《信息安全技術(shù) 網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件判定準(zhǔn)則》

()*+!",%-,—-%-.!

#

'()*+,#-./01-./0234567#

123!

本文件給出了網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的描述信息要素、判定指標(biāo)和計數(shù)標(biāo)準(zhǔn)。

本文件適用于指導(dǎo)組織開展網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的監(jiān)測分析、態(tài)勢感知、信息報送等活動。

-4256789!

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20986－2023信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南

GB/T30279—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級指南

":;<=>!

GB/T20986—2023、GB/T30279—2020界定的以及下列術(shù)語和定義適用于本文件。

!

?@AB!CDEFGHI!JEEJKI!

指通過計算機(jī)、路由器等計算資源和網(wǎng)絡(luò)資源，利用網(wǎng)絡(luò)中存在的漏洞和安全缺陷實施的一種行為，

其目的在于竊取、篡改、破壞網(wǎng)絡(luò)和數(shù)據(jù)設(shè)施中傳輸和存儲的信息；或延緩、中斷網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)；或

破壞、摧毀、控制網(wǎng)絡(luò)和數(shù)據(jù)基礎(chǔ)設(shè)施。

!

?@ABL9!CDEFGHI!JEEJKI!MCKMNDCE!

網(wǎng)絡(luò)攻擊（3.1）造成或潛在造成業(yè)務(wù)損失或社會危害的網(wǎng)絡(luò)安全事件，包括一次或多次被識別的

網(wǎng)絡(luò)攻擊。

OPQ;!

下列縮略語適用于本文件。

APT：高級可持續(xù)威脅攻擊（advancedpersistentthreat）

ARP：地址解析協(xié)議（addressresolutionprotocol）

AS：自治域（autonomoussystem）

BGP：邊界網(wǎng)關(guān)協(xié)議（bordergatewayprotocol）

DNS：域名系統(tǒng)（domainnamesystem）

IOC：失陷指標(biāo)（indicatorsofcompromise）

IP：互聯(lián)網(wǎng)協(xié)議（internetprotocol）

WLAN：無限局域網(wǎng)（wirelesslocalareanetwork）

1

()*+!",%-,R-%-.!

#ST!

?@ABUST!

描述網(wǎng)絡(luò)攻擊的基本信息要素見表1。

V1ST?@ABUWXYZ[\!

信息要素說明

標(biāo)識號每個網(wǎng)絡(luò)攻擊應(yīng)具有唯一標(biāo)識號

攻擊對象被實施網(wǎng)絡(luò)攻擊的客體信息，如被攻擊設(shè)備的IP地址、域名，或具體的某個網(wǎng)絡(luò)設(shè)備或者

信息系統(tǒng)等

攻擊對象分類攻擊對象的分類描述，見附錄B

攻擊源實施網(wǎng)絡(luò)攻擊的主體信息，包括攻擊者身份（如攻擊組織名、網(wǎng)絡(luò)身份標(biāo)識）、攻擊資源

（如攻擊者使用的直接攻擊IP、真實攻擊IP、控制域名）等

攻擊技術(shù)手段網(wǎng)絡(luò)攻擊使用的技術(shù)手段，包括網(wǎng)絡(luò)掃描探測、網(wǎng)絡(luò)釣魚、漏洞利用、后門利用、后門植

入、憑據(jù)攻擊、信號干擾、拒絕服務(wù)、網(wǎng)頁篡改、暗鏈植入、域名劫持、域名轉(zhuǎn)嫁、DNS

污染、WLAN劫持、流量劫持、BGP劫持、廣播欺詐、失陷主機(jī)、其他，共19類。

注：GB/T20986—2023中的供應(yīng)鏈攻擊事件、APT攻擊事件一般是綜合使用上述技術(shù)手段

和其他非技術(shù)手段的網(wǎng)絡(luò)攻擊事件，因此不在攻擊技術(shù)手段中單獨設(shè)置相應(yīng)的類別。

攻擊時間攻擊發(fā)生的時間點或時間范圍

描述網(wǎng)絡(luò)攻擊的擴(kuò)展信息要素見表2。

V-ST?@ABU]^YZ[\!

信息要素說明

網(wǎng)絡(luò)攻擊名稱簡要描述網(wǎng)絡(luò)攻擊

安全漏洞攻擊過程中所利用的網(wǎng)絡(luò)或系統(tǒng)的安全脆弱性或弱點

安全漏洞類型安全漏洞的類型，見GB/T30279—2020

攻擊源詳細(xì)信息攻擊源的詳細(xì)信息，包括國內(nèi)/國外、組織內(nèi)部/組織外部等

攻擊階段攻擊所處的階段，見附錄C

攻擊詳細(xì)信息詳細(xì)描述攻擊行為、手法或過程等

判定方法判定網(wǎng)絡(luò)攻擊所使用的方法，見附錄D

擴(kuò)展信息可根據(jù)需要增加一個或多個擴(kuò)展信息要素

?@ABL9UST!

描述網(wǎng)絡(luò)攻擊事件的基本信息要素見表3。

V"ST?@ABL9UWXYZ[\!

信息要素說明

標(biāo)識號每個網(wǎng)絡(luò)攻擊事件應(yīng)具有唯一標(biāo)識號

事件時間攻擊事件發(fā)生的時間點或者時間范圍

事件類型網(wǎng)絡(luò)攻擊事件的類型，見GB/T20986—2023

攻擊對象同表1中的相關(guān)描述

2

()*+!",%-,—-%-.!

