ICS 35.240.01
CCS L67
YD
中 华 人 民 共 和 国 通 信 行 业 标 准
YD/T 4587—2023
网络空间安全仿真 术语
Cybersecurity emulation——Terminology
2023-12-20发布 2024-04-01实施
中华人民共和国工业和信息化部 发 布
YD/T 4587—2023
目 次
前言………………………………………………………………………………………………………………………………………………………………………………………………XX
1 范围………………………………………………………………………………………………………………………………………………………………………………………………………1
2 规范性引用文件………………………………………………………………………………………………………………………………………………………………………………1
3 术语和定义…………………………………………………………………………………………………………………………………………………………………………………………1
4 术语分类…………………………………………………………………………………………………………………………………………………………………………………………38
4.1 基础名词……………………………………………………………………………………………………………………………………………………………………38
4.2 数据管理……………………………………………………………………………………………………………………………………………………………………39
4.3 平台和技术……………………………………………………………………………………………………………………………………………………………………………40
4.4 测试评估………………………………………………………………………………………………………………………………………………………………………………43
4.5 管理和服务…………………………………………………………………………………………………………………………………………………………………………44
参考文献………………………………………………………………………………………………………………………………………………………………………………………47
索引……………………………………………………………………………………………………………………………………………………………………………………………………………48
汉语拼音索引………………………………………………………………………………………………………………………………………………………………………………………48
英文对应词索引………………………………………………………………………………………………………………………………………………………………62
YD/T 4587—2023
前 言
本文件按照GB/T1.1—2020《标准化工作导则 第一部分：标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国通信标准化协会提出并归口。
本文件起草单位：鹏城实验室、广州大学网络空间先进技术研究院、哈尔滨工业大学、中国电信集团有限公司、国家计算机网络应急处理协调中心、中国信息通信研究院、北京邮电大学、北京理工大学、湖南星汉数智科技有限公司、四川亿览态势科技有限公司、中国电子信息产业集团有限公司第六研究所、中汽创智科技有限公司、中国南方电网有限责任公司、华信咨询设计研究院有限公司、贵州国卫信安科技有限公司、北京奇虎科技有限公司、北京理工大学、华中科技大学、武汉大学、西安邮电大学、郑州信大捷安信息技术股份有限公司、深圳华大生命科学研究院、广东为辰信息科技有限公司、电子科技大学、博智安全科技股份有限公司、中电长城网际安全技术研究院（北京）有限公司。
本文件主要起草人：李树栋、贾焰、陶莎、韩伟红、舒敏、金华敏、田志宏、顾钊铨、柳扬、胡宁、罗翠、黄九鸣、李润恒、谢玮、杨祎巍、杨彦召、薛信钊、韩兰胜、龙翔、王帅、孙小平、谷勇浩、王东滨、钱晓斌、张勇、闫斐、刘为华、丁勇、张鹏程、赵焕宇、罗蕾、危胜军、崔涛、杨刚、傅涛、林飞。
Ⅲ
YD/T4587—2023
网络空间安全仿真 术语
1 范围
本文件界定了网络空间安全仿真领域中基本或通用概念的术语和定义，并对其进行了分类。
本文件适用于规范和指导对网络空间安全仿真领域概念的理解、其他网络空间安全仿真标准的制定以及网络空间安全仿真技术的国内外交流等。
