置分类数据流方向。该字段为枚举类型，表示数据流在内外网之间的流向，具体取值及含义如下：11 表示外网访问外网；10 表示外网访问内网；01 表示内网访问外网；00 表示内网访问内网。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `11` | 外访问外 | 来源IP为外部IP，目的IP为外部IP，数据方向：外访问外 |
| `10` | 外访问内 | 来源IP为外部IP，目的IP为内部IP，数据方向：外访问内 |
| `01` | 内访问外 | 来源IP为内部IP，目的IP为外部IP，数据方向：内访问外 |
| `00` | 内访问内 | 来源IP为内部IP，目的IP为内部IP，数据方向：内访问内 |

| `deviceVersion` | 设备版本 | `string` | OPTIONAL | 设备版本标识设备固件、操作系统或嵌入式软件的完整版本信息。版本号通常采用多段数字格式，如主版本号.次版本号.修订号.构建号等。 |
| `srcAddress` | 来源IP | `string` | OPTIONAL | 来源IP地址，指网络连接或安全事件的发起方所使用的IP地址。该字段必须符合IP地址格式规范，支持IPv4和IPv6地址。IPv4地址为点分十进制格式（如：192.168.1.1），IPv6地址为冒号分隔的十六进制格式（如：2001:0db8:85a3:0000:0000:8a2e:0370:7334）。 |
| `destAddress` | 目的IP | `string` | OPTIONAL | 目的IP地址，标识网络通信连接的目标IP地址。格式要求：必须符合IP地址格式规范，支持IPv4（如192.168.1.1）或IPv6（如2001:0db8:85a3:0000:0000:8a2e:0370:7334）地址表示法。 |
| `subTechniqueId` | ATT&CK子技术ID | `string` | OPTIONAL | 该字段表示攻击行为在MITRE ATT&CK框架中对应的具体攻击子技术的唯一标识符。其格式为ATT&CK技术ID后加小数点与三位数字编号，例如 `T1566.001`。该标识符应符合MITRE ATT&CK官方规范。 |
| `techniqueName` | ATT&CK技术名称 | `string` | OPTIONAL | ATT&CK技术名称，指攻击行为在MITRE ATT&CK框架中对应的具体攻击技术的名称。该字段为字符串类型，其值应符合MITRE ATT&CK官方技术命名规范，通常为英文短语或特定术语，例如“Phishing”。 |
| `techniqueId` | ATT&CK技术ID | `string` | OPTIONAL | 该字段表示攻击行为在MITRE ATT&CK框架中对应的具体攻击技术的唯一标识符。格式为ATT&CK技术ID标准格式，通常以字母“T”开头，后接4位数字，例如：T1566。 |
| `tacticName` | ATT&CK战术名称 | `string` | OPTIONAL | 攻击行为在MITRE ATT&CK框架中对应的战术阶段名称，用于标识攻击在杀伤链中所处的阶段。此字段为字符串类型，取值应为MITRE ATT&CK框架中定义的官方战术名称，例如：Initial Access, Execution, Persistence, Privilege Escalation等。 |
| `tacticId` | ATT&CK战术ID | `string` | OPTIONAL | 攻击行为在MITRE ATT&CK框架中对应的战术阶段唯一标识符。格式必须符合ATT&CK官方定义的战术ID规范，通常以“TA”为前缀，后跟四位或五位数字，例如“TA0001”。 |
| `killChain` | 攻击链 | `enum` | OPTIONAL | 攻击链字段用于描述攻击行为在攻击生命周期中所处的具体阶段。该字段为枚举类型，其值必须为预定义的字符串常量，可选值包括但不限于：KC_Reconnaissance（侦查）、KC_Delivery（投递）、KC_Exploitation（利用）、KC_CommandControl（命令控制）、KC_InternalRecon（内部侦查）等。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `KC_Reconnaissance` | 侦查 | 网络攻击者选择目标，进行初步渗透并尝试发现信息系统版本、架构、漏洞等信息的过程。该过程可能涉及到多种方法，比如对web服务的扫描、对主机开放端口的探测等。通常该阶段的攻击有大量类似的行为，几乎都为攻击失败。 |
| `KC_Delivery` | 投递 | 遭受攻击的设备接收或感染恶意程序、钓鱼邮件及黑客工具的阶段。投递过程可以是主动的，例如终端用户主动下载互联网恶意程序或接收钓鱼邮件附件等；也可以是被动的，例如攻击者使用开放服务的接口，上传木马、后门、远控程序等。从而让攻击者成功获取到受害设备的控制权限。 |
| `KC_Exploitation` | 利用 | 网络攻击者在获取到目标的基本信息后，尝试利用目标可能存在的漏洞或缺陷进行针对性渗透攻击。利用过程可能成功，也可能失败（例如被防火墙、IPS设备、终端病毒防护程序阻断）。 |
| `KC_CommandControl` | 命令控制 | 网络攻击者利用植入的后门或恶意程序，对受害设备进行远程控制。过程中可能由攻击者发送指令，唤醒或操控受害主机上的后门，执行相关命令；也可能由受害设备上运行的程序主动发起回连请求，向黑客传递信息数据。通常该阶段的告警意味着被攻击的目标可能已经失陷。 |
| `KC_InternalRecon` | 内部侦查 | 攻击者通过某些手段登录成功进入目标网络系统(如窃取vpn账户、猜解远程控制窗口等)，并且在目标网络系统进行服务探测、信息收集的过程。该过程也可能是黑客成功获取了内部设备的权限，远程操控该设备进行。 |
| `KC_LateralMov` | 横向渗透 | 信息系统内的设备失陷，或黑客窃取了登录口令后，攻击者在内部系统进行横向移动，尝试获取更多设备权限的过程。该过程主要涉及到内对内的漏洞利用和敏感操作等攻击，通常该阶段的告警意味着被攻击的目标可能已经失陷。 |
| `KC_Profit` | 获利 | 网络攻击者成功向目标植入恶意程序后，采取具体行动来达到其目标，例如恶意加密目标主机设备上的文件、窃取和破坏数据、利用设备资源获取挖矿等，通常该阶段的告警意味着被攻击的目标可能已经失陷。 |
| `KC_Others` | 无 | 非攻击行为，如配置错误、设备故障等。 |

| `confidence` | 告警置信度 | `enum` | OPTIONAL | 告警置信度表示对威胁检测、归因或分析结果准确性的等级评估指标。该字段为枚举类型，可选值包括：Low（低置信度）、Medium（中置信度）和High（高置信度）。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `Low` | 低置信度 | 告警信息基于单一、不确定的指标，可能存在误报，需要进一步验证 |
| `Medium` | 中置信度 | 告警信息具有一定可靠性，但仍需分析确认 |
| `High` | 高置信度 | 告警信息误报率极低，可信度很高 |

