信息安全技術網絡攻擊和網絡攻擊事件判定準則目 次前言 III引言 IV范圍 1規范性引用文件 1術語和定義 1縮略語 1描述 2網絡攻擊的描述 2網絡攻擊事件的描述 2判定指標 3網絡攻擊的判定指標 3網絡攻擊事件的判定指標 5計數標準 6網絡攻擊的計數標準 6網絡攻擊事件計數標準 6附錄A（資料性）網絡攻擊概述 9附錄B（資料性）典型攻擊對象類型 10附錄C（資料性）典型網絡攻擊過程 12附錄D（資料性）網絡攻擊和網絡攻擊事件的典型判定方法 14參考文獻 15IIVIV1111引 言近年來,隨著網絡應用的普及和迅猛發展,網絡攻擊也日漸增多,攻擊的方法更加先進和復雜,攻擊的形式更是多種多樣,無孔不入,對網絡安全造成了嚴重威脅。網絡攻擊涉及多方面的問題,包括：網絡攻擊和網絡攻擊事件有何不同；網絡攻擊和網絡攻擊事件信息安全技術網絡攻擊和網絡攻擊事件判定準則范圍本文件給出了網絡攻擊和網絡攻擊事件的描述信息要素、判定指標和計數標準。本文件適用于指導組織開展網絡攻擊和網絡攻擊事件的監測分析、態勢感知、信息報送等活動。規范性引用文件（包括所有的修改單適用于本文件。GB/T20986－2023 信息安全技術網絡安全事件分類分級指南GB/T30279—2020信息安全技術網絡安全漏洞分類分級指南術語和定義GB/T20986—2023、GB/T30279—2020界定的以及下列術語和定義適用于本文件。網絡攻擊networkattack網絡攻擊事件networkattackincident網絡攻擊（3.1）造成或潛在造成業務損失或社會危害的網絡安全事件，包括一次或多次被識別的網絡攻擊。縮略語下列縮略語適用于本文件。APT：高級可持續威脅攻擊（advancedpersistentthreat）ARP：地址解析協議（addressresolutionprotocol）AS：自治域（autonomoussystem）BGP：邊界網關協議（bordergatewayprotocol）DNS：域名系統（domainnamesystem）IOC：失陷指標（indicatorsofcompromise）IP：互聯網協議（internetprotocol）WLAN：無限局域網（wirelesslocalareanetwork）PAGEPAGE10PAGEPAGE3描述網絡攻擊的描述描述網絡攻擊的基本信息要素見表1。表1描述網絡攻擊的基本信息要素信息要素說明標識號每個網絡攻擊應具有唯一標識號攻擊對象被實施網絡攻擊的客體信息，如被攻擊設備的IP地址、域名，或具體的某個網絡設備或者信息系統等攻擊對象分類攻擊對象的分類描述，見附錄B攻擊源實施網絡攻擊的主體信息，包括攻擊者身份（如攻擊組織名、網絡身份標識）、攻擊資源（如攻擊者使用的直接攻擊IP、真實攻擊IP、控制域名）等攻擊技術手段入、憑據攻擊、信號干擾、拒絕服務、網頁篡改、暗鏈植入、域名劫持、域名轉嫁、DNS污染、WLAN劫持、流量劫持、BGP劫持、廣播欺詐、失陷主機、其他，共19類。注：GB/T20986—2023中的供應鏈攻擊事件、APT攻擊事件一般是綜合使用上述技術手段和其他非技術手段的網絡攻擊事件，因此不在攻擊技術手段中單獨設置相應的類別。攻擊時間攻擊發生的時間點或時間范圍描述網絡攻擊的擴展信息要素見表2。表2描述網絡攻擊的擴展信息要素信息要素說明網絡攻擊名稱簡要描述網絡攻擊安全漏洞攻擊過程中所利用的網絡或系統的安全脆弱性或弱點安全漏洞類型安全漏洞的類型，見GB/T30279—2020攻擊源詳細信息攻擊源的詳細信息，包括國內/國外、組織內部/組織外部等攻擊階段攻擊所處的階段，見附錄C攻擊詳細信息詳細描述攻擊行為、手法或過程等判定方法判定網絡攻擊所使用的方法，見附錄D擴展信息可根據需要增加一個或多個擴展信息要素網絡攻擊事件的描述描述網絡攻擊事件的基本信息要素見表3。