攻擊對象類型同表1中的相關(guān)描述

攻擊源同表1中的相關(guān)描述

事件影響網(wǎng)絡(luò)攻擊事件已造成或潛在造成的影響，包括影響對象的重要程度、業(yè)務(wù)損失的具體情況、

社會危害具體情況等

描述網(wǎng)絡(luò)攻擊事件的擴(kuò)展信息要素見表4。

VOST?@ABL9U]^YZ[\!

信息要素說明

網(wǎng)絡(luò)攻擊事件名稱簡要描述網(wǎng)絡(luò)攻擊事件

事件分級網(wǎng)絡(luò)攻擊事件的分級描述，見GB/T20986—2023，包括特別重大事件（一級）、重大事件

（二級）、較大事件（三級）、一般事件（四級）

事件詳細(xì)信息詳細(xì)描述網(wǎng)絡(luò)攻擊事件的行為、手法或過程等

安全漏洞攻擊過程中所利用的網(wǎng)絡(luò)或系統(tǒng)的安全脆弱性或弱點

安全漏洞分類安全漏洞的類別，見GB/T30279—2020

攻擊源詳細(xì)信息攻擊源的詳細(xì)信息，包括國內(nèi)/國外、內(nèi)部/外部、攻擊組織等

攻擊動機(jī)可能的攻擊動機(jī)，如政治、經(jīng)濟(jì)、興趣、炫耀等

判定方法判定網(wǎng)絡(luò)攻擊事件所使用的方法，見附錄D

擴(kuò)展信息可根據(jù)需要增加一個或多個擴(kuò)展信息要素

_`=ab!

?@ABU`=ab!

_$1$1?@cSdeABU`=ab!

存在下列一種或者多種情況，判定發(fā)生網(wǎng)絡(luò)掃描探測攻擊：

a)一定時間范圍內(nèi)，針對端口、路徑、配置等的網(wǎng)絡(luò)請求數(shù)量超出正常閥值范圍，或網(wǎng)絡(luò)請求

內(nèi)容存在遍歷性和構(gòu)造性；

b)網(wǎng)絡(luò)流量或設(shè)備/系統(tǒng)/軟件日志中包含網(wǎng)絡(luò)掃描軟件的特征。

_$1$-?@fgABU`=ab!

當(dāng)通過網(wǎng)絡(luò)傳播的信息（如網(wǎng)頁、網(wǎng)絡(luò)郵件、軟件、文件等）具有欺詐性、偽造性，且存在誘使訪

問者提交重要數(shù)據(jù)和個人信息的情況時，判定發(fā)生網(wǎng)絡(luò)釣魚攻擊。

_$1$"hij7ABU`=ab!

存在下列一種或者多種情況，判定發(fā)生漏洞利用攻擊：

a)網(wǎng)絡(luò)流量或設(shè)備/系統(tǒng)/軟件日志中包含漏洞利用攻擊包的特征；

b)網(wǎng)絡(luò)流量或設(shè)備/系統(tǒng)/軟件日志中包含漏洞利用工具的特征。

_$1$Oklj7ABU`=ab!

存在下列一種或者多種情況，判定發(fā)生后門利用攻擊：

a)網(wǎng)絡(luò)流量或設(shè)備/系統(tǒng)/軟件日志中包含后門利用攻擊包的特征，如后門利用工具的特征；

b)網(wǎng)絡(luò)或信息系統(tǒng)中包含后門利用的痕跡，如后門執(zhí)行文件等。

3

()*+!",%-,R-%-.!

_$1$#klmnABU`=ab!

存在下列一種或者多種情況，判定發(fā)生后門植入攻擊：

a)網(wǎng)絡(luò)流量或設(shè)備/系統(tǒng)/軟件日志中包含后門植入攻擊包的特征，如后門植入工具的特征；

b)網(wǎng)絡(luò)或信息系統(tǒng)中包含后門植入的痕跡，如被植入的后門文件。

_$1$_opABU`=ab!

存在下列一種或者多種情況，判定發(fā)生憑據(jù)攻擊：

a)網(wǎng)絡(luò)流量或者業(yè)務(wù)系統(tǒng)日志中包含攻擊者在短時間內(nèi)進(jìn)行口令枚舉猜解的行為特征；

b)攻擊者存在識別解析登錄口令的行為。

_$1$,YqrsABU`=ab!

存在下列一種或者多種情況，判定發(fā)生信號干擾攻擊：

a)通信信號質(zhì)量下降，數(shù)據(jù)包丟失，通信中斷等問題。通過監(jiān)測信號的頻譜特征、幅度變化、

頻率偏移等，可以檢測到信號的異常表現(xiàn)；

b)通信信號的信噪比下降、比特錯誤率增加、丟包率升高等指標(biāo)的變化；

c)通過檢測與正常設(shè)備行為不一致的跡象，如未經(jīng)授權(quán)的無線電發(fā)射器的存在，可以發(fā)現(xiàn)潛在

的信號干擾攻擊；

d)過監(jiān)測鄰近通信鏈路的質(zhì)量變化和異常行為。

_$1$'tuvwABU`=ab!

存在下列一種或者多種情況，判定發(fā)生拒絕服務(wù)攻擊：

a)網(wǎng)絡(luò)流量中包含拒絕服務(wù)攻擊的指令特征；

b)網(wǎng)絡(luò)或信息系統(tǒng)的流入流量或訪問量超過正常閾值。

!"可通過設(shè)定或者自學(xué)習(xí)網(wǎng)絡(luò)和信息系統(tǒng)的正常流量或正常訪問量的閥值，并與實際流量、訪問量進(jìn)行比對。針

對不同單位可以依據(jù)其重要程度設(shè)定不同的檢測閥值。

_$1$x?yz{ABU`=ab!

