YDT 4577-2023網(wǎng)絡(luò)安全仿真　惡意軟件危害性測(cè)評(píng)方法

ICS33.040.40

CCSA90

YD

中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)

YD/TXXXXX—202X

[代替YD/T]

網(wǎng)絡(luò)安全仿真惡意軟件危害性測(cè)評(píng)方法

Networksecurityemulationenvironment—Testingandevaluationmethodof

malwarerisk

（報(bào)批稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

中華人民共和國(guó)工業(yè)和信息化部發(fā)布

YD/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。

本文件由中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)提出并歸口。

本文件的牽頭起草單位：南開(kāi)大學(xué)、廣州大學(xué)網(wǎng)絡(luò)空間先進(jìn)技術(shù)研究院、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)

處理協(xié)調(diào)中心、鵬程實(shí)驗(yàn)室、哈爾濱工業(yè)大學(xué)（深圳）。

本文件的參與起草單位：南京理工大學(xué)、電子科技大學(xué)廣東電子信息工程研究院、湖南合天智匯信

息技術(shù)有限公司、武漢安天信息技術(shù)有限責(zé)任公司、新華三技術(shù)有限公司、中國(guó)電信集團(tuán)有限公司、中

國(guó)移動(dòng)通信集團(tuán)有限公司、中國(guó)信息通信科技集團(tuán)有限公司。

本文件主要起草人：張健、王志、張玉、劉哲理、李樹(shù)棟、舒敏、賈焰、田志宏、韓偉紅、吳曉波、

鄭祿鑫、王湘懿、楊銘、弋曉洋、廖清、李千目、陳雷霆、曹厚華。

II

YD/TXXXXX—XXXX

網(wǎng)絡(luò)安全仿真惡意軟件危害性測(cè)評(píng)方法

1范圍

本文件面向網(wǎng)絡(luò)安全仿真環(huán)境，分析惡意軟件攻防場(chǎng)景，提出了惡意軟件測(cè)試運(yùn)行的要求，規(guī)定了

惡意軟件攻防過(guò)程中，檢測(cè)環(huán)境搭建、數(shù)據(jù)采集、危害性評(píng)估的方法和依據(jù)。

本文件適用于網(wǎng)絡(luò)安全仿真環(huán)境中的惡意軟件攻危害性測(cè)試和評(píng)估。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25068.1-2020信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第1部分：綜述和概念

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

惡意軟件malware

被專(zhuān)門(mén)設(shè)計(jì)用于損壞或中斷系統(tǒng)、破壞保密性、完整性和/或可用性的軟件。

注：病毒和特洛伊木馬都是惡意軟件。

[GB/T25068.1-2020，定義3.22]

3.2

虛擬機(jī)帶外檢測(cè)out-ofVMdetection

運(yùn)用虛擬化技術(shù)，在特權(quán)虛擬機(jī)中獲取目標(biāo)虛擬機(jī)中的進(jìn)程，內(nèi)存，磁盤(pán)等內(nèi)部狀態(tài)信息，用以檢

測(cè)虛擬機(jī)的異常狀態(tài)，具有透明性，隔離性，可靠性等特點(diǎn)。

3.3

誤報(bào)falsepositive

惡意軟件防護(hù)機(jī)制將正常系統(tǒng)或文件報(bào)為含有惡意軟件，或?qū)⒄２僮鲌?bào)為惡意行為。

3.4

誤報(bào)率rateoffalsepositive

惡意軟件防護(hù)機(jī)制將正常系統(tǒng)或文件報(bào)為含有惡意軟件，或?qū)⒄２僮鲌?bào)為惡意行為的比例。

1

YD/TXXXXX—XXXX

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

VMI：虛擬機(jī)自?。╒irtualMachineIntrospection）

VM：虛擬機(jī)（VirtualMachine）

5測(cè)試對(duì)象

5.1惡意軟件

5.1.1惡意軟件種類(lèi)

惡意軟件應(yīng)至少包含以下種類(lèi)：

a)文件感染型病毒；

b)宏病毒；

c)蠕蟲(chóng)；

d)木馬程序；

e)間諜軟件；

f)腳本惡意程序；

g)后門(mén)程序；

h)僵尸程序；

i)勒索軟件；

j)Rootkit惡意程序；

k)Bootkit惡意程序。

5.1.2惡意軟件屬性

惡意軟件包含以下屬性：

a)惡意軟件使用的戰(zhàn)術(shù)；

b)惡意軟件使用的技術(shù)；

c)惡意軟件的危害性；

d)惡意軟件依賴的軟硬件環(huán)境。

5.2惡意軟件防護(hù)系統(tǒng)