| `ruleId` | 规则ID | `string` | OPTIONAL | 规则ID是触发策略的安全规则唯一标识符。其值应为字符串类型，通常由字母、数字或特定符号组成，用于在系统中唯一标识一条安全规则。 |
| `ruleType` | 规则类型 | `enum` | REQUIRED | 规则类型标识安全设备（如防火墙、IDS、IPS、EDR等）产生告警时对应的安全检测规则类型，反映设备内置规则库对特定攻击模式或异常行为的分类。该字段为枚举类型，其值是一个表示威胁类别的层级路径字符串，格式通常为“/一级分类/二级分类”。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `/AccountRisk/BruteForce` | 账号暴力破解 | 攻击者采用枚举方法系统地尝试用户名和密码组合进行登录尝试。攻击目标：用户账户。此类攻击的受害者必须是内部网络目标。常见的暴力破解和弱密码枚举尝试属于此类别。从内部网络发起的针对外部网络的暴力破解攻击归类为：主机异常/主机外部攻击。 |
| `/AccountRisk/Others` | 账号其他风险 | 其他账户异常事件的告警 |
| `/AccountRisk/SuspAccount` | 可疑账户 | 可疑账户指可能被用于掩盖攻击者活动、实现持久访问或执行未授权操作的账户。包括：后门账户、隐藏账户、影子账户等。 |
| `/AccountRisk/SuspBehavior` | 账号可疑行为 | 账户异常行为的告警。常见场景包括：垃圾邮件发送 - 账户发送垃圾邮件（内网 -> SMTP服务器）。数据窃取 - 下载大量敏感文件（内网 -> 内网）。可疑访问 - 尝试登录关键服务器（内网 -> 内网）。攻击者未知，受害者：涉事账户。 |
| `/AccountRisk/SuspLogin` | 账号可疑登录 | 此类主要包括异常行为审计，如：异常登录地点、异常登录时间、可疑登录账户和异常登录结果。告警的源地址不区分内外网，而目标地址为内部网络。默认情况下，从内部网络到外部网络的异常登录尝试不会触发告警。如果发生相关告警，应归类为：主机异常/其他。 |
| `/AccountRisk/SuspModify` | 账号可疑修改 | 记录异常账户变更行为，如频繁权限修改和频繁密码更改。告警目标地址为内部网络。 |
| `/AgentSec/ConfigurationManipulation` | 配置操纵滥用 | 攻击者篡改配置文件、偏好设置或加载机制，以持久操控AI系统行为或植入后门。 |
| `/AgentSec/IdentitySession` | 身份会话滥用 | 攻击者利用认证、令牌管理和会话机制中的漏洞提升权限、冒充身份或越权访问数据。 |
| `/AgentSec/ToolInvocation` | 工具调用滥用 | 攻击者在工具调用过程中操纵输入参数和数据传递，以执行恶意命令或访问敏感数据。 |
| `/AgentSec/ToolRegistration` | 工具注册滥用 | 攻击者通过污染工具描述、模式定义或标识符，利用工具注册机制中的漏洞操控AI系统行为。 |
| `/AgentSec/UpdateMechanism` | 更新机制滥用 | 攻击者利用工具更新机制的信任模型和自动化特性推送恶意更新，以实现持久控制或突发攻击。 |
| `/Audit/ConfigChange` | 配置变更审计 | 对配置修改行为的审计，包括：修改防火墙配置、修改路由表、修改DNS服务器地址、修改服务器配置参数等。审计类型，默认级别为低。不涉及攻击者或受害者。 |
| `/Audit/Exfiltration` | 数据外泄审计 | 监测内网主机对外传输或发送数据的行为，例如：1. 上传文件至外部FTP服务器；2. 发送大邮件附件至外部邮箱；3. 同步文件至云存储；4. 向外部HTTP服务器提交数据等。审计数据传输行为而非内容本身。 |
| `/Audit/IllegalAccess` | 非法访问审计 | 内网主机访问禁止访问的网站。包括：1. 涉及恶意扣费、隐私窃取、赌博、暴力、色情或分裂活动的内容。具体规定参见：http://report.12377.cn:13225/mainNotice.html；2. 违反公司政策的内容，如游戏网站、招聘网站或电商平台。不涉及攻击者或受害者。 |
| `/Audit/IllegalOp` | 非法操作审计 | 包括内网中各类未授权操作的告警，例如：1. 未知设备接入网络、非安全计算机处理涉密文件等；2. 绕过堡垒机访问生产环境；3. 其他违反法律法规和公司政策的操作。不涉及攻击者或受害者。 |
| `/Audit/IllegalSoft` | 非法软件审计 | 内网主机存在涉及不合规应用的进程或通信流量。包括：1. 违反国家规定的应用：涉及恶意扣费、隐私窃取、赌博、色情或破坏国家统一的内容。具体规定参见：http://report.12377.cn:13225/mainNotice.html；2. 违反组织或公司政策的应用，如禁止的游戏、即时通讯软件或股票交易应用。审计类型，默认严重级别为低。不涉及攻击者或受害者。 |
| `/Audit/OpAudit` | 操作审计 | 包括需审计日志记录的操作，如敏感操作（如权限修改、批量数据查询）和高危操作（如数据删除、系统文件修改或删除、日志清除）。审计类型默认设置为低级别。不涉及攻击者或受害者。 |
| `/Audit/Others` | 其他审计 | 其他行为审计事件的告警 |
| `/ConfigRisk/ClearTextCredit` | 明文凭据传输风险 | 敏感信息在数据传输过程中未经加密传输。敏感信息包括密码、加密密钥、证书、会话标识符、私有数据（如消息内容）、授权凭证、个人数据，以及程序文件、配置文件、日志文件、备份文件等。风险资产位于内网（目的地址）。 |
| `/ConfigRisk/Database` | 数据库配置风险 | 数据库配置不当可能导致数据泄露、服务器被攻陷等危害。风险资产位于内网（目的地址）。 |
| `/ConfigRisk/DeviceConf` | 设备配置风险 | 设备缺乏适当的安全配置，可能导致数据泄露、服务器被入侵等危害。风险资产位于内部网络（目标地址）。 |
| `/ConfigRisk/Exploit` | 漏洞利用风险 | 服务器未及时进行补丁更新或安全配置，导致存在漏洞被利用的风险。 |
| `/ConfigRisk/HTTPServer` | HTTP服务器配置风险 | HTTP服务器启用了PUT、DELETE、OPTIONS和TRACE等非常用方法，可能导致服务器信息泄露和内容篡改。风险资产位于内部网络（目标地址）。 |
| `/ConfigRisk/MidWare` | 中间件配置风险 | 中间件缺乏安全配置，可能导致数据泄露、服务器被入侵等危害。风险资产位于内部网络（目标地址）。 |
| `/ConfigRisk/Others` | 其他配置风险 | 其他配置风险事件告警。 |
| `/ConfigRisk/Service` | 服务配置风险 | SSH、FTP等网络服务存在不安全配置，包括连接IP和方法不受限制、未设置最大登录尝试次数等。风险资产位于内部网络（目标地址）。 |
| `/ConfigRisk/WeakPassword` | 弱密码配置风险 | 审计成功登录的弱密码事件；容易被攻击者猜测或暴力破解工具破解的密码被视为弱密码，如'123'、'abc'等。该账号/系统存在弱密码漏洞风险。受影响资产位于内部网络（目标地址）。 |