存在網(wǎng)頁內(nèi)容被非授權(quán)惡意更改的情況時，判定發(fā)生網(wǎng)頁篡改攻擊。

_$1$1%|}mnABU`=ab!

存在下列一種或者多種情況，判定發(fā)生暗鏈植入攻擊：

a)發(fā)現(xiàn)存在未經(jīng)授權(quán)的或異常的鏈接，指向惡意網(wǎng)站、下載惡意軟件的鏈接或其他惡意資源；

b)發(fā)現(xiàn)存在異常的訪問流量模式，突然增加的訪問量、來自不同地理位置或非正常的用戶行為

等；

c)發(fā)現(xiàn)安全日志和監(jiān)測出現(xiàn)異常行為，網(wǎng)站或應(yīng)用程序文件被修改。

_$1$11~?€?ABU`=ab!

當(dāng)域名的解析結(jié)果被非域名所有者指向非預(yù)期的IP地址的情況時，判定發(fā)生域名劫持攻擊。

_$1$1-~???ABU`=ab!

當(dāng)域名的解析結(jié)果被域名所有者指向了不屬于所有者或者利益相關(guān)方所擁有的IP地址情況時，判定

發(fā)生域名轉(zhuǎn)嫁攻擊。

4

()*+!",%-,—-%-.!

_$1$1"?…???ABU`=ab!

當(dāng)網(wǎng)絡(luò)中存在錯誤的DNS數(shù)據(jù)包，把域名的解析結(jié)果指向不正確的IP地址時，判定發(fā)生DNS污染攻擊。

_$1$1O‰&?…€?ABU`=ab!

存在下列一種或者多種情況，判定發(fā)生WLAN劫持攻擊：

a)無線網(wǎng)絡(luò)大量的數(shù)據(jù)流量被重定向到未知的目標(biāo)、數(shù)據(jù)包被篡改或通信被中斷；

b)頻繁斷連、連接到未知的或可疑的無線網(wǎng)絡(luò)等；

c)未經(jīng)授權(quán)的無線接入點的出現(xiàn)、頻繁的信道切換、無線信號干擾等。

_$1$1#??€?ABU`=ab!

存在下列一種或者多種情況，判定發(fā)生流量劫持攻擊：

a)實際流入流量與對端發(fā)出流量存在差別；

b)實際流出流量與達(dá)到對端流量存在差別。

_$1$1_)(?€?ABU`=ab!

存在下列一種或者多種情況，判定發(fā)生BGP劫持攻擊：

a)攻擊者使用偽造或篡改等手段污染BGP邊界網(wǎng)關(guān)協(xié)議的路由數(shù)據(jù)，欺騙其他AS將流量引向攻擊

者指定的AS，此種情況下攻擊者正在發(fā)送污染包劫持路徑；

b)AS實際網(wǎng)絡(luò)通信路由路徑與合理的網(wǎng)絡(luò)路由通信路徑存在差別，此種情況下攻擊者已經(jīng)劫持

了路徑，并將流量引向其指定的AS。

_$1$1,???‘ABU`=ab!

存在下列一種或者多種情況，判定發(fā)生廣播欺詐。

a)ARP表中IP地址與MAC地址的映射與正常情況不一致或存在重復(fù)映射；

b)網(wǎng)絡(luò)中的數(shù)據(jù)流量和通信模式發(fā)現(xiàn)大量的沖突通信、數(shù)據(jù)包丟失、通信中斷等異常情況；

c)頻繁地發(fā)送ARP請求、自動更新ARP表、重置網(wǎng)絡(luò)接口等。

_$1$1'’“”?ABU`=ab!

存在下列一種或者多種情況，判定發(fā)生失陷主機(jī)攻擊：

a)被控設(shè)備對外發(fā)送心跳包、控制指令響應(yīng)包或開啟非授權(quán)端口服務(wù)；

b)被控設(shè)備中包含具有遠(yuǎn)程控制功能的惡意代碼或者相關(guān)感染痕跡，例如特洛伊木馬文件等；

_$1$1x–—?@ABU`=ab!

采取其他攻擊技術(shù)手段的網(wǎng)絡(luò)攻擊行為。

?@ABL9U`=ab!

判定網(wǎng)絡(luò)攻擊事件需同時滿足兩個條件：一是已判定單個或多個相關(guān)的網(wǎng)絡(luò)攻擊；二是已判定的網(wǎng)

絡(luò)攻擊造成或潛在造成業(yè)務(wù)損失或社會危害。

針對網(wǎng)絡(luò)掃描探測、網(wǎng)絡(luò)釣魚、漏洞利用、后門利用、后門植入、憑據(jù)攻擊、信號干擾、拒絕服務(wù)、

網(wǎng)頁篡改、暗鏈植入、域名劫持、域名轉(zhuǎn)嫁、DNS污染、WLAN劫持、流量劫持、BGP劫持攻擊、廣播欺詐、

失陷主機(jī)以及其他網(wǎng)絡(luò)攻擊事件，如存在已判定的使用相應(yīng)攻擊技術(shù)手段的網(wǎng)絡(luò)攻擊，且網(wǎng)絡(luò)攻擊造成

或潛在造成業(yè)務(wù)損失或社會危害，則判定發(fā)生相應(yīng)類型的網(wǎng)絡(luò)攻擊事件。

供應(yīng)鏈攻擊事件、APT攻擊事件一般是綜合使用多種攻擊技術(shù)手段和非技術(shù)手段的網(wǎng)絡(luò)攻擊事件。

5

()*+!",%-,R-%-.!

