如何有效地防護(hù)來自網(wǎng)絡(luò)中的攻擊行為已成為當(dāng)前亟需解決的問題。為了有效防護(hù)網(wǎng)絡(luò)攻擊，需要對(duì)網(wǎng)絡(luò)攻擊的演進(jìn)過程有一個(gè)全面的了解和認(rèn)知。從近年來網(wǎng)絡(luò)攻擊形成的安全事件入手，站在管理者、學(xué)術(shù)界、產(chǎn)業(yè)界的視角，分析了網(wǎng)絡(luò)攻擊技術(shù)的分類與發(fā)展路徑，總結(jié)了現(xiàn)狀與特點(diǎn)。結(jié)合機(jī)器學(xué)習(xí)、深度學(xué)習(xí)以及攻擊樣本特征工程的需要，提出了基于TCP/IP模型的網(wǎng)絡(luò)攻擊分層方法，為不同層次的攻擊技術(shù)研究與防御提供了分析參考。同時(shí)，基于典型的網(wǎng)絡(luò)攻擊工具，分析了不同目標(biāo)對(duì)象受網(wǎng)絡(luò)攻擊的特點(diǎn)。結(jié)合網(wǎng)絡(luò)攻擊分層方法和目標(biāo)對(duì)象分類研究，簡(jiǎn)析了高級(jí)可持續(xù)攻擊（APT）的攻擊模式和檢測(cè)方式。最后，提出加強(qiáng)基于機(jī)器學(xué)習(xí)、深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)框架及算法研究等下一步工作展望。

　　1969年，美國(guó)國(guó)防部高級(jí)研究計(jì)劃局（ARPA）成功開發(fā)并組建了ARPA網(wǎng)，因特網(wǎng)（The Internet）由此誕生。1982年，支持網(wǎng)絡(luò)間通信的標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議套件出現(xiàn)，這個(gè)協(xié)議套件由傳輸控制協(xié)議（TCP）和因特網(wǎng)協(xié)議（IP）組成，IP協(xié)議用于處理數(shù)據(jù)包，TCP主要用于網(wǎng)絡(luò)連接的建立及數(shù)據(jù)的傳輸，并作為IP協(xié)議的補(bǔ)充。這套網(wǎng)絡(luò)通信的傳輸控制和協(xié)議套件被稱為“TCP/IP”，是當(dāng)今互聯(lián)網(wǎng)通信的基礎(chǔ)。近年來，基于“TCP/IP”的隱匿、復(fù)雜、多元的網(wǎng)絡(luò)攻擊對(duì)全球信息化社會(huì)、國(guó)際經(jīng)濟(jì)信息化發(fā)展、全球協(xié)作和人類各領(lǐng)域合作的推進(jìn)構(gòu)成了嚴(yán)重威脅，全球的重大網(wǎng)絡(luò)安全事件也愈發(fā)頻繁。

　　2019年，賽門鐵克發(fā)布了《互聯(lián)網(wǎng)安全威脅報(bào)告》，指出：2018年針對(duì)企業(yè)的勒索軟件感染率較2017年增長(zhǎng)12%；2018年終端上的總體Web攻擊相比2017年增加了56%，供應(yīng)鏈攻擊增加了78%；美國(guó)、中國(guó)、德國(guó)是移動(dòng)惡意軟件的重災(zāi)區(qū)，分別占總量的63%、13%和10%。Check Point軟件技術(shù)有限公司發(fā)布了《2020年網(wǎng)絡(luò)安全報(bào)告》，列舉了2019年全球重大網(wǎng)絡(luò)安全事件，如最大數(shù)據(jù)泄漏事件——2019年1月，“Collection #1”事件導(dǎo)致超過7.7億的電子郵件和 2100 萬條密碼被暴露在互聯(lián)網(wǎng)上；2019年2月，名為“Gnosticplayers”的 黑客攻擊了16個(gè)網(wǎng)站，竊取了6億2千萬條賬戶信息，并在暗網(wǎng)上出售；2019年3月，世界上最大的郵件驗(yàn)證公司“Verifications.io”由于使用未受保護(hù)的MongoDB數(shù)據(jù)庫，使得8億多條用戶數(shù)據(jù)泄漏；2019年6月，俄羅斯黑客組織Fxmsp聲稱已經(jīng)入侵了McAfee、賽門鐵克和Trend的網(wǎng)絡(luò)并獲得了長(zhǎng)期遠(yuǎn)程訪問權(quán)限，同時(shí)竊取出售了30TB的數(shù)據(jù)；2019年6月，美國(guó)醫(yī)學(xué)收集機(jī)構(gòu)（AMCA）遭到對(duì)其數(shù)據(jù)庫的非法入侵，導(dǎo)致約2000萬名患者的信息受到影響；2019 年6月，佛羅里達(dá)州的第二大城市湖城遭受了被稱為“三重威脅”的攻擊，該攻擊結(jié)合了3種不同的方法，分別對(duì)目標(biāo)的網(wǎng)絡(luò)系統(tǒng)、電話系統(tǒng)、電子郵件系統(tǒng)實(shí)施了攻擊，造成了該市長(zhǎng)達(dá)2周的信息系統(tǒng)癱瘓，并且該市向黑客組織支付了50萬美元的解除費(fèi)用。

