如何有效地防護來自網(wǎng)絡中的攻擊行為已成為當前亟需解決的問題。為了有效防護網(wǎng)絡攻擊，需要對網(wǎng)絡攻擊的演進過程有一個全面的了解和認知。從近年來網(wǎng)絡攻擊形成的安全事件入手，站在管理者、學術界、產(chǎn)業(yè)界的視角，分析了網(wǎng)絡攻擊技術的分類與發(fā)展路徑，總結了現(xiàn)狀與特點。結合機器學習、深度學習以及攻擊樣本特征工程的需要，提出了基于TCP/IP模型的網(wǎng)絡攻擊分層方法，為不同層次的攻擊技術研究與防御提供了分析參考。同時，基于典型的網(wǎng)絡攻擊工具，分析了不同目標對象受網(wǎng)絡攻擊的特點。結合網(wǎng)絡攻擊分層方法和目標對象分類研究，簡析了高級可持續(xù)攻擊（APT）的攻擊模式和檢測方式。最后，提出加強基于機器學習、深度學習的網(wǎng)絡入侵檢測技術框架及算法研究等下一步工作展望。

　　1969年，美國國防部高級研究計劃局（ARPA）成功開發(fā)并組建了ARPA網(wǎng)，因特網(wǎng)（The Internet）由此誕生。1982年，支持網(wǎng)絡間通信的標準網(wǎng)絡協(xié)議套件出現(xiàn)，這個協(xié)議套件由傳輸控制協(xié)議（TCP）和因特網(wǎng)協(xié)議（IP）組成，IP協(xié)議用于處理數(shù)據(jù)包，TCP主要用于網(wǎng)絡連接的建立及數(shù)據(jù)的傳輸，并作為IP協(xié)議的補充。這套網(wǎng)絡通信的傳輸控制和協(xié)議套件被稱為“TCP/IP”，是當今互聯(lián)網(wǎng)通信的基礎。近年來，基于“TCP/IP”的隱匿、復雜、多元的網(wǎng)絡攻擊對全球信息化社會、國際經(jīng)濟信息化發(fā)展、全球協(xié)作和人類各領域合作的推進構成了嚴重威脅，全球的重大網(wǎng)絡安全事件也愈發(fā)頻繁。

　　2019年，賽門鐵克發(fā)布了《互聯(lián)網(wǎng)安全威脅報告》，指出：2018年針對企業(yè)的勒索軟件感染率較2017年增長12%；2018年終端上的總體Web攻擊相比2017年增加了56%，供應鏈攻擊增加了78%；美國、中國、德國是移動惡意軟件的重災區(qū)，分別占總量的63%、13%和10%。Check Point軟件技術有限公司發(fā)布了《2020年網(wǎng)絡安全報告》，列舉了2019年全球重大網(wǎng)絡安全事件，如最大數(shù)據(jù)泄漏事件——2019年1月，“Collection #1”事件導致超過7.7億的電子郵件和 2100 萬條密碼被暴露在互聯(lián)網(wǎng)上；2019年2月，名為“Gnosticplayers”的 黑客攻擊了16個網(wǎng)站，竊取了6億2千萬條賬戶信息，并在暗網(wǎng)上出售；2019年3月，世界上最大的郵件驗證公司“Verifications.io”由于使用未受保護的MongoDB數(shù)據(jù)庫，使得8億多條用戶數(shù)據(jù)泄漏；2019年6月，俄羅斯黑客組織Fxmsp聲稱已經(jīng)入侵了McAfee、賽門鐵克和Trend的網(wǎng)絡并獲得了長期遠程訪問權限，同時竊取出售了30TB的數(shù)據(jù)；2019年6月，美國醫(yī)學收集機構（AMCA）遭到對其數(shù)據(jù)庫的非法入侵，導致約2000萬名患者的信息受到影響；2019 年6月，佛羅里達州的第二大城市湖城遭受了被稱為“三重威脅”的攻擊，該攻擊結合了3種不同的方法，分別對目標的網(wǎng)絡系統(tǒng)、電話系統(tǒng)、電子郵件系統(tǒng)實施了攻擊，造成了該市長達2周的信息系統(tǒng)癱瘓，并且該市向黑客組織支付了50萬美元的解除費用。

　　1　網(wǎng)絡攻擊技術演進路線

　　從上述最近案例中可以看出，如何有效地防護來自網(wǎng)絡中的攻擊行為已成為當前亟需解決的問題。為了有效防護網(wǎng)絡攻擊，需要對網(wǎng)絡攻擊的演進過程有一個全面的了解和認知，做到“知己知彼”。網(wǎng)絡攻擊和信息科技的發(fā)展處于同一個“生態(tài)圈”中，因此，網(wǎng)絡攻擊技術也隨著信息技術的發(fā)展不斷進化，國際警察局長協(xié)會（IACP）就此問題進行總結，如表1所示。

