信息安全技術(shù) 網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件判定準則 征求意見稿

1GB/T37027—202X信息安全技術(shù)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件判定準則本文件給出了網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的描述信息要素、判定指標和計數(shù)標準。本文件適用于指導(dǎo)組織開展網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的監(jiān)測分析、態(tài)勢感知、信息報送等活動。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20986－2023信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南GB/T30279—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級指南3術(shù)語和定義GB/T20986—2023、GB/T30279—2020界定的以及下列術(shù)語和定義適用于本文件。3.1網(wǎng)絡(luò)攻擊networkattack指通過計算機、路由器等計算資源和網(wǎng)絡(luò)資源，利用網(wǎng)絡(luò)中存在的漏洞和安全缺陷實施的一種行為，其目的在于竊取、篡改、破壞網(wǎng)絡(luò)和數(shù)據(jù)設(shè)施中傳輸和存儲的信息；或延緩、中斷網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)；或破壞、摧毀、控制網(wǎng)絡(luò)和數(shù)據(jù)基礎(chǔ)設(shè)施。3.2網(wǎng)絡(luò)攻擊事件networkattackincident網(wǎng)絡(luò)攻擊（3.1）造成或潛在造成業(yè)務(wù)損失或社會危害的網(wǎng)絡(luò)安全事件，包括一次或多次被識別的網(wǎng)絡(luò)攻擊。4縮略語下列縮略語適用于本文件。APT：高級可持續(xù)威脅攻擊（advancedpersistentthreat）ARP：地址解析協(xié)議（addressresolutionprotocol）AS：自治域（autonomoussystem）BGP：邊界網(wǎng)關(guān)協(xié)議（bordergatewayprotocol）DNS：域名系統(tǒng)（domainnamesystem）IOC：失陷指標（indicatorsofcompromise）IP：互聯(lián)網(wǎng)協(xié)議（internetprotocol）WLAN：無限局域網(wǎng)（wirelesslocalareanetwork）2GB/T37027—202X5描述5.1網(wǎng)絡(luò)攻擊的描述描述網(wǎng)絡(luò)攻擊的基本信息要素見表1。表1描述網(wǎng)絡(luò)攻擊的基本信息要素入、憑據(jù)攻擊、信號干擾、拒絕服務(wù)、網(wǎng)頁篡改、暗鏈植入、域名劫持、域名轉(zhuǎn)嫁、DNS污染、WLAN劫持、流量劫持、BGP劫持、廣播欺詐、失陷主機注：GB/T20986—2023中的供應(yīng)鏈攻擊事件、APT攻擊事件一般是綜合使用上述技術(shù)手段描述網(wǎng)絡(luò)攻擊的擴展信息要素見表2。表2描述網(wǎng)絡(luò)攻擊的擴展信息要素5.2網(wǎng)絡(luò)攻擊事件的描述描述網(wǎng)絡(luò)攻擊事件的基本信息要素見表3。