基于效果和經驗術語的網絡攻擊分類研究

◆孔 睿 何韶軍

基于效果和經驗術語的網絡攻擊分類研究

◆孔 睿1何韶軍2通訊作者

（1.中國人民解放軍軍事科學院戰爭研究院 北京 100091；2.中國人民解放軍31003部隊 北京 100191）

隨著網絡的普及，網絡安全威脅日益突出，網絡攻擊也受到越來越多的關注。為了做到主動防御，爭取在網絡攻擊與防護的安全對抗中占據主動地位，防范網絡攻擊、降低攻擊損失，需要在研究和分析現有網絡攻擊和事件的基礎上進行網絡攻擊分析，第一步就是對網絡攻擊進行分類。本文結合現實需求，提出一種基于攻擊效果和經驗術語的網絡攻擊分類方法。該方法能較好滿足網絡攻擊分類的要求，涵蓋面較為廣泛，能使管理員更直觀迅速地了解攻擊狀況，達到及早發現網絡攻擊、及時采取防御措施的目的，并為網絡攻擊的防御提供一定依據。

網絡攻擊；分類；效果；經驗術語

在信息戰和網絡戰為主要戰爭形式的背景下，網絡攻擊已成為新時期的主要戰爭手段之一，其目的主要在于獲取機密情報、篡改對方的機密信息。2018年全球發生了超過200萬起網絡襲擊事件，造成逾450億美元的損失。

目前對網絡攻擊的分類多種多樣[1-2]，細致合理的網絡攻擊分類可以使研究人員及早發現攻擊行為，有效檢測和對抗網絡攻擊，盡可能減少網絡攻擊帶來的危害。

目前，基于經驗術語的分類方法[3-4]和基于攻擊效果的分類方法[5]是進行網絡攻擊分類的兩個主要方法。前者是利用網絡攻擊中常見的技術術語、社會術語等來進行攻擊行為描述的方法，Icove[4]按照該方法把攻擊類型分為了病毒、蠕蟲、DDoS、網絡欺騙等20余類，但此種分類方法只能描述已知惡意行為，術語之間存在較大交叉，術語內涵不明確，不能應用于多種場合，可接受性欠佳，并且邏輯性和層次結構不清晰，沒有得到多數人的認可。基于攻擊效果的分類方法從現實需求出發，能使管理員更直觀迅速地了解攻擊狀況，達到及早發現網絡攻擊、及時采取防御措施的目的，但是對于攻擊分類的顆粒度不夠細致。張森強等人[6]提出了一種基于攻擊效能的網絡攻擊分類方法，通過該方法將網絡攻擊工具分為傳染類、控制類、搜索類和破解類。這種分類方法不具備很好的完備性，很難覆蓋所有的攻擊工具。為此，本文提出了一種基于效果和經驗術語的網絡攻擊分類方法，能較好滿足網絡攻擊分類的要求，并為網絡攻擊的防御提供一定依據。

1 基于效果和經驗術語的網絡攻擊分類

結合經驗術語和攻擊效果，可將常見的網絡攻擊手段分為以下四類：（1）網絡偵察，主要針對網絡參數偵察、業務信息偵察、使用者的偵察、解析業務信息的偵察等；（2）網絡欺騙[7-10]，通過布置網絡陷阱，利用目標系統有價值的、可利用的安全弱點，使入侵者達到欺騙管理員、用戶的目的；（3）網絡破壞，對信息的機密性、完整性、可用性和真實性進行攻擊；（4）網絡阻塞，主要造成服務阻塞和流量阻塞，這種攻擊手段雖不直接破壞受害者的系統、文件檔案和數據庫，卻用大量無用、要求回復的請求造成數據淹沒，使受害者的系統不能響應正常的服務請求。