　　學術界的Ervural等人對網(wǎng)絡攻擊戰(zhàn)術復雜性的整體演化過程進行了概括，從20世紀80年代的普通攻擊到21世紀10年代的直接攻擊，再到21世紀20年代的戰(zhàn)略攻擊，如表2所示。

　　全球頂尖的互聯(lián)網(wǎng)安全解決方案提供商Check Point認為 2018年起，全球步入了第五代網(wǎng)絡安全時期，并發(fā)布了《第五代網(wǎng)絡安全攻擊及防御措施白皮書》，總結如表3所示。

　　第一代（20世紀80年代）：黑客通常是狡猾的惡作劇制造者。針對獨立 PC 的病毒攻擊大多始于麻煩或錯誤，為了防止這種破壞，防病毒產(chǎn)品應運而生。

　　第二代（20世紀90年代）：隨著互聯(lián)網(wǎng)開始成為商業(yè)及日常生活的中心，黑客們開始形成組織并相互交流，以便通過網(wǎng)絡犯罪謀取經(jīng)濟利益，惡意軟件的出現(xiàn)，使基于包過濾的第一代防火墻以及主動防御的入侵檢測系統(tǒng)（IDS）得以興起。

　　第三代（21世紀00年代）：攻擊者開始分析網(wǎng)絡架構和軟件脆弱點，以發(fā)現(xiàn)并利用整個IT基礎設施中的漏洞。僅采用防火墻、防病毒軟件和入侵檢測系統(tǒng)（IDS）產(chǎn)品在面對新型攻擊時顯然遠遠不夠。企業(yè)為保護自身安全，開啟了最優(yōu)修補工作安全模式的時代。Check Point開始專注于網(wǎng)絡威脅防范，并推出了入侵防護系統(tǒng)（IPS）產(chǎn)品。

　　第四代（21世紀10年代）：從國際間諜活動、大規(guī)模個人信息泄露到大規(guī)模的互聯(lián)網(wǎng)破壞，網(wǎng)絡攻擊技術變得更加復雜多元。攻擊以隱避性、多態(tài)性的方式隱藏在圖片、視頻等文件中。雖然第二代和第三代的互聯(lián)網(wǎng)安全技術提供了訪問控制并檢查所有通信，但無法對最終用戶通過電子郵件、下載文件等方式實際收到的內(nèi)容進行驗證。因此，Check Point利用僵尸網(wǎng)絡防御策略和沙箱等虛擬系統(tǒng)程序，以零日攻擊等進行防御。

　　第五代（21世紀20年代）：先進的“武器級別”黑客工具遭到泄露，攻擊者利用其快速行動，并在大規(guī)模地理區(qū)域內(nèi)感染大量的企業(yè)及實體。大規(guī)模、多向量的大型攻擊激發(fā)了企業(yè)對集成與統(tǒng)一安全架構的需求。前幾代修補工作、最優(yōu)部署、檢測優(yōu)先的技術已經(jīng)遠遠無法抵御第五代快速隱秘的攻擊。Check Point基于高級威脅防護與分析解決方案，開發(fā)標準的統(tǒng)一架構，可實時共享威脅情報，預防對虛擬實例、云部署、終端、遠程辦公室和移動設備的攻擊。

