◆孔 睿 何韶軍

基于效果和經(jīng)驗術(shù)語的網(wǎng)絡(luò)攻擊分類研究

◆孔 睿1何韶軍2通訊作者

（1.中國人民解放軍軍事科學(xué)院戰(zhàn)爭研究院 北京 100091；2.中國人民解放軍31003部隊 北京 100191）

隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全威脅日益突出，網(wǎng)絡(luò)攻擊也受到越來越多的關(guān)注。為了做到主動防御，爭取在網(wǎng)絡(luò)攻擊與防護的安全對抗中占據(jù)主動地位，防范網(wǎng)絡(luò)攻擊、降低攻擊損失，需要在研究和分析現(xiàn)有網(wǎng)絡(luò)攻擊和事件的基礎(chǔ)上進行網(wǎng)絡(luò)攻擊分析，第一步就是對網(wǎng)絡(luò)攻擊進行分類。本文結(jié)合現(xiàn)實需求，提出一種基于攻擊效果和經(jīng)驗術(shù)語的網(wǎng)絡(luò)攻擊分類方法。該方法能較好滿足網(wǎng)絡(luò)攻擊分類的要求，涵蓋面較為廣泛，能使管理員更直觀迅速地了解攻擊狀況，達(dá)到及早發(fā)現(xiàn)網(wǎng)絡(luò)攻擊、及時采取防御措施的目的，并為網(wǎng)絡(luò)攻擊的防御提供一定依據(jù)。

網(wǎng)絡(luò)攻擊；分類；效果；經(jīng)驗術(shù)語

在信息戰(zhàn)和網(wǎng)絡(luò)戰(zhàn)為主要戰(zhàn)爭形式的背景下，網(wǎng)絡(luò)攻擊已成為新時期的主要戰(zhàn)爭手段之一，其目的主要在于獲取機密情報、篡改對方的機密信息。2018年全球發(fā)生了超過200萬起網(wǎng)絡(luò)襲擊事件，造成逾450億美元的損失。

目前對網(wǎng)絡(luò)攻擊的分類多種多樣[1-2]，細(xì)致合理的網(wǎng)絡(luò)攻擊分類可以使研究人員及早發(fā)現(xiàn)攻擊行為，有效檢測和對抗網(wǎng)絡(luò)攻擊，盡可能減少網(wǎng)絡(luò)攻擊帶來的危害。

目前，基于經(jīng)驗術(shù)語的分類方法[3-4]和基于攻擊效果的分類方法[5]是進行網(wǎng)絡(luò)攻擊分類的兩個主要方法。前者是利用網(wǎng)絡(luò)攻擊中常見的技術(shù)術(shù)語、社會術(shù)語等來進行攻擊行為描述的方法，Icove[4]按照該方法把攻擊類型分為了病毒、蠕蟲、DDoS、網(wǎng)絡(luò)欺騙等20余類，但此種分類方法只能描述已知惡意行為，術(shù)語之間存在較大交叉，術(shù)語內(nèi)涵不明確，不能應(yīng)用于多種場合，可接受性欠佳，并且邏輯性和層次結(jié)構(gòu)不清晰，沒有得到多數(shù)人的認(rèn)可?；诠粜Ч姆诸惙椒◤默F(xiàn)實需求出發(fā)，能使管理員更直觀迅速地了解攻擊狀況，達(dá)到及早發(fā)現(xiàn)網(wǎng)絡(luò)攻擊、及時采取防御措施的目的，但是對于攻擊分類的顆粒度不夠細(xì)致。張森強等人[6]提出了一種基于攻擊效能的網(wǎng)絡(luò)攻擊分類方法，通過該方法將網(wǎng)絡(luò)攻擊工具分為傳染類、控制類、搜索類和破解類。這種分類方法不具備很好的完備性，很難覆蓋所有的攻擊工具。為此，本文提出了一種基于效果和經(jīng)驗術(shù)語的網(wǎng)絡(luò)攻擊分類方法，能較好滿足網(wǎng)絡(luò)攻擊分類的要求，并為網(wǎng)絡(luò)攻擊的防御提供一定依據(jù)。