針對供應(yīng)鏈攻擊事件，通過分析相關(guān)攻擊行為，如確認(rèn)攻擊方通過利用合法軟件產(chǎn)品或網(wǎng)絡(luò)服務(wù)的

供應(yīng)鏈中的脆弱性來實現(xiàn)其攻擊意圖，則判定發(fā)生供應(yīng)鏈攻擊事件。

針對APT攻擊事件，存在下列一種或者多種情況，則判定發(fā)生APT攻擊事件：

a）網(wǎng)絡(luò)攻擊中的IOC（失陷指標(biāo)，即在網(wǎng)絡(luò)或設(shè)備上發(fā)現(xiàn)的可作為系統(tǒng)疑遭入侵的證據(jù)，一般以結(jié)

構(gòu)化的方式記錄）或者技戰(zhàn)術(shù)屬于已知APT組織；

b）攻擊活動存在針對性、持久性和高隱蔽性，且攻擊目標(biāo)是重要信息系統(tǒng)或高價值個人，且攻擊

目的是竊取情報、破壞或者潛伏等待指令。

,??b?!

?@ABU??b?!

,$1$1???@AB!

單次網(wǎng)絡(luò)攻擊指在一個時間點或一段時間范圍內(nèi)，依據(jù)6.1判定的網(wǎng)絡(luò)攻擊。

,$1$-?@ABU????!

網(wǎng)絡(luò)攻擊的計數(shù)指對包含特定要素信息的單次網(wǎng)絡(luò)攻擊進(jìn)行統(tǒng)計，得到網(wǎng)絡(luò)攻擊的次數(shù)。

網(wǎng)絡(luò)攻擊的典型計數(shù)方法包括：

a)使用特定技術(shù)手段的網(wǎng)絡(luò)攻擊計數(shù)：對要素信息中包含特定技術(shù)手段的單次網(wǎng)絡(luò)攻擊進(jìn)行統(tǒng)

計；

b)特定攻擊目標(biāo)遭受的使用特定技術(shù)手段的網(wǎng)絡(luò)攻擊計數(shù)：對要素信息中同時包含特定攻擊目

標(biāo)、特定技術(shù)手段的單次網(wǎng)絡(luò)攻擊進(jìn)行統(tǒng)計；

c)特定攻擊源對特定攻擊目標(biāo)使用特定技術(shù)手段的網(wǎng)絡(luò)攻擊計數(shù)：對要素信息中同時包含特定

攻擊源、特定攻擊目標(biāo)、特定技術(shù)手段的單次網(wǎng)絡(luò)攻擊進(jìn)行統(tǒng)計。

,$1$"??@AB???￠U￡¤?￥|9!

多個網(wǎng)絡(luò)攻擊計數(shù)結(jié)果滿足可比較或可累加條件時可合并計算。

滿足以下條件的多個網(wǎng)絡(luò)攻擊計數(shù)結(jié)果可進(jìn)行比較：多個網(wǎng)絡(luò)攻擊計數(shù)結(jié)果是使用完全相同的網(wǎng)絡(luò)

攻擊判定指標(biāo)、網(wǎng)絡(luò)攻擊計數(shù)方法得到的。

滿足以下條件的多個網(wǎng)絡(luò)攻擊計數(shù)結(jié)果可進(jìn)行累加：多個網(wǎng)絡(luò)攻擊計數(shù)結(jié)果是使用完全相同的網(wǎng)絡(luò)

攻擊判定指標(biāo)、網(wǎng)絡(luò)攻擊計數(shù)方法得到的，且不存在單次網(wǎng)絡(luò)攻擊被重復(fù)計數(shù)的情況。

除上述情況外，多個網(wǎng)絡(luò)攻擊計數(shù)結(jié)果不宜進(jìn)行合并計算。

?@ABL9??b?!

,$-$1??@ABL9!

單個網(wǎng)絡(luò)攻擊事件指在一個統(tǒng)計周期內(nèi)，依據(jù)6.2判定的相關(guān)網(wǎng)絡(luò)行為，需要具有一個或多個相同

要素信息的一次或者多次網(wǎng)絡(luò)攻擊。

一個統(tǒng)計周期一般為一個自然日，或者一個持續(xù)的攻擊時間段，也可依據(jù)統(tǒng)計的實際情況設(shè)定。

針對各事件類型，單個網(wǎng)絡(luò)攻擊事件中包括的相關(guān)網(wǎng)絡(luò)攻擊宜具有的相同要素信息見表5。

6

()*+!",%-,—-%-.!

V#??@ABL9§¨?Ua??@AB???Uaˉ[\YZ!