5.2.1惡意軟件防護(hù)系統(tǒng)類(lèi)型

惡意軟件防護(hù)系統(tǒng)按照其運(yùn)行環(huán)境分為以下類(lèi)型：

a)主機(jī)型；

b)網(wǎng)絡(luò)型；

c)嵌入型。

5.2.2惡意軟件防護(hù)系統(tǒng)屬性

a)惡意軟件防護(hù)系統(tǒng)的功能；

b)惡意軟件防護(hù)系統(tǒng)依賴的軟硬件環(huán)境；

c)惡意軟件防護(hù)系統(tǒng)的配置參數(shù)。

2

YD/TXXXXX—XXXX

6測(cè)評(píng)環(huán)境

6.1整體架構(gòu)

網(wǎng)絡(luò)安全仿真測(cè)評(píng)環(huán)境應(yīng)由硬件資源、虛擬網(wǎng)絡(luò)、應(yīng)用模擬、運(yùn)維管理、安全管理、用戶、數(shù)據(jù)采

集、分析評(píng)估等模塊構(gòu)成。

6.2功能要求

網(wǎng)絡(luò)安全仿真測(cè)評(píng)環(huán)境應(yīng)具有以下功能：

a)測(cè)試環(huán)境可以快速生成測(cè)試用例正常運(yùn)行需要的軟硬件環(huán)境和服務(wù)；

b)在測(cè)試過(guò)程中采用VMI等技術(shù)通過(guò)帶內(nèi)、帶外等方式采集獲取各類(lèi)數(shù)據(jù)的能力；

c)能夠?qū)y(cè)試數(shù)據(jù)進(jìn)行存儲(chǔ)、處理、檢索和展示，為分析評(píng)估提供支撐；

d)測(cè)試環(huán)境具有內(nèi)部安全隔離功能，可以同時(shí)獨(dú)立運(yùn)行多個(gè)測(cè)試對(duì)象，互不影響；

e)測(cè)試環(huán)境具有與外部網(wǎng)絡(luò)安全隔離的功能。

7測(cè)試準(zhǔn)備

7.1測(cè)試對(duì)象準(zhǔn)備

對(duì)測(cè)試對(duì)象的準(zhǔn)備工作如下：

a)分析確認(rèn)測(cè)試對(duì)象的類(lèi)別；

b)分析確認(rèn)測(cè)試對(duì)象的屬性。

7.2網(wǎng)絡(luò)安全仿真測(cè)評(píng)環(huán)境初始化

根據(jù)測(cè)試用例的類(lèi)別和屬性，初始化網(wǎng)絡(luò)安全仿真測(cè)評(píng)環(huán)境：

a)按照惡意軟件測(cè)試對(duì)象的特性，配置其運(yùn)行的軟硬件環(huán)境和服務(wù);

b)按照惡意軟件防護(hù)系統(tǒng)的安裝要求，配置軟硬件環(huán)境。

8惡意軟件測(cè)試過(guò)程

8.1惡意軟件攻擊

惡意軟件攻擊過(guò)程如下：

a)偵察：收集信息，偵察目標(biāo)；

b)惡意軟件準(zhǔn)備：對(duì)惡意軟件進(jìn)行配置，做好攻擊準(zhǔn)備；

c)投放：根據(jù)惡意軟件的屬性，通過(guò)電子郵件、網(wǎng)絡(luò)、USB等方式進(jìn)行投放；

d)利用：利用目標(biāo)系統(tǒng)上的漏洞執(zhí)行惡意軟件；

e)安裝：安裝惡意軟件；

f)命令與控制：對(duì)目標(biāo)系統(tǒng)通過(guò)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程控制；

g)目標(biāo)達(dá)成：實(shí)現(xiàn)設(shè)定的目標(biāo)，例如竊取數(shù)據(jù)、遠(yuǎn)程控制、進(jìn)行勒索、實(shí)施破壞等。

8.2獲取數(shù)據(jù)

獲取測(cè)試數(shù)據(jù)的方式如下：

a)獲取系統(tǒng)內(nèi)各類(lèi)日志數(shù)據(jù);