　　2　網(wǎng)絡攻擊技術發(fā)展現(xiàn)狀

　　總體看來，隨著信息技術與互聯(lián)網(wǎng)技術的進步，網(wǎng)絡攻擊技術更新極快，并呈現(xiàn)出兩個主要特征：一是網(wǎng)絡攻擊技術已經(jīng)由簡單走向復雜。例如，早期的莫里斯蠕蟲事件，基于Unix系統(tǒng)中的脆弱點，使用Finger命令查詢用戶信息，用mail系統(tǒng)傳播源程序，造成近6000臺計算機運行變慢直至無法使用，導致拒絕服務。2016年的烏克蘭電網(wǎng)系統(tǒng)事件已經(jīng)表明，攻擊者面對防御體系時采用了更為先進APT技術與工具來實現(xiàn)入侵網(wǎng)絡與系統(tǒng)的目的。與此同時，在網(wǎng)絡攻擊中使用人工智能技術進行運用分析，并向武器化、自動化趨勢蔓延。相關報告顯示，2018年由機器人和僵尸網(wǎng)絡產(chǎn)生的惡意流量分別占據(jù)所有網(wǎng)絡流量的37.9%和53.8%。2020年4月，以色列水利系統(tǒng)的信息基礎設施遭到網(wǎng)絡攻擊，黑客利用含有宏病毒的辦公軟件附件或釣魚郵件中的惡意鏈接致使重要信息系統(tǒng)感染病毒。二是網(wǎng)絡攻擊逐步從個人走向組織。早期的網(wǎng)絡攻擊基本為黑客的個性與能力展示，現(xiàn)在，出于政治和經(jīng)濟目的，黑客個體行為已走向黑客組織行為，部分還帶有很強的國家屬性，他們擁有最先進的網(wǎng)絡武器庫，更具針對性的攻擊方法。比較出名的有朝鮮的Lazarus，俄羅斯的APT28，越南的Ocean Lotus等APT組織，這些組織采用0 Day漏洞、網(wǎng)絡釣魚電子郵件、魚叉攻擊和水坑攻擊（Watering hole）等新型技術與方法，向特定攻擊目標植入惡意軟件以獲取機密信息。這些組織目標和分工明確，一方面，不斷加強網(wǎng)絡攻擊武器的研制與各種終端、服務器、網(wǎng)絡設備0 Day漏洞的儲備；另一方面，加強攻擊的隱蔽性，隱藏攻擊活動中留下的痕跡，使攻擊監(jiān)測和追蹤溯源變得更加困難。

　　3　基于TCP/IP的網(wǎng)絡攻擊技術分層研究

　　通過研究大量文獻，從不同的角度分析，可以將網(wǎng)絡攻擊歸類為不同方法。網(wǎng)絡攻擊分類的主要依據(jù)有安全策略缺陷、網(wǎng)絡攻擊手段、網(wǎng)絡攻擊效果、網(wǎng)絡攻擊監(jiān)測和網(wǎng)絡攻擊危害評估等。通過對攻擊分類和安全事件進行分析梳理，其分類方法總結如表4所示。

　　TCP/IP協(xié)議定義了計算機在網(wǎng)絡通信中數(shù)據(jù)的收發(fā)模式、基本格式、尋址方式、正確性校驗和分析解碼等。TCP/IP網(wǎng)絡模型包括：負責封裝/解封裝和發(fā)送/接收報文的鏈路層、負責報文發(fā)送的網(wǎng)絡層、負責報文分組和重組的傳輸層、負責向用戶提供應用程序的應用層，如表5所示。

　　網(wǎng)絡入侵需要以網(wǎng)絡通信為載體，利用TCP/IP參考模型傳輸網(wǎng)絡攻擊數(shù)據(jù)。因此，可以將目前已知的網(wǎng)絡攻擊映射到TCP/IP四層模型，針對不同層次的不同攻擊采用相應的防御方法，如表 6 所示。從表中可以看出，應用層的攻擊在網(wǎng)絡攻擊中占比非常高，并且隨著新一代信息技術的發(fā)展和應用，其攻擊手段層出不窮。在應用層的攻擊中，Web攻擊的占比非常高，例如，常見的Web攻擊有SQL注入攻擊、Xss及文件上傳漏洞攻擊、文件包含攻擊、網(wǎng)頁木馬攻擊、爬蟲攻擊、Web掃描攻擊、協(xié)議違規(guī)、網(wǎng)站信息泄露篡改等。

　　4　基于目標對象的網(wǎng)絡攻擊分類研究

　　網(wǎng)絡攻擊者通過對網(wǎng)絡協(xié)議的研究，構造特殊的報文格式或非常用協(xié)議，對目標主機進行攻擊，竊取目標主機的重要信息或消耗目標主機的系統(tǒng)資源。其中，木馬和病毒是兩種典型的網(wǎng)絡攻擊工具，木馬具備隱匿性并能將自己偽裝成合法程序或部件，病毒具備自我復制性和自動傳播性的特性。傳統(tǒng)遠控木馬通常使用基于字節(jié)流的傳輸層通信協(xié)議進行數(shù)據(jù)傳輸；新型混合型木馬采用反沙箱、強混淆、注入等手段，利用 HTTPS 等方式傳輸數(shù)據(jù)。為了更準確地分析木馬和病毒攻擊，將信息系統(tǒng)劃分為硬件層、啟動層、驅動層和應用層。