表3描述網(wǎng)絡(luò)攻擊事件的基本信息要素3GB/T37027—202X描述網(wǎng)絡(luò)攻擊事件的擴展信息要素見表4。表4描述網(wǎng)絡(luò)攻擊事件的擴展信息要素攻擊源的詳細信息，包括國內(nèi)/國外、內(nèi)部6判定指標6.1網(wǎng)絡(luò)攻擊的判定指標6.1.1網(wǎng)絡(luò)掃描探測攻擊的判定指標存在下列一種或者多種情況，判定發(fā)生網(wǎng)絡(luò)掃描探測攻擊：a)一定時間范圍內(nèi)，針對端口、路徑、配置等的網(wǎng)絡(luò)請求數(shù)量超出正常閥值范圍，或網(wǎng)絡(luò)請求內(nèi)容存在遍歷性和構(gòu)造性；b)網(wǎng)絡(luò)流量或設(shè)備/系統(tǒng)/軟件日志中包含網(wǎng)絡(luò)掃描軟件的特征。6.1.2網(wǎng)絡(luò)釣魚攻擊的判定指標當通過網(wǎng)絡(luò)傳播的信息（如網(wǎng)頁、網(wǎng)絡(luò)郵件、軟件、文件等）具有欺詐性、偽造性，且存在誘使訪問者提交重要數(shù)據(jù)和個人信息的情況時，判定發(fā)生網(wǎng)絡(luò)釣魚攻擊。6.1.3漏洞利用攻擊的判定指標存在下列一種或者多種情況，判定發(fā)生漏洞利用攻擊：a)網(wǎng)絡(luò)流量或設(shè)備/系統(tǒng)/軟件日志中包含漏洞利用攻擊包的特征；b)網(wǎng)絡(luò)流量或設(shè)備/系統(tǒng)/軟件日志中包含漏洞利用工具的特征。6.1.4后門利用攻擊的判定指標存在下列一種或者多種情況，判定發(fā)生后門利用攻擊：a)網(wǎng)絡(luò)流量或設(shè)備/系統(tǒng)/軟件日志中包含后門利用攻擊包的特征，如后門利用工具的特征；b)網(wǎng)絡(luò)或信息系統(tǒng)中包含后門利用的痕跡，如后門執(zhí)行文件等。4GB/T37027—202X6.1.5后門植入攻擊的判定指標存在下列一種或者多種情況，判定發(fā)生后門植入攻擊：a)網(wǎng)絡(luò)流量或設(shè)備/系統(tǒng)/軟件日志中包含后門植入攻擊包的特征，如后門植入工具的特征；b)網(wǎng)絡(luò)或信息系統(tǒng)中包含后門植入的痕跡，如被植入的后門文件。6.1.6憑據(jù)攻擊的判定指標存在下列一種或者多種情況，判定發(fā)生憑據(jù)攻擊：a)網(wǎng)絡(luò)流量或者業(yè)務(wù)系統(tǒng)日志中包含攻擊者在短時間內(nèi)進行口令枚舉猜解的行為特征；b)攻擊者存在識別解析登錄口令的行為。6.1.7信號干擾攻擊的判定指標存在下列一種或者多種情況，判定發(fā)生信號干擾攻擊：a)通信信號質(zhì)量下降，數(shù)據(jù)包丟失，通信中斷等問題。通過監(jiān)測信號的頻譜特征、幅度變化、頻率偏移等，可以檢測到信號的異常表現(xiàn)；b)通信信號的信噪比下降、比特錯誤率增加、丟包率升高等指標的變化；c)通過檢測與正常設(shè)備行為不一致的跡象，如未經(jīng)授權(quán)的無線電發(fā)射器的存在，可以發(fā)現(xiàn)潛在的信號干擾攻擊；d)過監(jiān)測鄰近通信鏈路的質(zhì)量變化和異常行為。6.1.8拒絕服務(wù)攻擊的判定指標存在下列一種或者多種情況，判定發(fā)生拒絕服務(wù)攻擊：a)網(wǎng)絡(luò)流量中包含拒絕服務(wù)攻擊的指令特征；b)網(wǎng)絡(luò)或信息系統(tǒng)的流入流量或訪問量超過正常閾值。6.1.9網(wǎng)頁篡改攻擊的判定指標存在網(wǎng)頁內(nèi)容被非授權(quán)惡意更改的情況時，判定發(fā)生網(wǎng)頁篡改攻擊。