3

YD/TXXXXX—XXXX

b)旁路獲取網(wǎng)絡(luò)數(shù)據(jù)；

c)帶外方式獲取數(shù)據(jù)。

9惡意軟件危害性測(cè)評(píng)

9.1測(cè)評(píng)方法

通過(guò)對(duì)惡意軟件結(jié)構(gòu)和特征、傳播機(jī)制、自我保護(hù)機(jī)制和危害性的分析，提出影響惡意軟件危害性

的關(guān)鍵要素。參照GB/T31722-2015《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》，提出惡意軟件危害性

的測(cè)評(píng)方法。

9.2惡意軟件危害性評(píng)估框架和流程

9.2.1危害性要素關(guān)系

惡意軟件危害性評(píng)估中各要素的關(guān)系如圖1所示。

圖1危害性評(píng)估要素關(guān)系圖

圖1中方框部分的內(nèi)容為危害性評(píng)估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。危害

性評(píng)估圍繞著信息系統(tǒng)、傳染性、破壞性和安全措施這些基本要素展開(kāi)，在對(duì)基本要素的評(píng)估過(guò)程中，

需要充分考慮應(yīng)用、信息系統(tǒng)價(jià)值、安全需求、安全事件、殘余危害性等與這些基本要素相關(guān)的各類(lèi)屬

性。

9.2.2危害性分析原理

危害性分析原理如圖2所示。

4

YD/TXXXXX—XXXX

傳染性識(shí)別傳染能力

事件的可能性

安全措施識(shí)別防護(hù)能力

危害性級(jí)別

破壞性識(shí)別破壞能力

事件造成的損失

信息系統(tǒng)識(shí)別信息系統(tǒng)價(jià)值

圖2危害性分析原理圖

危害性分析中要涉及信息系統(tǒng)、安全措施、傳染性、破壞性四個(gè)基本要素，因此要對(duì)這四個(gè)要素包

含的屬性進(jìn)行分析，分別對(duì)其進(jìn)行識(shí)別。危害性分析的主要內(nèi)容為：

a)對(duì)信息系統(tǒng)價(jià)值、防護(hù)能力、傳染性和破壞性進(jìn)行識(shí)別，描述其各自屬性，并對(duì)四個(gè)要素進(jìn)行

賦值；

b)根據(jù)傳染能力及防護(hù)能力判斷惡意軟件安全事件發(fā)生的可能性；

c)根據(jù)破壞能力及惡意軟件安全事件所作用的信息系統(tǒng)的價(jià)值計(jì)算惡意軟件安全事件造成的損

失；

d)根據(jù)惡意軟件安全事件發(fā)生的可能性以及安全事件出現(xiàn)后造成的損失，計(jì)算惡意軟件安全事件

一旦發(fā)生對(duì)信息系統(tǒng)的影響，即危害性級(jí)別。

9.2.3實(shí)施流程

危害性評(píng)估的實(shí)施流程如下圖3所示。

圖3危害性評(píng)估實(shí)施流程圖

5

YD/TXXXXX—XXXX

9.3惡意軟件危害性評(píng)估實(shí)施

9.3.1信息系統(tǒng)識(shí)別

9.3.1.1信息系統(tǒng)分類(lèi)

危害性評(píng)估中信息系統(tǒng)的價(jià)值不是以信息系統(tǒng)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由信息系統(tǒng)所處行業(yè)重要性

及所處理業(yè)務(wù)重要性綜合評(píng)判的結(jié)果。

9.3.1.2信息系統(tǒng)重要性等級(jí)

參照GB/T22240-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》中4.1安全保護(hù)等級(jí)定義，將

信息系統(tǒng)劃分為五個(gè)等級(jí)，級(jí)別越高表示信息系統(tǒng)越重要。表1表明了不同等級(jí)的重要性的綜合描述。

表1信息系統(tǒng)等級(jí)劃分表

等級(jí)標(biāo)識(shí)描述

5很高非常重要，受到惡意軟件破壞后會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重危害

重要，受到惡意軟件破壞后會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重危害，或者對(duì)國(guó)家安

4高

全造成嚴(yán)重危害

比較重要，受到惡意軟件破壞后會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重危害，或者對(duì)國(guó)家安

3中等

全造成危害

一般重要，受到惡意軟件破壞后會(huì)對(duì)相關(guān)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p