單個網(wǎng)絡(luò)攻擊事件中包括的相關(guān)

單個網(wǎng)絡(luò)攻擊事件的典型情況

事件類型網(wǎng)絡(luò)攻擊宜具有的相同要素信息

（以下均指一個統(tǒng)計周期內(nèi)）

（以下均指一個統(tǒng)計周期內(nèi)）

網(wǎng)絡(luò)掃描探測事件攻擊源、攻擊目標(biāo)一個攻擊目標(biāo)遭受一個攻擊源的網(wǎng)絡(luò)掃描探測攻擊

網(wǎng)絡(luò)釣魚事件攻擊源一個具有網(wǎng)絡(luò)釣魚功能的、可訪問的釣魚鏈接或文檔

漏洞利用事件攻擊源、攻擊目標(biāo)一個攻擊源單次或多次成功利用一個攻擊目標(biāo)的漏洞

后門利用事件攻擊源、攻擊目標(biāo)一個攻擊源單次或多次成功利用一個攻擊目標(biāo)的后門

后門植入事件攻擊源、攻擊目標(biāo)一個攻擊源向一個攻擊目標(biāo)單次或多次成功植入后門

憑據(jù)攻擊事件攻擊源、攻擊目標(biāo)一個攻擊源向一個攻擊目標(biāo)發(fā)起單次或多次憑據(jù)攻擊，

并成功獲取正確的憑據(jù)

信號干擾事件攻擊目標(biāo)一個設(shè)備（如通信設(shè)備、雷達(dá)系統(tǒng)、導(dǎo)航設(shè)備等）遭受

信號干擾攻擊的影響

拒絕服務(wù)事件攻擊目標(biāo)一個攻擊目標(biāo)的業(yè)務(wù)遭受拒絕服務(wù)攻擊的影響

網(wǎng)頁篡改事件攻擊目標(biāo)一個網(wǎng)頁的內(nèi)容被單次或多次成功篡改

暗鏈植入事件攻擊目標(biāo)一個網(wǎng)頁被成功植入單個或多個暗鏈

域名劫持事件攻擊目標(biāo)一個域名被單次或多次成功劫持

域名轉(zhuǎn)嫁事件攻擊目標(biāo)一個域名被單次或多次成功轉(zhuǎn)嫁

DNS污染事件攻擊目標(biāo)一個域名遭受單次或多次DNS污染

WLAN劫持事件攻擊目標(biāo)一個無線局域網(wǎng)遭受WLAN劫持攻擊的影響

流量劫持事件攻擊目標(biāo)一個攻擊目標(biāo)被單次或多次成功流量劫持

BGP劫持攻擊事件攻擊目標(biāo)一個攻擊目標(biāo)遭受BGP劫持攻擊的影響

廣播欺詐事件攻擊目標(biāo)一個局域網(wǎng)遭受廣播欺詐攻擊的影響

失陷主機(jī)事件攻擊源、攻擊目標(biāo)一個攻擊目標(biāo)被一個攻擊源成功遠(yuǎn)程控制

供應(yīng)鏈攻擊事件攻擊目標(biāo)一個攻擊目標(biāo)發(fā)生供應(yīng)鏈攻擊事件

APT事件攻擊源、攻擊目標(biāo)一個攻擊源對一個攻擊目標(biāo)的APT攻擊事件

其他網(wǎng)絡(luò)攻擊事件宜根據(jù)具體情況確定宜根據(jù)具體情況確定

,$-$-?@ABL9U????!

網(wǎng)絡(luò)攻擊事件的計數(shù)指對包含特定要素信息的單個網(wǎng)絡(luò)攻擊事件進(jìn)行統(tǒng)計，得到網(wǎng)絡(luò)攻擊事件的個

數(shù)。

網(wǎng)絡(luò)攻擊事件的典型計數(shù)方法包括：

a)特定類型的網(wǎng)絡(luò)攻擊事件計數(shù)：對要素信息中包含特定事件類型的單個網(wǎng)絡(luò)攻擊事件進(jìn)行統(tǒng)

計；

b)特定攻擊目標(biāo)的特定類型網(wǎng)絡(luò)攻擊事件計數(shù)：對要素信息中同時包含特定攻擊目標(biāo)、特定事

件類型的單個網(wǎng)絡(luò)攻擊事件進(jìn)行統(tǒng)計；

c)特定攻擊源、特定攻擊目標(biāo)的特定類型網(wǎng)絡(luò)攻擊事件計數(shù)：對要素信息中同時包含特定攻擊

源、特定攻擊目標(biāo)、特定事件類型的單個網(wǎng)絡(luò)攻擊事件進(jìn)行統(tǒng)計。

,$-$"??@ABL9???￠U￡¤?￥|9!

多個網(wǎng)絡(luò)攻擊事件計數(shù)結(jié)果滿足可比較或可累加條件時可合并計算。

7

()*+!",%-,R-%-.!

滿足以下條件的多個網(wǎng)絡(luò)攻擊事件計數(shù)結(jié)果可進(jìn)行比較：多個網(wǎng)絡(luò)攻擊事件計數(shù)結(jié)果是使用完全相

同的網(wǎng)絡(luò)攻擊事件判定指標(biāo)、網(wǎng)絡(luò)攻擊事件計數(shù)方法得到的。

滿足以下條件的多個網(wǎng)絡(luò)攻擊事件計數(shù)結(jié)果可進(jìn)行累加：多個網(wǎng)絡(luò)攻擊事件計數(shù)結(jié)果是使用完全相

同的網(wǎng)絡(luò)攻擊判定事件指標(biāo)、網(wǎng)絡(luò)攻擊事件計數(shù)方法得到的，且不存在單個網(wǎng)絡(luò)攻擊事件被重復(fù)計數(shù)的

情況。

除上述情況外，多個網(wǎng)絡(luò)攻擊事件計數(shù)結(jié)果不宜進(jìn)行合并計算。

8

()*+!",%-,—-%-.!

°±A!

23′5μ!