表3描述網絡攻擊事件的基本信息要素信息要素說明標識號每個網絡攻擊事件應具有唯一標識號事件時間攻擊事件發生的時間點或者時間范圍事件類型網絡攻擊事件的類型，見GB/T20986—2023攻擊對象同表1中的相關描述攻擊對象類型同表1中的相關描述攻擊源同表1中的相關描述事件影響社會危害具體情況等描述網絡攻擊事件的擴展信息要素見表4。表4描述網絡攻擊事件的擴展信息要素信息要素說明網絡攻擊事件名稱簡要描述網絡攻擊事件事件分級網絡攻擊事件的分級描述，見GB/T20986—2023，包括特別重大事件（一級）、重大事件（二級）、較大事件（三級）、一般事件（四級）事件詳細信息詳細描述網絡攻擊事件的行為、手法或過程等安全漏洞攻擊過程中所利用的網絡或系統的安全脆弱性或弱點安全漏洞分類安全漏洞的類別，見GB/T30279—2020攻擊源詳細信息攻擊源的詳細信息，包括國內/國外、內部/外部、攻擊組織等攻擊動機可能的攻擊動機，如政治、經濟、興趣、炫耀等判定方法判定網絡攻擊事件所使用的方法，見附錄D擴展信息可根據需要增加一個或多個擴展信息要素判定指標網絡攻擊的判定指標網絡掃描探測攻擊的判定指標存在下列一種或者多種情況，判定發生網絡掃描探測攻擊：一定時間范圍內，針對端口、路徑、配置等的網絡請求數量超出正常閥值范圍，或網絡請求內容存在遍歷性和構造性；網絡流量或設備/系統/軟件日志中包含網絡掃描軟件的特征。網絡釣魚攻擊的判定指標（漏洞利用攻擊的判定指標存在下列一種或者多種情況，判定發生漏洞利用攻擊：網絡流量或設備/系統/軟件日志中包含漏洞利用攻擊包的特征；網絡流量或設備/系統/軟件日志中包含漏洞利用工具的特征。后門利用攻擊的判定指標存在下列一種或者多種情況，判定發生后門利用攻擊：網絡流量或設備/系統/軟件日志中包含后門利用攻擊包的特征，如后門利用工具的特征；網絡或信息系統中包含后門利用的痕跡，如后門執行文件等。后門植入攻擊的判定指標存在下列一種或者多種情況，判定發生后門植入攻擊：網絡流量或設備/系統/軟件日志中包含后門植入攻擊包的特征，如后門植入工具的特征；網絡或信息系統中包含后門植入的痕跡，如被植入的后門文件。憑據攻擊的判定指標存在下列一種或者多種情況，判定發生憑據攻擊：網絡流量或者業務系統日志中包含攻擊者在短時間內進行口令枚舉猜解的行為特征；攻擊者存在識別解析登錄口令的行為。信號干擾攻擊的判定指標存在下列一種或者多種情況，判定發生信號干擾攻擊：通信信號質量下降，數據包丟失，通信中斷等問題。通過監測信號的頻譜特征、幅度變化、頻率偏移等，可以檢測到信號的異常表現；通信信號的信噪比下降、比特錯誤率增加、丟包率升高等指標的變化；通過檢測與正常設備行為不一致的跡象，如未經授權的無線電發射器的存在，可以發現潛在的信號干擾攻擊；過監測鄰近通信鏈路的質量變化和異常行為。拒絕服務攻擊的判定指標存在下列一種或者多種情況，判定發生拒絕服務攻擊：網絡流量中包含拒絕服務攻擊的指令特征；網絡或信息系統的流入流量或訪問量超過正常閾值。對不同單位可以依據其重要程度設定不同的檢測閥值。網頁篡改攻擊的判定指標存在網頁內容被非授權惡意更改的情況時，判定發生網頁篡改攻擊。暗鏈植入攻擊的判定指標存在下列一種或者多種情況，判定發生暗鏈植入攻擊：發現存在未經授權的或異常的鏈接，指向惡意網站、下載惡意軟件的鏈接或其他惡意資源；發現存在異常的訪問流量模式，突然增加的訪問量、來自不同地理位置或非正常的用戶行為等；發現安全日志和監測出現異常行為，網站或應用程序文件被修改。域名劫持攻擊的判定指標當域名的解析結果被非域名所有者指向非預期的IP地址的情況時，判定發生域名劫持攻擊。域名轉嫁攻擊的判定指標當域名的解析結果被域名所有者指向了不屬于所有者或者利益相關方所擁有的IPDNS當網絡中存在錯誤的DNS數據包，把域名的解析結果指向不正確的IP地址時，判定發生DNS污染攻擊。WLAN存在下列一種或者多種情況，判定發生WLAN劫持攻擊：無線網絡大量的數據流量被重定向到未知的目標、數據包被篡改或通信被中斷；頻繁斷連、連接到未知的或可疑的無線網絡等；未經授權的無線接入點的出現、頻繁的信道切換、無線信號干擾等。