网络攻击技术分层方法研究

如何有效地防护来自网络中的攻击行为已成为当前亟需解决的问题。为了有效防护网络攻击，需要对网络攻击的演进过程有一个全面的了解和认知。从近年来网络攻击形成的安全事件入手，站在管理者、学术界、产业界的视角，分析了网络攻击技术的分类与发展路径，总结了现状与特点。结合机器学习、深度学习以及攻击样本特征工程的需要，提出了基于TCP/IP模型的网络攻击分层方法，为不同层次的攻击技术研究与防御提供了分析参考。同时，基于典型的网络攻击工具，分析了不同目标对象受网络攻击的特点。结合网络攻击分层方法和目标对象分类研究，简析了高级可持续攻击（APT）的攻击模式和检测方式。最后，提出加强基于机器学习、深度学习的网络入侵检测技术框架及算法研究等下一步工作展望。

内容目录：

0　引　言

1　网络攻击技术演进路线

2　网络攻击技术发展现状

3　基于TCP/IP的网络攻击技术分层研究

4　基于目标对象的网络攻击分类研究

5　典型网络攻击模式简析

6　结　语

0　引　言

1969年，美国国防部高级研究计划局（ARPA）成功开发并组建了ARPA网，因特网（The Internet）由此诞生。1982年，支持网络间通信的标准网络协议套件出现，这个协议套件由传输控制协议（TCP）和因特网协议（IP）组成，IP协议用于处理数据包，TCP主要用于网络连接的建立及数据的传输，并作为IP协议的补充。这套网络通信的传输控制和协议套件被称为“TCP/IP”，是当今互联网通信的基础。近年来，基于“TCP/IP”的隐匿、复杂、多元的网络攻击对全球信息化社会、国际经济信息化发展、全球协作和人类各领域合作的推进构成了严重威胁，全球的重大网络安全事件也愈发频繁。

2019年，赛门铁克发布了《互联网安全威胁报告》，指出：2018年针对企业的勒索软件感染率较2017年增长12%；2018年终端上的总体Web攻击相比2017年增加了56%，供应链攻击增加了78%；美国、中国、德国是移动恶意软件的重灾区，分别占总量的63%、13%和10%。Check Point软件技术有限公司发布了《2020年网络安全报告》，列举了2019年全球重大网络安全事件，如最大数据泄漏事件——2019年1月，“Collection #1”事件导致超过7.7亿的电子邮件和 2100 万条密码被暴露在互联网上；2019年2月，名为“Gnosticplayers”的 黑客攻击了16个网站，窃取了6亿2千万条账户信息，并在暗网上出售；2019年3月，世界上最大的邮件验证公司“Verifications.io”由于使用未受保护的MongoDB数据库，使得8亿多条用户数据泄漏；2019年6月，俄罗斯黑客组织Fxmsp声称已经入侵了McAfee、赛门铁克和Trend的网络并获得了长期远程访问权限，同时窃取出售了30TB的数据；2019年6月，美国医学收集机构（AMCA）遭到对其数据库的非法入侵，导致约2000万名患者的信息受到影响；2019 年6月，佛罗里达州的第二大城市湖城遭受了被称为“三重威胁”的攻击，该攻击结合了3种不同的方法，分别对目标的网络系统、电话系统、电子邮件系统实施了攻击，造成了该市长达2周的信息系统瘫痪，并且该市向黑客组织支付了50万美元的解除费用。

1　网络攻击技术演进路线

从上述最近案例中可以看出，如何有效地防护来自网络中的攻击行为已成为当前亟需解决的问题。为了有效防护网络攻击，需要对网络攻击的演进过程有一个全面的了解和认知，做到“知己知彼”。网络攻击和信息科技的发展处于同一个“生态圈”中，因此，网络攻击技术也随着信息技术的发展不断进化，国际警察局长协会（IACP）就此问题进行总结，如表1所示。

学术界的Ervural等人对网络攻击战术复杂性的整体演化过程进行了概括，从20世纪80年代的普通攻击到21世纪10年代的直接攻击，再到21世纪20年代的战略攻击，如表2所示。

全球顶尖的互联网安全解决方案提供商Check Point认为 2018年起，全球步入了第五代网络安全时期，并发布了《第五代网络安全攻击及防御措施白皮书》，总结如表3所示。

第一代（20世纪80年代）：黑客通常是狡猾的恶作剧制造者。针对独立 PC 的病毒攻击大多始于麻烦或错误，为了防止这种破坏，防病毒产品应运而生。

第二代（20世纪90年代）：随着互联网开始成为商业及日常生活的中心，黑客们开始形成组织并相互交流，以便通过网络犯罪谋取经济利益，恶意软件的出现，使基于包过滤的第一代防火墙以及主动防御的入侵检测系统（IDS）得以兴起。