6.1.10暗鏈植入攻擊的判定指標存在下列一種或者多種情況，判定發(fā)生暗鏈植入攻擊：a)發(fā)現(xiàn)存在未經(jīng)授權(quán)的或異常的鏈接，指向惡意網(wǎng)站、下載惡意軟件的鏈接或其他惡意資源；b)發(fā)現(xiàn)存在異常的訪問流量模式，突然增加的訪問量、來自不同地理位置或非正常的用戶行為c)發(fā)現(xiàn)安全日志和監(jiān)測出現(xiàn)異常行為，網(wǎng)站或應(yīng)用程序文件被修改。6.1.11域名劫持攻擊的判定指標當域名的解析結(jié)果被非域名所有者指向非預(yù)期的IP地址的情況時，判定發(fā)生域名劫持攻擊。6.1.12域名轉(zhuǎn)嫁攻擊的判定指標當域名的解析結(jié)果被域名所有者指向了不屬于所有者或者利益相關(guān)方所擁有的IP地址情況時，判定發(fā)生域名轉(zhuǎn)嫁攻擊。5GB/T37027—202X6.1.13DNS污染攻擊的判定指標當網(wǎng)絡(luò)中存在錯誤的DNS數(shù)據(jù)包，把域名的解析結(jié)果指向不正確的IP地址時，判定發(fā)生DNS污染攻擊。6.1.14WLAN劫持攻擊的判定指標存在下列一種或者多種情況，判定發(fā)生WLAN劫持攻擊：a)無線網(wǎng)絡(luò)大量的數(shù)據(jù)流量被重定向到未知的目標、數(shù)據(jù)包被篡改或通信被中斷；b)頻繁斷連、連接到未知的或可疑的無線網(wǎng)絡(luò)等；c)未經(jīng)授權(quán)的無線接入點的出現(xiàn)、頻繁的信道切換、無線信號干擾等。6.1.15流量劫持攻擊的判定指標存在下列一種或者多種情況，判定發(fā)生流量劫持攻擊：a)實際流入流量與對端發(fā)出流量存在差別；b)實際流出流量與達到對端流量存在差別。6.1.16BGP劫持攻擊的判定指標存在下列一種或者多種情況，判定發(fā)生BGP劫持攻擊：a)攻擊者使用偽造或篡改等手段污染BGP邊界網(wǎng)關(guān)協(xié)議的路由數(shù)據(jù)，欺騙其他AS將流量引向攻擊者指定的AS，此種情況下攻擊者正在發(fā)送污染包劫持路徑；b)AS實際網(wǎng)絡(luò)通信路由路徑與合理的網(wǎng)絡(luò)路由通信路徑存在差別，此種情況下攻擊者已經(jīng)劫持了路徑，并將流量引向其指定的AS。6.1.17廣播欺詐攻擊的判定指標存在下列一種或者多種情況，判定發(fā)生廣播欺詐。a)ARP表中IP地址與MAC地址的映射與正常情況不一致或存在重復(fù)映射；b)網(wǎng)絡(luò)中的數(shù)據(jù)流量和通信模式發(fā)現(xiàn)大量的沖突通信、數(shù)據(jù)包丟失、通信中斷等異常情況；c)頻繁地發(fā)送ARP請求、自動更新ARP表、重置網(wǎng)絡(luò)接口等。6.1.18失陷主機攻擊的判定指標存在下列一種或者多種情況，判定發(fā)生失陷主機攻擊：a)被控設(shè)備對外發(fā)送心跳包、控制指令響應(yīng)包或開啟非授權(quán)端口服務(wù)；b)被控設(shè)備中包含具有遠程控制功能的惡意代碼或者相關(guān)感染痕跡，例如特洛伊木馬文件等；6.1.19其他網(wǎng)絡(luò)攻擊的判定指標采取其他攻擊技術(shù)手段的網(wǎng)絡(luò)攻擊行為。6.2網(wǎng)絡(luò)攻擊事件的判定指標判定網(wǎng)絡(luò)攻擊事件需同時滿足兩個條件：一是已判定單個或多個相關(guān)的網(wǎng)絡(luò)攻擊；二是已判定的網(wǎng)絡(luò)攻擊造成或潛在造成業(yè)務(wù)損失或社會危害。