《信息安全技术 网络攻击和网络攻击事件判定准则》征求意见

　　【仪表网 行业标准】近日，由国家计算机网络应急技术处理协调中心北京分中心 、国家计算机网络应急技术处理协调中心 、国家工业信息安全发展研究中心 、长安通信科技有限责任公司 、北京神州绿盟科技有限公司 、三六零数字安全科技集团有限公司 、奇安信科技集团股份有限公司 、安天科技集团股份有限公司 、蚂蚁科技集团股份有限公司 、中国移动通信集团有限公司 、中国联合网络通信集团有限公司 、中国信息安全测评中心等单位起草，TC260(全国信息安全标准化技术委员会)归口的国家标准计划《信息安全技术 网络攻击和网络攻击事件判定准则》征求意见稿已编制完成，现公开征求意见。
 

　　网络攻击的多样化及网络攻击事件的日益增多，推动了网络攻击的检测方法和网络攻击事件分析方法不断升级，也促使各单位、各厂商积极建设网络安全态势感知相关能力。然而，由于缺乏对网络攻击、网络攻击事件的判定和计数标准，各单位、厂商在检测和统计网络攻击、网络攻击事件方面出现较大差异，导致难以有效实现对网络攻击态势的共享和准确感知，难以将各方能力形成合力协同解决网络安全问题。
 

　　在此背景下，需研制不同类型网络攻击、网络攻击事件的判定和计数标准，为当前网络安全检测和态势分析技术、系统、产品提供统一的参考标准和依据，为有效实现网络攻击态势的共享、研判、提供基础和依据。
 

　　本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。
 

　　本文件代替GB/T 37027—2018 《信息安全技术 网络攻击定义及描述规范》，与GB/T 37027—2018相比，除结构调整和编辑性改动外，主要技术变化如下：
 

