信息安全技术 互联网恶意软件定义与描述格式标准发展报告.docxVIP

信息安全技术互联网恶意软件定义与描述格式标准发展报告

DevelopmentReportontheStandardforDefinitionandDescriptionFormatofInternetMalwareinInformationSecurityTechnology

摘要

随着互联网技术的快速发展，恶意软件如窃密木马、勒索软件等对国内企业及个人用户构成严重威胁。2020年，国家互联网应急中心（CNCERT）捕获的计算机恶意软件样本数量超过4200万，移动互联网恶意软件数量达303万。尽管国内外CERT组织与网络安全企业持续开展恶意软件的检测与威胁信息披露工作，但由于缺乏统一的定义与描述规范，各方在恶意软件的判定、命名及信息共享方面存在显著差异，严重影响了协同治理效率。本报告基于《信息安全技术互联网恶意软件定义与描述规范》国家标准的立项背景，系统阐述了其目的意义、适用范围及主要技术内容。通过明确恶意软件的定义、行为属性、判定依据及描述格式，该标准旨在为行业提供统一的技术规范，提升恶意软件的识别精度与信息共享效率，助力构建协同联动的网络安全防护体系。研究结论表明，该标准的制定将推动我国互联网恶意软件治理的标准化、专业化与国际化发展。

关键词

信息安全；恶意软件；定义规范；描述格式；行为属性；判定依据；威胁情报

InformationSecurity;Malware;DefinitionSpecification;DescriptionFormat;BehavioralAttributes;JudgmentBasis;ThreatIntelligence

正文

一、立项目的与意义

互联网恶意软件已成为全球性的网络安全威胁。近年来，以窃密木马、勒索软件为代表的恶意攻击在国内呈现高发态势，大量企业遭受数据窃取与系统加密勒索，造成巨额经济损失。根据CNCERT2020年统计数据显示，全年捕获的计算机恶意软件样本数量超过4200万个，移动端恶意软件数量达303万个，反映出恶意软件治理的紧迫性。

国内外网络安全机构虽持续开展恶意软件检测与威胁分析工作，但由于缺乏统一的技术规范，各机构在恶意软件的命名规则、行为分类及信息描述上存在较大差异。例如，同一恶意软件可能被不同企业赋予多个名称，导致威胁情报共享困难，防护措施难以协同。此外，恶意软件的判定标准不明确，也增加了法律取证与责任追溯的难度。

为解决上述问题，本项目联合第三方专业技术机构、基础电信企业、互联网安全企业、智能手机生产企业及移动应用商店等单位，共同研究并制定《信息安全技术互联网恶意软件定义与描述规范》。该标准将参考《网络安全法》《信息安全技术恶意软件判定指南》（GB/T34942-2017）等法规与现有标准，明确互联网恶意软件的核心定义、行为属性与判定依据，规范其描述格式与衍生信息定义。通过统一技术语言，该标准将显著提升恶意软件的识别效率、威胁情报的互操作性以及行业协同防护能力，为我国网络安全治理体系的完善提供技术支撑。

二、范围与主要技术内容

本标准的适用对象包括第三方专业技术机构、基础电信企业、互联网安全企业、智能手机生产企业、移动应用商店等涉及恶意软件检测、分析与处置的实体。其核心目标是解决互联网恶意软件的判定与命名规范问题，具体涵盖以下三方面内容：

1.互联网恶意软件的定义：明确恶意软件、样本文件、程序主体、程序安装包等基本概念，确保术语使用的一致性。

2.恶意行为分类与判定依据：基于现有恶意软件的行为特征，系统梳理其恶意行为类型，并制定每类行为的具体判定标准。

3.描述格式与衍生信息定义：规范恶意软件的描述元素（如操作系统类型、行为属性、病毒家族等），并统一其衍生信息的记录格式。

项目拟通过技术论证与行业调研，形成标准草案，主要技术内容如下：

1.互联网恶意软件的定义

针对恶意软件、样本文件、程序主体、程序安装包等核心概念进行明确定义，避免因术语歧义导致判定偏差。例如，明确“互联网恶意软件”指通过互联网传播，具有恶意功能的代码或程序。

2.互联网恶意软件的行为属性

基于对现有恶意软件行为的统计分析，将其归纳为恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、诱骗欺诈、流氓行为等类型，并对每类行为的具体特征进行详细描述。例如，“信息窃取”类行为需明确其数据采集方式与目标数据类型。

3.互联网恶意软件的判定依据

结合恶意软件样本的实际行为与分类体系，制定每类恶意行为的判定条件。例如，远程控制类恶意软件需满足未经授权接入、执行远程指令等条件。

4.互联网恶意软件的衍生信息

针对恶意软件使用的对抗技术（如代码混淆）、攻击手段（如钓鱼链接）及攻击资源（如CC服务器），定义其衍生信息的记录规范，提