流量劫持攻擊的判定指標存在下列一種或者多種情況，判定發生流量劫持攻擊：實際流入流量與對端發出流量存在差別；實際流出流量與達到對端流量存在差別。BGP存在下列一種或者多種情況，判定發生BGP劫持攻擊：攻擊者使用偽造或篡改等手段污染BGPAS將流量引向攻擊者指定的AS，此種情況下攻擊者正在發送污染包劫持路徑；AS實際網絡通信路由路徑與合理的網絡路由通信路徑存在差別，此種情況下攻擊者已經劫持了路徑，并將流量引向其指定的AS。廣播欺詐攻擊的判定指標存在下列一種或者多種情況，判定發生廣播欺詐。ARP表中IP地址與MAC地址的映射與正常情況不一致或存在重復映射；網絡中的數據流量和通信模式發現大量的沖突通信、數據包丟失、通信中斷等異常情況；頻繁地發送ARP請求、自動更新ARP表、重置網絡接口等。失陷主機攻擊的判定指標存在下列一種或者多種情況，判定發生失陷主機攻擊：被控設備對外發送心跳包、控制指令響應包或開啟非授權端口服務；被控設備中包含具有遠程控制功能的惡意代碼或者相關感染痕跡，例如特洛伊木馬文件等；其他網絡攻擊的判定指標采取其他攻擊技術手段的網絡攻擊行為。網絡攻擊事件的判定指標DNSWLANBGP供應鏈攻擊事件、APT攻擊事件一般是綜合使用多種攻擊技術手段和非技術手段的網絡攻擊事件。針對APT攻擊事件，存在下列一種或者多種情況，則判定發生APT攻擊事件：網絡攻擊中的攻擊活動存在針對性、持久性和高隱蔽性，且攻擊目標是重要信息系統或高價值個人，且攻擊目的是竊取情報、破壞或者潛伏等待指令。計數標準網絡攻擊的計數標準單次網絡攻擊單次網絡攻擊指在一個時間點或一段時間范圍內，依據6.1判定的網絡攻擊。網絡攻擊的計數方法網絡攻擊的計數指對包含特定要素信息的單次網絡攻擊進行統計，得到網絡攻擊的次數。網絡攻擊的典型計數方法包括：使用特定技術手段的網絡攻擊計數：對要素信息中包含特定技術手段的單次網絡攻擊進行統計；特定攻擊目標遭受的使用特定技術手段的網絡攻擊計數：對要素信息中同時包含特定攻擊目標、特定技術手段的單次網絡攻擊進行統計；特定攻擊源對特定攻擊目標使用特定技術手段的網絡攻擊計數：對要素信息中同時包含特定攻擊源、特定攻擊目標、特定技術手段的單次網絡攻擊進行統計。多個網絡攻擊計數結果的合并計算條件多個網絡攻擊計數結果滿足可比較或可累加條件時可合并計算。除上述情況外，多個網絡攻擊計數結果不宜進行合并計算。網絡攻擊事件計數標準單個網絡攻擊事件單個網絡攻擊事件指在一個統計周期內，依據6.2判定的相關網絡行為，需要具有一個或多個相同要素信息的一次或者多次網絡攻擊。一個統計周期一般為一個自然日，或者一個持續的攻擊時間段，也可依據統計的實際情況設定。針對各事件類型，單個網絡攻擊事件中包括的相關網絡攻擊宜具有的相同要素信息見表5。表5單個網絡攻擊事件中包括的相關網絡攻擊宜具有的相同要素信息事件類型（以下均指一個統計周期內）單個網絡攻擊事件的典型情況（以下均指一個統計周期內）網絡掃描探測事件攻擊源、攻擊目標一個攻擊目標遭受一個攻擊源的網絡掃描探測攻擊網絡釣魚事件攻擊源一個具有網絡釣魚功能的、可訪問的釣魚鏈接或文檔漏洞利用事件攻擊源、攻擊目標一個攻擊源單次或多次成功利用一個攻擊目標的漏洞后門利用事件攻擊源、攻擊目標一個攻擊源單次或多次成功利用一個攻擊目標的后門后門植入事件攻擊源、攻擊目標一個攻擊源向一個攻擊目標單次或多次成功植入后門憑據攻擊事件攻擊源、攻擊目標一個攻擊源向一個攻擊目標發起單次或多次憑據攻擊，并成功獲取正確的憑據信號干擾事件攻擊目標一個設備（如通信設備、雷達系統、導航設備等）遭受信號干擾攻擊的影響拒絕服務事件攻擊目標一個攻擊目標的業務遭受拒絕服務攻擊的影響網頁篡改事件攻擊目標一個網頁的內容被單次或多次成功篡改暗鏈植入事件攻擊目標一個網頁被成功植入單個或多個暗鏈域名劫持事件攻擊目標一個域名被單次或多次成功劫持域名轉嫁事件攻擊目標一個域名被單次或多次成功轉