　　1　網(wǎng)絡(luò)攻擊技術(shù)演進(jìn)路線

　　從上述最近案例中可以看出，如何有效地防護(hù)來自網(wǎng)絡(luò)中的攻擊行為已成為當(dāng)前亟需解決的問題。為了有效防護(hù)網(wǎng)絡(luò)攻擊，需要對(duì)網(wǎng)絡(luò)攻擊的演進(jìn)過程有一個(gè)全面的了解和認(rèn)知，做到“知己知彼”。網(wǎng)絡(luò)攻擊和信息科技的發(fā)展處于同一個(gè)“生態(tài)圈”中，因此，網(wǎng)絡(luò)攻擊技術(shù)也隨著信息技術(shù)的發(fā)展不斷進(jìn)化，國(guó)際警察局長(zhǎng)協(xié)會(huì)（IACP）就此問題進(jìn)行總結(jié)，如表1所示。

　　學(xué)術(shù)界的Ervural等人對(duì)網(wǎng)絡(luò)攻擊戰(zhàn)術(shù)復(fù)雜性的整體演化過程進(jìn)行了概括，從20世紀(jì)80年代的普通攻擊到21世紀(jì)10年代的直接攻擊，再到21世紀(jì)20年代的戰(zhàn)略攻擊，如表2所示。

　　全球頂尖的互聯(lián)網(wǎng)安全解決方案提供商Check Point認(rèn)為 2018年起，全球步入了第五代網(wǎng)絡(luò)安全時(shí)期，并發(fā)布了《第五代網(wǎng)絡(luò)安全攻擊及防御措施白皮書》，總結(jié)如表3所示。

　　第一代（20世紀(jì)80年代）：黑客通常是狡猾的惡作劇制造者。針對(duì)獨(dú)立 PC 的病毒攻擊大多始于麻煩或錯(cuò)誤，為了防止這種破壞，防病毒產(chǎn)品應(yīng)運(yùn)而生。

　　第二代（20世紀(jì)90年代）：隨著互聯(lián)網(wǎng)開始成為商業(yè)及日常生活的中心，黑客們開始形成組織并相互交流，以便通過網(wǎng)絡(luò)犯罪謀取經(jīng)濟(jì)利益，惡意軟件的出現(xiàn)，使基于包過濾的第一代防火墻以及主動(dòng)防御的入侵檢測(cè)系統(tǒng)（IDS）得以興起。

　　第三代（21世紀(jì)00年代）：攻擊者開始分析網(wǎng)絡(luò)架構(gòu)和軟件脆弱點(diǎn)，以發(fā)現(xiàn)并利用整個(gè)IT基礎(chǔ)設(shè)施中的漏洞。僅采用防火墻、防病毒軟件和入侵檢測(cè)系統(tǒng)（IDS）產(chǎn)品在面對(duì)新型攻擊時(shí)顯然遠(yuǎn)遠(yuǎn)不夠。企業(yè)為保護(hù)自身安全，開啟了最優(yōu)修補(bǔ)工作安全模式的時(shí)代。Check Point開始專注于網(wǎng)絡(luò)威脅防范，并推出了入侵防護(hù)系統(tǒng)（IPS）產(chǎn)品。