1.1 網絡偵察

網絡偵察主要是針對目標系統進行信息收集的過程。包括以下6類：

（1）網絡嗅探

嗅探（Sniffers）是一種黑客常用的竊聽手段，一般使用“嗅探器”對數據流的數據進行截獲與分組分析。例如全文嗅探、賬號密碼嗅探、敏感字符“嗅探”等。

（2）網絡掃描

網絡掃描[11]通過網絡進行掃描，包括用戶掃描、端口掃描、地址掃描、漏洞掃描、服務掃描、體系結構掃描、網絡連接掃描等。

（3）信息服務利用

通過窺探各種服務，黑客能獲取目標的用戶信息、主機信息、IP地址等相關信息。類似攻擊包括DNS域轉換、Finger服務、LDAP服務等。如Finger服務即為黑客使用finger命令來刺探一臺finger服務器以獲取關于該系統的用戶信息，其防范措施主要為關閉finger服務并記錄嘗試連接該服務的對方IP地址，或者利用防火墻進行過濾。

（4）電磁泄漏

電磁泄漏是指電子設備的雜散（寄生）電磁能量通過導線或空間向外擴散。任何處于工作狀態的電磁信息設備都會有泄漏信息的可能。一般采取抑源法、屏蔽法和噪聲干擾法來降低電磁泄漏程度。

（5）社會工程

攻擊者利用心理學、社會學等相關學科的知識，欺騙受害者在未加防范或情急之下，主動向攻擊者提供了秘密或敏感信息。

（6）網絡攔截

網絡攔截[12-13]是指通過各種方式來截獲網絡信息的攻擊手段，包括會話劫持、信息攔截、網絡信息重定向等網絡攻擊。

1.2 網絡欺騙

網絡欺騙通過偽造信息發起攻擊，其目的主要在于獲取和提升權限，收集權限外的有效信息。包括IP欺騙、DNS欺騙、偽裝攻擊、ARP攻擊、“復送攻擊”、電子郵件欺騙、路由欺騙等。

1.3 網絡破壞

侵入敵方計算機后，除了直接通過讀、寫、刪除文件等操作進行系統破壞外，一般會在系統中施放病毒、木馬，設置后門，清除攻擊痕跡，潛伏隱藏自己，以便長期控制計算機系統或對整個網絡系統造成更大的破壞。

1.3.1數據驅動攻擊類

數據驅動攻擊以破壞信息系統的數據和網絡為目標，通過向某個程序發送數據，以產生非預期結果的攻擊，獲得訪問目標系統的權限。

（1）病毒

病毒類包含文件感染型病毒、“引導區型”病毒、宏病毒和郵件病毒等。如宏病毒是一種寄生在文檔或模板宏中的計算機病毒。一旦打開這樣的文件，其中的宏就會被執行，于是宏病毒就會被激活，轉移到計算機上，并駐留在Normal模板上，此后，所有自動保存的文檔都會“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉移到其他計算機上。宏病毒的危害主要表現在對WORD運行的破壞和對系統的破壞兩方面。

（2）蠕蟲

蠕蟲是自包含的程序，它能傳播它自身功能的拷貝或它的某些部分到其他的計算機系統中（通常經過網絡連接）。與一般病毒不同，蠕蟲不需要將其自身附著到宿主程序，它是一種獨立智能程序。根據網絡蠕蟲傳播模式的不同，把利用郵件為載體進行傳播的蠕蟲稱為郵件蠕蟲，把利用系統漏洞進行傳播的蠕蟲稱為傳統的網絡蠕蟲。

（3）木馬

與病毒不同，木馬本身不具有傳染性和破壞性，木馬的最大危害在于信息的竊取。其中，特洛伊木馬是典型的木馬程序。運行了木馬程序的“服務端”會產生一個有著容易迷惑用戶的名稱的進程，暗中打開端口，向指定地點發送數據（如用戶上網密碼等），黑客甚至可以利用這些打開的端口進入電腦系統。這時用戶電腦上的各種文件、程序、使用賬號、密碼等隱私信息就毫無安全可言了。

（4）后門

后門[14-15]是繞過安全性控制而獲取對程序或系統訪問的方法。在軟件的開發階段，程序員常會在軟件內創建后門以便可以修改程序中的缺陷。

（5）邏輯炸彈

計算機中的“邏輯炸彈”是指在特定邏輯條件滿足時，實施破壞的計算機程序，該程序觸發后造成計算機數據丟失，計算機不能從硬盤或者軟盤引導，甚至會使整個系統癱瘓，并出現物理損壞的虛假現象。