?@AB?T

網(wǎng)絡(luò)攻擊為利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊。

網(wǎng)絡(luò)攻擊具有動態(tài)和迭代性，隨著攻擊過程的進(jìn)行，攻擊者對目標(biāo)的掌握和控制程度不斷深入，可實施

的攻擊面越大，可能造成的安全影響也越大。根據(jù)網(wǎng)絡(luò)攻擊實施步驟的層次及復(fù)雜程度，網(wǎng)絡(luò)攻擊

又可分為單步攻擊和組合攻擊。單步攻擊是具有獨立的、不可分割的攻擊目的的簡單網(wǎng)絡(luò)攻擊，組合攻

擊是單步攻擊按照一定邏輯關(guān)系或時空順序進(jìn)行組合的復(fù)雜網(wǎng)絡(luò)攻擊。通常情況下，一個典型的復(fù)雜網(wǎng)

絡(luò)攻擊過程包括偵查、資源開發(fā)、初識訪問、執(zhí)行、持久化、提權(quán)、防御規(guī)避、憑證訪問、發(fā)現(xiàn)、橫向

移動、收集、命令與控制、數(shù)據(jù)滲出、影響等步驟。典型網(wǎng)絡(luò)攻擊過程的詳細(xì)描述參見附錄C。

從生命周期角度看，一次網(wǎng)絡(luò)攻擊涉及的角色（包括參與者和利益相關(guān)者）包括4類：

a)網(wǎng)絡(luò)攻擊者：利用網(wǎng)絡(luò)安全的脆弱性，以破環(huán)、竊取或泄露信息系統(tǒng)或網(wǎng)絡(luò)中的資源為目的，

危及信息系統(tǒng)或網(wǎng)絡(luò)資源可用性的個人或組織，如某黑客組織。

b)網(wǎng)絡(luò)攻擊受害者：在網(wǎng)絡(luò)攻擊的活動中,信息、資源或財產(chǎn)受到侵害的一方，如某互聯(lián)網(wǎng)應(yīng)用

提供商。

c)網(wǎng)絡(luò)攻擊檢測者：對網(wǎng)絡(luò)運(yùn)行和服務(wù)、網(wǎng)絡(luò)活動進(jìn)行監(jiān)視和控制,具有對網(wǎng)絡(luò)攻擊進(jìn)行安全防

護(hù)職責(zé)的組織。

d)網(wǎng)絡(luò)服務(wù)提供者：為網(wǎng)絡(luò)運(yùn)行和服務(wù)提供基礎(chǔ)設(shè)施、信息和中介、接入等技術(shù)服務(wù)的網(wǎng)絡(luò)服

務(wù)商和非營利組織，如云服務(wù)提供商、電信運(yùn)營商等。

!

!

9

()*+!",%-,R-%-.!

°±)!

23′5μ!

·?AB1o??!

典型攻擊對象類型如0所示。

V)$1AB1o??V!

一級分類二級分類說明

移動終端如智能手機(jī)、平板（Pad）等

PC個人電腦，如臺式機(jī)、筆記本等

計算機(jī)

服務(wù)器為客戶端提供特定應(yīng)用服務(wù)的計算機(jī)系統(tǒng)

其他

SCADA數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)

PLC可編程邏輯控制器

工控設(shè)備

DCS分布式控制系統(tǒng)

其他

基于路由協(xié)議機(jī)制和算法選擇路徑或路由，建立和控制不同網(wǎng)絡(luò)間數(shù)據(jù)流的網(wǎng)

路由器

絡(luò)設(shè)備

交換機(jī)利用內(nèi)部交換機(jī)制來提供連通性的設(shè)備

網(wǎng)絡(luò)設(shè)備網(wǎng)關(guān)除路由器、交換機(jī)之外的其他網(wǎng)關(guān)類產(chǎn)品，如防火墻等

主要功能是對接收到的信號進(jìn)行再生整形放大，以擴(kuò)大網(wǎng)絡(luò)的傳輸距離，同時

集線器

把所有節(jié)點集中在以它為中心的節(jié)點上

其他

Windows系列

Unix系列

MacOS系列

操作系統(tǒng)

IOS系列

Android系列

其他

包括關(guān)系型和非關(guān)系型數(shù)據(jù)庫，對存放在庫中的數(shù)據(jù)進(jìn)行統(tǒng)一管理和處理等，

數(shù)據(jù)庫服務(wù)

并對外提供服務(wù)訪問接口

電子郵件服務(wù)包括支持POP3協(xié)議、IMAP協(xié)議、SMTP協(xié)議等的email服務(wù)端

服務(wù)軟件

FTP服務(wù)文件傳輸服務(wù)，包括服務(wù)端的文件瀏覽、下載、上傳等

支持處理瀏覽器等Web客戶端的請求并返回相應(yīng)處理結(jié)果，也可以放置網(wǎng)站、數(shù)

Web服務(wù)

據(jù)文件，供Web客戶端瀏覽、下載

中間件包括提供系統(tǒng)軟件和應(yīng)用軟件之間連接的軟件,以便于軟件各部件之間的溝通,特別

中間件

如COM、CORBA、是應(yīng)用軟件對于系統(tǒng)軟件的集中的邏輯

J2EE、Docker、

tomcat、

其他

weblogic、jboss

等

用戶軟件辦公軟件如文檔編輯、圖表編輯類工具軟件等

10

()*+!",%-,—-%-.!

V)$1AB1o??V2?μ!