嫁DNS污染事件攻擊目標一個域名遭受單次或多次DNS污染WLAN劫持事件攻擊目標一個無線局域網遭受WLAN劫持攻擊的影響流量劫持事件攻擊目標一個攻擊目標被單次或多次成功流量劫持BGP劫持攻擊事件攻擊目標一個攻擊目標遭受BGP劫持攻擊的影響廣播欺詐事件攻擊目標一個局域網遭受廣播欺詐攻擊的影響失陷主機事件攻擊源、攻擊目標一個攻擊目標被一個攻擊源成功遠程控制供應鏈攻擊事件攻擊目標一個攻擊目標發生供應鏈攻擊事件APT事件攻擊源、攻擊目標一個攻擊源對一個攻擊目標的APT攻擊事件其他網絡攻擊事件宜根據具體情況確定宜根據具體情況確定網絡攻擊事件的計數方法網絡攻擊事件的計數指對包含特定要素信息的單個網絡攻擊事件進行統計，得到網絡攻擊事件的個數。網絡攻擊事件的典型計數方法包括：特定類型的網絡攻擊事件計數：對要素信息中包含特定事件類型的單個網絡攻擊事件進行統計；特定攻擊目標的特定類型網絡攻擊事件計數：對要素信息中同時包含特定攻擊目標、特定事件類型的單個網絡攻擊事件進行統計；特定攻擊源、特定攻擊目標的特定類型網絡攻擊事件計數：對要素信息中同時包含特定攻擊源、特定攻擊目標、特定事件類型的單個網絡攻擊事件進行統計。多個網絡攻擊事件計數結果的合并計算條件多個網絡攻擊事件計數結果滿足可比較或可累加條件時可合并計算。除上述情況外，多個網絡攻擊事件計數結果不宜進行合并計算。附錄 A（資料性）從生命周期角度看，一次網絡攻擊涉及的角色（包括參與者和利益相關者）包括4類：網絡攻擊者：利用網絡安全的脆弱性，以破環、竊取或泄露信息系統或網絡中的資源為目的，危及信息系統或網絡資源可用性的個人或組織，如某黑客組織。網絡攻擊受害者：在網絡攻擊的活動中,信息、資源或財產受到侵害的一方，如某互聯網應用提供商。網絡攻擊檢測者：對網絡運行和服務、網絡活動進行監視和控制,具有對網絡攻擊進行安全防護職責的組織。網絡服務提供者：為網絡運行和服務提供基礎設施、信息和中介、接入等技術服務的網絡服務商和非營利組織，如云服務提供商、電信運營商等。附錄 B（資料性）典型攻擊對象類型典型攻擊對象類型如表B.1所示。表B.1攻擊對象類型表一級分類二級分類說明計算機移動終端如智能手機、平板（Pad）等PC個人電腦，如臺式機、筆記本等服務器為客戶端提供特定應用服務的計算機系統其他工控設備SCADA數據采集與監視控制系統PLC可編程邏輯控制器DCS分布式控制系統其他網絡設備路由器基于路由協議機制和算法選擇路徑或路由，建立和控制不同網絡間數據流的網絡設備交換機利用內部交換機制來提供連通性的設備網關除路由器、交換機之外的其他網關類產品，如防火墻等集線器主要功能是對接收到的信號進行再生整形放大，以擴大網絡的傳輸距離，同時把所有節點集中在以它為中心的節點上其他操作系統Windows系列Unix系列MacOS系列IOS系列Android系列其他服務軟件數據庫服務包括關系型和非關系型數據庫，對存放在庫中的數據進行統一管理和處理等，并對外提供服務訪問接口電子郵件服務包括支持POP3協議、IMAP協議、SMTP協議等的email服務端FTP服務文件傳輸服務，包括服務端的文件瀏覽、下載、上傳等Web服務支持處理瀏覽器等Web客戶端的請求并返回相應處理結果，也可以放置網站、數據文件，供Web客戶端瀏覽、下載中間件包括如COM、CORBAJ2EE、Dockertomcat、weblogic等中間件提供系統軟件和應用軟件之間連接的軟件,以便于軟件各部件之間的溝通,特別是應用軟件對于系統軟件的集中的邏輯其他用戶軟件辦公軟件如文檔編輯、圖表編輯類工具軟件等表B.1攻擊對象類型表（續）一級分類二級分類說明社交軟件通過網絡來實現社會交往目的的軟件支付軟件直接支持金融支付功能的軟件其他網絡基礎設施電信網包括固網和移動通信網（如3G、4G和5G等）DNS域名服務設施云計算平臺IaaS/PaaS/SaaS類型的云計算平臺CA證書頒發機構其他附錄 C（資料性）典型網絡攻擊過程概述網絡攻擊的