2低

害或特別嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成危害，但不危害國(guó)家安全

不重要，受到惡意軟件破壞后會(huì)對(duì)相關(guān)公民、法人和其他組織的合法權(quán)益造成一般損害，

1很低

但不危害國(guó)家安全、社會(huì)秩序和公共利益

9.3.2安全措施識(shí)別

9.3.2.1安全措施識(shí)別內(nèi)容

安全措施的識(shí)別以信息系統(tǒng)的部署的惡意軟件防護(hù)措施為依據(jù)，從而對(duì)信息系統(tǒng)的安全防護(hù)能力進(jìn)

行評(píng)估。

9.3.2.2防護(hù)能力賦值

針對(duì)同一惡意軟件，根據(jù)采取不同的安全防護(hù)措施，可依據(jù)表2對(duì)防護(hù)能力進(jìn)行賦值，其中1表示防

護(hù)能力最高，5表示防護(hù)能力最低，如果采用了多種安全措施，以防護(hù)能力最高值賦值。

表2防護(hù)能力賦值表

賦值參數(shù)賦值

靜態(tài)特征檢測(cè)5

邊界防護(hù)3

動(dòng)態(tài)行為檢測(cè)2

基于特征代碼檢測(cè)4

基于啟發(fā)式檢測(cè)3

云查殺2

6

YD/TXXXXX—XXXX

可信計(jì)算防護(hù)1

防護(hù)能力的最終賦值根據(jù)表2計(jì)算得出，對(duì)結(jié)果進(jìn)行等級(jí)劃分，劃分為五級(jí)，分別賦予1-5不等的值，

由此獲得防護(hù)能力的級(jí)別，如表3所示。

表3防護(hù)能力等級(jí)判定表

防護(hù)能力賦值12345

防護(hù)能力等級(jí)12345

9.3.3傳染性識(shí)別

9.3.3.1傳染性識(shí)別內(nèi)容

傳染性的識(shí)別以信息系統(tǒng)的在確定周期內(nèi)監(jiān)測(cè)數(shù)據(jù)為依據(jù)，從而對(duì)惡意軟件進(jìn)行動(dòng)態(tài)評(píng)估。被感染

的獨(dú)立站點(diǎn)數(shù)量、感染的計(jì)算機(jī)臺(tái)數(shù)、地理分布狀況、行業(yè)分布狀況是對(duì)惡意軟件監(jiān)測(cè)的四個(gè)主要屬性。

9.3.3.2傳染性賦值

針對(duì)同一惡意軟件，在一個(gè)監(jiān)測(cè)周期內(nèi)的監(jiān)測(cè)結(jié)果是不同的，當(dāng)其大范圍傳播、感染的時(shí)候，監(jiān)測(cè)

數(shù)據(jù)會(huì)有所上升，但隨著防治措施的落實(shí)，其傳播、感染將得到控制，則監(jiān)測(cè)數(shù)據(jù)必然會(huì)有所下降。根

據(jù)實(shí)際操作的可行性，可依據(jù)表4對(duì)傳染性進(jìn)行賦值，每個(gè)監(jiān)測(cè)項(xiàng)目根據(jù)實(shí)際監(jiān)測(cè)結(jié)果，分別賦予1-5

不等的值。

表4惡意軟件傳染性賦值表

賦值

賦值參數(shù)

54321

被感染的獨(dú)立站點(diǎn)數(shù)量（個(gè)）：542-310

感染的計(jì)算機(jī)的數(shù)量（臺(tái)）：>500300-500100-30010-100<10

感染的地理分布狀況（省市自治區(qū)）：53-4210

感染的行業(yè)分布狀況（重點(diǎn)行業(yè)）：53-4210

傳染性的最終賦值根據(jù)表4經(jīng)過(guò)各項(xiàng)參數(shù)取值相加得出，對(duì)結(jié)果進(jìn)行等級(jí)劃分，劃分為五級(jí)，分別