第三代（21世纪00年代）：攻击者开始分析网络架构和软件脆弱点，以发现并利用整个IT基础设施中的漏洞。仅采用防火墙、防病毒软件和入侵检测系统（IDS）产品在面对新型攻击时显然远远不够。企业为保护自身安全，开启了最优修补工作安全模式的时代。Check Point开始专注于网络威胁防范，并推出了入侵防护系统（IPS）产品。

第四代（21世纪10年代）：从国际间谍活动、大规模个人信息泄露到大规模的互联网破坏，网络攻击技术变得更加复杂多元。攻击以隐避性、多态性的方式隐藏在图片、视频等文件中。虽然第二代和第三代的互联网安全技术提供了访问控制并检查所有通信，但无法对最终用户通过电子邮件、下载文件等方式实际收到的内容进行验证。因此，Check Point利用僵尸网络防御策略和沙箱等虚拟系统程序，以零日攻击等进行防御。

第五代（21世纪20年代）：先进的“武器级别”黑客工具遭到泄露，攻击者利用其快速行动，并在大规模地理区域内感染大量的企业及实体。大规模、多向量的大型攻击激发了企业对集成与统一安全架构的需求。前几代修补工作、最优部署、检测优先的技术已经远远无法抵御第五代快速隐秘的攻击。Check Point基于高级威胁防护与分析解决方案，开发标准的统一架构，可实时共享威胁情报，预防对虚拟实例、云部署、终端、远程办公室和移动设备的攻击。

2　网络攻击技术发展现状

总体看来，随着信息技术与互联网技术的进步，网络攻击技术更新极快，并呈现出两个主要特征：一是网络攻击技术已经由简单走向复杂。例如，早期的莫里斯蠕虫事件，基于Unix系统中的脆弱点，使用Finger命令查询用户信息，用mail系统传播源程序，造成近6000台计算机运行变慢直至无法使用，导致拒绝服务。2016年的乌克兰电网系统事件已经表明，攻击者面对防御体系时采用了更为先进APT技术与工具来实现入侵网络与系统的目的。与此同时，在网络攻击中使用人工智能技术进行运用分析，并向武器化、自动化趋势蔓延。相关报告显示，2018年由机器人和僵尸网络产生的恶意流量分别占据所有网络流量的37.9%和53.8%。2020年4月，以色列水利系统的信息基础设施遭到网络攻击，黑客利用含有宏病毒的办公软件附件或钓鱼邮件中的恶意链接致使重要信息系统感染病毒。二是网络攻击逐步从个人走向组织。早期的网络攻击基本为黑客的个性与能力展示，现在，出于政治和经济目的，黑客个体行为已走向黑客组织行为，部分还带有很强的国家属性，他们拥有最先进的网络武器库，更具针对性的攻击方法。比较出名的有朝鲜的Lazarus，俄罗斯的APT28，越南的Ocean Lotus等APT组织，这些组织采用0 Day漏洞、网络钓鱼电子邮件、鱼叉攻击和水坑攻击（Watering hole）等新型技术与方法，向特定攻击目标植入恶意软件以获取机密信息。这些组织目标和分工明确，一方面，不断加强网络攻击武器的研制与各种终端、服务器、网络设备0 Day漏洞的储备；另一方面，加强攻击的隐蔽性，隐藏攻击活动中留下的痕迹，使攻击监测和追踪溯源变得更加困难。

3　基于TCP/IP的网络攻击技术分层研究

通过研究大量文献，从不同的角度分析，可以将网络攻击归类为不同方法。网络攻击分类的主要依据有安全策略缺陷、网络攻击手段、网络攻击效果、网络攻击监测和网络攻击危害评估等。通过对攻击分类和安全事件进行分析梳理，其分类方法总结如表4所示。

TCP/IP协议定义了计算机在网络通信中数据的收发模式、基本格式、寻址方式、正确性校验和分析解码等。TCP/IP网络模型包括：负责封装/解封装和发送/接收报文的链路层、负责报文发送的网络层、负责报文分组和重组的传输层、负责向用户提供应用程序的应用层，如表5所示。

网络入侵需要以网络通信为载体，利用TCP/IP参考模型传输网络攻击数据。因此，可以将目前已知的网络攻击映射到TCP/IP四层模型，针对不同层次的不同攻击采用相应的防御方法，如表 6 所示。从表中可以看出，应用层的攻击在网络攻击中占比非常高，并且随着新一代信息技术的发展和应用，其攻击手段层出不穷。在应用层的攻击中，Web攻击的占比非常高，例如，常见的Web攻击有SQL注入攻击、Xss及文件上传漏洞攻击、文件包含攻击、网页木马攻击、爬虫攻击、Web扫描攻击、协议违规、网站信息泄露篡改等。

