【儀表網(wǎng) 行業(yè)標準】近日，由國家計算機網(wǎng)絡應急技術處理協(xié)調中心北京分中心 、國家計算機網(wǎng)絡應急技術處理協(xié)調中心 、國家工業(yè)信息安全發(fā)展研究中心 、長安通信科技有限責任公司 、北京神州綠盟科技有限公司 、三六零數(shù)字安全科技集團有限公司 、奇安信科技集團股份有限公司 、安天科技集團股份有限公司 、螞蟻科技集團股份有限公司 、中國移動通信集團有限公司 、中國聯(lián)合網(wǎng)絡通信集團有限公司 、中國信息安全測評中心等單位起草，TC260(全國信息安全標準化技術委員會)歸口的國家標準計劃《信息安全技術 網(wǎng)絡攻擊和網(wǎng)絡攻擊事件判定準則》征求意見稿已編制完成，現(xiàn)公開征求意見。
 

　　網(wǎng)絡攻擊的多樣化及網(wǎng)絡攻擊事件的日益增多，推動了網(wǎng)絡攻擊的檢測方法和網(wǎng)絡攻擊事件分析方法不斷升級，也促使各單位、各廠商積極建設網(wǎng)絡安全態(tài)勢感知相關能力。然而，由于缺乏對網(wǎng)絡攻擊、網(wǎng)絡攻擊事件的判定和計數(shù)標準，各單位、廠商在檢測和統(tǒng)計網(wǎng)絡攻擊、網(wǎng)絡攻擊事件方面出現(xiàn)較大差異，導致難以有效實現(xiàn)對網(wǎng)絡攻擊態(tài)勢的共享和準確感知，難以將各方能力形成合力協(xié)同解決網(wǎng)絡安全問題。
 

　　在此背景下，需研制不同類型網(wǎng)絡攻擊、網(wǎng)絡攻擊事件的判定和計數(shù)標準，為當前網(wǎng)絡安全檢測和態(tài)勢分析技術、系統(tǒng)、產品提供統(tǒng)一的參考標準和依據(jù)，為有效實現(xiàn)網(wǎng)絡攻擊態(tài)勢的共享、研判、提供基礎和依據(jù)。
 

　　本文件按照GB/T 1.1—2020《標準化工作導則 第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。
 

　　本文件代替GB/T 37027—2018 《信息安全技術 網(wǎng)絡攻擊定義及描述規(guī)范》，與GB/T 37027—2018相比，除結構調整和編輯性改動外，主要技術變化如下：
 

　　a) 調整了網(wǎng)絡攻擊的定義(見3.1)；
 

　　b) 增加了網(wǎng)絡攻擊事件的定義(見3.2)；
 

　　c) 調整了網(wǎng)絡攻擊的描述(見5.1)；
 

　　d) 調整了對安全漏洞的描述，刪除“表3 安全漏洞分類表”，改為“見GB/T 30279—2020”(見5.1、5.2)；
 

　　e) 調整了對攻擊方式的描述，刪除“表2 攻擊方式分類表”，改為與GB/T 20986—2023具有一致性的19類攻擊技術手段(見5.1、6.1)；
 

　　f) 增加了網(wǎng)絡攻擊事件的描述(見5.2)；
 

　　g) 刪除了對攻擊嚴重程度的描述，增加了與GB/T 20986—2023具有一致性的事件分級描述(見5.2)；
 

　　h) 刪除了對攻擊后果的描述，增加了與GB/T 20986—2023具有一致性的事件影響描述(見5.2)；
 

　　i) 增加了網(wǎng)絡攻擊的判定指標(見6.1)；
 

　　j) 增加了網(wǎng)絡攻擊事件的判定指標(見6.2)；
 

　　k) 增加了網(wǎng)絡攻擊的計數(shù)標準(見7.1)；
 

　　l) 增加了網(wǎng)絡攻擊事件的計數(shù)標準(見7.2)。
 

　　m) 調整了對攻擊對象分類的描述，對“表1 攻擊對象分類表”的內容進行調整，并將表名改為“表A.1 攻擊對象類型表”，從正文中刪除，作為資料性附錄(見附錄B)；
 

　　n) 調整了對典型網(wǎng)絡攻擊過程的描述(見附錄C)；
 

　　o) 增加了網(wǎng)絡攻擊和網(wǎng)絡攻擊事件的典型判定方法(見附錄D)；
 

　　本文件給出了網(wǎng)絡攻擊和網(wǎng)絡攻擊事件的描述信息要素、判定指標和計數(shù)標準。本文件適用于指導組織開展網(wǎng)絡攻擊和網(wǎng)絡攻擊事件的監(jiān)測分析、態(tài)勢感知、信息報送等活動。
 