1 基于效果和經(jīng)驗術(shù)語的網(wǎng)絡(luò)攻擊分類

結(jié)合經(jīng)驗術(shù)語和攻擊效果，可將常見的網(wǎng)絡(luò)攻擊手段分為以下四類：（1）網(wǎng)絡(luò)偵察，主要針對網(wǎng)絡(luò)參數(shù)偵察、業(yè)務(wù)信息偵察、使用者的偵察、解析業(yè)務(wù)信息的偵察等；（2）網(wǎng)絡(luò)欺騙[7-10]，通過布置網(wǎng)絡(luò)陷阱，利用目標(biāo)系統(tǒng)有價值的、可利用的安全弱點，使入侵者達(dá)到欺騙管理員、用戶的目的；（3）網(wǎng)絡(luò)破壞，對信息的機密性、完整性、可用性和真實性進行攻擊；（4）網(wǎng)絡(luò)阻塞，主要造成服務(wù)阻塞和流量阻塞，這種攻擊手段雖不直接破壞受害者的系統(tǒng)、文件檔案和數(shù)據(jù)庫，卻用大量無用、要求回復(fù)的請求造成數(shù)據(jù)淹沒，使受害者的系統(tǒng)不能響應(yīng)正常的服務(wù)請求。

1.1 網(wǎng)絡(luò)偵察

網(wǎng)絡(luò)偵察主要是針對目標(biāo)系統(tǒng)進行信息收集的過程。包括以下6類：

（1）網(wǎng)絡(luò)嗅探

嗅探（Sniffers）是一種黑客常用的竊聽手段，一般使用“嗅探器”對數(shù)據(jù)流的數(shù)據(jù)進行截獲與分組分析。例如全文嗅探、賬號密碼嗅探、敏感字符“嗅探”等。

（2）網(wǎng)絡(luò)掃描

網(wǎng)絡(luò)掃描[11]通過網(wǎng)絡(luò)進行掃描，包括用戶掃描、端口掃描、地址掃描、漏洞掃描、服務(wù)掃描、體系結(jié)構(gòu)掃描、網(wǎng)絡(luò)連接掃描等。

（3）信息服務(wù)利用

通過窺探各種服務(wù)，黑客能獲取目標(biāo)的用戶信息、主機信息、IP地址等相關(guān)信息。類似攻擊包括DNS域轉(zhuǎn)換、Finger服務(wù)、LDAP服務(wù)等。如Finger服務(wù)即為黑客使用finger命令來刺探一臺finger服務(wù)器以獲取關(guān)于該系統(tǒng)的用戶信息，其防范措施主要為關(guān)閉finger服務(wù)并記錄嘗試連接該服務(wù)的對方IP地址，或者利用防火墻進行過濾。

（4）電磁泄漏

電磁泄漏是指電子設(shè)備的雜散（寄生）電磁能量通過導(dǎo)線或空間向外擴散。任何處于工作狀態(tài)的電磁信息設(shè)備都會有泄漏信息的可能。一般采取抑源法、屏蔽法和噪聲干擾法來降低電磁泄漏程度。

（5）社會工程

攻擊者利用心理學(xué)、社會學(xué)等相關(guān)學(xué)科的知識，欺騙受害者在未加防范或情急之下，主動向攻擊者提供了秘密或敏感信息。

（6）網(wǎng)絡(luò)攔截

網(wǎng)絡(luò)攔截[12-13]是指通過各種方式來截獲網(wǎng)絡(luò)信息的攻擊手段，包括會話劫持、信息攔截、網(wǎng)絡(luò)信息重定向等網(wǎng)絡(luò)攻擊。

1.2 網(wǎng)絡(luò)欺騙

網(wǎng)絡(luò)欺騙通過偽造信息發(fā)起攻擊，其目的主要在于獲取和提升權(quán)限，收集權(quán)限外的有效信息。包括IP欺騙、DNS欺騙、偽裝攻擊、ARP攻擊、“復(fù)送攻擊”、電子郵件欺騙、路由欺騙等。

1.3 網(wǎng)絡(luò)破壞

侵入敵方計算機后，除了直接通過讀、寫、刪除文件等操作進行系統(tǒng)破壞外，一般會在系統(tǒng)中施放病毒、木馬，設(shè)置后門，清除攻擊痕跡，潛伏隱藏自己，以便長期控制計算機系統(tǒng)或?qū)φ麄€網(wǎng)絡(luò)系統(tǒng)造成更大的破壞。

1.3.1數(shù)據(jù)驅(qū)動攻擊類

數(shù)據(jù)驅(qū)動攻擊以破壞信息系統(tǒng)的數(shù)據(jù)和網(wǎng)絡(luò)為目標(biāo)，通過向某個程序發(fā)送數(shù)據(jù)，以產(chǎn)生非預(yù)期結(jié)果的攻擊，獲得訪問目標(biāo)系統(tǒng)的權(quán)限。

