YD ICS 35.030 CCS L 70 YD/T XXXXX —XXXX [代替YD/T] 网络空间安全仿真 网络安全试验知识的统 一表示与接口要求 Cybersecurity emulation ─ Uniform representation specification and interface requirements of cybersecurity experiment knowledge （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发布 中华人民共和国通信行业标准 YD/T XXXXX—XXXX I目　　次 前  言 .............................................................................. II 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4 缩略语 ............................................................................... 1 5 概述 ................................................................................. 1 6 网络安全 试验知识的统一表示 ........................................................... 2 6.1 网络安全试验知识的统一 表示要求 ................................................... 2 6.2 网络安全试验知识本体模型 ......................................................... 2 7 网络安全试验知识的 接口功能要求 ....................................................... 8 7.1 网络安全试验知识的接口功能总体要求 ............................................... 8 7.2 网络安全试验基础攻击知识接口 ..................................................... 8 7.3 网络安全试验复杂攻击知识接口 ..................................................... 9 7.4 网络安全试验场景知识接口 ........................................................ 10 附录A（资料性） 参考样例 .............................................................. 13 YD/T XXXXX—XXXX II前  言 本文件按照 GB/T 1.1-2020 《标准化工作导则 第一部分：标准化文件的结构和起草规则》 的规定起 草。 请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：湖南星汉数智科技有限公司、鹏城实验室、广州大学网络空间先进技术研究院 、 四川亿览态势科技有限公司 、哈尔滨工业大学 （深圳）、中国电信集团有限公司 、中国信息通信研究院 、 上海交通大学、北京邮电大学、中汽创智科技有限公司、广东为辰信息科技有限公司、电子科技大学 。 本文件主要起草人 ：黄九鸣、贾焰、曾琰、王志超、李树栋、杜海燕、李润恒、韩伟红、柳扬、 张圣栋、陈晖、邓晓东、谢玮、杨彦召、薛信钊、周志洪、罗蕾、赵焕宇、谷勇浩、崔涛。YD/T XXXXX—XXXX 1网络空间安全仿真 网络安全试验知识的统一表示 与接口要求 1 范围 本文件规定了网络安全试验知识本体和统一的知识表示结构 ，规定了对外提供的 数据调用的接口功 能、接口消息与数据描述 。 本文件适用于网络靶场中网络安全试验知识的表示与知识调用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ;不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069-2022 信息安全技术 术语 YD/T XXXX 网络空间安全仿真 术语 3 术语和定义 GB/T 25069-2022 和YD/T XXXX界定的以及下列术语和定义适用于本文件。 3.1 网络安全试验知识 cyber security experiment knowledge 在进行网络安全试验时涉及的网络安全场景、网络安全攻击等方面的知识。 3.2 网络安全试验知识本体 cyber security experiment knowledge ontology 对网络安全试验 知识涉及的领域概念及概念之间关系的规范化描述。 4 缩略语 下列缩略语适用于本文件。 APT：高级长期威胁（ Advanced Persistent Threat） CVE：通用漏洞披露 （Common Vulnerabilities & Exposures ） ID：身份标识号 （Identity Document ） RATS：时间序列的回归分析（ Regression Analysis of Time Series） 5 概述 YD/T XXXXX—XXXX 2在网络安全试验中 ，需要对涉及的网络安全试验场景 、网络安全攻击等方面的知识进行数字化表示 ， 然后才能进行存储、查询和利用。这类知识包含了概念与概念之间的关系，可以用知识图谱表示。 网络安全试验场景是某次特定试验相关的知识，包括试验的硬件组成、网络拓扑、部署的各种软件 版本、相关的安全漏洞、试验过程产生的安全事态， 以及这些要素之间的关联关系等 ；网络安全攻击分 为单步攻击和多步攻击两类。 6 网络安全 试验知识的统一表示 6.1 网络安全试验知识的统一 表示要求 网络安全试验知识的统一表示 要求如下 : a) 应提供多元复杂关联的 知识表示 模型。能够表达 、存储和索引 知识实体间的多元复杂关联关系 。 b) 应提供网络安全知识时空演变数据模型。能支撑关系属性随时空动态演变的存储与检索。 c) 应提供网络空间知识证据数据存储模型 。可为每条知识关联一组证据文本数据 ，支持证据文本 数据的快速检索，支持证据数据与知识数据间的关联检索。 6.2 网络安全试验知识本体模型 6.2.1 网络安全试验基础攻击知识本体 模型 6.2.1.1 实体类型枚举 网络安全试验基础攻击知识本体模型包含的实体类型 如表 1所示。 表1 实体类型枚举 实体名称 实体描述 BA 基础攻击类型 AE 安全事件 Weakness 弱点 Vulnerability 漏洞，实例如： CVE-xxx 6.2.1.2 实体间关系 网络安全试验基础攻击知识本体模型包含的实体间关系 如表 2所示。 表2 实体间关系 关系名称 关系描述 关系限制条件说明 instance 组成关系 任意一个点 ,只能有一条该标签的入边 ,出YD/T XXXXX—XXXX 3边的数量不做限制 exploit 利用关系 两个点之间同一标签的关系只有一个 6.2.1.3 属性 网络安全试验基础攻击知识本体模型包含的漏洞节点 如表 3所示，基础攻击节点如表 4所示，安全 事件如表 5所示。 表3 漏洞节点 属性名称 属性描述 约束 vertex_id 漏洞编号 主键 affected_hardware 影响的硬件实体 多属性 affected_os 影响的操作系统实体 多属性 affected_software 影响的软件实体 多属性 vuln_desc 漏洞描述信息 单属性 表4 基础攻击节点 属性名称 属性描述 约束 vertex_id 唯一性标识 主键 ba_name 攻击描述 单属性 ba_type 基础攻击类型 单属性 表5 安全事件 属性名称 属性描述 约束 vertex_id 唯一性标识 主键 6.2.2 网络安全试验复杂攻击知识本体 模型 6.2.2.1 实体类型枚举 网络安全试验复杂攻击知识本体模型包含的