ICS35. 040 L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 37027—2018 信息安全技术 网络攻击定义及描述规范 I n f o rma t i ons e c u r i t e chno l o c i f i c a t i on so fd e f i n i t i onandd e s c r i t i onf o r yt gy—Spe p ne two rka t t a ck 2018 12 28 发布 2019 07 01 实施 国家市场监督管理总局 中国国家标准化管理委员会 发 布 GB/T 37027—2018 目 次 前言 ………………………………………………………………………………………………………… Ⅲ 引言 ………………………………………………………………………………………………………… Ⅳ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 缩略语 …………………………………………………………………………………………………… 2 5 网络攻击概述 …………………………………………………………………………………………… 2 6 网络攻击多维度描述 …………………………………………………………………………………… 3 6. 1 第 1 维分类:攻击对象 ……………………………………………………………………………… 3 6. 2 第 2 维分类:攻击方式 ……………………………………………………………………………… 3 6. 3 第 3 维分类:漏洞利用 ……………………………………………………………………………… 5 6. 4 第 4 维分类:攻击后果 ……………………………………………………………………………… 7 6. 5 第 5 维分类:严重程度 ……………………………………………………………………………… 7 7 网络攻击统计项 ………………………………………………………………………………………… 8 附录 A (资料性附录) 典型网络攻击过程 ……………………………………………………………… 10 附录 B (资料性附录) 网络攻击关键技术 ……………………………………………………………… 12 附录 C (资料性附录) 网络攻击分类示例 ……………………………………………………………… 14 参考文献 …………………………………………………………………………………………………… 16 Ⅰ GB/T 37027—2018 前 言 本标准按照 GB/T1. 1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会( SAC/TC260)提出并归口。 本标准起草单位:北京大学软件与微电子学院、中国电子技术 标 准 化 研 究 院、中 国 科 学 院 软 件 研 究 所、中国科学院信息工程研究所、上海众人网络安全技术有限公司、蓝盾信息安全技术有限公司、北京永 信至诚科技股份有限公司、北京奇安信科技有限公司、国家计算机网络 与 信 息 安 全 管 理 中 心、北 京 神 州 绿盟信息安全科技股份有限公司、国云科技股份有限公司、北京时代新 威 信 息 技 术 有 限 公 司、启 明 星 辰 信息技术集团股份有限公司、贵州省公共大数据重点实验室、海南大学 信 息 科 学 技 术 学 院、重 庆 邮 电 大 学网络空间安全与信息法学院、沈阳东软系统集成有限公司、阿里云计 算 有 限 公 司、北 京 天 际 友 盟 信 息 技术有限公司、北京天融信网络安全技术有限公司、新华三技术有限公司、黑龙江省网络空间研究中心、 百度在线网络技术(北京)有限公司、北京鼎普科技股份有限公司。 本标准主要起草人:卿斯汉、刘贤刚、叶润国、胡影、王利明、谈剑峰、鲍旭华、蔡晶晶、季统凯、李雪莹、 徐震、吴汉炜、周由胜、陈驰、张大江、吕志泉、严寒冰、杨辰钟、韩炜、李佳、杨大路、翟湛鹏、罗锋盈、王新杰、 彭长根、马杰、路娜、孙建坡、李 文 瑾、陈 景 妹、谢 安 明、徐 雨 晴、王 希 忠、方 舟、王 海 洋、周 启 明、沈 晴 霓、 文伟平、张泉、孙松儿、吴槟、姜伟鹏。 Ⅲ GB/T 37027—2018 引 言 近年来,随着网络应用的普及和迅猛发展,网络攻击也日渐增多,攻击的方法更加先进和复杂,攻击 的形式更是多种多样,无孔不入,对网络安全造成了严重威胁。 网络攻击涉及多方面的问题,包括网络攻击的界定、网络攻击涉及的角色、网络攻击的目的、网络攻 击的分级和分类、网络攻击的过程、网络攻击的关键技术、网络攻击常用的方法、网络攻击后果的评估等 内容。面对网络攻击各个层面的挑战,对网络攻击进行准确的定义 和 描 述,增 强 网 络 安 全 保 障,为 抵 御 网络攻击夯实基础。 Ⅳ GB/T 37027—2018 信息安全技术 网络攻击定义及描述规范 1 范围 本标准界定了网络攻击的定义、属性特征和多维度描述方法。 本标准适用于网络运营者进行网络建设、运维和管理时对安全的设计与评估。