GB/T 37027-2018 信息安全技术 网络攻击定义及描述规范

ICS35.040

L80

国；

中华人民共和国国家标准

GB/T37027-2018

信息安全技术网络攻击定义及描述规范

Informationsecuritytechnology-Specificationsofdefinitionanddescriptionfor

networkattack

2018-12-28发布2019-07-01实施

国家市场监督管理总局峪非

中国国家标准化管理委员会0(..'I(J

GB/T37027-2018

目次

U1

引言………………I~「

1范围·

2规范性引用文件…………

3术语和定义……·

4缩略i吾……………………2

5网络攻击概述……………2

6网络攻击多维度描述……··

6.1第1维分类：攻击对象…

6.2第2维分类：攻击方式………………3

6.3第3雏分类：漏洞利用……．．．．．．．．．

6.4第4维分类：攻击后果…··

6.5第5雏分类：严重程度………………7

7网络攻击统计项…………………………8

附录A（资料性附录）典型网络攻击过程………………四

附

录B（资料性附录）网络攻击关键技术………………u

附录c（资料性附录）网络攻击分类示例…………14

参考文献…………….......

I

GB/T37027-2018

6.4第4维分类：攻击后果

一次成功的网络攻击会对攻击对象导致不同的攻击后果。可以按照攻击后果对网络攻击进行分类

描述，如表4所示。

表4攻击后果分类表

子级别1子级别2

说明

网络巾断网络巾断，无法进行正常通信

网络故院

服务质量下降

网络服务质量；下降，可用下降百分比进行抽述

协议规范失效政坐网络协议规范，如ARP欺骗、八RP病毒、pingofdeath攻击、泪滴攻击等

传输路径议变发送伪造路Ff!信息，造成传输路径改变

通信异常

在网络数据中捕入数据包‘改变原有传输数据内容；破坏网站与客户间传输数

内容修改

据的完整性和保密性

通过｜奥探、截获等方式获取网络数据、窃听通信双方｜闸的有用信息、捕捉和篡改

内容窃取网络l奥探

通信双方的通信数据等

配置变更设备被黑通过修改网络设备的访问规则、路Ff!条目等，造成网络规划变更或非法访问

物理损坏设备无法使用和恢复，如cpu、内存、硬森等物理损坏

设备故J!i;i

可恢复损坏设备暂时无法使用，但可通过设备重启等方式进行恢复

功能异常设备虽然可以使用，但个别功能报锚或运行异常

未经授权对系统进行访问；征系统巾ft入水马、病毒等；收集、阻断、降级或破坏

非法侵入

信息系统或其巾的信息

资源元效占用计算资源、存储资源的无效使用

非法占用

资源私有占用计算资源、存储资源的私有使用

权限提升

通过缺陷和漏洞利用、缓冲区说：ll等攻击方法提升访问权限

服务异

常通过漏洞利用、代码挖掘等手段，改变应用的正常功能

应用故障

服务巾断受到拒绝服务攻击、邮件炸弹、c&c等攻击时应用系统服务/1＼现巾断

账号异常

如账号被挠、密码被暴力破僻、账号滥用、多地异常登录等

信息泄露

数据内容泄露、文悄泄露、程序过程泄露、力II密方式泄露等；收集敏感数据但不

数据泄露

篡改数据内容

密码篡改虫n修改密码、证书等

信息篡政

内容篡改

内存修改、混淆，文件内容地加、修改；数据库记录变更等

数据丢失

如文件删除、数据条目删除、数据库删除、配置清除等

信息泛滥发送大量不属于非正常业务的数据，如妨圾邮件、广告信息等

信息展示通过技术手段使被攻击者主功或被必访问指定的信息内容，在网络上进行传播

6.5第5维分类：严重程度

严重程度用于反映网络攻击的严重性，可以定性或定量表示。网络攻击的严重程度可通过多个攻