（1）病毒

病毒類包含文件感染型病毒、“引導(dǎo)區(qū)型”病毒、宏病毒和郵件病毒等。如宏病毒是一種寄生在文檔或模板宏中的計算機病毒。一旦打開這樣的文件，其中的宏就會被執(zhí)行，于是宏病毒就會被激活，轉(zhuǎn)移到計算機上，并駐留在Normal模板上，此后，所有自動保存的文檔都會“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到其他計算機上。宏病毒的危害主要表現(xiàn)在對WORD運行的破壞和對系統(tǒng)的破壞兩方面。

（2）蠕蟲

蠕蟲是自包含的程序，它能傳播它自身功能的拷貝或它的某些部分到其他的計算機系統(tǒng)中（通常經(jīng)過網(wǎng)絡(luò)連接）。與一般病毒不同，蠕蟲不需要將其自身附著到宿主程序，它是一種獨立智能程序。根據(jù)網(wǎng)絡(luò)蠕蟲傳播模式的不同，把利用郵件為載體進行傳播的蠕蟲稱為郵件蠕蟲，把利用系統(tǒng)漏洞進行傳播的蠕蟲稱為傳統(tǒng)的網(wǎng)絡(luò)蠕蟲。

（3）木馬

與病毒不同，木馬本身不具有傳染性和破壞性，木馬的最大危害在于信息的竊取。其中，特洛伊木馬是典型的木馬程序。運行了木馬程序的“服務(wù)端”會產(chǎn)生一個有著容易迷惑用戶的名稱的進程，暗中打開端口，向指定地點發(fā)送數(shù)據(jù)（如用戶上網(wǎng)密碼等），黑客甚至可以利用這些打開的端口進入電腦系統(tǒng)。這時用戶電腦上的各種文件、程序、使用賬號、密碼等隱私信息就毫無安全可言了。

（4）后門

后門[14-15]是繞過安全性控制而獲取對程序或系統(tǒng)訪問的方法。在軟件的開發(fā)階段，程序員常會在軟件內(nèi)創(chuàng)建后門以便可以修改程序中的缺陷。

（5）邏輯炸彈

計算機中的“邏輯炸彈”是指在特定邏輯條件滿足時，實施破壞的計算機程序，該程序觸發(fā)后造成計算機數(shù)據(jù)丟失，計算機不能從硬盤或者軟盤引導(dǎo)，甚至?xí)拐麄€系統(tǒng)癱瘓，并出現(xiàn)物理損壞的虛假現(xiàn)象。

1.3.2信息利用攻擊類

信息利用攻擊利用系統(tǒng)的正常功能，來實現(xiàn)攻擊者的其他目的。如利用被攻擊者的正常網(wǎng)絡(luò)連接對其他系統(tǒng)進行攻擊，通過正常的系統(tǒng)服務(wù)利用其他漏洞實現(xiàn)攻擊者目的等。

（1）惡意程序和腳本

包括線程插入、鍵盤記錄程序、ShellCode腳本。如線程插入技術(shù)可以將要實現(xiàn)的功能程序做成一個線程，并將此線程在運行時自動插入到常見的進程中，使之作為此進程的一個線程來運行。

（2）身份認(rèn)證攻擊

包括弱認(rèn)證、密鑰泄漏和口令攻擊[16]。其中，口令攻擊是指黑客以口令為攻擊目標(biāo)，破解合法用戶的口令，或避開口令驗證過程，然后冒充合法用戶潛入目標(biāo)網(wǎng)絡(luò)系統(tǒng)，奪取目標(biāo)系統(tǒng)控制權(quán)的過程?？诹罟舭诹畈聹y、暴力破解、字典破解、生日攻擊、加密算法破譯等。

（3）錯誤和漏洞

安全設(shè)備漏洞：包括防火墻、遠(yuǎn)程訪問服務(wù)器、統(tǒng)一威脅管理（United Threat Management，UTM）等。幾乎所有的測試安全設(shè)備的接口沒有保護，存在跨站點腳本缺陷，允許會話劫持。

應(yīng)用軟件漏洞：包括Web服務(wù)器漏洞、FTP服務(wù)器漏洞和數(shù)據(jù)庫漏洞等。其中，數(shù)據(jù)庫漏洞從來源上大致可分為四類：缺省安裝漏洞、人為使用上的漏洞、數(shù)據(jù)庫設(shè)計缺陷、數(shù)據(jù)庫產(chǎn)品的bug（如緩沖區(qū)溢出、拒絕服務(wù)攻擊漏洞、權(quán)限提升漏洞等）。