2 规范性引用文件
本文件没有规范性引用文件。
3 术语和定义
3.1
网络空间安全仿真 cyberspace security emulation
通过虚拟环境与真实设备相结合，模拟仿真出真实网络空间攻防作战环境，能够支撑网络空间作战能力研究和网络空间武器装备验证试验平台。
3.2
网络空间安全仿真平台 cyberspace security emulation platform
网络靶场 cyber range
一种大型网络仿真测试平台，平台支持：为网络安全技术和产品提供定量与定性评估，为网络安全培训和实验提供安全可控的设施，为模拟真实的网络攻防作战提供虚拟环境。
3.3
事态 event
一组特定情形的发生或改变。
注1：一个事态可能是一个或多个发生，并可能有多种原因。
注2：一个事态可能由一些未发生的事情组成。
注3：一个事态可能有时被称为“事件”或“事故”。
[来源：GB/T 29246—2017,2.25]
1
YD/T4587—2023
3.4
测试和评估事态 test & evaluation event
以验证和检验特定标准或需求为目的的事态。
3.5
练习事态 exercise event
以评估在当前战术、技术和程序下的操作稳定性为目的的事态。
3.6
培训事态 training event
以培训个体或团队为目的的事态，主要关注于增强个人或团队集体的网络安全仿真能力。
注：相比练习事态，培训事态很少聚焦于评估事态。
3.7
试验事态 experimentation event
以探索新假设或验证、评估假设为目的的事态。
3.8
演示事态 demonstration event
以向目标观众展示网络安全仿真能力为目的的事态。
3.9
战术、技术和程序开发事态 tactics, techniques and procedure development event
以为网络防护演习任务开发战术、技术和程序为目的的事态。
3.10
任务演练事态 mission rehearsal event
网络防护演习或模拟战时操作涉及到以训练和评估为目的的事态。
3.11
白帽子 white hat
对网络或联网系统进行未授权访问，但无意窃取信息或造成损坏的个人。
注：白帽子的动因被认为是想了解系统如何工作，或是想证明或反驳现有安全措施的有效性。
[来源：GB/T 25069—2022,3.243有修改：术语名称“黑客hacker”改为“白帽子white hat”]3.12
网络攻击 network attack
通过计算机、路由器等计算资源或网络资源，利用网络中存在的漏洞和安全缺陷实施的一种行为。
[来源：GB/T 37027—2018,3.1]
2
YD/T 4587—2023
3.13
网络安全 cyber security
网络空间安全 cyberspace security
在网络空间中对信息保密性、完整性和可用性的保持。
[来源：ISO/IEC 27032:2012,4.20]
3.14
网络安全仿真能力 cyberspace security emulation capability
网络空间特定的服务或技术，用资产仿真实现某种特定网络安全需求。
3.15
事件 incident
试图改变目标状态，并造成或可能造成损害的行为的发生。
[来源：GB/T 20945—2013,3.1]
3.16
安全审计 security audit
对事件进行记录和分析，并针对特定事件采取相应比较的动作。
[来源：GB/T20945—2013,3.2]
3.17
信息系统安全审计产品 information system security audit product
对信息系统的事件进行记录和分析，并针对特定事件采取相应比较动作的产品。
[来源：GB/T 20945—2013,3.3]
3.18
网络安全漏洞 cybersecurity vulnerability
计算机网络和信息系统在需求分析、设计、实现、配置、测试、运行、维护等过程中，有意或无意产生的缺陷或薄弱点。这些缺陷或薄弱点以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对计算机网络和信息系统的安全造成损害，从而影响计算机网络和信息系统的正常运行。
[来源：GB/T28458—2020,3.2, 有修改]
3.19
资产 asset
对个人、组织、政府具有价值的任何东西。
[来源：ISO/IEC 27032:2012,4.6, 有修改]
3
YD/T 4587—2023