針對網(wǎng)絡(luò)掃描探測、網(wǎng)絡(luò)釣魚、漏洞利用、后門利用、后門植入、憑據(jù)攻擊、信號干擾、拒絕服務(wù)、網(wǎng)頁篡改、暗鏈植入、域名劫持、域名轉(zhuǎn)嫁、DNS污染、WLAN劫持、流量劫持、BGP劫持攻擊、廣播欺詐、失陷主機以及其他網(wǎng)絡(luò)攻擊事件，如存在已判定的使用相應(yīng)攻擊技術(shù)手段的網(wǎng)絡(luò)攻擊，且網(wǎng)絡(luò)攻擊造成或潛在造成業(yè)務(wù)損失或社會危害，則判定發(fā)生相應(yīng)類型的網(wǎng)絡(luò)攻擊事件。供應(yīng)鏈攻擊事件、APT攻擊事件一般是綜合使用多種攻擊技術(shù)手段和非技術(shù)手段的網(wǎng)絡(luò)攻擊事件。6GB/T37027—202X針對供應(yīng)鏈攻擊事件，通過分析相關(guān)攻擊行為，如確認攻擊方通過利用合法軟件產(chǎn)品或網(wǎng)絡(luò)服務(wù)的供應(yīng)鏈中的脆弱性來實現(xiàn)其攻擊意圖，則判定發(fā)生供應(yīng)鏈攻擊事件。針對APT攻擊事件，存在下列一種或者多種情況，則判定發(fā)生APT攻擊事件：a）網(wǎng)絡(luò)攻擊中的IOC（失陷指標，即在網(wǎng)絡(luò)或設(shè)備上發(fā)現(xiàn)的可作為系統(tǒng)疑遭入侵的證據(jù)，一般以結(jié)構(gòu)化的方式記錄）或者技戰(zhàn)術(shù)屬于已知APT組織；b）攻擊活動存在針對性、持久性和高隱蔽性，且攻擊目標是重要信息系統(tǒng)或高價值個人，且攻擊目的是竊取情報、破壞或者潛伏等待指令。7計數(shù)標準7.1網(wǎng)絡(luò)攻擊的計數(shù)標準7.1.1單次網(wǎng)絡(luò)攻擊單次網(wǎng)絡(luò)攻擊指在一個時間點或一段時間范圍內(nèi)，依據(jù)6.1判定的網(wǎng)絡(luò)攻擊。7.1.2網(wǎng)絡(luò)攻擊的計數(shù)方法網(wǎng)絡(luò)攻擊的計數(shù)指對包含特定要素信息的單次網(wǎng)絡(luò)攻擊進行統(tǒng)計，得到網(wǎng)絡(luò)攻擊的次數(shù)。網(wǎng)絡(luò)攻擊的典型計數(shù)方法包括：a)使用特定技術(shù)手段的網(wǎng)絡(luò)攻擊計數(shù)：對要素信息中包含特定技術(shù)手段的單次網(wǎng)絡(luò)攻擊進行統(tǒng)計；b)特定攻擊目標遭受的使用特定技術(shù)手段的網(wǎng)絡(luò)攻擊計數(shù)：對要素信息中同時包含特定攻擊目標、特定技術(shù)手段的單次網(wǎng)絡(luò)攻擊進行統(tǒng)計；c)特定攻擊源對特定攻擊目標使用特定技術(shù)手段的網(wǎng)絡(luò)攻擊計數(shù)：對要素信息中同時包含特定攻擊源、特定攻擊目標、特定技術(shù)手段的單次網(wǎng)絡(luò)攻擊進行統(tǒng)計。7.1.3多個網(wǎng)絡(luò)攻擊計數(shù)結(jié)果的合并計算條件多個網(wǎng)絡(luò)攻擊計數(shù)結(jié)果滿足可比較或可累加條件時可合并計算。滿足以下條件的多個網(wǎng)絡(luò)攻擊計數(shù)結(jié)果可進行比較：多個網(wǎng)絡(luò)攻擊計數(shù)結(jié)果是使用完全相同的網(wǎng)絡(luò)攻擊判定指標、網(wǎng)絡(luò)攻擊計數(shù)方法得到的。滿足以下條件的多個網(wǎng)絡(luò)攻擊計數(shù)結(jié)果可進行累加：多個網(wǎng)絡(luò)攻擊計數(shù)結(jié)果是使用完全相同的網(wǎng)絡(luò)攻擊判定指標、網(wǎng)絡(luò)攻擊計數(shù)方法得到的，且不存在單次網(wǎng)絡(luò)攻擊被重復(fù)計數(shù)的情況。除上述情況外，多個網(wǎng)絡(luò)攻擊計數(shù)結(jié)果不宜進行合并計算。