網(wǎng)絡(luò)設(shè)備漏洞：網(wǎng)絡(luò)設(shè)備漏洞是指互聯(lián)網(wǎng)設(shè)備上的惡意程序，主要包括Mirai、Gafgyt、MrBlack、Tsunami、Reaper、DDoStf、Satori、TheMoon、StolenBots、VPNFilter、Cayosin等。這些惡意程序及其變種產(chǎn)生的主要危害包括用戶信息和設(shè)備數(shù)據(jù)泄露、硬件設(shè)備被控制和破壞，被用于DDoS攻擊或其他惡意攻擊行為、攻擊路由器等網(wǎng)絡(luò)設(shè)備竊取用戶上網(wǎng)數(shù)據(jù)等。

網(wǎng)絡(luò)協(xié)議漏洞：包括ICMP協(xié)議漏洞、FTP協(xié)議漏洞、TFTP協(xié)議漏洞、Telnet協(xié)議漏洞、DNS協(xié)議漏洞等。

操作系統(tǒng)漏洞：包括越權(quán)訪問漏洞、信息泄露漏洞、拒絕服務(wù)漏洞、偽裝欺騙漏洞、代碼執(zhí)行漏洞、遠(yuǎn)程登錄漏洞、口令恢復(fù)漏洞等。其中，代碼執(zhí)行漏洞包括緩沖區(qū)溢出（堆溢出、棧溢出）、參數(shù)錯誤、編碼錯誤、類型誤用等。

1.4 網(wǎng)絡(luò)阻塞

網(wǎng)絡(luò)阻塞主要由拒絕服務(wù)攻擊引起，狹義上是使服務(wù)不能合法使用，廣義上指使目標(biāo)資源不能正常工作。

（1）基于主機

包括資源耗盡、軟件故障、物理損壞。其中，資源耗盡即通過大量攻擊導(dǎo)致主機的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占用造成無法提供網(wǎng)絡(luò)服務(wù)的后果。

（2）基于網(wǎng)絡(luò)

包括TCP Flooding、UDP Flooding、ICMP Flooding、碎片攻擊、針對特定服務(wù)的攻擊、特殊構(gòu)造的TCP包等。

其中，ICMP Flooding是一種網(wǎng)絡(luò)層的DoS，它通過向攻擊主機發(fā)送大量的ICMP ECHO REQUEST數(shù)據(jù)包，導(dǎo)致大量資源被用于ICPM ECHO REPLY，合法服務(wù)請求被拒絕。防御措施包括禁止ICMP ECHO REQUEST通過路由器或者限制突發(fā)ICMP包上限。

針對特定服務(wù)的攻擊包括Smurf攻擊和Fraggle攻擊。Smurf攻擊者不斷向受害計算機發(fā)布網(wǎng)絡(luò)是否連通的測試命令——Ping，受害機被迫不停予以回復(fù)，最后導(dǎo)致系統(tǒng)死機。Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發(fā)送echo請求。用戶可以使用路由器的訪問保證內(nèi)部網(wǎng)絡(luò)中發(fā)出的所有傳輸信息都具有合法的源地址，以防止這種攻擊。

TCP包是指淚滴攻擊，攻擊者不斷發(fā)送淚滴包使網(wǎng)絡(luò)連續(xù)重啟，以達(dá)到癱瘓網(wǎng)絡(luò)的目的。

（3）分布式拒絕服務(wù)

分布式拒絕服務(wù)攻擊從很多臺計算機上同時發(fā)起，方法之一是聯(lián)合很多黑客，之二是通過木馬程序控制很多傀儡機，同時向目標(biāo)機器發(fā)起攻擊。防范措施包括在網(wǎng)絡(luò)上建立一個過濾器（filter）或偵測器（sniffer），在信息到達(dá)網(wǎng)站服務(wù)器之前阻擋信息。過濾器會偵察可疑的攻擊行為。如果某種可疑行為經(jīng)常出現(xiàn)，過濾器能接受指示，阻擋包含的信息，讓網(wǎng)站服務(wù)器的對外連接線路保持暢通。CNCERT抽樣監(jiān)測發(fā)現(xiàn)，2019年上半年我國境內(nèi)峰值超過10Gbps的大流量分布式拒絕服務(wù)攻擊事件數(shù)量平均每月約4,300起，同比增長18%。