3.20
脆弱性 vulnerability
可能被一个或多个威胁利用的资产或控制的弱点。
[来源：GB/T 29246—2017,2.89]
3.21
威胁 threat
可能对系统或组织造成危害的不期望事件的潜在原由。
[来源：GB/T29246—2017,2.83]
3.22
探针 probe
从被观察的信息系统中，通过感知、监测等收集事态数据的一种部件或代理。
3.23
数据源 data source
在网络靶场中采集日志、流量等数据的对象，也称为采集对象。
3.24
采集器 data acquisition unit
从数据源获取数据的组件或系统。
3.25
日志数据 log data
记录并存储在日志记录中的日志事态信息。
[来源：ISO 26430-4:2009,5.1]
3.26
网络流量 network traffic
网络上传输的通信数据，包括网络协议封装格式信息以及封装的净负载信息，或基于这些信息不同维度的处理数据。
3.27
资产验证 asset verification
验证部署在事态中的资产是否满足相应的需求规范的过程。
3.28
控制数据 control data
直接影响事态执行顺序或结果的数据。
4
YD/T 4587—2023
3.29
控制数据交换模型 control data exchange model
包含控制数据的定义和交换这些控制数据的协议的定义的模型。
注：可能需要软件架构在控制平面上自动化进行数据的交换。
3.30
数据分析 data analysis
结合事态模型分析事态数据。这个活动包括事态分析员生成报告，该活动在试验执行后进行。
3.31
数据聚合 data aggregation
以监控、关联性分析为目的，从多个源头（如探针和日志等）收集试验数据并进行数据合并的过程。3.32
数据存档 data archiving
压缩和存储实验数据以供后续查询或分析等操作的过程。
3.33
数据收集计划 data collection plan
描述在事态阶段（特别是在事态执行期间）应该在何地、何时和如何收集存储数据的计划，用来支持事态度量和数据分析的计算。
3.34
数据收集日志 data collection log
由系统或设备在一段时间内记录的数据收集的状态。
3.35
事态数据 event data
事态执行过程中收集到的数据，包含软件程序、日志、事态、状态及相对状态。
注：部分数据（在数据收集计划中定义——分析计划的一部分）可能适用于实时分析。有些数据可能只有在执行后可获取。这个数据在分析计划中定义，其格式在时间模型和时间计划中描述。
3.36
简化数据 reduced data
在事态后创建的数据，包含汇总数据和概要的重要指标。
3.37
复用数据 reusable data
在新的事态中重用历史事态中生成的数据。这样的数据包含初始化数据、定义的场景、事态模型定义、脚本等。
5
YD/T 4587—2023
3.38
初始化数据 initialization data
在事态执行开始，用于初始化事态操作环境的数据。
3.39
装备数据 instrumentation data
在事态操作环境中使用装备或系统收集到的数据。检测数据是事态数据的重要子集。
3.40
场景知识 scenario knowledge
特定试验相关的知识子图构成的知识，包括试验的硬件组成、网络拓扑、部署的各种软件版本、相关的安全漏洞、试验过程产生的安全事态，以及这些要素之间的关联关系。
3.41
网络安全知识 cyber security knowledge
各种系统安全模型、概念、协议、算法、风险、漏洞和攻击及防护模式等网络安全相关的信息。
3.42
网络安全试验知识 cyber security experiment knowledge
在网络安全攻防试验过程中的信息，包括但不限于网络拓扑、攻击场景等。
3.43
网络安全知识库 cyber security knowledge base
存储当前已知的各种系统安全漏洞和攻击模式等网络安全知识以及其所对应软件版本和硬件型号的知识库，是用于支撑网络安全检测的基础知识库。
3.44
多元网络安全知识 multiple cyber security knowledge
网络安全背景下的多主体、多客体关联知识。
注：传统知识表达一般采用主体、谓语、客体三元组的形式，无法表达多主体、多客体情形。网络安全知识中的安全事态，通常指特定时刻特定环境中发生的一次具体行为，涉及到多个发起者和多个攻击目标之间的复杂关联，不可拆分成孤立的多条三元组。