| `/Credential/Forgery` | 凭证伪造 | 攻击者创建或修改凭证（如用户名和密码、数字证书、令牌等），在未经合法用户授权的情况下获取对系统或网络资源的未授权访问权限。 |
| `/Credential/Others` | 其他凭证攻击 | 其他凭证攻击告警。 |
| `/Credential/PTH` | 哈希传递攻击 | 攻击者通过获取用户的NTLM或LM哈希值（无需明文密码），访问Windows网络中的其他机器。该方法利用了Windows域环境中的哈希传递机制，使攻击者无需用户实际密码即可访问受保护资源。 |
| `/Credential/PTK` | 凭据PTK攻击 | 攻击者获取用户的加密密钥，并利用该密钥加密发送至系统的数据，借此访问受限资源并执行敏感操作。 |
| `/Credential/PTT` | 票据传递攻击 | 攻击者获取或窃取Kerberos系统中用于身份验证的票据，随后利用这些票据代表合法用户访问网络资源。 |
| `/Credential/Steal` | 凭据窃取 | 攻击者通过多种手段（如键盘记录、钓鱼攻击、社会工程等）获取用户登录凭据，随后利用这些凭据访问系统。 |
| `/Credential/TokenHijacking` | 令牌劫持 | 攻击者拦截或复制用于身份验证的网络令牌（如OAuth令牌、JWT令牌等），随后利用这些令牌冒充合法用户执行操作。 |
| `/DDOS/DDOS` | 分布式拒绝服务攻击 | 从外部网络发起的DDoS攻击，针对服务器或应用程序。包括：流量型DDoS、应用层DDoS等。主要攻击特征：流量异常激增、带宽饱和；接收来自不同来源的大量SYN包、UDP包等；存在反射型DDoS特征——源端口对应常见反射服务如NTP、DNS、SSDP、Memcached等。主要影响：网络瘫痪、服务中断及业务运营停摆。 |
| `/DataLeakage/DataReconstruction` | 数据重构攻击 | 基于对聚合数据的访问权限，通过逆向工程手段获取个人用户记录或敏感基础设施记录的私有信息的攻击行为。 |
| `/DataLeakage/Membership` | 成员推断攻击 | 旨在判定特定记录是否包含在用于统计操作的数据集或机器学习模型训练数据中的攻击行为。 |
| `/DataLeakage/ModelTheft` | 模型窃取 | 恶意行为者未经授权访问或复制LLM模型，可能涉及对模型架构的逆向工程或专有算法与参数的提取，导致知识产权盗窃或未经授权的副本传播。 |
| `/DataLeakage/Property` | 属性推断攻击 | 旨在从训练数据集中提取全局信息（如部分训练样本是否包含某些敏感属性）的攻击行为。 |
| `/DataLeakage/Sensitive` | 敏感信息泄露 | 涉及PII个人身份信息、财务数据、PHI医疗健康信息或企业机密等敏感信息的泄露事件。 |
| `/DataLeakage/SystemPrompt` | 系统提示提取 | 专门提取系统指令和提示信息。 |
| `/DataLeakage/TrainingData` | 训练数据提取 | 通过成员推理或模型逆向工程等方法提取训练数据。 |
| `/DataMisuse/Abroad` | 跨境数据传输 | 从海外地址访问国内数据，或主动将数据从国内地址传输至海外目的地。 |
| `/DataMisuse/GovAudit` | 政府审计数据滥用 | 针对医疗行业特定系统，组织实体未经许可获取特定数据的行为。 |
| `/DataMisuse/IllegalDataCollect` | 非法数据收集 | 违反个人信息监管政策或标准的风险警示，表明可能存在非法或不合规的个人信息收集行为。 |
| `/DataMisuse/IllegalDataUse` | 非法数据使用 | 违反法律法规或其他相关规定，非法或不当执行数据处理操作。 |
| `/DataMisuse/Others` | 其他数据滥用行为 | 其他数据滥用行为。 |
| `/DataMisuse/OutDomain` | 跨域数据流动 | 数据从内部可信域流向外部不可信域。 |
| `/DataSteal/APICrawling` | API数据爬取 | 当主体实体在单位时间内API访问次数超过阈值，且返回的指定类型数据结果去重计数超过一定阈值时触发。 |
| `/DataSteal/DataDrip` | 数据渗出 | 在较长时间内小批量检索指定类型数据，总数据量达到一定阈值。 |
| `/DataSteal/DatabaseConnect` | 数据库连接窃取 | 数据库连接窃取指攻击者获取数据库连接凭证以未经授权访问数据库的恶意行为，从而窃取敏感数据或执行未授权操作。 |
| `/DataSteal/DatabaseDump` | 数据库转储窃取 | 通过数据库运维工具下载数据库文件，将数据从一个数据库迁移或复制到另一个数据库的行为。 |
| `/DataSteal/Others` | 其他数据窃取 | 其他数据外泄活动。 |
| `/DataSteal/UnauthorizedAccess` | 未授权访问 | 未授权访问指攻击者在未经适当授权的情况下非法访问系统或数据的行为，通常意图窃取或破坏数据。 |
| `/DataTampering/FileTampering` | 文件篡改 | 文件篡改指攻击者未经授权修改、删除或破坏文件内容的行为。此类攻击可能导致数据损坏、信息泄露或系统不稳定。 |
| `/DataTampering/HiddenLinkInjection` | 暗链注入 | 暗链注入指攻击者将恶意链接隐蔽插入网站页面的行为。这些链接通常对用户不可见，但会被搜索引擎爬虫索引，从而影响搜索结果、提升恶意网站排名或引导流量至恶意网站。暗链注入是一种数据篡改攻击，旨在利用网站可信度和流量为攻击者牟利，同时可能对被感染网站的搜索引擎优化（SEO）产生负面影响。 |
| `/DataTampering/Others` | 其他数据篡改告警 | 其他数据篡改类告警。 |
| `/DataTampering/WebsiteDefacement` | 网站篡改 | 网站篡改指攻击者未经授权修改或破坏网站内容的行为。通常涉及更改网站文本、图像或其他媒体内容以传播虚假信息、展示恶意消息、推广特定观点或品牌，甚至羞辱和损害网站声誉。网站篡改是常见的数据篡改攻击，旨在通过修改网页内容实现特定恶意目的。 |
| `/DevOps/DatabaseError` | 数据库故障 | 数据库故障可分为以下类型，受影响的风险资产为内网环境（目的地址）：1. 事务内部故障 2. 系统故障 3. 介质故障 4. 计算机病毒故障。 |
| `/DevOps/DeviceError` | 设备故障 | 设备故障可分为以下类型，受影响的风险资产为内网环境（目的地址）：设备在其生命周期内因磨损或操作使用暂时丧失规定功能。1. 突发性故障：突然发生的故障。发生时间随机且难以预测，导致设备功能完全丧失。2. 渐发性故障：因设备性能逐渐劣化引发的故障。进展缓慢且规律可循，导致功能部分丧失。 |