1.3.2信息利用攻擊類

信息利用攻擊利用系統的正常功能，來實現攻擊者的其他目的。如利用被攻擊者的正常網絡連接對其他系統進行攻擊，通過正常的系統服務利用其他漏洞實現攻擊者目的等。

（1）惡意程序和腳本

包括線程插入、鍵盤記錄程序、ShellCode腳本。如線程插入技術可以將要實現的功能程序做成一個線程，并將此線程在運行時自動插入到常見的進程中，使之作為此進程的一個線程來運行。

（2）身份認證攻擊

包括弱認證、密鑰泄漏和口令攻擊[16]。其中，口令攻擊是指黑客以口令為攻擊目標，破解合法用戶的口令，或避開口令驗證過程，然后冒充合法用戶潛入目標網絡系統，奪取目標系統控制權的過程?？诹罟舭诹畈聹y、暴力破解、字典破解、生日攻擊、加密算法破譯等。

（3）錯誤和漏洞

安全設備漏洞：包括防火墻、遠程訪問服務器、統一威脅管理（United Threat Management，UTM）等。幾乎所有的測試安全設備的接口沒有保護，存在跨站點腳本缺陷，允許會話劫持。

應用軟件漏洞：包括Web服務器漏洞、FTP服務器漏洞和數據庫漏洞等。其中，數據庫漏洞從來源上大致可分為四類：缺省安裝漏洞、人為使用上的漏洞、數據庫設計缺陷、數據庫產品的bug（如緩沖區溢出、拒絕服務攻擊漏洞、權限提升漏洞等）。

網絡設備漏洞：網絡設備漏洞是指互聯網設備上的惡意程序，主要包括Mirai、Gafgyt、MrBlack、Tsunami、Reaper、DDoStf、Satori、TheMoon、StolenBots、VPNFilter、Cayosin等。這些惡意程序及其變種產生的主要危害包括用戶信息和設備數據泄露、硬件設備被控制和破壞，被用于DDoS攻擊或其他惡意攻擊行為、攻擊路由器等網絡設備竊取用戶上網數據等。

網絡協議漏洞：包括ICMP協議漏洞、FTP協議漏洞、TFTP協議漏洞、Telnet協議漏洞、DNS協議漏洞等。

操作系統漏洞：包括越權訪問漏洞、信息泄露漏洞、拒絕服務漏洞、偽裝欺騙漏洞、代碼執行漏洞、遠程登錄漏洞、口令恢復漏洞等。其中，代碼執行漏洞包括緩沖區溢出（堆溢出、棧溢出）、參數錯誤、編碼錯誤、類型誤用等。

1.4 網絡阻塞

網絡阻塞主要由拒絕服務攻擊引起，狹義上是使服務不能合法使用，廣義上指使目標資源不能正常工作。

（1）基于主機

包括資源耗盡、軟件故障、物理損壞。其中，資源耗盡即通過大量攻擊導致主機的內存被耗盡或CPU被內核及應用程序占用造成無法提供網絡服務的后果。

（2）基于網絡

包括TCP Flooding、UDP Flooding、ICMP Flooding、碎片攻擊、針對特定服務的攻擊、特殊構造的TCP包等。

其中，ICMP Flooding是一種網絡層的DoS，它通過向攻擊主機發送大量的ICMP ECHO REQUEST數據包，導致大量資源被用于ICPM ECHO REPLY，合法服務請求被拒絕。防御措施包括禁止ICMP ECHO REQUEST通過路由器或者限制突發ICMP包上限。

針對特定服務的攻擊包括Smurf攻擊和Fraggle攻擊。Smurf攻擊者不斷向受害計算機發布網絡是否連通的測試命令——Ping，受害機被迫不停予以回復，最后導致系統死機。Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發送echo請求。用戶可以使用路由器的訪問保證內部網絡中發出的所有傳輸信息都具有合法的源地址，以防止這種攻擊。

