网络安全-态势感知-相关国标文件

被实施网络攻击的客体信息，如被攻击设备的IP地址、域名，或具体的某个网络设备或者 信息系统等

攻击对象的分类描述，见附录B

实施网络攻击的主体信息，包括攻击者身份（如攻击组织名、网络身份标识）、攻击资源 （如攻击者使用的直接攻击IP、真实攻击IP、控制域名）等

见GB/T 30279—2020

攻击所处的阶段，见附录C

判定网络攻击所使用的方法，见附录D

网络攻击事件的类型，见GB/T 20986—2023

可能的攻击动机，如政治、经济、兴趣、炫耀等

判定网络攻击事件所使用的方法，见附录D

利用网络扫描软件获取有关网络配置、 端口、 服务和现有脆弱性等信息；

存在下列一种或者多种情况，判定发生网络扫描探测攻击： a) 一定时间范围内，针对端口、路径、配置等的网络请求数量超出正常阀值范围，或网络请求 内容存在遍历性和构造性； b) 网络流量或设备/系统/软件日志中包含网络扫描软件的特征。

利用欺诈性网络技术诱使用户泄露重要数据或个人信息；

当通过网络传播的信息（如网页、网络邮件、软件、文件等）具有欺诈性、伪造性，且存在诱使访 问者提交重要数据和个人信息的情况时，判定发生网络钓鱼攻击。

通过挖掘并利用网络配置缺陷、 通信协议缺陷或应用程序缺陷等漏洞对网络实施攻击；

存在下列一种或者多种情况，判定发生漏洞利用攻击： a) 网络流量或设备/系统/软件日志中包含漏洞利用攻击包的特征； b) 网络流量或设备/系统/软件日志中包含漏洞利用工具的特征。

恶意利用软件或硬件系统设计过程中未经严格验证所留下的接口、 功能模块、程序等， 非法获取网络管理权限；

存在下列一种或者多种情况，判定发生后门利用攻击： a) 网络流量或设备/系统/软件日志中包含后门利用攻击包的特征，如后门利用工具的特征； b) 网络或信息系统中包含后门利用的痕迹，如后门执行文件等。

非法在网络中创建能够持续获取其管理权限的后门；

存在下列一种或者多种情况，判定发生后门植入攻击： a) 网络流量或设备/系统/软件日志中包含后门植入攻击包的特征，如后门植入工具的特征； b) 网络或信息系统中包含后门植入的痕迹，如被植入的后门文件。

破解口令， 解析登录口令或凭据等；

存在下列一种或者多种情况，判定发生凭据攻击： a) 网络流量或者业务系统日志中包含攻击者在短时间内进行口令枚举猜解的行为特征； b) 攻击者存在识别解析登录口令的行为。

通过技术手段阻碍有线或无线信号在网络中正常传播；

存在下列一种或者多种情况，判定发生信号干扰攻击： a) 通信信号质量下降，数据包丢失，通信中断等问题。通过监测信号的频谱特征、幅度变化、 频率偏移等，可以检测到信号的异常表现； b) 通信信号的信噪比下降、比特错误率增加、丢包率升高等指标的变化； c) 通过检测与正常设备行为不一致的迹象，如未经授权的无线电发射器的存在，可以发现潜在 的信号干扰攻击； d) 过监测邻近通信链路的质量变化和异常行为。

通过非正常使用网络资源(诸如CPU、 内存、 磁盘空间或网络带宽)影响或破坏网络可用性， 例如； DDOS 等；

存在下列一种或者多种情况，判定发生拒绝服务攻击： a) 网络流量中包含拒绝服务攻击的指令特征； b) 网络或信息系统的流入流量或访问量超过正常阈值。 !"可通过设定或者自学习网络和信息系统的正常流量或正常访问量的阀值，并与实际流量、访问量进行比对。针 对不同单位可以依据其重要程度设定不同的检测阀值。

