化工儀器網手機版
移動端訪問更便捷
《信息安全技術 網絡攻擊和網絡攻擊事件判定準則》征求意見
2023年12月13日 09:32:20
來源:儀表網 點擊量:2573
本文件給出了網絡攻擊和網絡攻擊事件的描述信息要素、判定指標和計數標準。本文件適用于指導組織開展網絡攻擊和網絡攻擊事件的監測分析、態勢感知、信息報送等活動。
【化工儀器網 標準發布】近日,由國家計算機網絡應急技術處理協調中心北京分中心 、國家計算機網絡應急技術處理協調中心 、國家工業信息安全發展研究中心 、長安通信科技有限責任公司 、北京神州綠盟科技有限公司 、三六零數字安全科技集團有限公司 、奇安信科技集團股份有限公司 、安天科技集團股份有限公司 、螞蟻科技集團股份有限公司 、中國移動通信集團有限公司 、中國聯合網絡通信集團有限公司 、中國信息安全測評中心等單位起草,TC260(全國信息安全標準化技術委員會)歸口的國家標準計劃《信息安全技術 網絡攻擊和網絡攻擊事件判定準則》征求意見稿已編制完成,現公開征求意見。
網絡攻擊的多樣化及網絡攻擊事件的日益增多,推動了網絡攻擊的檢測方法和網絡攻擊事件分析方法不斷升級,也促使各單位、各廠商積極建設網絡安全態勢感知相關能力。然而,由于缺乏對網絡攻擊、網絡攻擊事件的判定和計數標準,各單位、廠商在檢測和統計網絡攻擊、網絡攻擊事件方面出現較大差異,導致難以有效實現對網絡攻擊態勢的共享和準確感知,難以將各方能力形成合力協同解決網絡安全問題。
在此背景下,需研制不同類型網絡攻擊、網絡攻擊事件的判定和計數標準,為當前網絡安全檢測和態勢分析技術、系統、產品提供統一的參考標準和依據,為有效實現網絡攻擊態勢的共享、研判、提供基礎和依據。
本文件按照GB/T 1.1—2020《標準化工作導則 第1部分:標準化文件的結構和起草規則》的規定起草。
本文件代替GB/T 37027—2018 《信息安全技術 網絡攻擊定義及描述規范》,與GB/T 37027—2018相比,除結構調整和編輯性改動外,主要技術變化如下:
a) 調整了網絡攻擊的定義(見3.1);
b) 增加了網絡攻擊事件的定義(見3.2);
c) 調整了網絡攻擊的描述(見5.1);
d) 調整了對安全漏洞的描述,刪除“表3 安全漏洞分類表”,改為“見GB/T 30279—2020”(見5.1、5.2);
e) 調整了對攻擊方式的描述,刪除“表2 攻擊方式分類表”,改為與GB/T 20986—2023具有一致性的19類攻擊技術手段(見5.1、6.1);
f) 增加了網絡攻擊事件的描述(見5.2);
g) 刪除了對攻擊嚴重程度的描述,增加了與GB/T 20986—2023具有一致性的事件分級描述(見5.2);
h) 刪除了對攻擊后果的描述,增加了與GB/T 20986—2023具有一致性的事件影響描述(見5.2);
i) 增加了網絡攻擊的判定指標(見6.1);
j) 增加了網絡攻擊事件的判定指標(見6.2);
k) 增加了網絡攻擊的計數標準(見7.1);
l) 增加了網絡攻擊事件的計數標準(見7.2)。
m) 調整了對攻擊對象分類的描述,對“表1 攻擊對象分類表”的內容進行調整,并將表名改為“表A.1 攻擊對象類型表”,從正文中刪除,作為資料性附錄(見附錄B);
n) 調整了對典型網絡攻擊過程的描述(見附錄C);
o) 增加了網絡攻擊和網絡攻擊事件的典型判定方法(見附錄D);
本文件給出了網絡攻擊和網絡攻擊事件的描述信息要素、判定指標和計數標準。本文件適用于指導組織開展網絡攻擊和網絡攻擊事件的監測分析、態勢感知、信息報送等活動。