7.2網(wǎng)絡(luò)攻擊事件計數(shù)標準7.2.1單個網(wǎng)絡(luò)攻擊事件單個網(wǎng)絡(luò)攻擊事件指在一個統(tǒng)計周期內(nèi)，依據(jù)6.2判定的相關(guān)網(wǎng)絡(luò)行為，需要具有一個或多個相同要素信息的一次或者多次網(wǎng)絡(luò)攻擊。一個統(tǒng)計周期一般為一個自然日，或者一個持續(xù)的攻擊時間段，也可依據(jù)統(tǒng)計的實際情況設(shè)定。針對各事件類型，單個網(wǎng)絡(luò)攻擊事件中包括的相關(guān)網(wǎng)絡(luò)攻擊宜具有的相同要素信息見表5。7GB/T37027—202X表5單個網(wǎng)絡(luò)攻擊事件中包括的相關(guān)網(wǎng)絡(luò)攻擊宜具有的相同要素信息（以下均指一個統(tǒng)計周期內(nèi)）一個攻擊源向一個攻擊目標發(fā)起單次或多次憑據(jù)攻擊，一個設(shè)備（如通信設(shè)備、雷達系統(tǒng)、導(dǎo)航設(shè)備等）遭受7.2.2網(wǎng)絡(luò)攻擊事件的計數(shù)方法網(wǎng)絡(luò)攻擊事件的計數(shù)指對包含特定要素信息的單個網(wǎng)絡(luò)攻擊事件進行統(tǒng)計，得到網(wǎng)絡(luò)攻擊事件的個網(wǎng)絡(luò)攻擊事件的典型計數(shù)方法包括：a)特定類型的網(wǎng)絡(luò)攻擊事件計數(shù)：對要素信息中包含特定事件類型的單個網(wǎng)絡(luò)攻擊事件進行統(tǒng)計；b)特定攻擊目標的特定類型網(wǎng)絡(luò)攻擊事件計數(shù)：對要素信息中同時包含特定攻擊目標、特定事件類型的單個網(wǎng)絡(luò)攻擊事件進行統(tǒng)計；c)特定攻擊源、特定攻擊目標的特定類型網(wǎng)絡(luò)攻擊事件計數(shù)：對要素信息中同時包含特定攻擊源、特定攻擊目標、特定事件類型的單個網(wǎng)絡(luò)攻擊事件進行統(tǒng)計。7.2.3多個網(wǎng)絡(luò)攻擊事件計數(shù)結(jié)果的合并計算條件多個網(wǎng)絡(luò)攻擊事件計數(shù)結(jié)果滿足可比較或可累加條件時可合并計算。8GB/T37027—202X滿足以下條件的多個網(wǎng)絡(luò)攻擊事件計數(shù)結(jié)果可進行比較：多個網(wǎng)絡(luò)攻擊事件計數(shù)結(jié)果是使用完全相同的網(wǎng)絡(luò)攻擊事件判定指標、網(wǎng)絡(luò)攻擊事件計數(shù)方法得到的。滿足以下條件的多個網(wǎng)絡(luò)攻擊事件計數(shù)結(jié)果可進行累加：多個網(wǎng)絡(luò)攻擊事件計數(shù)結(jié)果是使用完全相同的網(wǎng)絡(luò)攻擊判定事件指標、網(wǎng)絡(luò)攻擊事件計數(shù)方法得到的，且不存在單個網(wǎng)絡(luò)攻擊事件被重復(fù)計數(shù)的情況。除上述情況外，多個網(wǎng)絡(luò)攻擊事件計數(shù)結(jié)果不宜進行合并計算。9GB/T37027—202X（資料性）網(wǎng)絡(luò)攻擊概述網(wǎng)絡(luò)攻擊為利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進行的攻擊。網(wǎng)絡(luò)攻擊具有動態(tài)和迭代性，隨著攻擊過程的進行，攻擊者對目標的掌握和控制程度不斷深入，可實施的攻擊面越大，可能造成的安全影響也越大。根據(jù)網(wǎng)絡(luò)攻擊實施步驟的粗細層次及復(fù)雜程度，網(wǎng)絡(luò)攻擊又可分為單步攻擊和組合攻擊。單步攻擊是具有獨立的、不可分割的攻擊目的的簡單網(wǎng)絡(luò)攻擊，組合攻擊是單步攻擊按照一定邏輯關(guān)系或時空順序進行組合的復(fù)雜網(wǎng)絡(luò)攻擊。