| `/DevOps/HostError` | 主机故障 | 主机故障可分为以下类型，受影响的风险资产为内网环境（目的地址）：检测到的由各种原因导致的主机故障包括：1. 系统硬件问题，主要由SCSI卡、主板、RAID卡、HBA卡、网卡和硬盘等硬件设备引起。此类情况下需查明具体硬件故障细节并通过更换硬件解决。2. 外围硬件问题，主要由网络问题引起。此时应重点排查主机网络设备和网络参数。3. 主机软件问题，主要由系统内核漏洞、应用软件缺陷或驱动程序错误导致。解决方法包括升级内核、修复程序缺陷或更新驱动。4. 主机系统配置问题，主要由系统参数设置不当引起。可通过恢复系统默认设置或关闭防火墙解决。 |
| `/DevOps/Others` | 运维其他事件 | 其他运维监控事件，风险资产为内网（目的地址）。 |
| `/DevOps/WebError` | Web应用故障 | Web应用故障可分为以下类型，受影响风险资产位于内网环境（目的地址）：1. 因流量突增导致服务器负载过高引发的故障。2. 程序源代码运行时错误或代码逻辑缺陷导致的故障。3. 服务超时导致运行异常引发的故障。 |
| `/Exploit/DOS` | 拒绝服务漏洞利用 | 拒绝服务(DoS)漏洞攻击指外部发起的针对系统服务、应用服务或终端软件的攻击，可导致系统崩溃、服务中断或应用故障。 |
| `/Exploit/DeviceVul` | 设备漏洞利用 | 从外网发起的针对特定设备的漏洞攻击行为，包括：网络设备漏洞、安全设备漏洞、物联网设备漏洞、专用设备漏洞等。 |
| `/Exploit/Others` | 漏洞利用其他事件 | 从外网发起的其他类型漏洞利用攻击事件。 |
| `/Exploit/RemoteService` | 远程服务漏洞利用 | 针对网络远程服务（如远程桌面、数据库、文件共享等）的漏洞扫描和攻击尝试，旨在利用服务弱点获取目标系统控制权。 |
| `/Exploit/Shellcode` | Shellcode利用 | 检测到特定shellcode通信的数据包特征或识别出包含shellcode签名的恶意文件。常见场景包括：反向shell载荷传输（内->外通信）；包含载荷的恶意文件（通过邮件外->内或下载链接内->外）等。 |
| `/Exploit/SoftVul` | 软件漏洞利用 | 从外网发起的针对常见第三方软件（如浏览器、Office程序、Adobe应用）或服务器中间件（如Redis、Apache、Nginx）的漏洞攻击。 |
| `/Exploit/SystemVul` | 系统漏洞利用 | 从外网发起的针对Linux、Windows等操作系统内核漏洞或原生应用漏洞的攻击。 |
| `/IllegalData/CommercialViolations` | 商业违规 | 违反商业法律法规的内容。 |
| `/IllegalData/DiscriminatoryContent` | 歧视性内容 | 对个人或群体表现出歧视、偏见或仇恨的内容。 |
| `/IllegalData/InadequateSecurityRequirements` | 安全要求不足 | 在高安全服务类型中使用的生成式AI可能产生不准确或不可靠的内容。 |
| `/IllegalData/RightsInfringement` | 权利侵犯 | 侵犯他人合法权益的内容，包括隐私侵犯、诽谤和声誉损害。 |
| `/IllegalData/ViolatingSocialistCoreValues` | 违反社会主义核心价值观 | 与社会主义核心价值观相矛盾或削弱的内容。 |
| `/InherentModelRisk/BehavioralConsistency` | 行为一致性缺陷 | 模型表现出不稳定、不一致的行为或无法可靠遵循指令，显示出失调迹象。 |
| `/InherentModelRisk/KnowledgeDefects` | 知识缺陷 | 模型知识的准确性、时效性或安全性不足，包括过时信息或敏感训练数据的记忆。 |
| `/InherentModelRisk/ReasoningLogic` | 推理逻辑缺陷 | 模型缺乏可靠的逻辑推理和因果推断能力，经常产生'幻觉'或荒谬结论。 |
| `/InherentModelRisk/Robustness` | 鲁棒性缺陷 | 由于深度神经网络的非线性和大规模特性，AI系统易受复杂操作环境或恶意干扰影响，导致性能下降或决策错误。 |
| `/InherentModelRisk/SocietalEthical` | 社会伦理缺陷 | 模型输出或行为包含偏见、歧视、有害内容或与人类价值观和伦理标准不符。 |
| `/InherentModelRisk/UnsafeDesign` | 工具设计不安全 | 由于设计和/或实现不安全导致的LLM连接工具被利用，可能因意外、模糊或被操控的输出引发破坏性操作。 |
| `/MITM/BGPHijackingAttack` | BGP劫持攻击 | 通过恶意宣告BGP路由来操纵互联网路径，实现误导拦截流量或篡改数据等目的。常见攻击手段包括广播虚假前缀宣告，使被攻陷路由器进一步污染其他路由器的路由信息，甚至可能传播至骨干网。 |
| `/MITM/Others` | 中间人攻击其他类型 | 其他形式的中间人攻击 |
| `/MITM/TrafficHijacking` | 流量劫持 | 攻击者非法截获并操纵网络流量，以获取敏感信息或控制网络资源。 |
| `/MITM/WLANHijacking` | 无线局域网劫持 | 利用应用缺陷、协议漏洞及配置错误等安全隐患劫持WiFi流量的网络行为。例如劫持后可展示低俗广告和非法内容，或导致WiFi覆盖范围内大面积断网。 |
| `/Malware/Backdoor` | 后门程序 | 在内网主机通信流量中检测到疑似后门程序通信特征。 |
| `/Malware/Bot` | 僵尸病毒 | 在内网主机上检测到与僵尸病毒相关的恶意文件、进程或通信。 |
| `/Malware/BrowserHijacker` | 浏览器劫持 | 内网主机存在浏览器劫持行为，通常用于篡改用户浏览器设置（如搜索页和主页），以实现定向广告投放或恶意流量重定向。 |
| `/Malware/CheatProgram` | 作弊程序 | 内网主机正在运行作弊程序。这类工具虽为游戏或其他软件设计，但可能被恶意利用以获取敏感信息或控制系统。 |
| `/Malware/Downloader` | 木马下载器 | 内网主机感染木马下载器，此类恶意软件会在受控系统下载并安装其他恶意程序。 |
| `/Malware/Exploit` | 恶意利用工具 | 内部网络主机包含恶意利用工具。这些是专门设计用于利用已知系统或软件漏洞执行未授权操作的工具。 |
| `/Malware/Fileless` | 无文件恶意软件 | 内部网络主机包含无文件恶意软件。 |
| `/Malware/HackTool` | 黑客工具 | 内部网络主机包含黑客工具。这些是黑客用于渗透系统、窃取信息或执行其他恶意活动的工具。 |
| `/Malware/Keylogger` | 键盘记录器 | 内部网络主机感染了键盘记录器。这是一种专门设计用于记录用户击键的恶意软件，用于窃取密码和其他敏感信息。 |
| `/Malware/MacroVirus` | 宏病毒 | 内部网络主机感染了宏病毒。这类病毒通过利用文档编辑软件中的宏功能（如Microsoft Office中的VBA宏）进行传播。 |
