YD_T 2389-2011网络威胁指数评估方法.pdf

ICS 35.020L 70YO中华人民共和国通信行业标准YD/T 2389-2011网络威胁指数评估方法The index assessment methods for network threat2011-12-20 发布2012-02-01实施中华人民共和国工业和信息化部发布 YD/T 2389-2011目次前言·引言范围·1术语和定义·缩略语·3网络威胁指数评估体系·.45网络事件分类及特征确定5.1分类指导原则··5.2特征定义原则·5.3网络威胁事件具体分类5.4网络威胁特征量化附录A（资料性附录），网络威胁指数计算方法 YD/T 2389-20115.4.3其余特征量化拒绝服务攻击事件的严重程度应该按照拒绝服务攻击对目标主机、网络和服务的危害大小分为5个级别，赋值越高表示此次攻击的危害性就越大。表5给出各个等级详细的定义。表5拒绝服务攻击危害性等级表赋值定义5目的主机、网络或服务完全瘫痪甚至岩机重启4目的主机、网络或服务基本上完全拒绝服务目的主机、网络或服务对大部分用户拒绝服务，只能提供原来服务的30%以内32目的主机、网络或服务只能提供原来服务的30%~70%，影响一部分用户的使用目的主机、网络或服务受到的影响很小，只影了极少部分用户的使用1木马的非授权性应按照该木马的功能分为以下5个级别，赋值越高表示该木马的危害性就越大。表6给出各个等级详细的定义。表6木马非授权性等级表赋值定 对系统具有最高的管理权限，可以完全控制系统做任何事情54对系统具有很高的控制权限，可以实现大部分的操作3对系统具有一般的控制权限，可以实现对系统一般操作2对系统具有一定的管理权限，可以修改和盗取一般的用户文件获得系统的一般权限，只能用来监视收集用户行为1木马的隐蔽性应该按照该木马在系统的存在方式分为以下5个级别，赋值越高表示该木马的隐蔽性就越大，危害性就越大。表7给出各个等级详细的定义。表7木马隐蔽性等级表定义赋值基本上不会被发现，一般通过替换系统DLL文件存在54很难被发现，一般隐藏在注册表等地方比较难于发现，一般设计成服务隐藏在系统中2.比较容易被发现，利用常规端口发现1隐蔽手段简单，很容易被发现，一般隐藏在任务栏等病毒的危害性应该按照病毒对系统可能造成的危害分为以下5个级别，赋值越高表示该病毒的危害性就越大。表8给出各个等级详细的定义。表8病毒危害性等级表赋值定义5危害性很大，直接对电脑的硬盘造成严重威胁4危害性比较大，会直接破坏系统的文件，威胁系统的运行3危害性一般，会破坏用户数据文件2危害性较小，抢占大量系统资源，造成系统运行缓慢1危害性很弱，几乎不能感觉到其存在尸网络的源地址分布应该按照僵尸网络在空间中的分布范围来分为以下5个级别，值越高表示僵尸网络的危害越大。表9给出各个等级详细的定义。7 YD/T 2389-2011表9债户网络源地址分布赋值定义5表示该尸网络的源地址范围特别广，其地址包含不同的A类地址4表示该僵户网络的源地址分布范围很广，其地址包含不同的B类地址3表示该僵户网络的源地址分布范围比较广，其地址包含不同的C类地址2表示该尸网络的源地址分布范围很小，其范围包含较多不同的D类地址1表示该将是网络的源地址分布范围特别小，其范围只包含特别少的D类地址注：IPV4地址的格式为A.B.C.D，如果两个IP地址A字段相同，则属于同一个A类地址病毒的传播性应该按照病毒在系统之间的传播方式和能力分为以下5个级别，赋值越高表示该病毒的传播扩散能力就越大，危害性越大。表10给出各个等级详细的定义。表10病毒传播性等级表赋值定义5传播能力很强，可通过网络自动发现漏洞主机并主动进行传播传播能力比较强，可通过BBS、电子邮件等载体主动进行传播43传播能力一般，可通过移动存储介质等进行被动传播2传播能力比较弱，通过主动捆绑软件被动传播1传播能力几乎忽略不计，只能对本机产生作用8 YD/T 2389-2011附录A（资料性附录）网络威胁指数计算方法A.1 归一化方法归一化就是将指标进行无量纲化处理得到一个0～1之间的相对数。接下来介绍几种常见的归一化方法:A.1.1极值法对于正指标，即归一化后值和原始值的大小变化趋势一致。转换公式有：xX -- MinValue或y=(A.1)y= MaxValue Max Value -- MinValue式中:x——为属性当前值;J——为归一化后的值;Max Value---为该属性对应的最大值；Min Value--.-为该属性对应的最小值。对于逆指标，即归一化的值随着原始值的增大而减小。转换公式有：MaxValue - x MaxValue + MinValue -- x或y=(A.2) MaxValue -- MinValueMax Value式中:x—为属性当前值;一为归一化后的值;