术语解读：GB/T 37027-2018 网络攻击定义及描述

术语和定义

1 网络攻击 network attack

通过计算机、路由器等计算资源和网络资源，利用网络中存在的漏洞和安全缺陷实施的一种行为。

 

2 访问控制列表 access control list

由主体以及主体对客体的访问权限所组成的列表。

 

3 安全级别 security level

有关敏感信息访问的级别划分，以此级别加之安全范畴能更精确地控制对数据的访间。

 

4 逻辑炸弹 logic bomb

一种恶性逻辑程序，当被某个特定的系统条件触发时，造成对数据处理系统的损害。

 

5 特洛伊木马 trojan horse

一种表面无害的程序，它包含恶性逻辑程序，可导致未授权地收集、伪造或破坏数据。

注：本标准简称“木马”。

 

6 欺骗 spoofing

似冒成合法的资源或用户。

 

7 威胁 threat

一种潜在的计算机安全违规。

 

8 高级持续性威胁 advanced persistent threat

精通复杂技术的攻击者利用多种攻击方式对特定目标进行长期持续性网络攻击。

 

缩略语

下列缩略语适用于本文件。

APT：高级持续性威胁 (Advanced Persistent Threat)

DoS：拒绝服务攻击 (Denial of Service)

DDoS：分布式拒绝服务攻击 (Distributed Denial of Service)

WWW：万维网 (World Wide Web)

 

网络攻击概述

网络攻击为利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。网络攻击具有动态和迭代性，随着攻击过程的进行，攻击者对目标的掌握和控制程度不断深入，可实施的攻击面越大，可能造成的安全影响也越大。根据网络攻击实施步骤的粗细层次及复杂程度．网络攻击又可分为单步攻击和组合攻击。单步攻击是具有独立的、不可分割的攻击目的的简单网络攻击．组合攻击是单步攻击按照一定逻辑关系或时空顺序进行组合的复杂网络攻击。通常情况下，一个典型的复杂网络攻击过程包括信息收集、攻击工具研发、攻击工具投放、脆弱性利用、后门安装、命令与控制、攻击目标达成等 7 个步骤。典型、多步骤网络攻击过程的详细描述参见附录 A。

 

网络攻击具有多个属性特征，主要包括：

• 攻击源：发动网络攻击的源，它可能为组织、团体或个人。
• 攻击对象：逍受网络攻击并可能导致损失的目标对象。
• 攻击方式：攻击过程中采用的方法或技术，体现网络攻击的原理和细节。网络攻击的关键技术参见附录 B。
• 安全漏洞：攻击过程中所利用的网络或系统的安全脆弱性或弱点。
• 攻击后果：攻击实施后对目标环境和攻击对象所造成的影响和结果。网络攻击各属性特征之间的关系如图 1 所示，其组合关系的分类示例参见附录 C。

 

从生命周期角度看，一次成功的网络攻击涉及的角色（包括参与者和利益相关者）包括4 类：

    a) 网络攻击者：利用网络安全的脆弱性，以破环、窃取或泄露信息系统或网络中的资源为目的，危及信息系统或网络资源可用性的个人或组织，如某黑客组织。

    b) 网络攻击受害者：在网络攻击的活动中，信息、资源或财产受到侵害的一方，如某互联网应用提供商。

    c) 网络攻击检测者：对网络运行和服务、网络活动进行监视和控制，具有对网络攻击进行安全防护职责的组织。

    d) 网络服务提供者：为网络运行和服务提供基础设施、信息和中介、接入等技术服务的网络服务商和非营利组织，如云服务提供商、电信运营商等。

本标准从多个绯度对网络攻击进行描述，并提供一种网络攻击统计方法，以方便实现对网络攻击的统一标识，以及对上报的网络攻击事件的多维度自动化统计。

 

网络攻击多维度描述

第 1 维分类：攻击对象

攻击对象是网络攻击的具体攻击目标，并在攻击成功后可能带来信息泄露、数据篡改、系统不可用等安全影响。一次网络攻击存在一个或多个攻击对象。可以按照攻击对象对网络攻击进行分类描述。