| `/Malware/MaliciousAdware` | 恶意广告软件 | 恶意广告是指通过在线广告平台发布的恶意内容，意图欺骗或诱骗用户。这些广告可能将用户重定向到恶意网站、下载恶意软件或泄露个人敏感信息。 |
| `/Malware/MaliciousMail` | 恶意邮件 | 内部网络主机在收到的邮件中检测到恶意程序。这些程序具有恶意软件的特征，或在执行时可能下载并执行病毒、安装后门等。 |
| `/Malware/MaliciousScript` | 恶意脚本 | 内部网络主机运行具有恶意行为特征的脚本，例如启用PowerShell或修改注册表项。 |
| `/Malware/Miner` | 挖矿恶意软件 | 内部网络主机包含恶意挖矿文件、进程或挖矿通信。例如：1. 内部网络查询矿池域名（受害者：内部源地址，无攻击者）。2. 内部网络与矿池通信（内部 -> 外部，受害者源地址，无攻击者）。3. 终端检测到挖矿程序（资产IP为受害者，无攻击者）。4. 挖矿恶意软件回连C2（内部 -> 外部，外部目标地址为攻击者，罕见情况）。 |
| `/Malware/Others` | 其他恶意软件 | 其他恶意软件告警。 |
| `/Malware/PUP` | 恶意PUP程序 | 内网主机检测到流氓软件、广告软件、灰产软件或可疑程序的通信行为。例如：1. 流氓软件外泄机器信息；2. 广告软件回连C2服务器；3. 其他可疑软件通信模式。通常用于检测内到外的流量。 |
| `/Malware/PenetrationTool` | 渗透工具 | 内网主机存在被恶意利用的渗透工具。这些工具本用于安全测试或渗透测试目的，但可能被非法用于攻击系统。 |
| `/Malware/Prank` | 恶作剧程序 | 内网主机存在恶作剧程序。此类程序不会对系统造成严重损害，但可能执行如更改桌面背景或播放声音等恶作剧行为。 |
| `/Malware/Ransomware` | 勒索软件 | 内网主机感染勒索软件。包括：1. 勒索软件通信（内→外）；2. 勒索软件域名查询（无攻击者参与）；3. 终端检测到勒索软件（资产IP为受害者，无攻击者参与）；4. 检测到其他勒索软件行为特征（如传播、访问Tor网络等）。 |
| `/Malware/RootkitBootkit` | Rootkit/Bootkit病毒 | Rootkit和Bootkit均为旨在隐藏系统内恶意活动痕迹的恶意软件，使其难以检测和清除。Rootkit通常嵌入操作系统内核或系统文件以隐藏恶意进程、文件和注册表项；Bootkit则通过侵入系统启动过程，在系统启动时加载并执行恶意代码。 |
| `/Malware/Spyware` | 间谍软件 | 内网主机流量中检测到间谍软件的通信特征。 |
| `/Malware/Trojan` | 木马程序 | 检测到内网主机的木马通信活动。 |
| `/Malware/TrojanDropper` | 木马释放器 | 内网主机存在木马释放器。此类程序本身不含恶意代码，但其用途是释放并激活其他木马程序。 |
| `/Malware/VirTool` | 代码混淆工具 | 内网主机存在代码混淆工具。该工具用于混淆软件代码，使其难以理解和逆向工程，通常被用来隐藏恶意软件的真实意图。 |
| `/Malware/Virus` | 传染性病毒 | 内网主机感染具有传染性的病毒。该病毒可感染可执行文件、文档文件等，使每个被感染文件均包含病毒代码。 |
| `/Malware/VirusGenerator` | 病毒生成器 | 内网主机存在病毒生成器。该工具用于生成或创建新病毒，可能包含生成自定义病毒代码的功能。 |
| `/Malware/Webshell` | 网页后门 | 内网主机存在网页后门文件。文件内容具有网页后门特征，或访问该文件可能导致执行系统命令、查看文件内容等操作。需区别于网络攻击/网页后门请求，若后门扫描探测或请求尝试来自外网，则应归类为网络攻击/网页后门请求。 |
| `/Malware/Worm` | 网络蠕虫 | 检测到内网主机的网络蠕虫通信活动。 |
| `/Others/Others` | 其他威胁类型 | 非攻击行为、业务相关异常活动等。通常风险较低且难以定性。 |
| `/Phishing/EmailPhishing` | 钓鱼邮件 | 通过伪装成合法来源发送邮件，诱导收件人点击恶意链接或提供个人信息，以窃取敏感数据或实施恶意攻击。 |
| `/Phishing/Others` | 其他钓鱼攻击 | 包括但不限于邮件钓鱼、社交媒体钓鱼、网站钓鱼等通过各类通信渠道实施的钓鱼攻击。 |
| `/Phishing/SocialMediaPhishing` | 社交媒体钓鱼 | 通过社交媒体平台冒充可信个人或组织发送链接或文件，诱骗用户执行操作的钓鱼攻击。 |
| `/Phishing/WebPhishing` | 网页钓鱼 | 创建模仿合法网站外观的欺骗性网页，诱骗用户输入登录凭证或信用卡信息等个人信息。 |
| `/PromptInjection/Direct` | 直接提示注入 | 直接向模型发送覆盖指令的行为。 |
| `/PromptInjection/Indirect` | 间接提示注入 | 通过污染模型检索的外部数据源（如网页、文档）实现的注入攻击。 |
| `/Scan/HostScan` | 主机扫描 | 外部网络发起的针对IP段内服务器可用性的探测行为；通过ping或TCP连接尝试等方法确认目标IP是否在线并响应。攻击目标：服务器。 |
| `/Scan/NetworkScan` | 网络扫描 | 网络扫描是指扫描网络上所有设备和系统的过程，以获取网络拓扑、设备状态和开放端口等信息。常用于安全审计、资产管理和漏洞检测，以识别潜在安全风险并优化网络配置。 |
| `/Scan/Others` | 其他扫描 | 外部网络发起的其他类型的探测和扫描攻击事件。 |
| `/Scan/PortScan` | 端口扫描 | 外部网络发起的针对服务器开放端口的扫描行为，表现出自动化行为特征。攻击目标：服务器。 |
| `/Scan/Scanner` | 扫描器指纹 | 在外部网络扫描过程中检测到特定扫描器的指纹特征。攻击目标：服务器。 |
| `/Scan/ServScan` | 服务扫描 | 外部网络发起的针对服务器开放服务的扫描行为。包括批量探测常见服务端口可用性，以及发送特定数据包检测服务端程序版本信息。攻击目标：服务器。 |
| `/Scan/SystemScan` | 系统扫描 | 系统扫描是指对计算机系统进行全面检查和分析的过程，以检测漏洞、恶意软件、配置错误和其他潜在安全问题。通过系统扫描，可以识别并修复安全风险，确保系统的稳定性和安全性。 |
| `/Scan/VulScan` | 漏洞扫描 | 外部网络发起的针对非Web应用的漏洞扫描，包括配置错误、系统漏洞和应用漏洞，表现出自动化行为特征。攻击目标：服务器。 |
| `/Scan/WebScan` | Web扫描 | 外部网络发起的针对Web应用漏洞的扫描活动，包括敏感目录扫描、网站后门检测、爬虫扫描、SQL注入以及其他各种Web应用漏洞扫描，表现出自动化行为特征。攻击目标：Web业务系统。 |
| `/SupplyChain/Artifacts` | 第三方插件风险 | 由存在漏洞或被恶意篡改的第三方库、框架、插件或扩展引入的安全威胁。 |
| `/SupplyChain/Hardware` | 硬件平台风险 | 攻击者通过篡改、伪造或利用硬件设备和固件中的漏洞，破坏构建或运行在硬件上的AI系统的安全性。 |
