◆孔 睿 何韶军

基于效果和经验术语的网络攻击分类研究

◆孔 睿1何韶军2通讯作者

（1.中国人民解放军军事科学院战争研究院 北京 100091；2.中国人民解放军31003部队 北京 100191）

随着网络的普及，网络安全威胁日益突出，网络攻击也受到越来越多的关注。为了做到主动防御，争取在网络攻击与防护的安全对抗中占据主动地位，防范网络攻击、降低攻击损失，需要在研究和分析现有网络攻击和事件的基础上进行网络攻击分析，第一步就是对网络攻击进行分类。本文结合现实需求，提出一种基于攻击效果和经验术语的网络攻击分类方法。该方法能较好满足网络攻击分类的要求，涵盖面较为广泛，能使管理员更直观迅速地了解攻击状况，达到及早发现网络攻击、及时采取防御措施的目的，并为网络攻击的防御提供一定依据。

网络攻击；分类；效果；经验术语

在信息战和网络战为主要战争形式的背景下，网络攻击已成为新时期的主要战争手段之一，其目的主要在于获取机密情报、篡改对方的机密信息。2018年全球发生了超过200万起网络袭击事件，造成逾450亿美元的损失。

目前对网络攻击的分类多种多样[1-2]，细致合理的网络攻击分类可以使研究人员及早发现攻击行为，有效检测和对抗网络攻击，尽可能减少网络攻击带来的危害。

目前，基于经验术语的分类方法[3-4]和基于攻击效果的分类方法[5]是进行网络攻击分类的两个主要方法。前者是利用网络攻击中常见的技术术语、社会术语等来进行攻击行为描述的方法，Icove[4]按照该方法把攻击类型分为了病毒、蠕虫、DDoS、网络欺骗等20余类，但此种分类方法只能描述已知恶意行为，术语之间存在较大交叉，术语内涵不明确，不能应用于多种场合，可接受性欠佳，并且逻辑性和层次结构不清晰，没有得到多数人的认可。基于攻击效果的分类方法从现实需求出发，能使管理员更直观迅速地了解攻击状况，达到及早发现网络攻击、及时采取防御措施的目的，但是对于攻击分类的颗粒度不够细致。张森强等人[6]提出了一种基于攻击效能的网络攻击分类方法，通过该方法将网络攻击工具分为传染类、控制类、搜索类和破解类。这种分类方法不具备很好的完备性，很难覆盖所有的攻击工具。为此，本文提出了一种基于效果和经验术语的网络攻击分类方法，能较好满足网络攻击分类的要求，并为网络攻击的防御提供一定依据。

1 基于效果和经验术语的网络攻击分类

结合经验术语和攻击效果，可将常见的网络攻击手段分为以下四类：（1）网络侦察，主要针对网络参数侦察、业务信息侦察、使用者的侦察、解析业务信息的侦察等；（2）网络欺骗[7-10]，通过布置网络陷阱，利用目标系统有价值的、可利用的安全弱点，使入侵者达到欺骗管理员、用户的目的；（3）网络破坏，对信息的机密性、完整性、可用性和真实性进行攻击；（4）网络阻塞，主要造成服务阻塞和流量阻塞，这种攻击手段虽不直接破坏受害者的系统、文件档案和数据库，却用大量无用、要求回复的请求造成数据淹没，使受害者的系统不能响应正常的服务请求。

1.1 网络侦察

网络侦察主要是针对目标系统进行信息收集的过程。包括以下6类：

（1）网络嗅探

嗅探（Sniffers）是一种黑客常用的窃听手段，一般使用“嗅探器”对数据流的数据进行截获与分组分析。例如全文嗅探、账号密码嗅探、敏感字符“嗅探”等。

（2）网络扫描

网络扫描[11]通过网络进行扫描，包括用户扫描、端口扫描、地址扫描、漏洞扫描、服务扫描、体系结构扫描、网络连接扫描等。

（3）信息服务利用

通过窥探各种服务，黑客能获取目标的用户信息、主机信息、IP地址等相关信息。类似攻击包括DNS域转换、Finger服务、LDAP服务等。如Finger服务即为黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户信息，其防范措施主要为关闭finger服务并记录尝试连接该服务的对方IP地址，或者利用防火墙进行过滤。

（4）电磁泄漏

电磁泄漏是指电子设备的杂散（寄生）电磁能量通过导线或空间向外扩散。任何处于工作状态的电磁信息设备都会有泄漏信息的可能。一般采取抑源法、屏蔽法和噪声干扰法来降低电磁泄漏程度。

（5）社会工程

攻击者利用心理学、社会学等相关学科的知识，欺骗受害者在未加防范或情急之下，主动向攻击者提供了秘密或敏感信息。

（6）网络拦截

网络拦截[12-13]是指通过各种方式来截获网络信息的攻击手段，包括会话劫持、信息拦截、网络信息重定向等网络攻击。

1.2 网络欺骗

网络欺骗通过伪造信息发起攻击，其目的主要在于获取和提升权限，收集权限外的有效信息。包括IP欺骗、DNS欺骗、伪装攻击、ARP攻击、“复送攻击”、电子邮件欺骗、路由欺骗等。

