YD ICS 35.240.01 CCS L 67 YD/T XXXX —202X [代替YD/T] 网络空间安全仿真 　攻击行为检测技术要 求 Cyberspace security emulation — Technical requirements for attack behavior detection （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发布 中华人民共和国通信行业标准 YD/T XXXXX—XXXX I目  次 前言 .................................................................................. II 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4 缩略语 ............................................................................... 2 5 网络靶场攻击行为检测技术架构 ......................................................... 2 6 网络靶场攻击行为检测功能要求 ......................................................... 3 6.1 数据采集 ......................................................................... 3 6.2 安全事件检测 ..................................................................... 4 6.3 知识库存储与规则匹配 ............................................................. 5 6.4 有效攻击行为检测 ................................................................. 5 7 网络靶场攻击行为检测其他要求 ......................................................... 6 7.1 有效攻击行为检测性能要求 ......................................................... 6 7.2 扩展性要求 ....................................................................... 6 YD/T XXXXX—XXXX II前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 　第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：鹏城实验室、广州大学网络空间先进技术研究院、四川亿览态势科技有限公司 、 新华三技术有限公司 、西安邮电大学 、哈尔滨工业大学 （深圳）、北京理工大学 、湖南星汉数智科技有 限公司、中国电信集团有限公司 、国家计算机网络应急技术处理协调中心 、中汽创智科技有限公司 、中 国信息通信研究院、电子科技大学、广东为辰信息科技有限公司。 本文件主要起草人 ：贾焰、罗翠、李树栋、顾钊铨、韩伟红、李润恒、王晔、陶莎、胡宁、谢敏容、 李玉军、马兰、危胜军、贺敏、王帅、张勇、谢玮、杨树强、赵焕宇、杨彦召、薛信钊、崔涛、罗蕾 、 陈丽蓉、杨刚。 YD/T XXXXX—XXXX 1网络空间安全仿真 　攻击行为检测技术要求 1 范围 本文件规定了网络靶场攻击行为检测技术架构、检测功能要求、以及其他要求。 本文件适用于基于网络靶场的互联网攻击行为检测活动，也可供其他相关部门参考使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件，其最新版本（包括所有的修改单 ）适用于本 文件。 GB/T 28517-2012 网络安全事件描述和交换格式 YD/T 1800-2008 信息安全运行管理系统总体架构 YD/T XXXX-202X 网络空间安全仿真 术语 3 术语和定义 YD/T XXXX-202X 界定的以及下列术语和定义适用于本文件。 3.1 安全事件 　security incident 计算机信息系统或网络中的硬件、软件、数据因直接或间接攻击事态而遭受非预期的破坏、更改 、 占用、泄露等现象。 3.2 安全事故 　security event 计算机信息系统或网络中硬件 、软件、数据因非法攻击或病毒入侵等安全原因而遭到的破坏 、更改、 泄露造成系统不能正常运行或者数据机密性、完整性、可用性被破坏的现象。 [来源：YD/T 1800-2008 ，3.1.3] 注：安全事故由一个或多个安全事件构成。 3.3 有效攻击 　effective attack 造成实际攻击后果的攻击活动。 注：针对资产真实漏洞进行攻击只是其中一种有效攻击。 3.4 基础攻击 　base attack 持续时间短、一对一的、简单逻辑的攻击行为，又称单步攻击。基础攻击对应入侵检测、防火墙 、 沙箱、蜜罐、终端检测等产生的单个事态。 YD/T XXXXX—XXXX 23.5 复杂攻击 　complex attack 由单步攻击或多部攻击行为组合而成的复杂攻击活动。 3.6 有效基础攻击 　effective base attack 对真实目标资产发起基础攻击，并造成影响的攻击行为。 3.7 有效复杂攻击 　effective complex attack 对真实目标资产发起复杂攻击，并造成影响的攻击行为。 3.8 知识库　knowledge base 存储当前已知的各种系统安全漏洞和攻击模式等网络安全知识以及其所对应软件版本和硬件型号 的知识库，是用于支撑网络安全检测的基础知识库。 3.9 基础攻击行为知识 　knowledge of complex attack behavior 基于基础攻击行为得到的网络安全知识。 3.10 复杂攻击行为知识 　knowledge of basic attack behavior 基于复杂攻击行为得到的网络安全知识。 4 缩略语 下列缩略语适用于本文件。 APT 高级持续性威胁攻击行为（ Advanced Persistent Threat Attack） DDoS 分布式拒绝服务 （Distributed Denial Of Service Attack） MAC 网络设备的物理地址（ Medium Access Control） SNMP 简单网络管理协议（ Simple Network Management Protocol ） Syslog 系统日志或系统记录（ System Log） VLAN 虚拟局域网（ Virtual Local Area Network） 5 网络靶场攻击行为检测技术架构 攻击行为检测技术架构应包括数据采集 、安全事件检测 、知识库存储与规则匹配以及有效攻击行为 检测等模块，技术架构如图 1所示，其各模块功能如下。 a) 数据采集：包括流量数据采集、终端数据采集、资产数据数据采集和漏洞数据采集功能，用于 安全事件检测。 b) 安全事件检测：包括流量安全事件检测，终端安全事件检测。 c) 知识库存储与规则匹配：用于进行试验中的有效攻击行为检测、漏洞知识、攻击行为知识的存 储、管理、规则匹配。 YD/T XXXXX—XXXX 3d) 有效攻击行为检测：有效攻击行为检测应基于知识库中的规则匹配，对安全事件进行融合，并 且对安全事件进行资产 、漏洞、攻击多维关联分析以及复杂攻击关联分析 ，从而检测有效攻击 。 图1　网络靶场攻击行为检测技术架构 6 网络靶场攻击行为检测功能要求 6.1 数据采集 6.1.1 资产数据采集 应通过资产探测或者资产上报的方式获取资产数据，支持效攻击检测使用，要求如下： a) 应获取试验网络的资产信息，资产包括主机节点、网络设备节点、安全设备节点等，采集数据 包括硬件及其型号、操作系统及其版本号、软件