| `/SupplyChain/Infrastructure` | 基础设施入侵 | 针对支持AI开发和部署管道的基础设施（如云服务器、Kubernetes集群）的攻击。攻击者可能利用漏洞进行未经授权的访问，导致系统/网络被入侵或模型完整性被破坏。 |
| `/SupplyChain/PoisonBackdoor` | 后门投毒 | 需要在被投毒样本和测试样本之间创建后门模式，要求同时控制训练和测试数据。 |
| `/SupplyChain/PoisonData` | 数据投毒 | 操纵训练数据以破坏模型完整性。被污染的数据可能导致结果失真、输出偏颇、后门触发或用户信任丧失。 |
| `/SupplyChain/PoisonModel` | 模型投毒 | 在模型部署前篡改或注入恶意代码。 |
| `/SupplyChain/PoisonTarget` | 定向投毒 | 一种改变特定目标样本预测结果的攻击。控制训练标签的攻击者可通过标签翻转实现此目的。 |
| `/SupplyChain/Software` | 软件开发工具风险 | 攻击者通过污染或利用AI项目开发的软件工具链依赖项，植入后门或漏洞。 |
| `/SupplyChain/VectorEmbedding` | 向量与嵌入漏洞 | 使用LLM的RAG系统中存在的重大安全风险。向量/嵌入生成、存储或检索中的弱点可能导致恶意内容注入、输出操纵或敏感数据访问。 |
| `/SuspEndpoint/Attack` | 可疑端点攻击 | 内部网络主机发起针对外部网络的漏洞利用、暴力破解、基于Web的攻击等行为。 |
| `/SuspEndpoint/CommandAndControl` | 可疑端点命令与控制 | 命令与控制（C2）指攻击者远程发出指令并管理被入侵设备的行为，通常用于协调数据窃取、网络攻击或恶意软件传播等恶意活动。 |
| `/SuspEndpoint/DefenseEvasion` | 可疑终端防御规避 | 内网主机发现尝试通过卸载/禁用安全软件、混淆/加密数据和脚本，或滥用可信进程来隐藏和伪装其恶意软件，以绕过检测的行为。 |
| `/SuspEndpoint/ExternalScan` | 可疑终端外部扫描 | 由内网主机发起的一类针对外网的扫描行为，其目标为外部网络。 |
| `/SuspEndpoint/FileTempering` | 敏感文件篡改 | 内网主机文件遭到篡改。敏感主机文件包括：应用安全配置文件、防火墙配置、网络服务配置等。篡改易导致安全防护失效、权限提升等危害。 |
| `/SuspEndpoint/FilelessAttack` | 可疑终端无文件攻击 | 在内网主机发现系统上未创建文件，但执行了代码或修改了系统设置。这可能表明存在无文件攻击，攻击者直接在内存中执行恶意代码。 |
| `/SuspEndpoint/ImageLoaded` | 可疑终端镜像加载 | 记录特定进程中加载的模块，包括加载进程、哈希值和签名信息。 |
| `/SuspEndpoint/InformationGathering` | 可疑终端信息收集 | 内网主机检测到异常的本地信息收集行为。这可能表明攻击者正在收集本地系统信息，如用户列表和系统配置。 |
| `/SuspEndpoint/OpAbnormaly` | 可疑终端操作异常 | 内网主机的异常操作，如日志删除、授予root权限等。 |
| `/SuspEndpoint/Others` | 可疑终端其他异常行为 | 内网主机的其他异常行为。 |
| `/SuspEndpoint/Persistence` | 可疑终端持久化 | 内网主机发现的持久化机制，如服务创建、注册表修改和文件系统变更，可能被用于确保攻击者在系统上的长期存在。 |
| `/SuspEndpoint/PrivilegeEscalation` | 可疑终端权限提升 | 内网主机检测到用户账户尝试或成功提升权限，这可能表明攻击者正试图获取更高的系统访问权限以进行更广泛的攻击。 |
| `/SuspEndpoint/ProcessInjection` | 可疑进程注入 | 内网主机检测到异常进程注入告警。恶意代码被注入到进程中，导致其与合法进程共享地址空间。 |
| `/SuspEndpoint/RemoteExec` | 可疑远程执行 | 内网主机发现系统检测到尝试使用远程执行工具或恶意利用远程服务执行未授权命令或脚本的行为。 |
| `/SuspEndpoint/RemoteService` | 可疑远程服务利用 | 检测到内网主机上运行未知远程服务，该服务可能包含已知漏洞，攻击者可利用其执行远程代码。 |
| `/SuspEndpoint/ReverseShell` | 疑似反向Shell | 内网主机发现系统检测到内部进程与外部IP的异常通信，可能表明攻击者通过反向Shell技术远程控制受控主机。 |
| `/SuspEndpoint/SuspCommand` | 可疑命令 | 内网主机检测到可疑命令告警。包括：1. 用户执行未授权或异常命令；2. 短时间内频繁执行特定命令，可能表明存在自动化攻击。 |
| `/SuspEndpoint/SuspConnection` | 可疑连接 | 网络连接事件记录主机上的TCP/UDP连接，如攻击者扫描、恶意程序外联、隧道建立、横向移动及反向Shell连接等。 |
| `/SuspEndpoint/SuspDriver` | 可疑驱动 | 内网主机加载未知或未签名驱动程序文件。 |
| `/SuspEndpoint/SuspFile` | 可疑文件 | 在内网主机上检测到可疑文件。 |
| `/SuspEndpoint/SuspOpenPort` | 可疑开放端口 | 内网主机上开放了非常见端口。 |
| `/SuspEndpoint/SuspPipeEvents` | 可疑管道事件 | 创建命名管道时生成，恶意软件常利用命名管道进行进程间通信。 |
| `/SuspEndpoint/SuspProcess` | 可疑进程 | 检测到内网主机存在可疑进程行为，包括：1.异常进程名、异常进程创建关系、异常进程命令行参数等；2.其他异常进程行为，如权限异常、状态异常、启动方式或频率异常等。 |
| `/SuspEndpoint/SuspProcessAccess` | 可疑进程访问 | 当进程打开另一个进程时，报告进程访问事件。此操作通常涉及对目标进程地址空间的信息查询或读写操作。可检测读取进程内存内容的黑客工具（如Lsass.exe）以窃取凭证进行哈希传递攻击。 |
| `/SuspEndpoint/SuspRegistry` | 可疑注册表 | 检测内网主机对注册表进行增删改等可疑操作。 |
| `/SuspEndpoint/SuspThread` | 可疑线程 | 内网主机存在远程线程注入等行为。 |
| `/SuspEndpoint/SuspiciousSpread` | 可疑终端传播 | 内网主机通过共享文件夹、可移动介质、远程拷贝等方式传播可疑代码。 |
| `/SuspEndpoint/TraceEradication` | 可疑痕迹清除 | 内网主机发现系统存在删除、修改或隐藏日志文件、系统文件或痕迹清理工具的迹象，可能表明攻击者试图隐藏其活动。 |