4　基于目标对象的网络攻击分类研究

网络攻击者通过对网络协议的研究，构造特殊的报文格式或非常用协议，对目标主机进行攻击，窃取目标主机的重要信息或消耗目标主机的系统资源。其中，木马和病毒是两种典型的网络攻击工具，木马具备隐匿性并能将自己伪装成合法程序或部件，病毒具备自我复制性和自动传播性的特性。传统远控木马通常使用基于字节流的传输层通信协议进行数据传输；新型混合型木马采用反沙箱、强混淆、注入等手段，利用 HTTPS 等方式传输数据。为了更准确地分析木马和病毒攻击，将信息系统划分为硬件层、启动层、驱动层和应用层。

硬件层一般只存在木马，该类木马需要触发结构激活，对芯片安全性和可靠性具有十分严重的损害，其隐蔽性非常高，所带来的研发和制造成本巨大，难以发现及查杀。启动层存在木马和病毒，其功能单一、隐藏性非常高、难以查杀。驱动层存在木马和病毒，其功能单一、隐藏性高、查杀困难。应用层存在木马和病毒，其功能复杂，可能具备监视屏幕、记录键盘等功能，不易查杀。在应用程序和webshell环境下的木马和病毒是最常见和流行的，攻击者将后门程序寄生在系统中，对攻击目标进行远程监控、非法操作或资源滥用，该环境下的木马和病毒一般功能单一、较容易查杀但传播广泛。

一些“被动接触”的后门软件，其技术大部分是 Rootkit，Rootkit是一套能够永久、持续并毫无察觉地驻留在目标计算机中的程序和代码，Rootkit可以在应用层、内核层、BIOS和其他代码库中运行，实现自启动、隐藏及shell连接，从而实现监听网络数据、缓冲区溢出攻击等行为。如今，Rootkit 利用劫持系统调用、API Hook、Inline Hook 等行为改变相应软件的执行流程来防止被检测到，通过 TCP/IP 协议的Socket 通信建立连接，并将相应模块发送到受控端后发送指令进行加载，“隐藏”通信端口和相应程序，从而实现“隐藏”攻击行为并实现远程控制。

5　典型网络攻击模式简析

高级可持续攻击（APT）是近年来出现的具有隐蔽性、先进性、持续性等特征的新型网络攻击。APT攻击包括信息收集、入侵渗透、潜伏调整和攻击退出四个阶段。在信息收集中，对目标系统进行嗅探、扫描、窃取和伪造；对目标用户进行诱骗，攻击者挖掘系统的漏洞，编制恶意代码，准备实施攻击。攻击实施过程为入侵渗透、潜伏调整和攻击退出，攻击者开展基于包含远程登录在内的系统攻击和基于病毒及木马的代码攻击。因此，APT攻击利用网络通信协议，通过系统，利用病毒、蠕虫、木马和后门等途径，实现对网络、操作系统和主机等信息系统不同目标对象的攻击。

同时，APT攻击常用的攻击手法为水坑式攻击、鱼叉式攻击等多元化方式，具有多路径入侵、攻击空间不确定等特点。另外，APT攻击还存在攻击潜伏时间长，攻击周期长，可以通过Rootkit、清除日志、隐藏活动等方式潜伏的特点。因此，可以利用流量特征检测方法，基于机器学习的检测算法，结合大数据和威胁情报分析，提升检测效率和准确性，并为大型网络的监控与分析和在异常情况下的迅速响应奠定基础。

6　结　语

在整个四层的网络攻击中，对链路层攻击影响范围最大，对应用层攻击影响范围最小。在攻击频率、病毒传播速度等因素一定的情况下，对应用层发起的攻击，其破坏力小于对网络层发起的攻击。产业数字化与数字产业化提速，新一代信息技术加速应用，互联网具有更加强劲的发展动能，各种线上应用服务平台不断涌现，随之而来的网络攻击工具和攻击手段的复杂性也随着时间的推移而增强。与此同时，网络攻击技术逐步显现出低门槛和易操作的趋势。富有经验的攻击者通常会构建大量的攻击脚本和工具包，新手攻击者只需要点击鼠标就可以使用这些脚本和工具包，并产生毁灭性的影响。因此，加强对网络攻击技术现状及其发展趋势的研究，对开展攻击样本的特征工程以及基于机器学习、深度学习的网络入侵检测技术框架及算法研究有着重要的作用。

引用本文：易涛,葛维静,邓曦.网络攻击技术分层方法研究[J].信息安全与通信保密,2021(9):74-82.

作者简介 >>>

易　涛（1976—），男，硕士，高级工程师，主要研究方向为网络空间安全；

葛维静（1989—），女，硕士，工程师，主要研究方向为网络空间安全；

邓　曦（1985—），男，硕士，高级工程师，主要研究方向为网络空间安全。