YD ICS 33.040.40 CCS A 90 YD/T XXXXX —202X [代替YD/T] 网络安全仿真 　恶意软件危害性测评方法 Network security emulation environment — Testing and evaluation method of malware risk （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发布 中华人民共和国 通信行业标准 YD/T XXXXX—XXXX I目  次 前言 .................................................................................. II 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4缩略语 ............................................................................... 2 5 测试对象 ............................................................................. 2 5.1 恶意软件 ......................................................................... 2 5.2 恶意软件防护系统 ................................................................. 3 6 测评环境 ............................................................................. 3 6.1 整体架构 ......................................................................... 3 6.2 功能要求 ......................................................................... 3 7 测试准备 ............................................................................. 3 7.1 测试对象准备 ..................................................................... 3 7.2 网络安全仿真测评环境初始化 ....................................................... 3 8 恶意软件测试过程 ..................................................................... 3 8.1 恶意软件攻击 ..................................................................... 4 8.2 获取数据 ......................................................................... 4 9 恶意软件危害性评估 ................................................................... 4 9.1 评估准则 ......................................................................... 4 9.2 恶意软件危害性评估框架和流程 ..................................................... 4 9.3 恶意软件危害性评估实施 ........................................................... 6 9.4 恶意软件危害性分级 .............................................................. 10 附　录　A （资料性） 恶意软件危害性计算方法 ........................................... 11 A.1 破坏性级别的计算 .................................................................. 11 A.2 危害性级别的计算 .................................................................. 11 YD/T XXXXX—XXXX II前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 　第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件的牵头 起草单位 ：南开大学、广州大学网络空间先进技术研究院、国家计算机网络应急技术 处理协调中心、鹏程实验室、哈尔滨工业大学（深圳）。 本文件的参与 起草单位 ：南京理工大学、电子科技大学广东电子信息工程研究院、湖南合天智汇信 息技术有限公司 、武汉安天信息技术有限责任公司 、新华三技术有限公司 、中国电信集团有限公司 、中 国移动通信集团有限公司、中国信息通信科技集团有限公司。 本文件主要起草人 ：张健、王志、张玉、刘哲理、李树栋、舒敏、贾焰、田志宏、韩伟红、吴晓波、 郑禄鑫、王湘懿、杨铭、弋晓洋、廖清、李千目、 陈雷霆、曹厚华。 YD/T XXXXX—XXXX 1网络安全仿真 　恶意软件危害性测评方法 1　范围 本文件面向网络安全仿真环境 ，分析恶意软件攻防场景 ，提出了恶意软件测试运行的要求 ，规定了 恶意软件攻防过程中，检测环境搭建、数据采集、危害性评估的方法和依据。 本文件适用于网络安全仿真环境中的恶意软件攻危害性测试和评估。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件，其最新版本（包括所有的修改单 ）适用于本 文件。 GB/T 25068.1-2020 信息技术 安全技术 网络安全 第1部分：综述和概念 3　术语和定义 下列术语和定义适用于本文件。 3.1　 恶意软件 malware 被专门设计用于损坏或中断系统、破坏保密性、完整性和 /或可用性的软件。 注：病毒和特洛伊木马都是恶意软件。 [GB/T 25068.1-2020 ，定义 3.22] 3.2　 虚拟机带外检测 out-of VM detection 运用虚拟化技术 ，在特权虚拟机中获取目标虚拟机中的进程 ，内存，磁盘等内部状态信息 ，用以检 测虚拟机的异常状态，具有透明性，隔离性，可靠性等特点。 3.3　 误报 false positive 恶意软件防护机制将正常系统或文件报为含有恶意软件，或将正常操作报为恶意行为。 3.4　 误报率 rate of false positive 恶意软件防护机制将正常系统或文件报为含有恶意软件，或将正常操作报为恶意行为的比例。 YD/T XXXXX—XXXX 24　缩略语 下列缩略语适用于本文件。 VMI：虚拟机自省（ Virtual Machine Introspection ） VM：虚拟机（ Virtual Machine） 5　测试对象 5.1　恶意软件 5.1.1　恶意软件种类 恶意软件应至少包含以下种类： a) 文件感染型病毒； b) 宏病毒； c) 蠕虫； d) 木马程序； e) 间谍软件； f) 脚本恶意程序； g) 后门程序； h) 僵尸程序； i) 勒索软件； j) Rootkit恶意程序； k) Bootkit恶意程序。 5.1.2　恶意软件属性 恶意软件包含以下属性： a) 恶意软件使用的战术； b) 恶意软件使用的技术； c) 恶意软件的危害性； d) 恶意软件依赖的软硬件环境。 5.2　恶意软件防护系统 5.2.1　恶意软件防护系统类型 恶意