| `/SuspEndpoint/WMI` | 可疑WMI利用 | 内网主机检测到WMI利用告警。使用Windows管理规范(WMI)执行了未授权操作，可能用于信息收集或远程控制目的。 |
| `/SuspTraffic/AccessAnomaly` | 可疑流量访问异常 | 内网主机检测到用户访问行为异常告警：用户访问行为偏离正常基线，或检测到异常域/服务访问。 |
| `/SuspTraffic/MaliciousCert` | 可疑恶意证书 | 内网主机安装恶意证书或访问携带恶意证书的URL。例如：1.通过SSL/TLS证书信息检测访问恶意HTTPS网站；2.通过证书的SNI信息检测可疑域名。内网->外网。 |
| `/SuspTraffic/MaliciousDomain` | 可疑恶意域名 | 内网主机请求恶意域名。恶意域名包括挖矿域名、C2域名、钓鱼域名及：1.可疑动态域名，如3322、org；2.内网穿透代理域名，如ngrok域名；3.疑似DGA域名；4.其他类型可疑域名。 |
| `/SuspTraffic/MaliciousIP` | 恶意IP地址 | 内网主机与恶意IP通信。恶意IP包括矿池IP、黑产IP等。 |
| `/SuspTraffic/Others` | 可疑流量其他 | 内网主机发起的可疑通信。包括：可疑会话连接、异常协议数据包、与4444/2745等可疑端口的通信行为。 |
| `/SuspTraffic/RemoteCtrl` | 可疑远程控制流量 | 内网主机与C2服务器通信，检测流量中的远程控制特征及可疑响应，例如：1. 内网向外网发送命令行标识信息（如cmd/powershell）；2. 内网执行常见命令后向外网传输回显信息；3. 检测特定远程控制工具的通信特征。常见远程控制采用反向连接（内->外网），也存在正向连接（外->内网），受害者为内网主机。 |
| `/SuspTraffic/RemoteService` | 可疑远程服务流量 | 远程服务异常流量指在远程服务连接过程中检测到的异常或可疑网络流量，可能表明存在未经授权的访问尝试、数据泄露或其他恶意活动。 |
| `/SuspTraffic/SuspContent` | 可疑内容 | 内网主机请求恶意服务（如挂马、仿冒、欺诈），或发送/接收的数据包内容包含钓鱼尝试、敏感信息等可疑元素。 |
| `/SuspTraffic/SuspProtocol` | 可疑协议异常流量 | 可疑协议流量指检测到使用非常见或异常网络协议的流量，可能表明存在潜在安全威胁，如恶意活动或未经授权的通信。 |
| `/SuspTraffic/TrafficAnomaly` | 可疑流量异常 | 内网主机检测流量异常告警：网络流量偏离正常基线。 |
| `/SuspTraffic/Tunnel` | 可疑隧道流量 | 内网主机发送或接收隧道通信数据包。隧道协议将其他协议的数据帧或数据包封装在新的数据包头中进行传输，到达目的地后解封装并转发至实际目标。例如HTTP隧道、DNS隧道和VPN等。例如：1. 检测隧道通信流量特征，如DNS隧道；2. 识别常见隧道工具特征，包括代理隧道/隐蔽隧道。内网<->外网，源地址可能不同。 |
| `/WebAttack/BypassAccCtrl` | Web攻击绕过访问控制 | 外网发起的针对权限提升漏洞的攻击行为，包括水平权限提升尝试、认证绕过漏洞尝试及其他类似类型。 |
| `/WebAttack/CRLF` | Web攻击CRLF注入 | 外网发起的HTTP CRLF注入攻击。HTTP协议使用CRLF符号（回车换行）进行分隔。攻击者在请求中注入恶意换行符以绕过网站安全检查。 |
| `/WebAttack/CSRF` | Web攻击-CSRF | 从外部网络发起的跨站请求伪造(CSRF)攻击，利用合法用户的cookie伪造身份请求访问网站。 |
| `/WebAttack/CodeInjection` | Web攻击-代码注入 | 从外部网络发起的攻击行为，利用中间件、框架或Web组件漏洞注入精心构造的可执行代码(如Java、PHP等)，实现服务器远程命令执行。 |
| `/WebAttack/CommandExec` | Web攻击-命令执行 | 从外部网络发起的攻击，利用具有系统命令执行功能的Web应用，通过命令拼接、黑名单绕过等技术实现服务器任意系统命令执行。 |
| `/WebAttack/DirTraversal` | Web攻击-目录遍历 | 由于Web服务器配置不当或Web应用对用户输入文件名安全性校验不足导致的安全漏洞，外部攻击者可通过特殊字符绕过服务器安全限制，尝试访问任意文件(包括Web根目录之外的文件)、读取敏感文件甚至执行系统命令。 |
| `/WebAttack/FileDownload` | Web攻击-文件下载 | 攻击者利用系统或应用漏洞从目标系统非法下载敏感或恶意文件。通过文件下载行为，攻击者可能获取系统信息、窃取用户数据或传播恶意软件。 |
| `/WebAttack/FileParsingVul` | Web攻击-文件解析漏洞 | 中间件(如IIS、Apache、Nginx等)在文件解析过程中存在漏洞，攻击者可利用该漏洞实现未授权文件解析。 |
| `/WebAttack/FileRead` | Web攻击-文件读取 | 攻击者访问服务器上的文件，可能获取敏感信息、执行任意命令或破坏系统。 |
| `/WebAttack/FileUpload` | Web攻击-文件上传 | 从外部网络发起的攻击行为，利用文件上传功能绕过或未充分校验用户输入，导致直接上传恶意文件。 |
| `/WebAttack/FileWrite` | Web攻击-文件写入 | 攻击者利用系统或应用漏洞非法写入恶意文件或植入恶意代码，可能通过文件写入行为实现系统入侵、权限提升或执行恶意操作。 |
| `/WebAttack/Hotlinking` | Web攻击-盗链 | 攻击者在外站引用目标网站资源，造成目标网站资源被非法使用或耗尽。 |
| `/WebAttack/InfoLeak` | Web攻击-信息泄露 | 由于Web服务器配置不当，外部攻击者利用漏洞获取服务器敏感信息。敏感信息包括密码、密钥、证书、会话标识符、许可证、私有数据（如短信内容）、授权凭证、个人数据，以及程序文件、配置文件、日志文件、备份文件等。注意与横向移动/敏感数据泄露类型的区分。 |
| `/WebAttack/LFI` | Web攻击-本地文件包含 | 外部网络发起的攻击利用目标应用中实现的动态文件包含机制，通过操控提交参数控制应用运行时路径指向本地敏感文件，可能实现敏感文件泄露、篡改或写入webshell等功能。 |
| `/WebAttack/MemoryShell` | Web攻击-内存马 | 内存驻留型恶意软件（内存马）攻击指攻击者将恶意代码注入目标系统内存，创建常驻内存的恶意程序以实现对系统的长期控制。内存马攻击通常难以通过传统文件系统扫描和杀毒软件检测，因其在磁盘上不留痕迹。该攻击方式常用于窃取敏感信息、执行远程控制或破坏系统功能的网络攻击中。 |
| `/WebAttack/Others` | Web攻击-其他类型 | 外部IP发起的其他类型Web攻击行为。 |
| `/WebAttack/RFI` | Web攻击-远程文件包含 | 外部发起的攻击利用目标应用中实现的动态文件包含机制，通过操控提交参数控制应用运行时引用远程服务器上的恶意文件路径，可能实现远程代码执行、植入webshell等恶意功能。 |