　　第四代（21世紀(jì)10年代）：從國(guó)際間諜活動(dòng)、大規(guī)模個(gè)人信息泄露到大規(guī)模的互聯(lián)網(wǎng)破壞，網(wǎng)絡(luò)攻擊技術(shù)變得更加復(fù)雜多元。攻擊以隱避性、多態(tài)性的方式隱藏在圖片、視頻等文件中。雖然第二代和第三代的互聯(lián)網(wǎng)安全技術(shù)提供了訪問控制并檢查所有通信，但無法對(duì)最終用戶通過電子郵件、下載文件等方式實(shí)際收到的內(nèi)容進(jìn)行驗(yàn)證。因此，Check Point利用僵尸網(wǎng)絡(luò)防御策略和沙箱等虛擬系統(tǒng)程序，以零日攻擊等進(jìn)行防御。

　　第五代（21世紀(jì)20年代）：先進(jìn)的“武器級(jí)別”黑客工具遭到泄露，攻擊者利用其快速行動(dòng)，并在大規(guī)模地理區(qū)域內(nèi)感染大量的企業(yè)及實(shí)體。大規(guī)模、多向量的大型攻擊激發(fā)了企業(yè)對(duì)集成與統(tǒng)一安全架構(gòu)的需求。前幾代修補(bǔ)工作、最優(yōu)部署、檢測(cè)優(yōu)先的技術(shù)已經(jīng)遠(yuǎn)遠(yuǎn)無法抵御第五代快速隱秘的攻擊。Check Point基于高級(jí)威脅防護(hù)與分析解決方案，開發(fā)標(biāo)準(zhǔn)的統(tǒng)一架構(gòu)，可實(shí)時(shí)共享威脅情報(bào)，預(yù)防對(duì)虛擬實(shí)例、云部署、終端、遠(yuǎn)程辦公室和移動(dòng)設(shè)備的攻擊。

　　2　網(wǎng)絡(luò)攻擊技術(shù)發(fā)展現(xiàn)狀

　　總體看來，隨著信息技術(shù)與互聯(lián)網(wǎng)技術(shù)的進(jìn)步，網(wǎng)絡(luò)攻擊技術(shù)更新極快，并呈現(xiàn)出兩個(gè)主要特征：一是網(wǎng)絡(luò)攻擊技術(shù)已經(jīng)由簡(jiǎn)單走向復(fù)雜。例如，早期的莫里斯蠕蟲事件，基于Unix系統(tǒng)中的脆弱點(diǎn)，使用Finger命令查詢用戶信息，用mail系統(tǒng)傳播源程序，造成近6000臺(tái)計(jì)算機(jī)運(yùn)行變慢直至無法使用，導(dǎo)致拒絕服務(wù)。2016年的烏克蘭電網(wǎng)系統(tǒng)事件已經(jīng)表明，攻擊者面對(duì)防御體系時(shí)采用了更為先進(jìn)APT技術(shù)與工具來實(shí)現(xiàn)入侵網(wǎng)絡(luò)與系統(tǒng)的目的。與此同時(shí)，在網(wǎng)絡(luò)攻擊中使用人工智能技術(shù)進(jìn)行運(yùn)用分析，并向武器化、自動(dòng)化趨勢(shì)蔓延。相關(guān)報(bào)告顯示，2018年由機(jī)器人和僵尸網(wǎng)絡(luò)產(chǎn)生的惡意流量分別占據(jù)所有網(wǎng)絡(luò)流量的37.9%和53.8%。2020年4月，以色列水利系統(tǒng)的信息基礎(chǔ)設(shè)施遭到網(wǎng)絡(luò)攻擊，黑客利用含有宏病毒的辦公軟件附件或釣魚郵件中的惡意鏈接致使重要信息系統(tǒng)感染病毒。二是網(wǎng)絡(luò)攻擊逐步從個(gè)人走向組織。早期的網(wǎng)絡(luò)攻擊基本為黑客的個(gè)性與能力展示，現(xiàn)在，出于政治和經(jīng)濟(jì)目的，黑客個(gè)體行為已走向黑客組織行為，部分還帶有很強(qiáng)的國(guó)家屬性，他們擁有最先進(jìn)的網(wǎng)絡(luò)武器庫，更具針對(duì)性的攻擊方法。比較出名的有朝鮮的Lazarus，俄羅斯的APT28，越南的Ocean Lotus等APT組織，這些組織采用0 Day漏洞、網(wǎng)絡(luò)釣魚電子郵件、魚叉攻擊和水坑攻擊（Watering hole）等新型技術(shù)與方法，向特定攻擊目標(biāo)植入惡意軟件以獲取機(jī)密信息。這些組織目標(biāo)和分工明確，一方面，不斷加強(qiáng)網(wǎng)絡(luò)攻擊武器的研制與各種終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備0 Day漏洞的儲(chǔ)備；另一方面，加強(qiáng)攻擊的隱蔽性，隱藏攻擊活動(dòng)中留下的痕跡，使攻擊監(jiān)測(cè)和追蹤溯源變得更加困難。