賦予1-5不等的值，由此獲得傳染性等級(jí)值，如表5所示。

表5傳染性等級(jí)判定表

傳染性賦值1-67-1011-1415-1819-20

傳染性等級(jí)12345

9.3.4破壞性識(shí)別

9.3.4.1破壞性識(shí)別內(nèi)容

惡意軟件的破壞性識(shí)別可以通過(guò)傳播性、破壞力和復(fù)雜性三個(gè)屬性來(lái)描述。

9.3.4.2破壞性賦值

惡意軟件傳播性賦值如表6所示。

7

YD/TXXXXX—XXXX

表6惡意軟件傳播性賦值表·

賦值參數(shù)賦值

通過(guò)文件3

通過(guò)郵件4

傳播途徑通過(guò)局域網(wǎng)4

通過(guò)互聯(lián)網(wǎng)（郵件除外）5

通過(guò)移動(dòng)存儲(chǔ)設(shè)備4

利用系統(tǒng)漏洞傳播4

利用應(yīng)用軟件漏洞傳播4

傳播方式利用系統(tǒng)配置缺陷傳播3

利用社會(huì)工程方法傳播4

不依賴人的操作5

惡意軟件破壞力賦值如表7所示。

表7惡意軟件破壞力賦值表

賦值參數(shù)賦值

刪除/修改文件4

具有觸發(fā)事件3

造成網(wǎng)絡(luò)阻塞4

具有持續(xù)網(wǎng)絡(luò)主動(dòng)傳播能力5

造成系統(tǒng)癱瘓4

獲取敏感信息4

賦值參數(shù)賦值

系統(tǒng)性能降低3

網(wǎng)絡(luò)性能降低3

改變系統(tǒng)配置4

造成打印機(jī)或其它網(wǎng)絡(luò)連接設(shè)備的故障3

進(jìn)程注入5

對(duì)其他進(jìn)程進(jìn)行控制5

具有自我保護(hù)功能5

具有進(jìn)一步的攻擊4

惡意軟件復(fù)雜性賦值如表8所示。

表8惡意軟件復(fù)雜性賦值表

賦值參數(shù)賦值

是否不具有或者難以獲取補(bǔ)丁程序4

是否利用新的攻擊技術(shù)4

是否具有復(fù)合型傳染方式4

是否不容易清除3

當(dāng)前技術(shù)是否具有抵抗惡意軟件的能力5

8

YD/TXXXXX—XXXX

是否由于數(shù)據(jù)損壞、信息丟失造成了信譽(yù)危機(jī)或法律責(zé)任4

傳播性、破壞力和復(fù)雜性的最終賦值可以分別根據(jù)表6、表7、表8經(jīng)過(guò)各項(xiàng)參數(shù)取值相加得出，對(duì)

得出的結(jié)果進(jìn)行等級(jí)劃分，劃分為五級(jí)，分別賦予1-5不等的值，由此，分別獲得傳播性、破壞力和復(fù)

雜性的等級(jí)值，如表9、表10、表11所示。

表9傳播性等級(jí)判定表

傳播性賦值1-56-1111-2526-3334-40

傳播性等級(jí)12345

表10破壞力等級(jí)判定表

破壞力賦值1-56-1011-2829-4546-56

破壞力等級(jí)12345

表11復(fù)雜性等級(jí)判定表

復(fù)雜性賦值1-56-1011-1516-2021-24

復(fù)雜性等級(jí)12345

9.4惡意軟件危害性分級(jí)

9.4.1級(jí)別分類(lèi)

惡意軟件危害性分級(jí)用于評(píng)估對(duì)信息系統(tǒng)的安全影響，并且把它們對(duì)信息系統(tǒng)的威脅劃分出明確的

等級(jí)。這些要素被分別按照相應(yīng)指標(biāo)進(jìn)行級(jí)別劃分，然后再進(jìn)行綜合評(píng)定就可以得到總體的危害性級(jí)別，

共分為5級(jí)，其中五級(jí)表示最高級(jí)別，依次降低。

9.4.2危害性級(jí)別定義

9.4.2.1五級(jí)（特大）

本級(jí)別表示惡意軟件可以造成大范圍公共網(wǎng)絡(luò)或者專(zhuān)用網(wǎng)絡(luò)的擁塞、癱瘓；無(wú)法進(jìn)行數(shù)據(jù)傳輸和交

換；或者造成信息系統(tǒng)大范圍受到攻擊或者專(zhuān)用信息系統(tǒng)受到攻擊，導(dǎo)致系統(tǒng)癱瘓或者嚴(yán)重的信息泄漏。