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引 用 文 件,仅 注 日 期 的 版 本 适 用 于 本 文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T5271. 8—2001 信息技术 词汇 第 8 部分:安全 GB/T7408—2005 数据元和交换格式 信息交换 日期和时间表示法 GB/T25068. 3—2010 信息技术 安全保护 安全技术 IT 网络安全 GB/T25069—2010 信息安全技术 第 3 部分:使用安全网关的网间通信 术语 3 术语和定义 GB/T5271. 8—2001、 GB/T25069—2010 和 GB/T25068. 3—2010 界定的以及下列术语和定义适用 于本文件。为了便于使用,以下重复列出了 GB/T5271. 8—2001、 GB/T25069—2010、 GB/T25068. 3— 2010 中的某些术语和定义。 3. 1 网络攻击 ne two r ka t t a ck 通过计算机、路由器等计算资源和网络资源,利用网络中存在的漏洞和安全缺陷实施的一种行为。 3. 2 访问控制[列]表 a c c e s sc on t r o ll i s t 由主体以及主体对客体的访问权限所组成的列表。 3. 3 [ GB/T25069—2010,定义 2. 2. 1. 43] 安全级别 s e c u r i t e v e l yl 有关敏感信息访问的级别划分,以此级别加之安全范畴能更精确地控制对数据的访问。 3. 4 [ GB/T25069—2010,定义 2. 2. 1. 6] 逻辑炸弹 l o i cbomb g 一种恶性逻辑程序,当被某个特定的系统条件触发时,造成对数据处理系统的损害。 3. 5 [ GB/T25069—2010,定义 2. 2. 1. 87] 特洛伊木马 t r o anho r s e j 一种表面无害的程序,它包含恶性逻辑程序,可导致未授权地收集、伪造或破坏数据。 1 GB/T 37027—2018 [ GB/T25069—2010,定义 2. 1. 37] 注:本标准简称“木马”。 3. 6 欺骗 s o f i ng po 假冒成合法的资源或用户。 [ GB/T25068. 3—2010,定义 3. 21] 3. 7 威胁 t hr e a t 一种潜在的计算机安全违规。 [ GB/T5271. 8—2001,定义 08. 05. 04] 3. 8 高级持续性威胁 adv anc e dpe r s i s t e n tt hr e a t 精通复杂技术的攻击者利用多种攻击方式对特定目标进行长期持续性网络攻击。 4 缩略语 下列缩略语适用于本文件。 APT:高级持续性威胁 ( Advanc edPe r s i s t en tThr e a t) DoS:拒绝服务攻击 ( Den i a lo fSe r v i c e) DDoS:分布式拒绝服务攻击 ( Di s t r i bu t edDen i a lo fSe r v i c e) WWW:万维网 (Wo r l d Wi de Web) 5 网络攻击概述 网络攻击为利用网络存在的漏洞和安全缺陷对网络系统的硬件、软 件 及 其 系 统 中 的 数 据 进 行 的 攻 击。网络攻击具有动态和迭代性,随着攻击过程的进行,攻击者对目 标 的 掌 握 和 控 制 程 度 不 断 深 入,可 实施的攻击面越大,可能造成的安全影响也越大。根据网络攻击实施步骤的粗细层次及复杂程度,网络 攻击又可分为单步攻击和组合攻击。单步攻击是具有独立的、不可分割的攻击目的的简单网络攻击,组 合攻击是单步攻击按照一定逻辑关系或时空顺序进行组合的复杂网 络 攻 击。通 常 情 况 下,一 个 典 型 的 复杂网络攻击过程包括信息收集、攻击工具研发、攻击工具投放、脆弱性利用、后门安装、命令与控制、攻 击目标达成等 7 个步骤。典型、多步骤网络攻击过程的详细描述参见附录 A。 网络攻击具有多个属性特征,主要包括: a) 攻击源:发动网络攻击的源,它可能为组织、团体或个人。 b) 攻击对象:遭受网络攻击并可能导致损失的目标对象。 c) 攻击方式:攻击过程中采用的方法或技术,体现网络攻击的原理和细节。网络攻击的关键技术 参见附录 B。 d) 安全漏洞:攻击过程中所利用的网络或系统的安全脆弱性或弱点。 e) 攻击后果:攻击实施后对目标环境和攻击对象所造成的影响和结果。 网络攻击各属性特征之间的关系如图 1 所示,其组合关系的分类示例参见附录 C。 2 GB/T 37027—2018 图 1 网络攻击各属性特征的关系 从生命周期角度看,一次成功的网络攻击涉及的角色(包括参与者和利益相关者)包括 4 类: a) 网络攻击者:利用网络安全的脆弱性,以破环、窃取或泄露信息系统或网络中的资源为目的,危 及信息系统或网络资源可用性的个人或组织,如某黑客组织。 b) 网络攻击受害者:在网络攻击的活动中,信息、资源或财产受到侵害的一方,如某互联网应用提 供商。 c) 网络攻击检测者:对网络运行和服务、