　　網(wǎng)絡掃描探測攻擊的判定指標：
 

　　存在下列一種或者多種情況，判定發(fā)生網(wǎng)絡掃描探測攻擊：
 

　　a) 一定時間范圍內，針對端口、路徑、配置等的網(wǎng)絡請求數(shù)量超出正常閥值范圍，或網(wǎng)絡請求內容存在遍歷性和構造性；
 

　　b) 網(wǎng)絡流量或設備/系統(tǒng)/軟件日志中包含網(wǎng)絡掃描軟件的特征。
 

　　網(wǎng)絡釣魚攻擊的判定指標：
 

　　當通過網(wǎng)絡傳播的信息(如網(wǎng)頁、網(wǎng)絡郵件、軟件、文件等)具有欺詐性、偽造性，且存在誘使訪問者提交重要數(shù)據(jù)和個人信息的情況時，判定發(fā)生網(wǎng)絡釣魚攻擊。
 

　　漏洞利用攻擊的判定指標：
 

　　存在下列一種或者多種情況，判定發(fā)生漏洞利用攻擊：
 

　　a) 網(wǎng)絡流量或設備/系統(tǒng)/軟件日志中包含漏洞利用攻擊包的特征；
 

　　b) 網(wǎng)絡流量或設備/系統(tǒng)/軟件日志中包含漏洞利用工具的特征。
 

　　后門利用攻擊的判定指標：
 

　　存在下列一種或者多種情況，判定發(fā)生后門利用攻擊：
 

　　a) 網(wǎng)絡流量或設備/系統(tǒng)/軟件日志中包含后門利用攻擊包的特征，如后門利用工具的特征；
 

　　b) 網(wǎng)絡或信息系統(tǒng)中包含后門利用的痕跡，如后門執(zhí)行文件等。
 

　　后門植入攻擊的判定指標：
 

　　存在下列一種或者多種情況，判定發(fā)生后門植入攻擊：
 

　　a) 網(wǎng)絡流量或設備/系統(tǒng)/軟件日志中包含后門植入攻擊包的特征，如后門植入工具的特征；
 

　　b) 網(wǎng)絡或信息系統(tǒng)中包含后門植入的痕跡，如被植入的后門文件。
 

　　憑據(jù)攻擊的判定指標：
 

　　存在下列一種或者多種情況，判定發(fā)生憑據(jù)攻擊：
 

　　a) 網(wǎng)絡流量或者業(yè)務系統(tǒng)日志中包含攻擊者在短時間內進行口令枚舉猜解的行為特征；
 

　　b) 攻擊者存在識別解析登錄口令的行為。
 

　　信號干擾攻擊的判定指標：
 

　　存在下列一種或者多種情況，判定發(fā)生信號干擾攻擊：
 

　　a) 通信信號質量下降，數(shù)據(jù)包丟失，通信中斷等問題。通過監(jiān)測信號的頻譜特征、幅度變化、頻率偏移等，可以檢測到信號的異常表現(xiàn)；
 