9.4.2.2四級(jí)（重大）

本級(jí)別表示惡意軟件可以通過(guò)網(wǎng)絡(luò)傳播。并且能夠造成部分網(wǎng)絡(luò)或者信息系統(tǒng)癱瘓；或者存在潛在

的敏感信息泄漏途徑；或者刪除數(shù)據(jù)；或者對(duì)特定目標(biāo)發(fā)動(dòng)攻擊。

9.4.2.3三級(jí)（嚴(yán)重）

本級(jí)別表示惡意軟件不能通過(guò)網(wǎng)絡(luò)傳播，但是嚴(yán)重影響信息系統(tǒng)正常運(yùn)行或者造成數(shù)據(jù)丟失；或者

能夠通過(guò)網(wǎng)絡(luò)傳播，但不具有特別顯著的破壞性。

9.4.2.4二級(jí)（一般）

本級(jí)別表示惡意軟件影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行或者改變?cè)泄δ堋?/p>

9

YD/TXXXXX—XXXX

9.4.2.5一級(jí)（輕微）

本級(jí)別表示惡意軟件不具有直接對(duì)網(wǎng)絡(luò)和系統(tǒng)的破壞性。

A

附錄A

（資料性）

惡意軟件危害性計(jì)算方法

A.1破壞性級(jí)別的計(jì)算

破壞性級(jí)別是由傳播性、破壞力和復(fù)雜性經(jīng)過(guò)綜合評(píng)判得來(lái)的，因此在計(jì)算惡意軟件危害性級(jí)別之

前，首先要對(duì)破壞性級(jí)別進(jìn)行計(jì)算，采用相乘法用公式（1）來(lái)計(jì)算。

相乘法主要用于兩個(gè)或多個(gè)要素值確定一個(gè)要素值的情形，即z=f(x,y)=xy，當(dāng)f為增量函數(shù)時(shí)，

可以為直接相乘，也可以為相乘后取模等。

通過(guò)上文表9至表11得到傳播性、破壞力和復(fù)雜性等級(jí)值之后，可以采用相乘法得到破壞性級(jí)別值。

采用的計(jì)算模型方法如下：

當(dāng)某一屬性由三個(gè)參數(shù)確定時(shí)，用公式(1)進(jìn)行計(jì)算，計(jì)算的結(jié)果四舍五入取整。

fun(x,y,z)=xyz

(1)

由此，可以計(jì)算得到破壞性級(jí)別值，從而完成對(duì)破壞性的識(shí)別。

10

YD/TXXXXX—XXXX

A.2危害性級(jí)別的計(jì)算

在完成了信息系統(tǒng)、傳染性和破壞性的識(shí)別之后，將采用適當(dāng)?shù)姆椒ㄅc工具確定惡意軟件危害性級(jí)

別的可能性。

在危害性計(jì)算中，通常需要對(duì)兩個(gè)要素確定的另一個(gè)要素進(jìn)行計(jì)算，因此，提出兩種方法進(jìn)行計(jì)算。

第一種方法可以采用相乘法；第二種方法可以采用矩陣法，矩陣法的原理如下。

首先需要確定二維計(jì)算矩陣，矩陣內(nèi)各個(gè)要素的值根據(jù)具體情況和函數(shù)遞增情況采用數(shù)學(xué)方法確

定，然后將兩個(gè)元素的值在矩陣中進(jìn)行比對(duì)，行列交叉處即為所確定的計(jì)算結(jié)果。

矩陣法的原理是：

x=x,x,,x,,xx

12im，1≤i≤m,i為正整數(shù)

y=y,y,,y,,yy

12jn，1≤j≤n,j為正整數(shù)

以要素x和要素y的取值構(gòu)建一個(gè)二維矩陣，如表11所示。矩陣行值為要素y的所有取值，矩陣列值

zzzzz=,,,,,

為要素x的所有取值。矩陣內(nèi)mn個(gè)值即為要素z的取值，1112ijmn，

z

1≤≤,1≤≤,ij為正整數(shù)。

表A.1矩陣構(gòu)造

y

xy1y2…yj…yn

x1z11z12…z1j…z1n

x2z21z22…z2j…z2n

…

xizi1zi2…zij…zin

…

xmzm1zm2…zmj…zmn

z的計(jì)算需要根據(jù)實(shí)際情況確定，矩陣內(nèi)zij值的計(jì)算不一定遵循統(tǒng)一的計(jì)算公式，但必須具有統(tǒng)一