（4）域名系統(tǒng)拒絕服務(wù)攻擊

和拒絕服務(wù)攻擊原理相同，攻擊的主要目標(biāo)為因特網(wǎng)上的13臺根域名服務(wù)器。攻擊者用虛假地址欺騙域名服務(wù)器，使其解析根本不存在的網(wǎng)絡(luò)地址，導(dǎo)致網(wǎng)絡(luò)徹底阻塞。防御措施包括：通過建立鏡像服務(wù)器實現(xiàn)負(fù)載均衡；嚴(yán)格配置邊界路由；配置檢測系統(tǒng)和防火墻；加強DNS服務(wù)器管理，配置交叉檢驗功能等。

2 結(jié)束語

本文結(jié)合基于攻擊效果和經(jīng)驗術(shù)語的分類方法，提出一種新的網(wǎng)絡(luò)攻擊分類方法。通過將網(wǎng)絡(luò)攻擊分為網(wǎng)絡(luò)偵察、網(wǎng)絡(luò)欺騙、網(wǎng)絡(luò)破壞和網(wǎng)絡(luò)阻塞四類，涵蓋了大多數(shù)典型的網(wǎng)絡(luò)攻擊手段，滿足網(wǎng)絡(luò)攻擊分類的基本原則，邏輯清楚，結(jié)構(gòu)完整，可為后續(xù)網(wǎng)絡(luò)攻擊防御等研究工作提供較好的基礎(chǔ)。

[1]溫偉強.網(wǎng)絡(luò)攻擊技術(shù)與網(wǎng)絡(luò)安全探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（01）：79+81.

[2]Selvakumar B，Muneeswaran K. Firefly algorithm based Feature Selection for Network Intrusion Detection[J]. Computers & Security，2018.

[3]劉欣然.網(wǎng)絡(luò)攻擊分類技術(shù)綜述[J].通信學(xué)報，2004（07）：30-36.

[4]高見，王安.面向網(wǎng)絡(luò)攻擊的能力評估分類體系研究[J/OL].計算機應(yīng)用研究：1-7[2019-11-09].https://doi.org/10.19734/j.issn.1001-3695.2019.010075.

[5]王萌，王亞剛，韓俊剛. 基于NDNN 的入侵檢測系統(tǒng)[J]. 微電子學(xué)與計算機，2018，35（7）：89-92.

[6]張森強，唐朝京，張權(quán)，等. 基于攻擊效能的網(wǎng)絡(luò)攻擊法分類與形式化描述[J]. 太赫茲科學(xué)與電子信息學(xué)報，2004，2（3）：161-166.

[7]XIA Jing，CAI Zhiping，HU Gang，XU Ming.An Active Defense Solution for ARP Spoofing in OpenFlow Network[J].Chinese Journal of Electronics，2019，28（01）：172-178.

[8]Shin Beomju，Park Minhuck，Jeon Sanghoon，So Hyoungmin，Kim Gapjin，Kee Changdon. Spoofing Attack Results Determination in Code Domain Using a Spoofing Process Equation.[J]. Sensors （Basel， Switzerland），2019，19（2）.

[9]Monali Mavani，Krishna Asawa. Modeling and analyses of IP spoofing attack in 6LoWPAN network[J]. Computers & Security，2017，70.

[10]楊連沁.戰(zhàn)場網(wǎng)絡(luò)欺騙的運用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（05）：98-99.

[11]Ring Markus，Landes Dieter，Hotho Andreas. Detection of slow port scans in flow-based network traffic.[J]. PloS one，2018，13（9）.

[12]Juniper Networks Inc.; Patent Issued for Detecting and Preventing Session Hijacking （USPTO 9954820）[J]. Computers，Networks & Communications，2018.

[13]Akash Krishnan V，P.P. Amritha，M. Sethumadhavan. Sum Chain Based Approach against Session Hijacking in MPTCP[J]. Procedia Computer Science，2017，115.

[14]馬向亮，王宏，李冰，等.基于能量分析技術(shù)的芯片后門指令分析方法[J].電子學(xué)報，2019，47（03）：686-691.

[15]許子先.聯(lián)網(wǎng)智能設(shè)備網(wǎng)絡(luò)安全技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（09）：22-24.

[16]Anoud Bani-Hani，Munir Majdalweieh，Aisha AlShamsi. Online Authentication Methods Used in Banks and Attacks Against These Methods[J]. Procedia Computer Science，2019，151.

鐵道部科技研究開發(fā)計劃[2012X004-A]