一級分類二級分類說明

社交軟件通過網(wǎng)絡(luò)來實現(xiàn)社會交往目的的軟件

支付軟件直接支持金融支付功能的軟件

其他

電信網(wǎng)包括固網(wǎng)和移動通信網(wǎng)（如3G、4G和5G等）

DNS域名服務(wù)設(shè)施

網(wǎng)絡(luò)基礎(chǔ)設(shè)施云計算平臺IaaS/PaaS/SaaS類型的云計算平臺

CA證書頒發(fā)機(jī)構(gòu)

其他

11

()*+!",%-,R-%-.!

°±?!

23′5μ!

·??@AB??!

?$1!?T!

網(wǎng)絡(luò)攻擊的典型過程如圖B.1所示：

à)$1?@ABU·???!

?$-!á?!

在實施網(wǎng)絡(luò)攻擊前，攻擊者通過主動或被動信息收集技術(shù)，收集可以用來規(guī)劃未來攻擊行動的信息，

包括受害組織信息、基礎(chǔ)設(shè)施信息、人員詳細(xì)情況信息等，攻擊者能夠利用收集的信息為實施網(wǎng)絡(luò)攻擊

進(jìn)行準(zhǔn)備，為全生命周期其它階段提供幫助。

?$"!3???!

根據(jù)收集到的詳細(xì)信息，攻擊者通過創(chuàng)建、購買或破壞/竊取可用于支持目標(biāo)定位的資源的技術(shù)，

建立可用于支持行動的資源，包括基礎(chǔ)架構(gòu)、受害者賬戶等資源，攻擊者能夠利用開發(fā)的資源為全生命

周期其它階段提供幫助。

?$O!??èé!

攻擊者通過使用魚叉式網(wǎng)絡(luò)釣魚、利用Web服務(wù)器上漏洞等技術(shù)在目標(biāo)網(wǎng)絡(luò)中獲得初始立足點。通

過初始訪問獲得的立足點能夠允許攻擊者在目標(biāo)網(wǎng)絡(luò)中繼續(xù)訪問或攻擊。

?$#!ê?!

攻擊者在本地或遠(yuǎn)程系統(tǒng)上控制惡意代碼執(zhí)行，執(zhí)行惡意代碼技術(shù)通常與網(wǎng)絡(luò)搜索、竊取數(shù)據(jù)等其

它策略的技術(shù)結(jié)合使用。例如，攻擊者使用遠(yuǎn)程訪問工具來運(yùn)行執(zhí)行遠(yuǎn)程系統(tǒng)發(fā)現(xiàn)的PowerShell腳本等。

?$_!?ìí!

攻擊者通過使用當(dāng)出現(xiàn)重啟、更改憑證、其它可能切斷其訪問的情況時，在中斷期間保持對目標(biāo)系

統(tǒng)訪問的技術(shù)，保障攻擊者立足點。

?$,!??!

攻擊者利用系統(tǒng)漏洞、錯誤配置等，在目標(biāo)系統(tǒng)或網(wǎng)絡(luò)上獲得更高級別權(quán)限；通過提升權(quán)限，攻擊

者才能達(dá)成更多目的。提權(quán)技術(shù)通常與持久化技術(shù)重疊。

?$'!D?4ò!

攻擊者利用卸載/禁用安全軟件、混淆/加密數(shù)據(jù)和腳本等技術(shù)，以及通過利用受信任進(jìn)程隱藏/偽裝

惡意軟件等，避免在入侵目標(biāo)網(wǎng)絡(luò)過程中被發(fā)現(xiàn)。

12

()*+!",%-,—-%-.!

?$x!oóèé!

攻擊者通過鍵盤記錄、憑證轉(zhuǎn)儲等技術(shù)竊取賬戶名和密碼等。攻擊者利用合法憑證訪問目標(biāo)系統(tǒng)，

難于被發(fā)現(xiàn)，并提供了創(chuàng)建更多賬戶以幫助實現(xiàn)攻擊目標(biāo)的機(jī)會。

?$1%!??!

攻擊者搜索其可以控制的內(nèi)容以及切入點周圍的內(nèi)容，獲取有關(guān)系統(tǒng)和內(nèi)部網(wǎng)絡(luò)的知識，幫助在行

動之前觀察目標(biāo)環(huán)境并確定行動方向。

?$11!??×?!

攻擊者利用進(jìn)入和控制網(wǎng)絡(luò)遠(yuǎn)程系統(tǒng)的技術(shù)搜索整個網(wǎng)絡(luò)以找到最終目標(biāo)，攻擊者可能會安裝自己

的遠(yuǎn)程訪問工具，也可能將合法憑證與本機(jī)網(wǎng)絡(luò)和操作系統(tǒng)工具一起使用來完成橫向移動。

?$1-!ùú!

攻擊者利用收集信息相關(guān)技術(shù)在目標(biāo)網(wǎng)絡(luò)中收集其感興趣的數(shù)據(jù)，收集目標(biāo)源包括各種驅(qū)動器類型、

瀏覽器、音頻、視頻和電子郵件等，收集方式包括截圖、鍵盤輸入等。

?$1"!?üYT?!

攻擊者利用網(wǎng)絡(luò)通信技術(shù)與受感染的系統(tǒng)通信并對其進(jìn)行控制，通常攻擊者會嘗試模仿正常的預(yù)期

流量以避免被發(fā)現(xiàn)，以及根據(jù)目標(biāo)網(wǎng)絡(luò)結(jié)構(gòu)和防御情況建立具有隱蔽功能的命令和控制。

?$1O!?pàá!