 

第 2 维分类：攻击方式

网络攻击者在对攻击对象实施网络攻击时，会使用各种类型的攻击方式，以实现攻击目标。可以按照攻击方式对网络攻击进行分类描述。

 

第 3 维分类：漏洞利用

网络攻击者在对攻击对象实施成功的网络攻击时，必定利用了攻击对象的某种类型安全漏洞。可以按照安全漏洞对网络攻击进行分类描述。

 

第 4 维分类：攻击后果

一次成功的网络攻击会对攻击对象导致不同的攻击后果。可以按照攻击后果对网络攻击进行分类描述。

 

第 5 维分类：严重程度

严重程度用于反映网络攻击的严重性，可以定性或定量表示。网络攻击的严重程度可通过多个攻击属性综合评价获得，例如从攻击后果影响和攻击可利用程度两方面进行评价，也可考虑时间、环境对网络攻击的影响综合判断获得。可以按照攻击后果对网络攻击进行分类描述。

 

网络攻击统计项

统计项

网络攻击的统计项如图  所示，包括必选的统计项和可选的统计项。在图 2中，必选的统计项以实线框表示，可选的统计项以虚线框表示。

 

攻击标识

唯一标识每一个攻击事件，并在全局范围内具有唯一性。

 

攻击名称

攻击方式的名称，如“利用 Edge 漏洞的缓冲区溢出攻击”。

 

攻击时间

攻击发生的具体时间，格式采用 GB/T 7408-2005 中的完全表示法的扩展模式。

 

攻击来源类别（可选）

攻击来源指利用网络安全的脆弱性，以破环、窃取或泄露信息系统或网络中的资源为目的，危及信息系统或网络资源可用性的个人、组织或国家。本字段用于描述攻击来源的个人、组织或国家名称。

 

攻击来源定位（可选）

与定位攻击来源相关的信息．例如 IP 地址、域名、AS 号等。

 

攻击方式类别

攻击方式的类别。

 

攻击对象类别

受到攻击的对象类别。

 

攻击对象定位（可选）

与定位攻击对象相关的信息．例如 IP 地址、域名、AS 号等。

 

攻击对象组织（可选）

逍受攻击的人员、组织或国家名称。

 

脆弱性类别

攻击所利用的脆弱性类别。

 

脆弱性编号

攻击所利用的脆弱性编号，包括国内漏洞库编号和国际漏洞库标号，如 CVE2017-l1888。

 

攻击后果类别

攻击造成的后果类别。

 

攻击严重程度

攻击的严重程度可以定性或定量表示。

 

预留项

根据实际工作需要．可以增加 1 个或多个预留项。可以为空，即用占位符表示；也可以为攻击报送单位的名称或代码；也可以为其他相关统计信息或备注等。

 

附录 A（资料性附录）典型网络攻击过程

1 概述

网络攻击的典型过程如图 A1 所示。

 

2 信息收集

在实施网络攻击前，攻击者通过技术手段或社会工程学方法，收集目标系统的各种有关信息，包括外部环境信息、目标系统的配置信息和网络情况、相关人员的邮件及社交关系等。在这个阶段，攻击者会充分、详细地收集各种相关信息，以发现漏洞和脆弱性，为实施网络攻击进行准备。

 

3 攻击工具研发

根据收集到的详尽信息，攻击者确定入佼目标系统的最佳途径，针对性地研制攻击工具，并进行测试验证。最常见的攻击工具是客户端应用程序的数据文件，如带有漏洞利用代码的pdf 文件或 office 文件。

 

4 攻击工具投放

将攻击工具投放到目标系统上。最常见的三种投放方式是电子邮件附件、网站挂马和移动存储介质。

 

5 脆弱性利用

攻击工具被投放到目标系统后．在目标系统中触发攻击代码运行。大多数情况下．利用目标系统的应用程序漏洞或操作系统漏洞来触发执行，也可利用社会工程学方法或系统的机制来触发执行，从而实施网络攻击。

 