击属性综合评价获得，例如从攻击后果影响和攻击可利用程度两方面进行评价，也可考虑时间、环境对

7

GB/T37027-2018

网络攻击的影响综合判断获得。可以按照攻击后果对网络攻击进行分类描述，如表5所示。

表5攻击严重程度分类表

子级别l子级别2

严重程度

损害公民的合法权益

损害公民、法人和其他组织的合法权益

第一级损害法人的合法权益

损害其他组织的合法权益

严重损害公民的合法权益

严重损害法人的合法权益

严重损害公民、法人和其他组织的合法权益

第二级严重损害其他组织的合法权益

损害社会秩序和公共利益

损害杜会秩序

损害公共利益

严重损害丰十会秩序

严重损害杜会秩序和公共利益

第三级

对罔家安全造成损害严重损害公共利益

对丰十会秩序和公共利益造成特别严重损害对社会秩序造成特别严重损害

第四级

对罔家安全造成严重的损害对公共利益造成特别严重损害

第五级对罔家安全造成特别严重的损害

7

网络攻击统计项

7.1统计项

网络攻击的统计项如罔2所示，包括必选的统计项和可选的统计项。在罔2中，必选的统计项以实

线框表示，可选的统计项以虚线框表示。

问ff,现ll:tt.d

称名’t巾唱曲Mbq曲』量别央农式也们a打山成先事曲”肉血叫时巾唱曲Mbq曲川刷。刷刷曲拟”卜巾吗响农画队

‘b

机织组事．町、川持囔严

ii)

例町抽回i曦

WX制aEHm

1-!

F

'I!

，

M闹闹

‘ι

f<l

i句

·...’··,...,,...·...

图2网络攻击的统计项

7.2攻击标识

唯一标识每一个攻击事件，并在全局范围内具有唯一性。

7.3

攻击名称

攻击方式的名称，如“利用Edg巳漏洞的缓冲区撤出攻击”。

8

GB/T37027-2018

7.4攻击时间

攻击发生的具体时间，格式采用GB/T7408-2005中的完全表示法的扩展模式。

7.5攻击来源类另趴可选）

攻击来源指利用网络安全的脆弱性，以破环、窃取或泄露信息系统或网络中的资源为目的，危及信

息系统或网络资源可用性的个人、组织或国家。本字段用于描述攻击来源的个人、组织或同家名称。

7.6攻击来源定位（可选）

与定位攻击来源相关的信息，例如IP地址、域名、AS号等。

7.7攻击方式类别

攻击方式的类别，其分类描述参见6.2和表20

7.8攻击对象类别

受到攻击的对象类别，其分类描述参见6.1和表1。

7.9攻击对象定位（可选）

与定位攻击对象相关的信息，例如IP地址、域名、AS号等。

7.10攻击对象组织（可选）

遭受攻击的人员、组织或同家名称。

7.11脆弱性类别

攻击所利用的脆弱性类别。其分类捎述参见6.3和表3。

7.12脆弱性编号

攻击所利用的脆弱性编号，包括｜司内漏洞库编号和l同际漏洞库标号，如CVE2017-118880

7.13攻击后果类别

攻击造成的后果类别。其分类描述参见6.4和l表4。

7.14攻击严重程度

攻击的严重程度可以定性或定量表示。其分类描述参见6.5和表50

7.15预留项

根据实际t作需要，可以增加1个或多个预留项。可以为空，即用占位符表示；也可以为攻击报送

单位的名称或代码；也可以为其他相关统计信息或备注等。

9

GB/T37027-2018

附录A

（资料性附录）

典型网络攻击过程

A.1概述

网络攻击的典型过程如罔A.1所示。

图A.1典型网络的攻击过程

A.2信息收集

在实施网络攻击前，攻击者通过技术手段或社会丁．程学方法，收集目标系统的各种有关信息，包括

外部环境信息、目标系统的配置信息和网络情况、相关人员的邮件及社交关系等。在这个阶段，攻击者

会充分、详细地收集各种相关信息，以发现漏洞和脆弱性，为