TCP包是指淚滴攻擊，攻擊者不斷發送淚滴包使網絡連續重啟，以達到癱瘓網絡的目的。

（3）分布式拒絕服務

分布式拒絕服務攻擊從很多臺計算機上同時發起，方法之一是聯合很多黑客，之二是通過木馬程序控制很多傀儡機，同時向目標機器發起攻擊。防范措施包括在網絡上建立一個過濾器（filter）或偵測器（sniffer），在信息到達網站服務器之前阻擋信息。過濾器會偵察可疑的攻擊行為。如果某種可疑行為經常出現，過濾器能接受指示，阻擋包含的信息，讓網站服務器的對外連接線路保持暢通。CNCERT抽樣監測發現，2019年上半年我國境內峰值超過10Gbps的大流量分布式拒絕服務攻擊事件數量平均每月約4,300起，同比增長18%。

（4）域名系統拒絕服務攻擊

和拒絕服務攻擊原理相同，攻擊的主要目標為因特網上的13臺根域名服務器。攻擊者用虛假地址欺騙域名服務器，使其解析根本不存在的網絡地址，導致網絡徹底阻塞。防御措施包括：通過建立鏡像服務器實現負載均衡；嚴格配置邊界路由；配置檢測系統和防火墻；加強DNS服務器管理，配置交叉檢驗功能等。

2 結束語

本文結合基于攻擊效果和經驗術語的分類方法，提出一種新的網絡攻擊分類方法。通過將網絡攻擊分為網絡偵察、網絡欺騙、網絡破壞和網絡阻塞四類，涵蓋了大多數典型的網絡攻擊手段，滿足網絡攻擊分類的基本原則，邏輯清楚，結構完整，可為后續網絡攻擊防御等研究工作提供較好的基礎。

[1]溫偉強.網絡攻擊技術與網絡安全探析[J].網絡安全技術與應用，2015（01）：79+81.

[2]Selvakumar B，Muneeswaran K. Firefly algorithm based Feature Selection for Network Intrusion Detection[J]. Computers & Security，2018.

[3]劉欣然.網絡攻擊分類技術綜述[J].通信學報，2004（07）：30-36.

[4]高見，王安.面向網絡攻擊的能力評估分類體系研究[J/OL].計算機應用研究：1-7[2019-11-09].https://doi.org/10.19734/j.issn.1001-3695.2019.010075.

[5]王萌，王亞剛，韓俊剛. 基于NDNN 的入侵檢測系統[J]. 微電子學與計算機，2018，35（7）：89-92.

[6]張森強，唐朝京，張權，等. 基于攻擊效能的網絡攻擊法分類與形式化描述[J]. 太赫茲科學與電子信息學報，2004，2（3）：161-166.

[7]XIA Jing，CAI Zhiping，HU Gang，XU Ming.An Active Defense Solution for ARP Spoofing in OpenFlow Network[J].Chinese Journal of Electronics，2019，28（01）：172-178.

[8]Shin Beomju，Park Minhuck，Jeon Sanghoon，So Hyoungmin，Kim Gapjin，Kee Changdon. Spoofing Attack Results Determination in Code Domain Using a Spoofing Process Equation.[J]. Sensors （Basel， Switzerland），2019，19（2）.

[9]Monali Mavani，Krishna Asawa. Modeling and analyses of IP spoofing attack in 6LoWPAN network[J]. Computers & Security，2017，70.

[10]楊連沁.戰場網絡欺騙的運用[J].網絡安全技術與應用，2018（05）：98-99.

[11]Ring Markus，Landes Dieter，Hotho Andreas. Detection of slow port scans in flow-based network traffic.[J]. PloS one，2018，13（9）.

[12]Juniper Networks Inc.; Patent Issued for Detecting and Preventing Session Hijacking （USPTO 9954820）[J]. Computers，Networks & Communications，2018.

[13]Akash Krishnan V，P.P. Amritha，M. Sethumadhavan. Sum Chain Based Approach against Session Hijacking in MPTCP[J]. Procedia Computer Science，2017，115.

[14]馬向亮，王宏，李冰，等.基于能量分析技術的芯片后門指令分析方法[J].電子學報，2019，47（03）：686-691.

[15]許子先.聯網智能設備網絡安全技術研究[J].網絡安全技術與應用，2018（09）：22-24.

[16]Anoud Bani-Hani，Munir Majdalweieh，Aisha AlShamsi. Online Authentication Methods Used in Banks and Attacks Against These Methods[J]. Procedia Computer Science，2019，151.

鐵道部科技研究開發計劃[2012X004-A]