6 后门安装

当攻陷目标系统以后，在目标系统上安装远程访间木马、后门等，使攻击者能够长期控制目标系统。后门是指攻击者再次进入目标系统的隐蔽通道；如果攻击者获取了目标系统的存取权限，建立后门就相对容易；如果没有获取相应的系统权限，攻击者需通过木马实现后门。大部分的恶意软件在这个阶段安装。

 

7 命令与控制

攻击者一旦控制目标系统井安装了后门，会控制目标系统与攻击者建立的命令与控制服务器进行通信，以便长期控制目标系统。

 

8 攻击目标达成

攻击者采取行动对目标系统实施攻击，实现攻击目标。常见的攻击目标包括三类：

    1）窃取数据．从目标系统中收集、加密并传送信息；

    2）破坏数据．或者破坏系统；

    3）将目标系统当做跳板．进一步攻击其他系统扩大战果。

 

附录 B（资料性附录） 网络攻击关键技术

1 概述

网络攻击关键技术包括但不限于 B.2~B.11 中的几种，各种技术之间可以是包含关系。通常，攻击者会采用多种攻击技术组合的方法进行网络攻击。

 

2 获取口令

口令攻击的类型包括但不限于：字典攻击、蛮力攻击、组合攻击和社会工程学攻击等。通常，攻击者用下述方法窃取口令：

通过网络监听获得用户口令。尽管这种方法有一定局限性，但攻击者常常能够成功获得他所在网段的所有用户账号和口令。

如果巳知目标用户的账号，通过字典攻击等方法破解用户口令。这种方法不受网段限制，但耗时较长。

如果已知服务器上的用户口令文件，例如 Linux 系统的 Shadow 文件，通过字典攻击等方法破解用户口令。

通过系统中的缺省账户或弱口令进行攻击，往往容易攻击成功。

 

3 安装木马程序

攻击者通过安装木马程序达到各种网络攻击的目的，例如攻击完成后可以方便地再次进入目标网络、通过木马程序消除入侵痕迹等。

 

4 Web 欺骗

Web 欺骗有多种方式，都与网站访问相关。攻击者伪装为合法网页，在网页上提供虚假信息，实施网络攻击。例如，钓鱼网站仿冒真实网站的 URL 地址和页面内容，或利用真实网站的漏洞插入有害的 HTML 代码获取用户的银行／信用卡账号等敏感信息。

 

5 电子邮件攻击

电子邮件攻击包括但不限于：

    a) 电子邮件轰炸，即邮件炸弹，指用伪造的 IP 地址和电子邮件地址不断向同一信箱发送垃圾邮件，致使无法正常收／发／处理电子邮件。

    b) 电子邮件欺骗。攻击者伪装为系统管理员，例如使用与系统管理员相同的邮件地址，进行各种欺骗性攻击。例如，给目标用户发送邮件要求用户修改口令，或在看似正常的附件中加载病毒或其他木马程序。只要目标用户按照邮件提示进行操作，攻击者就可以对目标系统实施攻击。

 

6 通过一个节点攻击其他节点

攻击者以某一台可以控制的终端或服务器为跳板，攻击网络中的其他服务器或终端。

 

7 网络监听

攻击者通过监听网络通信，获取攻击者所需的相关信息，为后续攻击奠定基础。

 

8 挖掘系统漏洞

攻击者通过各种方法挖掘网络协议、服务器和操作系统等的漏洞，为后续攻击进行准备。

 

9 窃取特权

通过各种木马程序和漏洞利用提升攻击权限，直至获得目标网络的部分或完全控制权。

 

10 零日攻击

零日漏洞指未经标识的涌洞，攻击者可以利用该涌洞进行攻击，即零日攻击。该名称的由来是，该漏洞没有公开报道，使程序拥有者只有“零日”打补丁或提供减轻／消除该漏洞影响的方法。

 

11 高级持续性威胁攻击

高级持续性威胁攻击(APT 攻击）指为了商业或政治利益针对特定实体（如组织、国家等）进行一系列秘密和连续攻击的过程。“高级”指攻击方法先进复杂；“持续”指攻击者连续监控目标对象，并从目标对象不断提取敏感信息。