YDT 4577-2023网络安全仿真　恶意软件危害性测评方法.pdf

ICS 33.040.40 CCS A 90 YD 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T XXXXX—202X [代替YD/T] 网络安全仿真 恶意软件危害性测评方法 Network security emulation environment — Testing and evaluation method of malware risk （报批稿） XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国工业和信息化部 发布 YD/T XXXXX—XXXX 前 言 本文件按照GB/T 1.1—2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件的牵头起草单位：南开大学、广州大学网络空间先进技术研究院、国家计算机网络应急技术 处理协调中心、鹏程实验室、哈尔滨工业大学（深圳）。 本文件的参与起草单位：南京理工大学、电子科技大学广东电子信息工程研究院、湖南合天智汇信 息技术有限公司、武汉安天信息技术有限责任公司、新华三技术有限公司、中国电信集团有限公司、中 国移动通信集团有限公司、中国信息通信科技集团有限公司。 本文件主要起草人：张健、王志、张玉、刘哲理、李树栋、舒敏、贾焰、田志宏、韩伟红、吴晓波、 郑禄鑫、王湘懿、杨铭、弋晓洋、廖清、李千目、陈雷霆、曹厚华。 II YD/T XXXXX—XXXX 网络安全仿真 恶意软件危害性测评方法 1 范围 本文件面向网络安全仿真环境，分析恶意软件攻防场景，提出了恶意软件测试运行的要求，规定了 恶意软件攻防过程中，检测环境搭建、数据采集、危害性评估的方法和依据。 本文件适用于网络安全仿真环境中的恶意软件攻危害性测试和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25068.1-2020 信息技术 安全技术 网络安全 第1部分：综述和概念 3 术语和定义 下列术语和定义适用于本文件。 3.1 恶意软件 malware 被专门设计用于损坏或中断系统、破坏保密性、完整性和/或可用性的软件。 注：病毒和特洛伊木马都是恶意软件。 [GB/T 25068.1-2020，定义 3.22] 3.2 虚拟机带外检测 out-of VM detection 运用虚拟化技术，在特权虚拟机中获取目标虚拟机中的进程，内存，磁盘等内部状态信息，用以检 测虚拟机的异常状态，具有透明性，隔离性，可靠性等特点。 3.3 误报 false positive 恶意软件防护机制将正常系统或文件报为含有恶意软件，或将正常操作报为恶意行为。 3.4 误报率 rate of false positive 恶意软件防护机制将正常系统或文件报为含有恶意软件，或将正常操作报为恶意行为的比例。 1 YD/T XXXXX—XXXX 4 缩略语 下列缩略语适用于本文件。 VMI：虚拟机自省 （Virtual M