的增減趨勢(shì)，即如果f是遞增函數(shù)，zij值應(yīng)隨著xi與yj的值遞增，反之亦然。

矩陣法在危害性分析計(jì)算中有廣泛的采用，具體方法如下：

a)計(jì)算惡意軟件事件發(fā)生的可能性

在完成了傳染性和安全措施的識(shí)別之后，構(gòu)造惡意軟件安全事件發(fā)生可能性矩陣，如表A.2所示。

表A.2惡意軟件安全事件發(fā)生可能性矩陣

傳染性

12345

防護(hù)能力

12471114

236101317

359121620

4711141822

11

YD/TXXXXX—XXXX

5812172025

然后根據(jù)傳染性級(jí)別值和防護(hù)能力級(jí)別值在矩陣中進(jìn)行對(duì)照，確定惡意軟件安全事件發(fā)生可能性

值，并通過(guò)表A.3對(duì)該值進(jìn)行等級(jí)劃分，劃分為五級(jí)，分別賦予1-5不等的值。

表A.3惡意軟件安全事件發(fā)生可能性等級(jí)劃分

安全事件發(fā)生可能性值1-56-1112-1617-2122-25

發(fā)生可能性等級(jí)值12345

b)計(jì)算惡意軟件安全事件造成的損失

在完成了破壞性和信息系統(tǒng)的識(shí)別之后，構(gòu)造惡意軟件安全事件造成的損失矩陣，如表A.4所示。

表A.4惡意軟件安全事件損失矩陣

破壞性

信息系12345

統(tǒng)價(jià)值

12461013

23591216

347111520

458141922

5610162125

然后根據(jù)破壞性級(jí)別值和信息系統(tǒng)級(jí)別值在矩陣中進(jìn)行對(duì)照，確定惡意軟件安全事件造成的損失值

并通過(guò)表A.5對(duì)該值進(jìn)行等級(jí)劃分，劃分為五級(jí)，分別賦予1-5不等的值。

表A.5惡意軟件安全事件損失等級(jí)劃分

惡意軟件安全事件損失值1-56-1011-1516-2122-25

安全事件損失等級(jí)值12345

c)計(jì)算惡意軟件危害性級(jí)別

在分別得到惡意軟件安全事件發(fā)生可能性等級(jí)和惡意軟件安全事件損失等級(jí)之后，構(gòu)造惡意軟件危

害性矩陣，如表A.6所示。

表A.6惡意軟件危害性級(jí)別矩陣

可能性

12345

造成損失

13691216

258111518

369131721

4711162023

5914202325

然后根據(jù)惡意軟件安全事件發(fā)生可能性等級(jí)值和惡意軟件安全事件損失等級(jí)值在矩陣中進(jìn)行對(duì)照，

確定惡意軟件危害性值。最終根據(jù)該值，通過(guò)表A.7判定惡意軟件危害性級(jí)別。

12

YD/TXXXXX—XXXX

表A.7惡意軟件危害性等級(jí)劃分

惡意軟件危害性值1-67-1213-1819-2324-25

惡意軟件危害性等級(jí)一級(jí)二級(jí)三級(jí)四級(jí)五級(jí)

根據(jù)上述介紹的計(jì)算方法，可以最終確定惡意軟件危害性級(jí)別。

_________________________________

13

YD/TXXXXX—XXXX

目次

前言................................................................................II

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語(yǔ)和定義.........................................................................1

4縮略語(yǔ)..............................................................................2

5測(cè)試對(duì)象...........................................................................2

5.1惡意軟件.......................................................................2

5.2惡意軟件防護(hù)系統(tǒng)...............................................................2

6測(cè)評(píng)環(huán)境...........................................................................3

6.1整體架構(gòu).......................................................................3

6.2功能要求.......................................................................3

7測(cè)試準(zhǔn)備...........................................................................3

7.1測(cè)試對(duì)象準(zhǔn)備...................................................................3

7.2網(wǎng)絡(luò)安全仿真測(cè)評(píng)環(huán)境初始化.....................................................3

8惡意軟件測(cè)試過(guò)程...................................................................3

8.1惡意軟件攻擊...................................................................3

8.2獲取數(shù)據(jù).......................................................................3

9惡意軟件危害性評(píng)估.................................................................4

9.1評(píng)估準(zhǔn)則.......................................................錯(cuò)誤!未定義書(shū)簽。

9.2惡意軟件危害性評(píng)估框架和流程...................................................4

9.3惡意軟件危害性評(píng)估實(shí)施.........................................................6

