中华人民共和国工业和信息化部 发 布2020-××-××实施 2020-××-××发布网络空间安全仿真 网络安全检测指南 Cybersecurity emulation ─ Technical guide for network range safety detection YD/T XXXX—202×YD 中 华 人 民 共 和 国 通 信 行 业 标 准ICS 35.110 CCS M 11YD/T XXXXX—XXXX 2目 次 前言 ................................................................................... 3 1 范围 ................................................................................. 4 2 规范性引用文件 ....................................................................... 4 3 术语和定义 ........................................................................... 4 4 缩略语 ............................................................................... 4 5 检测技术框架 ......................................................................... 5 6 流量检测 ............................................................................. 5 6.1 流量检测流程 ....................................................................... 6 6.2 流量检测技术 ....................................................................... 6 7 文件安全检测 ......................................................................... 7 7.1 文件安全检测流程 ................................................................... 7 7.2 文件安全检测技术 ................................................................... 8 8 系统行为检测 ......................................................................... 9 8.1 检测方法及流程 ..................................................................... 9 8.2 行为检测技术 ....................................................................... 9 9 邮件安全检测 ........................................................................ 10 9.1 垃圾邮件识别技术 .................................................................. 10 9.2 邮件攻击检测技术 .................................................................. 11 参考文献 .............................................................................. 12 YD/T XXXXX—XXXX 3前  言 本文件按照 GB/T 1.1-2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。 本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：华为技术有限公司、北京启明星辰信息安全技术有限公司、鹏城实验室、广州大学 网络空间先进技术研究院、中国电信集团有限公司、湖南大学、桂林电子科技大学、中国电子信息产业集 团有限公司第六研究所、四川亿览态势科技有限公司、北京天融信网络安全技术有限公司、博智安全科技 股份有限公司、华信咨询设计研究院有限公司。 本文件主要起草人：余晓光、徐家林、杨洪起、行骁程、张赛楠、余滢鑫、毛春雄、李文兴、胡桥、 王帅、陶莎、李千目、旷文钟、李振宇、燕玮、刘子健、王龑、毕程、赵谦、傅涛、孙小平、董平、喻朝 新、雷琳琳、李丹。 YD/T XXXXX—XXXX 4网络空间安全仿真 网络安全检测指南 1　范围 本文件提供了网络空间安全仿真平台运行过程中涉及到的主要安全威胁的检测指南，包括流量检测、 文件安全检测、系统行为检测和邮件安全检测。 本文件适用于作为网络空间安全仿真平台环境中安全威胁检测技术的设计、建设的参考指导。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文 件。 YD/T XXXX-XXXX 网络空间安全仿真 术语 3　术语和定义 YD/T XXXX-XXXX 界定的术语和定义适用于本文件。 4　缩略语 下列缩略语适用于本文件。 ARP: 地址解析协议 (Address Resolution Protocol) CPU:中央处理器 (central processing unit) DDoS: 分布式拒绝服务攻击 (Distributed denial of service attack) FTP: 文件传输协议 (File Transfer Protocol) HTTP: 超文本传输协议 (Hypertext Transfer Protocol) ICMP: 网际报文控制协议 (Internet Control Message Protocol) IP:互联网协议 (Internet Protocol) IMAP: 因特网消息接入协议 (Internet Message Access Protocol) MAC: 介质访问控制层 (Media Access Control) POP3: 第三版电子邮局协议 (Post Office Protocol Version 3) RIP: 路由信息协议 (Routing Information Protocol) SMTP: 简单邮件传输协议 (Simple Mail Transfer Protocol) SNMP: 简单网络管理协议 (Simple Network Management Protocol) SQL: 结构化查询语言 (Structured Query Language) TCP: 传输控制协议 (Transmission Control Protocol) UDP: 用户数据报协议 (User Datagram Protocol) URL：统一资源定位系统（ Uniform Resource Locator） 5　检测技术 框架 YD/T XXXXX—XXXX 5本文件主要从流量检测技术、文件安全检测技术、系统行为检测技术、邮件安全检测技术介绍网络空 间安全仿真平台运行环境的安全检测的技术方法和指南，其中数据采集和数据分析属于前述安全检测内容 中各自参考采取的检测技术方法。 网络空间安全仿真平台运行环境 总体安全检测技术参考框架如图 1所示。 图1 安全检测技术框架 框架中流量检测、文件安全检测以及系统行为检测是目前对网络空间安全仿真平台运行环境所采用的 通用检测技术，邮件安全检测属特殊检测场景。 6　流量检测 6.1　流量检测流程 YD/T XXXXX—XXXX 6 图2 流量检测流程 如图2所示，流量异常检测技术主要由数据采集、数据分析、异常事件数据库、疑似威胁分析模块组 成。其中，异常事件数据库中存储了大量攻击行为的数据特征，包括：端口扫描、拒绝服务攻击、缓冲区 溢出攻击、通过移动热插拔设备对系统进行的攻击、木马后门攻击、恶意代码攻击、反序列化攻击、文件 脆弱性攻击 、浏览器脆弱性攻击 、应用层安全漏洞攻击等 。同时存储了各类欺骗行为的数据特征 ，如IP 碎 片化、协议端口重定向等。而疑似威胁分析模块中主要用于在异常事件数据库判断无异常后，再分辨数据 流量是否有恶意行为，