3.45
多模态网络仿真数据 multimodal cyber simulation data
网络仿真平台环境需监测和管理的数据类型存在多种模态，包括非结构化的资源数据、半结构化的流量数据、结构化的网络安全事态数据；存在大文件数据高吞吐量加载、碎片化状态数据高速入库、试验配置数据瞬时高并发访存等需求。
6
YD/T 4587—2023
3.46
聚合查询 aggregated query
多数据合并的查询，它通过包含一个聚合函数来汇总来自多个行的信息。
3.47
试验配置数据 experiment configuration data
试验设计和系统设置相关的配置数据。
3.48
试验运行数据 experiment operation data
试验流程中系统运行产生的数据。
3.49
试验资源数据 experiment resource data
支撑试验完成的系统资源数据。
3.50
系统运维数据 system operation data
系统运维管理产生的数据。
3.51
试验数据 experiment data
试验的整个过程中采集和分析产生的数据。
3.52
结构化数据 structured data
一种数据表示形式，按此种形式，由数据元素汇集而成的每个记录的结构都是一致的并且可以使用关系模型予以有效描述。
[来源：GB/T35295—2017,2.2.13]
3.53
非结构化数据 unstructured data
不具有预定义模型或未以预定义方式组织的数据。
[来源：GB/T35295—2017,2.1.25]
3.54
靶标 target
作为事态操作环境的一部分，在事态中作为攻击方的目标。它可以是软件、硬件、系统、平台环境等。
7
YD/T 4587—2023
3.55
靶标资源库 target resource base
网络空间安全仿真环境中存储靶标的基础数据库，可包含真实环境、高仿网络环境、自主模拟环境等，可通过实网、虚拟化技术、容器技术、仿真技术等进行构建，应能支撑攻防演练目标应用场景的构建，如复现特定漏洞环境的靶标、模拟电力、交通、金融等关键基础设施环境的靶标等。
3.56
攻击工具库 attack tool base
存储攻防过程中所使用的攻击工具的基础数据库。攻击工具库应包含信息探测工具、漏洞扫描工具、漏洞利用工具、提权工具、内网渗透工具和其他辅助工具等，可包含国内外公开获取的开源工具、定制化工具等。
3.57
防御工具库 defense tool base
存储攻防过程中所使用的防御工具的基础数据库。防御工具库主要包含访问控制系统、防火墙、安全网关、入侵检测/防御系统、上网行为管理系统、Web应用防火墙、安全审计系统、数据库审计系统、日志审计系统等安全工具，可包含国内外公开获取的开源工具、定制化工具等。
3.58
攻击策略库 attack strategy base
在攻防演练过程中可以采取的攻击方式方法和策略的集合。攻击策略库可以分为基本攻击策略库、扩展攻击策略库和特定攻击策略库。基本攻击策略库包括但不限于Web安全、系统安全、移动安全逆向工程、加密解密、审计取证等攻击策略。扩展攻击策略库可包含新型信息技术伴生安全问题所对应的攻击策略，例如5G安全、工业互联网安全、物联网安全等。特定攻击策略库可包含针对特定靶标环境而制定的攻击策略。
3.59
防御策略库 defense strategy base
在攻防演练过程中针对网络攻击行为的应对方法和策略的集合，同样可分为基本防御策略库、扩展防御策略库和特种防御策略库。
3.60
威胁情报库 threat intelligence base
存储威胁情报信息的基础数据库。应包含主要内容为用于识别和检测威胁的失陷标识，如文件哈希值、IP、域名、程序运行路径、注册表项等，以及相关的归属标签。
8
YD/T 4587—2023
3.61
测试工具库 test tool base
网络空间安全仿真平台及靶标测试相关的工具集合。可包括软件检测工具、网络分析工具、压力测试工具、性能测试工具等。
3.62
演练脚本库 drill script base
网络空间安全仿真环境中的攻防演练脚本集合，包含竞赛模式、竞赛流程、所需的支撑资源和演练方需要完成的动作等。
3.63
场景知识图谱 scenario knowledge graph
特定试验相关的构建要素构成的知识图谱，包括试验的硬件组成、网络拓扑、部署的各种软件版本、相关的安全漏洞、试验过程产生的安全事态，以及要素之间的关联关系。
3.64
边缘计算 edge computing