　　b) 通信信號的信噪比下降、比特錯誤率增加、丟包率升高等指標的變化；
 

　　c) 通過檢測與正常設備行為不一致的跡象，如未經(jīng)授權的無線電發(fā)射器的存在，可以發(fā)現(xiàn)潛在的信號干擾攻擊；
 

　　d) 過監(jiān)測鄰近通信鏈路的質量變化和異常行為。
 

　　拒絕服務攻擊的判定指標：
 

　　存在下列一種或者多種情況，判定發(fā)生拒絕服務攻擊：
 

　　a) 網(wǎng)絡流量中包含拒絕服務攻擊的指令特征；
 

　　b) 網(wǎng)絡或信息系統(tǒng)的流入流量或訪問量超過正常閾值。
 

　　網(wǎng)頁篡改攻擊的判定指標：
 

　　存在網(wǎng)頁內容被非授權惡意更改的情況時，判定發(fā)生網(wǎng)頁篡改攻擊。
 

　　暗鏈植入攻擊的判定指標：
 

　　存在下列一種或者多種情況，判定發(fā)生暗鏈植入攻擊：
 

　　a) 發(fā)現(xiàn)存在未經(jīng)授權的或異常的鏈接，指向惡意網(wǎng)站、下載惡意軟件的鏈接或其他惡意資源；
 

　　b) 發(fā)現(xiàn)存在異常的訪問流量模式，突然增加的訪問量、來自不同地理位置或非正常的用戶行為
 

　　等；
 

　　c) 發(fā)現(xiàn)安全日志和監(jiān)測出現(xiàn)異常行為，網(wǎng)站或應用程序文件被修改。
 

　　域名劫持攻擊的判定指標：
 

　　當域名的解析結果被非域名所有者指向非預期的IP地址的情況時，判定發(fā)生域名劫持攻擊。
 

　　域名轉嫁攻擊的判定指標：
 

　　當域名的解析結果被域名所有者指向了不屬于所有者或者利益相關方所擁有的IP地址情況時，判定發(fā)生域名轉嫁攻擊。
 

　　DNS 污染攻擊的判定指標：
 

　　當網(wǎng)絡中存在錯誤的DNS數(shù)據(jù)包，把域名的解析結果指向不正確的IP地址時，判定發(fā)生DNS污染攻擊。
 

　　WLAN 劫持攻擊的判定指標：
 

　　存在下列一種或者多種情況，判定發(fā)生WLAN劫持攻擊：
 

　　a) 無線網(wǎng)絡大量的數(shù)據(jù)流量被重定向到未知的目標、數(shù)據(jù)包被篡改或通信被中斷；
 

　　b) 頻繁斷連、連接到未知的或可疑的無線網(wǎng)絡等；
 

　　c) 未經(jīng)授權的無線接入點的出現(xiàn)、頻繁的信道切換、無線信號干擾等。
 

　　流量劫持攻擊的判定指標：
 

　　存在下列一種或者多種情況，判定發(fā)生流量劫持攻擊：
 

　　a) 實際流入流量與對端發(fā)出流量存在差別；
 

　　b) 實際流出流量與達到對端流量存在差別。
 

　　BGP 劫持攻擊的判定指標：
 

　　存在下列一種或者多種情況，判定發(fā)生BGP劫持攻擊：
 

　　a) 攻擊者使用偽造或篡改等手段污染BGP邊界網(wǎng)關協(xié)議的路由數(shù)據(jù)，欺騙其他AS將流量引向攻擊者指定的AS，此種情況下攻擊者正在發(fā)送污染包劫持路徑；
 

　　b) AS實際網(wǎng)絡通信路由路徑與合理的網(wǎng)絡路由通信路徑存在差別，此種情況下攻擊者已經(jīng)劫持
 

　　了路徑，并將流量引向其指定的AS。
 

　　廣播欺詐攻擊的判定指標：
 

　　存在下列一種或者多種情況，判定發(fā)生廣播欺詐。
 

　　a) ARP表中IP地址與MAC地址的映射與正常情況不一致或存在重復映射；
 

　　b) 網(wǎng)絡中的數(shù)據(jù)流量和通信模式發(fā)現(xiàn)大量的沖突通信、數(shù)據(jù)包丟失、通信中斷等異常情況；
 

　　c) 頻繁地發(fā)送ARP請求、自動更新ARP表、重置網(wǎng)絡接口等。
 

　　失陷主機攻擊的判定指標：
 

　　存在下列一種或者多種情況，判定發(fā)生失陷主機攻擊：
 

　　a) 被控設備對外發(fā)送心跳包、控制指令響應包或開啟非授權端口服務；
 

　　b) 被控設備中包含具有遠程控制功能的惡意代碼或者相關感染痕跡，例如特洛伊木馬文件等；
 

　　其他網(wǎng)絡攻擊的判定指標：
 

　　采取其他攻擊技術手段的網(wǎng)絡攻擊行為。
 

　　更多詳情請見附件。