《信息安全技术 网络攻击和网络攻击事件判定准则》.pdf

—

本文件给出了网络攻击和网络攻击事件的描述信息要素、判定指标和计数标准。

本文件适用于指导组织开展网络攻击和网络攻击事件的监测分析、态势感知、信息报送等活动。

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20986－2023信息安全技术网络安全事件分类分级指南

GB/T30279—2020信息安全技术网络安全漏洞分类分级指南

GB/T20986—2023、GB/T30279—2020界定的以及下列术语和定义适用于本文件。

指通过计算机、路由器等计算资源和网络资源，利用网络中存在的漏洞和安全缺陷实施的一种行为，

其目的在于窃取、篡改、破坏网络和数据设施中传输和存储的信息；或延缓、中断网络和数据服务；或

破坏、摧毁、控制网络和数据基础设施。

网络攻击（3.1）造成或潜在造成业务损失或社会危害的网络安全事件，包括一次或多次被识别的

网络攻击。

下列缩略语适用于本文件。

APT：高级可持续威胁攻击（advancedpersistentthreat）

ARP：地址解析协议（addressresolutionprotocol）

AS：自治域（autonomoussystem）

BGP：边界网关协议（bordergatewayprotocol）

DNS：域名系统（domainnamesystem）

IOC：失陷指标（indicatorsofcompromise）

IP：互联网协议（internetprotocol）

WLAN：无限局域网（wirelesslocalareanetwork）

1

描述网络攻击的基本信息要素见表1。

信息要素说明

标识号每个网络攻击应具有唯一标识号

攻击对象被实施网络攻击的客体信息，如被攻击设备的IP地址、域名，或具体的某个网络设备或者

信息系统等

攻击对象分类攻击对象的分类描述，见附录B

攻击源实施网络攻击的主体信息，包括攻击者身份（如攻击组织名、网络身份标识）、攻击资源

（如攻击者使用的直接攻击IP、真实攻击IP、控制域名）等

攻击技术手段网络攻击使用的技术手段，包括网络扫描探测、网络钓鱼、漏洞利用、后门利用、后门植

入、凭据攻击、信号干扰、拒绝服务、网页篡改、暗链植入、域名劫持、域名转嫁、DNS

污染、WLAN劫持、流量劫持、BGP劫持、广播欺诈、失陷主机、其他，共19类。

注：GB/T20986—2023中的供应链攻击事件、APT攻击事件一般是综合使用上述技术手段

和其他非技术手段的网络攻击事件，因此不在攻击技术手段中单独设置相应的类别。

攻击时间攻击发生的时间点或时间范围

描述网络攻击的扩展信息要素见表2。

信息要素说明

网络攻击名称