通过恶意破坏或更改网页内容影响网站声誉或破坏网页及网站可用性；

存在网页内容被非授权恶意更改的情况时，判定发生网页篡改攻击。

通过隐形篡改技术在网页内非法植入违法网站链接；

存在下列一种或者多种情况，判定发生暗链植入攻击：
a) 发现存在未经授权的或异常的链接，指向恶意网站、下载恶意软件的链接或其他恶意资源；
b) 发现存在异常的访问流量模式，突然增加的访问量、来自不同地理位置或非正常的用户行为等；
c) 发现安全日志和监测出现异常行为，网站或应用程序文件被修改。

通过攻击或伪造 DNS 的方式蓄意或恶意诱导用户访问非预期的指定IP 地址(网站) ;

当域名的解析结果被非域名所有者指向非预期的IP地址的情况时，判定发生域名劫持攻击。

把自己的域名指向一个不属于自己的IP 地址， 导致针对该域名的攻击都将被引向所指向的 IP 地址；

当域名的解析结果被域名所有者指向了不属于所有者或者利益相关方所拥有的IP地址情况时，判定 发生域名转嫁攻击。

利用刻意制造或无意制造的DNS 数据包， 把域名指向不正确的 IP 地址；

当网络中存在错误的DNS数据包，把域名的解析结果指向不正确的IP地址时，判定发生DNS污染攻击。

通过口令破解、 固件替换等方法非法获取无线局域网的控制权限；

存在下列一种或者多种情况，判定发生WLAN劫持攻击： a) 无线网络大量的数据流量被重定向到未知的目标、数据包被篡改或通信被中断； b) 频繁断连、连接到未知的或可疑的无线网络等； c) 未经授权的无线接入点的出现、频繁的信道切换、无线信号干扰等。

通过恶意诱导或非法强制用户访问特定网络资源造成用户流量损失；

存在下列一种或者多种情况，判定发生流量劫持攻击： a) 实际流入流量与对端发出流量存在差别； b) 实际流出流量与达到对端流量存在差别。

通过 BGP 恶意操纵网络路由路径；

存在下列一种或者多种情况，判定发生BGP劫持攻击： a) 攻击者使用伪造或篡改等手段污染BGP边界网关协议的路由数据，欺骗其他AS将流量引向攻击 者指定的AS，此种情况下攻击者正在发送污染包劫持路径； b) AS实际网络通信路由路径与合理的网络路由通信路径存在差别，此种情况下攻击者已经劫持 了路径，并将流量引向其指定的AS。

通过广播欺骗的方式干扰网络数据包正常传输或窃取网络用户敏感信息；

存在下列一种或者多种情况，判定发生广播欺诈。 a) ARP表中IP地址与MAC地址的映射与正常情况不一致或存在重复映射； b) 网络中的数据流量和通信模式发现大量的冲突通信、数据包丢失、通信中断等异常情况； c) 频繁地发送ARP请求、自动更新ARP表、重置网络接口等。

攻击者获得某主机的控制权后， 能以该主机为跳板继续攻击组织内网其他主机；

存在下列一种或者多种情况，判定发生失陷主机攻击： a) 被控设备对外发送心跳包、控制指令响应包或开启非授权端口服务； b) 被控设备中包含具有远程控制功能的恶意代码或者相关感染痕迹，例如特洛伊木马文件等；

通过利用供应链管理中存在的脆弱性， 感染合法应用来分发恶意程序；

针对供应链攻击事件，通过分析相关攻击行为，如确认攻击方通过利用合法软件产品或网络服务的 供应链中的脆弱性来实现其攻击意图，则判定发生供应链攻击事件。

通过对特定对象展开持续有效的攻击活动， 这种攻击活动具有极强的隐蔽性和针对性， 通常会运用受感染的各种介质、
供应链和社会工程学等多种手段实施先进的、 持久的且有效的威胁和攻击；

针对APT攻击事件，存在下列一种或者多种情况，则判定发生APT攻击事件： a）网络攻击中的IOC（失陷指标，即在网络或设备上发现的可作为系统疑遭入侵的证据，一般以结 构化的方式记录）或者技战术属于已知APT组织； b）攻击活动存在针对性、持久性和高隐蔽性，且攻击目标是重要信息系统或高价值个人，且攻击 目的是窃取情报、破坏或者潜伏等待指令。

不在以上子类之中的网络攻击事件。

采取其他攻击技术手段的网络攻击行为。