网络空间安全仿真 攻击行为检测技术要求.pdfVIP

网络空间安全仿真 攻击行为检测技术要求 1 范围 本文件规定了网络靶场攻击行为检测技术架构、检测功能要求、以及其他要求。 本文件适用于基于网络靶场的互联网攻击行为检测活动，也可供其他相关部门参考使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 28517-2012 网络安全事件描述和交换格式 YD/T 1800-2008 信息安全运行管理系统总体架构 YD/T XXXX-202X 网络空间安全仿真 术语 3 术语和定义 YD/T XXXX-202X界定的以及下列术语和定义适用于本文件。 3.1 安全事件 security incident 计算机信息系统或网络中的硬件、软件、数据因直接或间接攻击事态而遭受非预期的破坏、更改、 占用、泄露等现象。 3.2 安全事故 security event 计算机信息系统或网络中硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到的破坏、更改、 泄露造成系统不能正常运行或者数据机密性、完整性、可用性被破坏的现象。 [来源：YD/T 1800-2008，3.1.3] 注：安全事故由一个或多个安全事件构成。 3.3 有效攻击 effective attack 造成实际攻击后果的攻击活动。 注：针对资产真实漏洞进行攻击只是其中一种有效攻击。 3.4 基础攻击 base attack 持续时间短、一对一的、简单逻辑的攻击行为，又称单步攻击。基础攻击对应入侵检测、防火墙、 沙箱、蜜罐、终端检测等产生的单个事态。 1 3.5 复杂攻击 complex attack 由单步攻击或多部攻击行为组合而成的复杂攻击活动。 3.6 有效基础攻击 effective base attack 对真实目标资产发起基础攻击，并造成影响的攻击行为。 3.7 有效复杂攻击 effective complex attack 对真实目标资产发起复杂攻击，并造成影响的攻击行为。 3.8 知识库 knowledge base 存储当前已知的各种系统安全漏洞和攻击模式等网络安全知识以及其所对应软件版本和硬件型号 的知识库，是用于支撑网络安全检测的基础知识库。 3.9 基础攻击行为知识 knowledge of complex attack behavior 基于基础攻击行为得到的网络安全知识。 3.10 复杂攻击行为知识 knowledge of basic attack behavior 基于复杂攻击行为得到的网络安全知识。 4 缩略语 下列缩略语适用于本文件。 APT 高级持续性威胁攻击行为（Advanced Persistent Threat Attack） DDoS 分布式拒绝服务 （Distributed Denial Of Service Attack） MAC 网络设备的物理地址（Medium Access Control） SNMP 简单网络管理协议（Simple Network Management Protocol） Syslog 系统日志或系统记录（System Log） VLAN 虚拟局域网（Virtual Local Area Network） 5 网络靶场攻击行为检测技术架构 攻击行为检测技术架构应包括数据采集、安全事件检测、知识库存储与规则匹配以及有效攻击行为 检测等模块，技术架构如图1所示，其各模块功能如下。 a) 数据采集：包括流量数据采集、终端数据采集、资产数据数据采集和漏洞数据采集功能，用于 安全事件检测。 b) 安全事件检测：包括流量安全事件检测，终端安全事件检测。 c) 知识库存储与规则匹配：用于进行试验中的有效攻击行为检测、漏洞知识、攻击行为知识的存 储、管理、规则匹配。 2 d) 有效攻击行为检测：有效攻击行为检测应基于知识库中的规则匹配，对安全事件进