在靠近设备或数据源头的一侧，采用网络、计算、存储、应用等核心网络安全仿真能力为一体的开放平台，就近提供服务。
3.65
实体 entity
存在或者可能存在的任何具体或抽象的事物，包括这些事物间的关联。
[来源：GB/T 5271.17—2010,17.02.05, 有修改]
3.66
证据 evidence
过程和/或产品的直接可测量特性，代表特定活动满足特定要求的客观、可证明的证据。
[来源：ISO/IEC 21827:2008, 3.19]
3.67
本体 ontology
在规定的知识领域中，对具体或抽象事物以及它们之间的关系的说明。
注：规范应可由计算机处理。
[来源：ISO/IEC 19763—3:2010,3.1.1.1]
3.68
知识图谱 knowledge graph
一种以结构化的形式描述客观世界中概念、实体及其关系的方式。它将互联网的海量信息表达成更接近人类认知世界的形式，提供了一种更好地组织、管理和理解互联网海量信息的能力。
9
YD/T 4587—2023
[来源：YD/T 4044—2022, 3.1]
3.69
网络安全知识图谱 cyber security knowledge graph
一种网络空间安全领域的知识图谱。
注：网络安全相关的实体及其关系进行形式化描述。
3.70
实体属性 entity property
实体所具有的特点和性质。
3.71
关系 relation
具有相同属性的各实体值的集合以及这些属性。
[来源：GB/T 5271.17—2010, 17.04.01]
3.72
模型 model
系统、实体、现象或过程的物理、数学或其他逻辑表达形式。
3.73
仿真 emulation
用一个数据处理系统来模仿另一个数据处理系统 使模仿系统与被模仿系统接受相同的数据，执行相同的程序并得到相同的结果。
注：仿真通常通过硬件或固件来实现。
[来源：GB/T 5271.1—2000,01.08.02]
3.74
模拟 simulation
使用数据处理系统来代表物理系统或抽象系统选定的行为特征。
[来源：GB/T5271.1—2000,01.08.01]
3.75
仿真场景 emulation scenario
通过虚拟化、虚实结合和模拟真实生产环境等技术，实现对特定靶标系统的仿真环境搭建，使得仿真环境可仿真出该靶标系统的某些特定业务状态，满足试验评估项目的需要。
10
YD/T 4587—2023
3.76
行为仿真 behavior emulation
以互联网上真实网络行为为目标，在网络安全仿真平台上按需可控的复现过程。
3.77
应用仿真 application emulation
以互联网上真实网络应用为目标，在网络安全仿真平台上按需可控的复现过程。
3.78
协议仿真 protocol emulation
以互联网上真实网络协议为目标，在网络安全仿真平台上按需可控的复现过程。
3.79
现场网络模拟 live cyber simulation
基于真实资产的系统和协议进行的网络模拟。这些资产是有漏洞的，可以通过物理、电磁和/或数字领域手段进行攻击和利用。
注：虽然使用了真实资产，我们也称其为模拟，因为攻击和利用并不是应用于真正的敌方。
3.80
虚拟（网络）模拟 virtual (cyber) simulation
实际资产可能与模拟（或仿真）系统交互以及模拟（或仿真）资产可能与实际系统交互的模拟。
注：当实际资产与真实世界系统的协议级保真度表示进行交互时，其中易于（重新）配置、复制、恢复和物理恢复局限性使得虚拟系统比实时系统更受欢迎，因为没有物理系统表示真实世界的系统，因此虚拟系统只提供网络“攻击”“表面”，即提供协议/数据包接口，但资产内部不易受到非网络攻击。
3.81
合成的流量生成 synthetic traffic generation
流量生成 traffic generation
在事态执行中的事态操作环境里，持续创建合成的流量。
3.82
前景流量 foreground traffic
网络环境中直接由目标应用或服务产生的各种流量，针对互联网上用户的网络行为，仿真出能够产生符合网络用户行为规律的群体用户，能够真实灵活的生成符合个体用户行为特征的个体用户，构建更加真实的互联网场景。
3.83
前景流量计划 foreground traffic plan
用于描述前景流量模拟特性的计划。
11
YD/T 4587—2023
3.84
前景流量模拟 foreground traffic simulation