通常情況下，一個典型的復(fù)雜網(wǎng)絡(luò)攻擊過程包括偵查、資源開發(fā)、初識訪問、執(zhí)行、持久化、提權(quán)、防御規(guī)避、憑證訪問、發(fā)現(xiàn)、橫向移動、收集、命令與控制、數(shù)據(jù)滲出、影響等步驟。典型網(wǎng)絡(luò)攻擊過程的詳細描述參見附錄C。從生命周期角度看，一次網(wǎng)絡(luò)攻擊涉及的角色（包括參與者和利益相關(guān)者）包括4類：a)網(wǎng)絡(luò)攻擊者：利用網(wǎng)絡(luò)安全的脆弱性，以破環(huán)、竊取或泄露信息系統(tǒng)或網(wǎng)絡(luò)中的資源為目的，危及信息系統(tǒng)或網(wǎng)絡(luò)資源可用性的個人或組織，如某黑客組織。b)網(wǎng)絡(luò)攻擊受害者：在網(wǎng)絡(luò)攻擊的活動中,信息、資源或財產(chǎn)受到侵害的一方，如某互聯(lián)網(wǎng)應(yīng)用提供商。c)網(wǎng)絡(luò)攻擊檢測者：對網(wǎng)絡(luò)運行和服務(wù)、網(wǎng)絡(luò)活動進行監(jiān)視和控制,具有對網(wǎng)絡(luò)攻擊進行安全防護職責的組織。d)網(wǎng)絡(luò)服務(wù)提供者：為網(wǎng)絡(luò)運行和服務(wù)提供基礎(chǔ)設(shè)施、信息和中介、接入等技術(shù)服務(wù)的網(wǎng)絡(luò)服務(wù)商和非營利組織，如云服務(wù)提供商、電信運營商等。GB/T37027—202X（資料性）典型攻擊對象類型典型攻擊對象類型如表B.1所示。表B.1攻擊對象類型表基于路由協(xié)議機制和算法選擇路徑或路由，建立和控制不同網(wǎng)絡(luò)間數(shù)據(jù)流的網(wǎng)主要功能是對接收到的信號進行再生整形放大，以擴大網(wǎng)絡(luò)的傳輸距離，同時包括關(guān)系型和非關(guān)系型數(shù)據(jù)庫，對存放在庫中的數(shù)據(jù)進行統(tǒng)一管理和處理等，包括支持POP3協(xié)議、IMAP協(xié)議、SMTP協(xié)議等的e支持處理瀏覽器等Web客戶端的請求并返回相應(yīng)處如COM、CORBA、J2EE、Docker、等提供系統(tǒng)軟件和應(yīng)用軟件之間連接的軟件,以便于軟件各部件之間的溝通,特別GB/T37027—202X表B.1攻擊對象類型表（續(xù)）GB/T37027—202X（資料性）典型網(wǎng)絡(luò)攻擊過程C.1概述網(wǎng)絡(luò)攻擊的典型過程如圖B.1所示：圖B.1網(wǎng)絡(luò)攻擊的典型過程C.2偵察在實施網(wǎng)絡(luò)攻擊前，攻擊者通過主動或被動信息收集技術(shù)，收集可以用來規(guī)劃未來攻擊行動的信息，包括受害組織信息、基礎(chǔ)設(shè)施信息、人員詳細情況信息等，攻擊者能夠利用收集的信息為實施網(wǎng)絡(luò)攻擊進行準備，為全生命周期其它階段提供幫助。C.3資源開發(fā)根據(jù)收集到的詳細信息，攻擊者通過創(chuàng)建、購買或破壞/竊取可用于支持目標定位的資源的技術(shù)，建立可用于支持行動的資源，包括基礎(chǔ)架構(gòu)、受害者賬戶等資源，攻擊者能夠利用開發(fā)的資源為全生命周期其它階段提供幫助。C.4初始訪問攻擊者通過使用魚叉式網(wǎng)絡(luò)釣魚、利用Web服務(wù)器上漏洞等技術(shù)在目標網(wǎng)絡(luò)中獲得初始立足點。通過初始訪問獲得的立足點能夠允許攻擊者在目標網(wǎng)絡(luò)中繼續(xù)訪問或攻擊。