9.4惡意軟件危害性分級(jí).............................................................9

附錄A（資料性）惡意軟件危害性計(jì)算方法.........................................10

A.1破壞性級(jí)別的計(jì)算................................................................10

A.2危害性級(jí)別的計(jì)算................................................................11

I

YD/TXXXXX—XXXX

網(wǎng)絡(luò)安全仿真惡意軟件危害性測(cè)評(píng)方法

1范圍

本文件面向網(wǎng)絡(luò)安全仿真環(huán)境，分析惡意軟件攻防場(chǎng)景，提出了惡意軟件測(cè)試運(yùn)行的要求，規(guī)定了

惡意軟件攻防過(guò)程中，檢測(cè)環(huán)境搭建、數(shù)據(jù)采集、危害性評(píng)估的方法和依據(jù)。

本文件適用于網(wǎng)絡(luò)安全仿真環(huán)境中的惡意軟件攻危害性測(cè)試和評(píng)估。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25068.1-2020信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第1部分：綜述和概念

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

惡意軟件malware

被專(zhuān)門(mén)設(shè)計(jì)用于損壞或中斷系統(tǒng)、破壞保密性、完整性和/或可用性的軟件。

注：病毒和特洛伊木馬都是惡意軟件。

[GB/T25068.1-2020，定義3.22]

3.2

虛擬機(jī)帶外檢測(cè)out-ofVMdetection

運(yùn)用虛擬化技術(shù)，在特權(quán)虛擬機(jī)中獲取目標(biāo)虛擬機(jī)中的進(jìn)程，內(nèi)存，磁盤(pán)等內(nèi)部狀態(tài)信息，用以檢

測(cè)虛擬機(jī)的異常狀態(tài)，具有透明性，隔離性，可靠性等特點(diǎn)。

3.3

誤報(bào)falsepositive

惡意軟件防護(hù)機(jī)制將正常系統(tǒng)或文件報(bào)為含有惡意軟件，或?qū)⒄２僮鲌?bào)為惡意行為。

3.4

誤報(bào)率rateoffalsepositive

惡意軟件防護(hù)機(jī)制將正常系統(tǒng)或文件報(bào)為含有惡意軟件，或?qū)⒄２僮鲌?bào)為惡意行為的比例。

1

YD/TXXXXX—XXXX

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

VMI：虛擬機(jī)自省（VirtualMachineIntrospection）

VM：虛擬機(jī)（VirtualMachine）

5測(cè)試對(duì)象

5.1惡意軟件

5.1.1惡意軟件種類(lèi)

惡意軟件應(yīng)至少包含以下種類(lèi)：

a)文件感染型病毒；

b)宏病毒；

c)蠕蟲(chóng)；

d)木馬程序；

e)間諜軟件；

f)腳本惡意程序；

g)后門(mén)程序；

h)僵尸程序；

i)勒索軟件；

j)Rootkit惡意程序；

k)Bootkit惡意程序。

5.1.2惡意軟件屬性

惡意軟件包含以下屬性：

a)惡意軟件使用的戰(zhàn)術(shù)；

b)惡意軟件使用的技術(shù)；

c)惡意軟件的危害性；

d)惡意軟件依賴的軟硬件環(huán)境。

5.2惡意軟件防護(hù)系統(tǒng)

5.2.1惡意軟件防護(hù)系統(tǒng)類(lèi)型

惡意軟件防護(hù)系統(tǒng)按照其運(yùn)行環(huán)境分為以下類(lèi)型：

a)主機(jī)型；

b)網(wǎng)絡(luò)型；

c)嵌入型。

5.2.2惡意軟件防護(hù)系統(tǒng)屬性

a)惡意軟件防護(hù)系統(tǒng)的功能；

b)惡意軟件防護(hù)系統(tǒng)依賴的軟硬件環(huán)境；

c)惡意軟件防護(hù)系統(tǒng)的配置參數(shù)。

2

YD/TXXXXX—XXXX

6測(cè)評(píng)環(huán)境

6.1整體架構(gòu)

網(wǎng)絡(luò)安全仿真測(cè)評(píng)環(huán)境應(yīng)由硬件資源、虛擬網(wǎng)絡(luò)、應(yīng)用模擬、運(yùn)維管理、安全管理、用戶、數(shù)據(jù)采

集、分析評(píng)估等模塊構(gòu)成。

6.2功能要