在可控的网络试验环境下，通过模拟真实网络中的网络服务以及用户的应用操作行为在试验环境中产生与真实网络环境一致或相似的前景流量的过程。
3.85
前景流量模拟服务端 server node for foreground traffic simulation
前景流量模拟系统中用于对各种网络服务模拟的节点，保证相关的网络服务正常使用，为靶场环境提供相应的功能。
3.86
前景流量模拟客户端 client node for foreground traffic simulation
前景流量模拟系统中对应用及服务操作进行模拟的节点，通过模拟应用及服务的操作访问相关的服务端生成对应的前景流量。
3.87
背景流量 background traffic
网络实验环境中不相干应用产生的网络流量，与前景流量共同占用网络资源并影响网络应用的行为。3.88
背景流量计划 background traffic plan
用于描述背景流量模拟特性的计划。
3.89
背景流量模拟 background traffic simulation
在可控的靶场试验环境下，通过可编程的软硬件设施向目标网络注入真实捕获或人工合成的网络流，使用较少的系统资源产生模拟不相干应用的网络流量，提升靶场环境与真实网络环境的相似性。
3.90
背景流量模拟服务端 server node for background traffic simulation
背景流量模拟系统中用于接收和发送模拟流量的节点，与背景流量模拟客户端对应且为同一镜像生成，仅配置文件不同，可能会由于配置文件的变化而发生功能性的转化，即背景流量模拟服务端可能通过修改配置文件转换为背景流量模拟客户端。
3.91
背景流量模拟客户端 client node for background traffic simulation
背景流量模拟系统用于接收和发送流量的节点，可通过配置文件对流量的相应特征进行定义，可定制化的生成实验过程中指定类型的流量并对流量的大小、变化情况进行控制。
12
YD/T 4587—2023
3.92
模拟流量数据包间隔 analog traffic packet interval
通过流量模拟过程中抓取的流量数据进行分析，获取的每个数据包发包时间以及与相邻数据包之间的时间。
3.93
模拟流量数据包大小 analog traffic packet size
通过流量模拟过程中抓取的流量数据进行分析，获取每个数据包发包内容的字节数。
3.94
真实流量数据包间隔 real traffic packet interval
真实网络环境中抓包获取的流量数据中的每个数据包发包时间以及与相邻数据包之间的时间。
3.95
真实流量数据包大小 real traffic packet size
真实网络环境中抓包获取的流量数据中的每个数据包发包内容的字节数。
3.96
数据包模拟延迟 packet delay time
流量回放过程中，标记真实网络环境抓包获取的流量数据中的某个数据包，同时以该数据包在回放中的对应数据包作为流量回放的标记数据包，计算流量数据中数据包与标记数据的时间差，通过对比真实流量数据与回放生成的流量数据中对应数据包的时间差获取数据包模拟延迟时间。
3.97
安全事态 security event
表明一次可能的安全违规或某些控制失效的发生。
[来源：GB/T 20985.1—2017,3.3, 有修改]
3.96
安全事件 security incident
计算机信息系统或网络中的硬件、软件、数据因直接或间接攻击事态而遭受非预期的破坏、更改、占用、泄露等现象。
3.99
信息安全事件 information security incident
与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态。
[来源：GB/T 20985.1—2017,3.4]
13
YD/T 4587—2023
3.100
入侵 intrusion
对网络或联网系统的未授权访问，即对信息系统进行有意或无意的未授权访问，包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。
[来源：ISO/IEC27033—1:2015,3.17]
3.101
入侵检测 intrusion detection
检测入侵的正式过程。该过程一般特征为采集如下知识：异常的使用模式，被利用的脆弱性及其类型、利用的方式，以及何时发生及如何发生。
[来源：ISO/IEC27039:2016,2.17]
3.102
入侵检测系统 intrusion detection system