C.5執(zhí)行攻擊者在本地或遠程系統(tǒng)上控制惡意代碼執(zhí)行，執(zhí)行惡意代碼技術(shù)通常與網(wǎng)絡(luò)搜索、竊取數(shù)據(jù)等其它策略的技術(shù)結(jié)合使用。例如，攻擊者使用遠程訪問工具來運行執(zhí)行遠程系統(tǒng)發(fā)現(xiàn)的PowerShell腳本等。C.6持久化攻擊者通過使用當出現(xiàn)重啟、更改憑證、其它可能切斷其訪問的情況時，在中斷期間保持對目標系統(tǒng)訪問的技術(shù)，保障攻擊者立足點。C.7提權(quán)攻擊者利用系統(tǒng)漏洞、錯誤配置等，在目標系統(tǒng)或網(wǎng)絡(luò)上獲得更高級別權(quán)限；通過提升權(quán)限，攻擊者才能達成更多目的。提權(quán)技術(shù)通常與持久化技術(shù)重疊。C.8防御規(guī)避攻擊者利用卸載/禁用安全軟件、混淆/加密數(shù)據(jù)和腳本等技術(shù)，以及通過利用受信任進程隱藏/偽裝惡意軟件等，避免在入侵目標網(wǎng)絡(luò)過程中被發(fā)現(xiàn)。GB/T37027—202XC.9憑證訪問攻擊者通過鍵盤記錄、憑證轉(zhuǎn)儲等技術(shù)竊取賬戶名和密碼等。攻擊者利用合法憑證訪問目標系統(tǒng)，難于被發(fā)現(xiàn)，并提供了創(chuàng)建更多賬戶以幫助實現(xiàn)攻擊目標的機會。C.10發(fā)現(xiàn)攻擊者搜索其可以控制的內(nèi)容以及切入點周圍的內(nèi)容，獲取有關(guān)系統(tǒng)和內(nèi)部網(wǎng)絡(luò)的知識，幫助在行動之前觀察目標環(huán)境并確定行動方向。C.11橫向移動攻擊者利用進入和控制網(wǎng)絡(luò)遠程系統(tǒng)的技術(shù)搜索整個網(wǎng)絡(luò)以找到最終目標，攻擊者可能會安裝自己的遠程訪問工具，也可能將合法憑證與本機網(wǎng)絡(luò)和操作系統(tǒng)工具一起使用來完成橫向移動。C.12收集攻擊者利用收集信息相關(guān)技術(shù)在目標網(wǎng)絡(luò)中收集其感興趣的數(shù)據(jù)，收集目標源包括各種驅(qū)動器類型、瀏覽器、音頻、視頻和電子郵件等，收集方式包括截圖、鍵盤輸入等。C.13命令與控制攻擊者利用網(wǎng)絡(luò)通信技術(shù)與受感染的系統(tǒng)通信并對其進行控制，通常攻擊者會嘗試模仿正常的預(yù)期流量以避免被發(fā)現(xiàn)，以及根據(jù)目標網(wǎng)絡(luò)結(jié)構(gòu)和防御情況建立具有隱蔽功能的命令和控制。C.14數(shù)據(jù)滲出攻擊者收集到目標數(shù)據(jù)后，通常采用壓縮、加密等方式將數(shù)據(jù)打包以避免在滲出數(shù)據(jù)時被發(fā)現(xiàn)。從目標網(wǎng)絡(luò)滲出數(shù)據(jù)技術(shù)包括通過命令和控制通道或備用通道傳輸數(shù)據(jù)、對傳輸設(shè)置大小限制等。C.15影響攻擊者利用破壞、篡改數(shù)據(jù)等技術(shù)，通過操縱業(yè)務(wù)和操作流程來破壞網(wǎng)絡(luò)可用性或損害完整性，攻擊者使用相關(guān)技術(shù)實現(xiàn)最終目的或為機密數(shù)據(jù)泄露提供掩護。GB/T37027—202X（資料性）網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的典型判定方法D.1網(wǎng)絡(luò)攻擊的典型判定方法網(wǎng)絡(luò)或信息系統(tǒng)運營者、安全廠商、行業(yè)主管機構(gòu)、監(jiān)管機構(gòu)等可使用以下方法中的一種或者多種判定網(wǎng)絡(luò)攻擊：a)通