1.3 网络破坏

侵入敌方计算机后，除了直接通过读、写、删除文件等操作进行系统破坏外，一般会在系统中施放病毒、木马，设置后门，清除攻击痕迹，潜伏隐藏自己，以便长期控制计算机系统或对整个网络系统造成更大的破坏。

1.3.1数据驱动攻击类

数据驱动攻击以破坏信息系统的数据和网络为目标，通过向某个程序发送数据，以产生非预期结果的攻击，获得访问目标系统的权限。

（1）病毒

病毒类包含文件感染型病毒、“引导区型”病毒、宏病毒和邮件病毒等。如宏病毒是一种寄生在文档或模板宏中的计算机病毒。一旦打开这样的文件，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上，此后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到其他计算机上。宏病毒的危害主要表现在对WORD运行的破坏和对系统的破坏两方面。

（2）蠕虫

蠕虫是自包含的程序，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中（通常经过网络连接）。与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，它是一种独立智能程序。根据网络蠕虫传播模式的不同，把利用邮件为载体进行传播的蠕虫称为邮件蠕虫，把利用系统漏洞进行传播的蠕虫称为传统的网络蠕虫。

（3）木马

与病毒不同，木马本身不具有传染性和破坏性，木马的最大危害在于信息的窃取。其中，特洛伊木马是典型的木马程序。运行了木马程序的“服务端”会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。这时用户电脑上的各种文件、程序、使用账号、密码等隐私信息就毫无安全可言了。

（4）后门

后门[14-15]是绕过安全性控制而获取对程序或系统访问的方法。在软件的开发阶段，程序员常会在软件内创建后门以便可以修改程序中的缺陷。

（5）逻辑炸弹

计算机中的“逻辑炸弹”是指在特定逻辑条件满足时，实施破坏的计算机程序，该程序触发后造成计算机数据丢失，计算机不能从硬盘或者软盘引导，甚至会使整个系统瘫痪，并出现物理损坏的虚假现象。

1.3.2信息利用攻击类

信息利用攻击利用系统的正常功能，来实现攻击者的其他目的。如利用被攻击者的正常网络连接对其他系统进行攻击，通过正常的系统服务利用其他漏洞实现攻击者目的等。

（1）恶意程序和脚本

包括线程插入、键盘记录程序、ShellCode脚本。如线程插入技术可以将要实现的功能程序做成一个线程，并将此线程在运行时自动插入到常见的进程中，使之作为此进程的一个线程来运行。

（2）身份认证攻击

包括弱认证、密钥泄漏和口令攻击[16]。其中，口令攻击是指黑客以口令为攻击目标，破解合法用户的口令，或避开口令验证过程，然后冒充合法用户潜入目标网络系统，夺取目标系统控制权的过程。口令攻击包括口令猜测、暴力破解、字典破解、生日攻击、加密算法破译等。

（3）错误和漏洞

安全设备漏洞：包括防火墙、远程访问服务器、统一威胁管理（United Threat Management，UTM）等。几乎所有的测试安全设备的接口没有保护，存在跨站点脚本缺陷，允许会话劫持。

应用软件漏洞：包括Web服务器漏洞、FTP服务器漏洞和数据库漏洞等。其中，数据库漏洞从来源上大致可分为四类：缺省安装漏洞、人为使用上的漏洞、数据库设计缺陷、数据库产品的bug（如缓冲区溢出、拒绝服务攻击漏洞、权限提升漏洞等）。

网络设备漏洞：网络设备漏洞是指互联网设备上的恶意程序，主要包括Mirai、Gafgyt、MrBlack、Tsunami、Reaper、DDoStf、Satori、TheMoon、StolenBots、VPNFilter、Cayosin等。这些恶意程序及其变种产生的主要危害包括用户信息和设备数据泄露、硬件设备被控制和破坏，被用于DDoS攻击或其他恶意攻击行为、攻击路由器等网络设备窃取用户上网数据等。

网络协议漏洞：包括ICMP协议漏洞、FTP协议漏洞、TFTP协议漏洞、Telnet协议漏洞、DNS协议漏洞等。

操作系统漏洞：包括越权访问漏洞、信息泄露漏洞、拒绝服务漏洞、伪装欺骗漏洞、代码执行漏洞、远程登录漏洞、口令恢复漏洞等。其中，代码执行漏洞包括缓冲区溢出（堆溢出、栈溢出）、参数错误、编码错误、类型误用等。

1.4 网络阻塞

网络阻塞主要由拒绝服务攻击引起，狭义上是使服务不能合法使用，广义上指使目标资源不能正常工作。

（1）基于主机

包括资源耗尽、软件故障、物理损坏。其中，资源耗尽即通过大量攻击导致主机的内存被耗尽或CPU被内核及应用程序占用造成无法提供网络服务的后果。

（2）基于网络

包括TCP Flooding、UDP Flooding、ICMP Flooding、碎片攻击、针对特定服务的攻击、特殊构造的TCP包等。

其中，ICMP Flooding是一种网络层的DoS，它通过向攻击主机发送大量的ICMP ECHO REQUEST数据包，导致大量资源被用于ICPM ECHO REPLY，合法服务请求被拒绝。防御措施包括禁止ICMP ECHO REQUEST通过路由器或者限制突发ICMP包上限。