　　硬件層一般只存在木馬，該類木馬需要觸發(fā)結構激活，對芯片安全性和可靠性具有十分嚴重的損害，其隱蔽性非常高，所帶來的研發(fā)和制造成本巨大，難以發(fā)現(xiàn)及查殺。啟動層存在木馬和病毒，其功能單一、隱藏性非常高、難以查殺。驅動層存在木馬和病毒，其功能單一、隱藏性高、查殺困難。應用層存在木馬和病毒，其功能復雜，可能具備監(jiān)視屏幕、記錄鍵盤等功能，不易查殺。在應用程序和webshell環(huán)境下的木馬和病毒是最常見和流行的，攻擊者將后門程序寄生在系統(tǒng)中，對攻擊目標進行遠程監(jiān)控、非法操作或資源濫用，該環(huán)境下的木馬和病毒一般功能單一、較容易查殺但傳播廣泛。

　　一些“被動接觸”的后門軟件，其技術大部分是 Rootkit，Rootkit是一套能夠永久、持續(xù)并毫無察覺地駐留在目標計算機中的程序和代碼，Rootkit可以在應用層、內(nèi)核層、BIOS和其他代碼庫中運行，實現(xiàn)自啟動、隱藏及shell連接，從而實現(xiàn)監(jiān)聽網(wǎng)絡數(shù)據(jù)、緩沖區(qū)溢出攻擊等行為。如今，Rootkit 利用劫持系統(tǒng)調(diào)用、API Hook、Inline Hook 等行為改變相應軟件的執(zhí)行流程來防止被檢測到，通過 TCP/IP 協(xié)議的Socket 通信建立連接，并將相應模塊發(fā)送到受控端后發(fā)送指令進行加載，“隱藏”通信端口和相應程序，從而實現(xiàn)“隱藏”攻擊行為并實現(xiàn)遠程控制。

　　5　典型網(wǎng)絡攻擊模式簡析

　　高級可持續(xù)攻擊（APT）是近年來出現(xiàn)的具有隱蔽性、先進性、持續(xù)性等特征的新型網(wǎng)絡攻擊。APT攻擊包括信息收集、入侵滲透、潛伏調(diào)整和攻擊退出四個階段。在信息收集中，對目標系統(tǒng)進行嗅探、掃描、竊取和偽造；對目標用戶進行誘騙，攻擊者挖掘系統(tǒng)的漏洞，編制惡意代碼，準備實施攻擊。攻擊實施過程為入侵滲透、潛伏調(diào)整和攻擊退出，攻擊者開展基于包含遠程登錄在內(nèi)的系統(tǒng)攻擊和基于病毒及木馬的代碼攻擊。因此，APT攻擊利用網(wǎng)絡通信協(xié)議，通過系統(tǒng)，利用病毒、蠕蟲、木馬和后門等途徑，實現(xiàn)對網(wǎng)絡、操作系統(tǒng)和主機等信息系統(tǒng)不同目標對象的攻擊。

　　同時，APT攻擊常用的攻擊手法為水坑式攻擊、魚叉式攻擊等多元化方式，具有多路徑入侵、攻擊空間不確定等特點。另外，APT攻擊還存在攻擊潛伏時間長，攻擊周期長，可以通過Rootkit、清除日志、隱藏活動等方式潛伏的特點。因此，可以利用流量特征檢測方法，基于機器學習的檢測算法，結合大數(shù)據(jù)和威脅情報分析，提升檢測效率和準確性，并為大型網(wǎng)絡的監(jiān)控與分析和在異常情況下的迅速響應奠定基礎。

　　6　結　語

　　在整個四層的網(wǎng)絡攻擊中，對鏈路層攻擊影響范圍最大，對應用層攻擊影響范圍最小。在攻擊頻率、病毒傳播速度等因素一定的情況下，對應用層發(fā)起的攻擊，其破壞力小于對網(wǎng)絡層發(fā)起的攻擊。產(chǎn)業(yè)數(shù)字化與數(shù)字產(chǎn)業(yè)化提速，新一代信息技術加速應用，互聯(lián)網(wǎng)具有更加強勁的發(fā)展動能，各種線上應用服務平臺不斷涌現(xiàn)，隨之而來的網(wǎng)絡攻擊工具和攻擊手段的復雜性也隨著時間的推移而增強。與此同時，網(wǎng)絡攻擊技術逐步顯現(xiàn)出低門檻和易操作的趨勢。富有經(jīng)驗的攻擊者通常會構建大量的攻擊腳本和工具包，新手攻擊者只需要點擊鼠標就可以使用這些腳本和工具包，并產(chǎn)生毀滅性的影響。因此，加強對網(wǎng)絡攻擊技術現(xiàn)狀及其發(fā)展趨勢的研究，對開展攻擊樣本的特征工程以及基于機器學習、深度學習的網(wǎng)絡入侵檢測技術框架及算法研究有著重要的作用。