| `/WebAttack/SQLInjection` | Web攻击-SQL注入 | 外部网络针对Web应用或Web框架发起的SQL注入攻击。 |
| `/WebAttack/SSRF` | Web攻击-SSRF | 外部网络发起的服务端请求伪造（SSRF）攻击。攻击者伪造服务端请求向与其通信的内网主机发送数据，通常用于从外网探测或攻击内网服务。 |
| `/WebAttack/WebTempering` | Web攻击-网页篡改 | 外部攻击者利用漏洞或植入的webshell，通过注入钓鱼链接、违禁内容、暗链、欺诈材料等方式尝试篡改合法网页。 |
| `/WebAttack/WebshellRequest` | Web攻击-Webshell请求 | 外部攻击者尝试访问webshell以进行命令控制、文件查看等操作。注意与恶意程序/webshell后门的区分；此处主要包括webshell请求尝试和webshell页面扫描。已确认的webshell通信（如服务端响应webshell命令、服务端返回webshell单行命令或webshell木马特征）应归类至恶意程序类别。 |
| `/WebAttack/WebshellUpload` | Web攻击-Webshell上传 | 攻击者尝试上传webshell后门文件以获取目标服务器控制权。 |
| `/WebAttack/XSS` | 跨站脚本攻击 | 从外部网络发起的跨站脚本(XSS)攻击。通过利用Web开发过程中遗留的漏洞，将恶意JavaScript代码注入网页，攻击访问该站点的正常用户的浏览器。 |
| `/WebAttack/XXE` | XML外部实体注入攻击 | 从外部网络发起的XXE(XML外部实体)注入攻击。当允许外部实体引用时，构造恶意内容可导致任意文件读取、系统命令执行、内网端口扫描及对内网Web服务的攻击。 |

| `ruleName` | 规则名称 | `string` | OPTIONAL | 规则名称是安全规则的描述性标识。该字段为字符串类型，建议使用简洁、明确且能概括规则内容的名称。名称中可包含漏洞编号、攻击类型或防护对象等关键信息，以提高可读性和识别度。 |
| `attackerAddress` | 攻击者 | `string` | OPTIONAL | 发起威胁攻击的攻击者源IP地址，格式要求：必须是符合IPv4或IPv6标准的IP地址格式，例如IPv4的点分十进制表示法（如192.168.22.35）或IPv6的冒号分隔十六进制表示法。 |
| `victimAddress` | 受害者 | `string` | OPTIONAL | 受害者IP地址，指遭受威胁攻击或风险影响的目标IP地址。格式要求：必须是符合IPv4或IPv6标准的IP地址格式，例如IPv4的点分十进制表示法（如192.168.22.35）或IPv6的冒号分隔十六进制表示法。 |
| `subTechniqueName` | ATT&CK子技术名称 | `string` | OPTIONAL | 该字段表示攻击行为在MITRE ATT&CK框架中对应的具体攻击子技术的官方名称。名称格式应符合MITRE ATT&CK官方定义，通常为英文短语，采用驼峰命名法或空格分隔的单词组合，例如“Spearphishing Attachment”。 |
| `suggestion` | 处置建议 | `string` | OPTIONAL | 该字段用于提供针对威胁攻击的标准化响应和修复建议指导，其内容为字符串文本。建议内容应清晰、专业、具有可操作性，用于指导安全人员或系统进行后续处置。 |
| `victimPort` | 受害者端口 | `string` | OPTIONAL | 受害者网络服务端口号，表示遭受威胁攻击或风险影响的受害者服务所使用的端口。格式为端口号，取值范围为0-65535，多个端口号使用英文逗号分隔。 |
| `attackerPort` | 攻击者端口 | `string` | OPTIONAL | 攻击者发起攻击时使用的网络端口号。格式为字符串，表示端口号数值，取值范围为0-65535，多个端口号使用英文逗号分隔。 |
| `eventCount` | 事件数量 | `long` | RECOMMENDED | 事件数量字段用于统计相同类型或相关事件的发生次数。通常为非负整数。 |
| `hostAddress` | 主机IP | `string` | OPTIONAL | 主机IP地址，用于标识主机在网络中的位置。必须符合IPv4或IPv6地址格式规范。IPv4地址为点分十进制格式，由四个0-255的十进制数组成，以点分隔。IPv6地址为冒号分隔的十六进制数格式。 |
| `payload` | 载荷内容 | `string` | OPTIONAL | 该字段表示攻击活动中传输的恶意载荷内容，例如注入的代码或恶意数据。 |
| `integrityLevel` | 完整性级别 | `enum` | OPTIONAL | 完整性级别表示Windows安全模型中进程的权限级别，用于标识进程的信任和权限等级。该字段为枚举类型，其取值必须为预定义的字符串常量，可选值包括：Untrusted（不信任）、Low（低级别）、Medium（中级别）、High（高级别）和System（系统级别）。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `Untrusted` | 不信任 | 匿名进程级别，最低权限，通常用于匿名网络访问 |
| `Low` | 低级别 | 受限权限级别，用于保护模式进程如Internet Explorer |
| `Medium` | 中级别 | 标准用户权限级别，大多数用户进程运行在此级别 |
| `High` | 高级别 | 提升的管理员权限，需要UAC确认或管理员权限 |
| `System` | 系统级别 | 系统核心权限，Windows服务和内核组件运行级别 |

| `processGuid` | 进程GUID | `string` | OPTIONAL | 进程实例的全局唯一标识符，通常采用UUID格式，符合标准的UUID v4格式规范，即32位十六进制数字，以连字符分隔为5组。 |
| `parentProcessGuid` | 父进程GUID | `string` | OPTIONAL | 父进程实例的全局唯一标识符，用于唯一标识操作系统中的父进程实例。该字段为字符串类型，通常采用标准的GUID格式，由32位十六进制数字组成，并以连字符分隔为5组。 |
| `processStartTime` | 进程启动时间 | `string` | OPTIONAL | 进程启动时间，指操作系统成功创建进程实例的精确时间。格式要求为标准的日期时间字符串，具体格式为：yyyy-mm-dd HH:mm:ss。 |
| `parentProcessStartTime` | 父进程启动时间 | `string` | OPTIONAL | 父进程实例的创建时刻的精确时间，格式为 yyyy-mm-dd HH:mm:ss。 |

### 字段统计

- **总字段数**: 87
- **必填字段**: 15
- **推荐字段**: 10
- **可选字段**: 62

### 数据类型分布

- **string**: 72 个字段
- **integer**: 3 个字段
- **long**: 1 个字段
- **enum**: 11 个字段