针对特定服务的攻击包括Smurf攻击和Fraggle攻击。Smurf攻击者不断向受害计算机发布网络是否连通的测试命令——Ping，受害机被迫不停予以回复，最后导致系统死机。Smurf攻击依靠攻击者的力量使用欺骗性源地址发送echo请求。用户可以使用路由器的访问保证内部网络中发出的所有传输信息都具有合法的源地址，以防止这种攻击。

TCP包是指泪滴攻击，攻击者不断发送泪滴包使网络连续重启，以达到瘫痪网络的目的。

（3）分布式拒绝服务

分布式拒绝服务攻击从很多台计算机上同时发起，方法之一是联合很多黑客，之二是通过木马程序控制很多傀儡机，同时向目标机器发起攻击。防范措施包括在网络上建立一个过滤器（filter）或侦测器（sniffer），在信息到达网站服务器之前阻挡信息。过滤器会侦察可疑的攻击行为。如果某种可疑行为经常出现，过滤器能接受指示，阻挡包含的信息，让网站服务器的对外连接线路保持畅通。CNCERT抽样监测发现，2019年上半年我国境内峰值超过10Gbps的大流量分布式拒绝服务攻击事件数量平均每月约4,300起，同比增长18%。

（4）域名系统拒绝服务攻击

和拒绝服务攻击原理相同，攻击的主要目标为因特网上的13台根域名服务器。攻击者用虚假地址欺骗域名服务器，使其解析根本不存在的网络地址，导致网络彻底阻塞。防御措施包括：通过建立镜像服务器实现负载均衡；严格配置边界路由；配置检测系统和防火墙；加强DNS服务器管理，配置交叉检验功能等。

2 结束语

本文结合基于攻击效果和经验术语的分类方法，提出一种新的网络攻击分类方法。通过将网络攻击分为网络侦察、网络欺骗、网络破坏和网络阻塞四类，涵盖了大多数典型的网络攻击手段，满足网络攻击分类的基本原则，逻辑清楚，结构完整，可为后续网络攻击防御等研究工作提供较好的基础。

[1]温伟强.网络攻击技术与网络安全探析[J].网络安全技术与应用，2015（01）：79+81.

[2]Selvakumar B，Muneeswaran K. Firefly algorithm based Feature Selection for Network Intrusion Detection[J]. Computers & Security，2018.

[3]刘欣然.网络攻击分类技术综述[J].通信学报，2004（07）：30-36.

[4]高见，王安.面向网络攻击的能力评估分类体系研究[J/OL].计算机应用研究：1-7[2019-11-09].https://doi.org/10.19734/j.issn.1001-3695.2019.010075.

[5]王萌，王亚刚，韩俊刚. 基于NDNN 的入侵检测系统[J]. 微电子学与计算机，2018，35（7）：89-92.

[6]张森强，唐朝京，张权，等. 基于攻击效能的网络攻击法分类与形式化描述[J]. 太赫兹科学与电子信息学报，2004，2（3）：161-166.

[7]XIA Jing，CAI Zhiping，HU Gang，XU Ming.An Active Defense Solution for ARP Spoofing in OpenFlow Network[J].Chinese Journal of Electronics，2019，28（01）：172-178.

[8]Shin Beomju，Park Minhuck，Jeon Sanghoon，So Hyoungmin，Kim Gapjin，Kee Changdon. Spoofing Attack Results Determination in Code Domain Using a Spoofing Process Equation.[J]. Sensors （Basel， Switzerland），2019，19（2）.

[9]Monali Mavani，Krishna Asawa. Modeling and analyses of IP spoofing attack in 6LoWPAN network[J]. Computers & Security，2017，70.

[10]杨连沁.战场网络欺骗的运用[J].网络安全技术与应用，2018（05）：98-99.

[11]Ring Markus，Landes Dieter，Hotho Andreas. Detection of slow port scans in flow-based network traffic.[J]. PloS one，2018，13（9）.

[12]Juniper Networks Inc.; Patent Issued for Detecting and Preventing Session Hijacking （USPTO 9954820）[J]. Computers，Networks & Communications，2018.

[13]Akash Krishnan V，P.P. Amritha，M. Sethumadhavan. Sum Chain Based Approach against Session Hijacking in MPTCP[J]. Procedia Computer Science，2017，115.

[14]马向亮，王宏，李冰，等.基于能量分析技术的芯片后门指令分析方法[J].电子学报，2019，47（03）：686-691.

[15]许子先.联网智能设备网络安全技术研究[J].网络安全技术与应用，2018（09）：22-24.

[16]Anoud Bani-Hani，Munir Majdalweieh，Aisha AlShamsi. Online Authentication Methods Used in Banks and Attacks Against These Methods[J]. Procedia Computer Science，2019，151.

铁道部科技研究开发计划[2012X004-A]