網絡掃描探測攻擊的判定指標:
存在下列一種或者多種情況,判定發生網絡掃描探測攻擊:
a) 一定時間范圍內,針對端口、路徑、配置等的網絡請求數量超出正常閥值范圍,或網絡請求內容存在遍歷性和構造性;
b) 網絡流量或設備/系統/軟件日志中包含網絡掃描軟件的特征。
網絡釣魚攻擊的判定指標:
當通過網絡傳播的信息(如網頁、網絡郵件、軟件、文件等)具有欺詐性、偽造性,且存在誘使訪問者提交重要數據和個人信息的情況時,判定發生網絡釣魚攻擊。
漏洞利用攻擊的判定指標:
存在下列一種或者多種情況,判定發生漏洞利用攻擊:
a) 網絡流量或設備/系統/軟件日志中包含漏洞利用攻擊包的特征;
b) 網絡流量或設備/系統/軟件日志中包含漏洞利用工具的特征。
后門利用攻擊的判定指標:
存在下列一種或者多種情況,判定發生后門利用攻擊:
a) 網絡流量或設備/系統/軟件日志中包含后門利用攻擊包的特征,如后門利用工具的特征;
b) 網絡或信息系統中包含后門利用的痕跡,如后門執行文件等。
后門植入攻擊的判定指標:
存在下列一種或者多種情況,判定發生后門植入攻擊:
a) 網絡流量或設備/系統/軟件日志中包含后門植入攻擊包的特征,如后門植入工具的特征;
b) 網絡或信息系統中包含后門植入的痕跡,如被植入的后門文件。
憑據攻擊的判定指標:
存在下列一種或者多種情況,判定發生憑據攻擊:
a) 網絡流量或者業務系統日志中包含攻擊者在短時間內進行口令枚舉猜解的行為特征;
b) 攻擊者存在識別解析登錄口令的行為。
信號干擾攻擊的判定指標:
存在下列一種或者多種情況,判定發生信號干擾攻擊:
a) 通信信號質量下降,數據包丟失,通信中斷等問題。通過監測信號的頻譜特征、幅度變化、頻率偏移等,可以檢測到信號的異常表現;
b) 通信信號的信噪比下降、比特錯誤率增加、丟包率升高等指標的變化;
c) 通過檢測與正常設備行為不一致的跡象,如未經授權的無線電發射器的存在,可以發現潛在的信號干擾攻擊;
d) 過監測鄰近通信鏈路的質量變化和異常行為。
拒絕服務攻擊的判定指標:
存在下列一種或者多種情況,判定發生拒絕服務攻擊:
a) 網絡流量中包含拒絕服務攻擊的指令特征;
b) 網絡或信息系統的流入流量或訪問量超過正常閾值。
網頁篡改攻擊的判定指標:
存在網頁內容被非授權惡意更改的情況時,判定發生網頁篡改攻擊。
暗鏈植入攻擊的判定指標:
存在下列一種或者多種情況,判定發生暗鏈植入攻擊:
a) 發現存在未經授權的或異常的鏈接,指向惡意網站、下載惡意軟件的鏈接或其他惡意資源;
b) 發現存在異常的訪問流量模式,突然增加的訪問量、來自不同地理位置或非正常的用戶行為
等;
c) 發現安全日志和監測出現異常行為,網站或應用程序文件被修改。
域名劫持攻擊的判定指標:
當域名的解析結果被非域名所有者指向非預期的IP地址的情況時,判定發生域名劫持攻擊。
域名轉嫁攻擊的判定指標:
當域名的解析結果被域名所有者指向了不屬于所有者或者利益相關方所擁有的IP地址情況時,判定發生域名轉嫁攻擊。
DNS 污染攻擊的判定指標:
當網絡中存在錯誤的DNS數據包,把域名的解析結果指向不正確的IP地址時,判定發生DNS污染攻擊。
WLAN 劫持攻擊的判定指標:
存在下列一種或者多種情況,判定發生WLAN劫持攻擊:
a) 無線網絡大量的數據流量被重定向到未知的目標、數據包被篡改或通信被中斷;
b) 頻繁斷連、連接到未知的或可疑的無線網絡等;
c) 未經授權的無線接入點的出現、頻繁的信道切換、無線信號干擾等。
流量劫持攻擊的判定指標:
存在下列一種或者多種情況,判定發生流量劫持攻擊:
a) 實際流入流量與對端發出流量存在差別;
b) 實際流出流量與達到對端流量存在差別。
BGP 劫持攻擊的判定指標:
存在下列一種或者多種情況,判定發生BGP劫持攻擊:
a) 攻擊者使用偽造或篡改等手段污染BGP邊界網關協議的路由數據,欺騙其他AS將流量引向攻擊者指定的AS,此種情況下攻擊者正在發送污染包劫持路徑;
b) AS實際網絡通信路由路徑與合理的網絡路由通信路徑存在差別,此種情況下攻擊者已經劫持
了路徑,并將流量引向其指定的AS。
廣播欺詐攻擊的判定指標:
存在下列一種或者多種情況,判定發生廣播欺詐。
a) ARP表中IP地址與MAC地址的映射與正常情況不一致或存在重復映射;
b) 網絡中的數據流量和通信模式發現大量的沖突通信、數據包丟失、通信中斷等異常情況;
c) 頻繁地發送ARP請求、自動更新ARP表、重置網絡接口等。
失陷主機攻擊的判定指標:
存在下列一種或者多種情況,判定發生失陷主機攻擊:
a) 被控設備對外發送心跳包、控制指令響應包或開啟非授權端口服務;
b) 被控設備中包含具有遠程控制功能的惡意代碼或者相關感染痕跡,例如特洛伊木馬文件等;
其他網絡攻擊的判定指標:
采取其他攻擊技術手段的網絡攻擊行為。
更多詳情請見附件。
相關閱讀 Related Reading
查看更多+-
近日,云南省農業科學院質量標準與檢測技術研究所委托云南藍本招標咨詢有限公司組織公開招標,為高原特色現代農業質量安全科技支撐專項經費...2025-03-11 09:18:54
-
山南市疾控中心儀器設備采購項目預算金額694.8萬元,項目編號為54050025210200003864。2025-03-10 11:12:28
-
預算155.9萬 安徽省產品質量監督檢驗研究院采購一批檢驗檢測儀器設備
安徽省產品質量監督檢驗研究院2025年能力提升(第六批)纖紡產品檢驗檢測儀器設備采購,預算金額155.9萬,項目編號為ZF2025...2025-03-10 09:18:01 -
儀器聚焦丨熱點重點大盤點 儀器行業本周要點速遞(2025年第7期)
儀器行業本周要點速遞(2025年第7期)出爐!2025-03-08 10:00:00 -
CHINA LAB 2025 圓滿收官 共謀行業高質量發展新篇章
CHINA LAB 2025廣州國際分析測試及實驗室設備展覽會暨技術研討會圓滿閉幕。展會匯聚了國內外頂尖技術和產品,展覽區精彩紛呈...2025-03-07 17:38:47 -
正值全國兩會期間,多位全國人大代表在接受媒體采訪表示,“中國天眼”、“子午工程”、江門中微子實驗等多個大科學裝置取得突破性進展。2025-03-07 13:07:57
版權與免責聲明
- ①凡本網注明“來源:化工儀器網”的所有作品,均為浙江興旺寶明通網絡有限公司-化工儀器網合法擁有版權或有權使用的作品,未經本網授權不得轉載、摘編或利用其他方式使用上述作品。已經本網授權使用作品的,應在授權范圍內使用,并注明“來源:化工儀器網”。違反上述聲明者,本網將追究其相關法律責任。
- ②本網轉載并注明自其他來源(非化工儀器網)的作品,目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責,不承擔此類作品侵權行為的直接責任及連帶責任。其他媒體、網站或個人從本網轉載時,必須保留本網注明的作品第一來源,并自負版權等法律責任。
- ③如涉及作品內容、版權等問題,請在作品發表之日起一周內與本網聯系,否則視為放棄相關權利。