攻擊者收集到目標(biāo)數(shù)據(jù)后，通常采用壓縮、加密等方式將數(shù)據(jù)打包以避免在滲出數(shù)據(jù)時被發(fā)現(xiàn)。從

目標(biāo)網(wǎng)絡(luò)滲出數(shù)據(jù)技術(shù)包括通過命令和控制通道或備用通道傳輸數(shù)據(jù)、對傳輸設(shè)置大小限制等。

?$1#!a?!

攻擊者利用破壞、篡改數(shù)據(jù)等技術(shù)，通過操縱業(yè)務(wù)和操作流程來破壞網(wǎng)絡(luò)可用性或損害完整性，攻

擊者使用相關(guān)技術(shù)實現(xiàn)最終目的或為機(jī)密數(shù)據(jù)泄露提供掩護(hù)。

13

()*+!",%-,R-%-.!

°±?!

23′5μ!

?@AB<?@ABL9U·?`=??!

?$1!?@ABU·?`=??!

網(wǎng)絡(luò)或信息系統(tǒng)運(yùn)營者、安全廠商、行業(yè)主管機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)等可使用以下方法中的一種或者多種

判定網(wǎng)絡(luò)攻擊：

a)通過在網(wǎng)絡(luò)安全設(shè)備或軟件系統(tǒng)中發(fā)現(xiàn)和判定網(wǎng)絡(luò)攻擊的行為。如在流量監(jiān)測設(shè)備中發(fā)現(xiàn)典

型的漏洞利用攻擊包特征，進(jìn)而可判定發(fā)現(xiàn)漏洞利用攻擊。網(wǎng)絡(luò)安全設(shè)備或軟件系統(tǒng)包括但不

限定于防火墻、入侵檢測設(shè)備、入侵防御設(shè)備、流量分析設(shè)備、蜜罐、APT檢測設(shè)備、日志審

計設(shè)備等。

b)通過人工查看分析終端主機(jī)、交換機(jī)、服務(wù)器、軟件等設(shè)備的日志、狀態(tài)等信息，結(jié)合正常

操作規(guī)律，對信息進(jìn)行主觀分析，從而發(fā)現(xiàn)和判定網(wǎng)絡(luò)攻擊。

c)通過威脅信息共享或者其他外部途徑，從個人或組織處獲取關(guān)于網(wǎng)絡(luò)攻擊的指標(biāo)或者其他關(guān)

聯(lián)線索，從而判定網(wǎng)絡(luò)攻擊行為。

?$-!?@ABL9U·?`=??!

網(wǎng)絡(luò)或信息系統(tǒng)運(yùn)營者、安全廠商、行業(yè)主管機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)等可使用如下方法中的一種或者多種

判定網(wǎng)絡(luò)攻擊事件：

a)首先判定網(wǎng)絡(luò)攻擊，然后確認(rèn)網(wǎng)絡(luò)攻擊已造成或潛在造成業(yè)務(wù)損失或社會危害；

b)首先確認(rèn)業(yè)務(wù)損失或社會危害已發(fā)生或潛在發(fā)生，然后判定造成業(yè)務(wù)損失或社會危害的網(wǎng)絡(luò)

攻擊。

存在下列一種或者多種情況，可確認(rèn)業(yè)務(wù)損失或社會危害已發(fā)生或潛在發(fā)生：

a)網(wǎng)絡(luò)安全設(shè)備或軟件系統(tǒng)判定網(wǎng)絡(luò)攻擊已經(jīng)成功；

b)通過對終端、交換機(jī)等設(shè)備取證分析，確認(rèn)存在非授權(quán)的操作行為；

c)通過受害方核實或外部線索佐證，確認(rèn)業(yè)務(wù)損失或社會危害已發(fā)生或潛在發(fā)生。

14

()*+!",%-,—-%-.!

??8?!

[1]GB/T5271.8—2001信息技術(shù)詞匯第8部分:安全

[2]GB/T7408—2005數(shù)據(jù)元和交換格式信息交換日期和時間表示法

[3]GB/T25068.3—2010信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第3部分:使用安全網(wǎng)關(guān)的網(wǎng)間通信

安全保護(hù)

[4]GB/T25069—2010信息安全技術(shù)術(shù)語

[5]GB/T20985.1信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理

[6]GB/T37027—2018信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范

8888888888

15

()*+!",%-,R-%-.!

16

ICS!!"#$%"%!!

CCS!&!'%!!

!

中華人民共和國國家標(biāo)準(zhǔn)

!"#$%&'()'—)()*%

!"#$%&'()*+),+*-.'

"#$%&'!()*+,()*+-.!

/012!

Informationsecuritytechnology—Criteriafordeterminationsofnetworkattackand

networkattackincident

(+,-./0123456789:;4<)

（征求意見稿）

2023-08-24

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

****=**=**>?****=**=**@A

()*+!",%-,—-%-.!

#

'()*+,#-./01-./0234567#

123!

本文件給出了網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的描述信息要素、判定指標(biāo)和計數(shù)標(biāo)準(zhǔn)。

本文件適用于指導(dǎo)組織開展網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的監(jiān)測分析、態(tài)勢感知、信息報送等活動。

-4256789!

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20986－2023信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南

GB/T30279—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級指南

":;<=>!

GB/T20986—2023、GB/T30279—2020界定的以及下列術(shù)語和定義適用于本文件。

!

?@AB!CDEFGHI!JEEJKI!

指通過計算機(jī)、路由器等計算資源和網(wǎng)絡(luò)資源，利用網(wǎng)絡(luò)中存在的漏洞和安全缺陷實施的一種行為，

其目的在于竊取、