　　a) 调整了网络攻击的定义(见3.1)；
 

　　b) 增加了网络攻击事件的定义(见3.2)；
 

　　c) 调整了网络攻击的描述(见5.1)；
 

　　d) 调整了对安全漏洞的描述，删除“表3 安全漏洞分类表”，改为“见GB/T 30279—2020”(见5.1、5.2)；
 

　　e) 调整了对攻击方式的描述，删除“表2 攻击方式分类表”，改为与GB/T 20986—2023具有一致性的19类攻击技术手段(见5.1、6.1)；
 

　　f) 增加了网络攻击事件的描述(见5.2)；
 

　　g) 删除了对攻击严重程度的描述，增加了与GB/T 20986—2023具有一致性的事件分级描述(见5.2)；
 

　　h) 删除了对攻击后果的描述，增加了与GB/T 20986—2023具有一致性的事件影响描述(见5.2)；
 

　　i) 增加了网络攻击的判定指标(见6.1)；
 

　　j) 增加了网络攻击事件的判定指标(见6.2)；
 

　　k) 增加了网络攻击的计数标准(见7.1)；
 

　　l) 增加了网络攻击事件的计数标准(见7.2)。
 

　　m) 调整了对攻击对象分类的描述，对“表1 攻击对象分类表”的内容进行调整，并将表名改为“表A.1 攻击对象类型表”，从正文中删除，作为资料性附录(见附录B)；
 

　　n) 调整了对典型网络攻击过程的描述(见附录C)；
 

　　o) 增加了网络攻击和网络攻击事件的典型判定方法(见附录D)；
 

　　本文件给出了网络攻击和网络攻击事件的描述信息要素、判定指标和计数标准。本文件适用于指导组织开展网络攻击和网络攻击事件的监测分析、态势感知、信息报送等活动。
 

　　网络扫描探测攻击的判定指标：
 

　　存在下列一种或者多种情况，判定发生网络扫描探测攻击：
 

　　a) 一定时间范围内，针对端口、路径、配置等的网络请求数量超出正常阀值范围，或网络请求内容存在遍历性和构造性；
 

　　b) 网络流量或设备/系统/软件日志中包含网络扫描软件的特征。
 

　　网络钓鱼攻击的判定指标：
 

　　当通过网络传播的信息(如网页、网络邮件、软件、文件等)具有欺诈性、伪造性，且存在诱使访问者提交重要数据和个人信息的情况时，判定发生网络钓鱼攻击。
 

　　漏洞利用攻击的判定指标：
 

　　存在下列一种或者多种情况，判定发生漏洞利用攻击：
 

　　a) 网络流量或设备/系统/软件日志中包含漏洞利用攻击包的特征；
 

　　b) 网络流量或设备/系统/软件日志中包含漏洞利用工具的特征。
 

　　后门利用攻击的判定指标：
 

　　存在下列一种或者多种情况，判定发生后门利用攻击：
 

　　a) 网络流量或设备/系统/软件日志中包含后门利用攻击包的特征，如后门利用工具的特征；
 

　　b) 网络或信息系统中包含后门利用的痕迹，如后门执行文件等。
 

　　后门植入攻击的判定指标：
 

　　存在下列一种或者多种情况，判定发生后门植入攻击：
 

　　a) 网络流量或设备/系统/软件日志中包含后门植入攻击包的特征，如后门植入工具的特征；
 

　　b) 网络或信息系统中包含后门植入的痕迹，如被植入的后门文件。
 

　　凭据攻击的判定指标：
 

　　存在下列一种或者多种情况，判定发生凭据攻击：
 

　　a) 网络流量或者业务系统日志中包含攻击者在短时间内进行口令枚举猜解的行为特征；
 

　　b) 攻击者存在识别解析登录口令的行为。
 

　　信号干扰攻击的判定指标：
 

　　存在下列一种或者多种情况，判定发生信号干扰攻击：
 

　　a) 通信信号质量下降，数据包丢失，通信中断等问题。通过监测信号的频谱特征、幅度变化、频率偏移等，可以检测到信号的异常表现；
 

　　b) 通信信号的信噪比下降、比特错误率增加、丢包率升高等指标的变化；
 

　　c) 通过检测与正常设备行为不一致的迹象，如未经授权的无线电发射器的存在，可以发现潜在的信号干扰攻击；
 

　　d) 过监测邻近通信链路的质量变化和异常行为。
 

　　拒绝服务攻击的判定指标：
 

　　存在下列一种或者多种情况，判定发生拒绝服务攻击：
 

　　a) 网络流量中包含拒绝服务攻击的指令特征；
 

　　b) 网络或信息系统的流入流量或访问量超过正常阈值。
 

　　网页篡改攻击的判定指标：
 

　　存在网页内容被非授权恶意更改的情况时，判定发生网页篡改攻击。
 

　　暗链植入攻击的判定指标：
 

　　存在下列一种或者多种情况，判定发生暗链植入攻击：
 

　　a) 发现存在未经授权的或异常的链接，指向恶意网站、下载恶意软件的链接或其他恶意资源；
 

　　b) 发现存在异常的访问流量模式，突然增加的访问量、来自不同地理位置或非正常的用户行为
 

　　等；
 

　　c) 发现安全日志和监测出现异常行为，网站或应用程序文件被修改。
 

　　域名劫持攻击的判定指标：
 

　　当域名的解析结果被非域名所有者指向非预期的IP地址的情况时，判定发生域名劫持攻击。
 

　　域名转嫁攻击的判定指标：
 

　　当域名的解析结果被域名所有者指向了不属于所有者或者利益相关方所拥有的IP地址情况时，判定发生域名转嫁攻击。
 

　　DNS 污染攻击的判定指标：
 

　　当网络中存在错误的DNS数据包，把域名的解析结果指向不正确的IP地址时，判定发生DNS污染攻击。
 

　　WLAN 劫持攻击的判定指标：
 

　　存在下列一种或者多种情况，判定发生WLAN劫持攻击：
 

　　a) 无线网络大量的数据流量被重定向到未知的目标、数据包被篡改或通信被中断；
 

　　b) 频繁断连、连接到未知的或可疑的无线网络等；
 

　　c) 未经授权的无线接入点的出现、频繁的信道切换、无线信号干扰等。
 

　　流量劫持攻击的判定指标：
 

　　存在下列一种或者多种情况，判定发生流量劫持攻击：
 

　　a) 实际流入流量与对端发出流量存在差别；
 

　　b) 实际流出流量与达到对端流量存在差别。
 

　　BGP 劫持攻击的判定指标：
 

　　存在下列一种或者多种情况，判定发生BGP劫持攻击：
 

　　a) 攻击者使用伪造或篡改等手段污染BGP边界网关协议的路由数据，欺骗其他AS将流量引向攻击者指定的AS，此种情况下攻击者正在发送污染包劫持路径；
 

　　b) AS实际网络通信路由路径与合理的网络路由通信路径存在差别，此种情况下攻击者已经劫持
 

　　了路径，并将流量引向其指定的AS。
 

　　广播欺诈攻击的判定指标：
 

　　存在下列一种或者多种情况，判定发生广播欺诈。
 

　　a) ARP表中IP地址与MAC地址的映射与正常情况不一致或存在重复映射；
 

　　b) 网络中的数据流量和通信模式发现大量的冲突通信、数据包丢失、通信中断等异常情况；
 

　　c) 频繁地发送ARP请求、自动更新ARP表、重置网络接口等。
 

　　失陷主机攻击的判定指标：
 

　　存在下列一种或者多种情况，判定发生失陷主机攻击：
 

　　a) 被控设备对外发送心跳包、控制指令响应包或开启非授权端口服务；
 

　　b) 被控设备中包含具有远程控制功能的恶意代码或者相关感染痕迹，例如特洛伊木马文件等；
 

　　其他网络攻击的判定指标：
 

　　采取其他攻击技术手段的网络攻击行为。
 

　　更多详情请见附件。