IDS
用于识别已经被尝试、正在发生或已经发生的入侵行为的信息系统。
[来源：ISO/IEC27039:2016,2.18,有修改]
3.103
渗透 penetration
绕过信息系统安全机制的未授权行为。
[来源：ISO/IEC 27039:2016,2.21]
3.104
渗透测试 penetration testing
以未经授权的动作绕过某一系统的安全机制来检查信息系统的安全功能，以发现信息系统安全问题的手段。
[来源：GB/T25069—2022,3.250]
3.105
重放攻击 replay attack
一种主动攻击方法，攻击者通过记录通信会话，并在以后某个时刻重放整个会话或者会话的一部分。
[来源：GM/Z4001—2013,2.6]
3.106
网络扫描 network scanning
对网络上的在用主机进行鉴识的过程。
[来源：GB/T 25069—2022,3.623]
14
YD/T 4587—2023
3.107
攻击 attack
企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。
[来源：GB/T 29246—2017,2.3]
3.108
攻击特征 attack signature
预先定义的能够发现一次攻击事件正在发生的特定信息。
[来源：GB/T 31499—2015, 定义3.10]
3.109
告警 alert
当检测到安全事态或由此引发的安全事件后，向相关实体发出的告知和警示。
3.110
响应 response
当检测到安全事态或由此引发的安全事件后，按照预设策略而采取的一系列动作。
3.111
可用性 availability
根据授权实体的要求可访问和可使用的特性。
[来源：GB/T 29246—2017,2.9]
3.112
保密性 confidentiality
信息对未授权的个人、实体或过程不可用或不泄露的特性。
[来源：GB/T 29246—2017,2.12]
3.113
高级持续性威胁 advanced persistent threat
APT
精通复杂技术的攻击者利用多种攻击方式对特定目标进行长期持续性网络攻击。
[来源：GB/T37027—2018,3.8]
3.114
沙箱 sandbox
一个虚拟系统程序，为应用程序的运行提供隔离环境。
注：允许在沙箱环境中运行程序，运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境，在其内部运行的程序并不能对存储产生永久性的影响。其为一个独立的虚拟环境，可以用来测试不受信任的应用程
15
YD/T 4587—2023
序或上网行为。
3.115
蜜罐 honeypot
一种如下诱饵系统的通称，用于欺骗、分散、转移和鼓励攻击者，使其把时间花在看似很有价值但实际上是伪造的、合法用户不会感兴趣的信息上。
[来源：ISO/IEC 27039:2016,2.13]
3.116
安全评测 security assessment
基于安全标准的测试与评价活动。
3.117
单步攻击 single step attack
持续时间短、一对一的、简单逻辑的攻击行为，又称基础攻击。基础攻击对应入侵检测、防火墙、沙箱、蜜罐、终端检测等产生的单个事态。
3.118
多步攻击 multi-step attack
多个单步攻击按照一定逻辑关系的排列，在特定的时间和空间条件下，形成一个攻击序列。
3.119
恶意软件 malware
能够影响计算机操作系统、应用程序和数据的完整性、可用性、可控性和保密性的计算机程序或代码的软件。
[来源：GB/T37090—2018,2.1]
3.120
病毒 virus
编制或者在计算机程序中插人的破坏计算机功能或者毁坏数据，影响计算机正常使用，井能自我复制的一组计算机指令或者程序代码。
[来源：GB/T37090—2018,2.2]
3.121
文件感染型病毒 file viruses
以文件为宿主，能够通过将自身包含的恶意代码插人到目标文件中，实现对目标文件的感染。
[来源：GB/T 37090—2018,2.3]
16
YD/T 4587—2023
3.122
宏病毒 macro viruses
利用文档中的宏代码编辑的恶意代码，在允许宏代码运行的条件下，可以在打开文档时运行。
[来源：GB/T 37090—2018,2.4]
3.123
蠕虫 worm
通过信息系统漏洞缺陷或信息系统使用者的弱点主动进行传播的恶意程序。
[来源：GB/T37090—2018,2.5]