　　3　基于TCP/IP的網(wǎng)絡(luò)攻擊技術(shù)分層研究

　　通過研究大量文獻(xiàn)，從不同的角度分析，可以將網(wǎng)絡(luò)攻擊歸類為不同方法。網(wǎng)絡(luò)攻擊分類的主要依據(jù)有安全策略缺陷、網(wǎng)絡(luò)攻擊手段、網(wǎng)絡(luò)攻擊效果、網(wǎng)絡(luò)攻擊監(jiān)測(cè)和網(wǎng)絡(luò)攻擊危害評(píng)估等。通過對(duì)攻擊分類和安全事件進(jìn)行分析梳理，其分類方法總結(jié)如表4所示。

　　TCP/IP協(xié)議定義了計(jì)算機(jī)在網(wǎng)絡(luò)通信中數(shù)據(jù)的收發(fā)模式、基本格式、尋址方式、正確性校驗(yàn)和分析解碼等。TCP/IP網(wǎng)絡(luò)模型包括：負(fù)責(zé)封裝/解封裝和發(fā)送/接收?qǐng)?bào)文的鏈路層、負(fù)責(zé)報(bào)文發(fā)送的網(wǎng)絡(luò)層、負(fù)責(zé)報(bào)文分組和重組的傳輸層、負(fù)責(zé)向用戶提供應(yīng)用程序的應(yīng)用層，如表5所示。

　　網(wǎng)絡(luò)入侵需要以網(wǎng)絡(luò)通信為載體，利用TCP/IP參考模型傳輸網(wǎng)絡(luò)攻擊數(shù)據(jù)。因此，可以將目前已知的網(wǎng)絡(luò)攻擊映射到TCP/IP四層模型，針對(duì)不同層次的不同攻擊采用相應(yīng)的防御方法，如表 6 所示。從表中可以看出，應(yīng)用層的攻擊在網(wǎng)絡(luò)攻擊中占比非常高，并且隨著新一代信息技術(shù)的發(fā)展和應(yīng)用，其攻擊手段層出不窮。在應(yīng)用層的攻擊中，Web攻擊的占比非常高，例如，常見的Web攻擊有SQL注入攻擊、Xss及文件上傳漏洞攻擊、文件包含攻擊、網(wǎng)頁木馬攻擊、爬蟲攻擊、Web掃描攻擊、協(xié)議違規(guī)、網(wǎng)站信息泄露篡改等。

　　4　基于目標(biāo)對(duì)象的網(wǎng)絡(luò)攻擊分類研究

　　網(wǎng)絡(luò)攻擊者通過對(duì)網(wǎng)絡(luò)協(xié)議的研究，構(gòu)造特殊的報(bào)文格式或非常用協(xié)議，對(duì)目標(biāo)主機(jī)進(jìn)行攻擊，竊取目標(biāo)主機(jī)的重要信息或消耗目標(biāo)主機(jī)的系統(tǒng)資源。其中，木馬和病毒是兩種典型的網(wǎng)絡(luò)攻擊工具，木馬具備隱匿性并能將自己偽裝成合法程序或部件，病毒具備自我復(fù)制性和自動(dòng)傳播性的特性。傳統(tǒng)遠(yuǎn)控木馬通常使用基于字節(jié)流的傳輸層通信協(xié)議進(jìn)行數(shù)據(jù)傳輸；新型混合型木馬采用反沙箱、強(qiáng)混淆、注入等手段，利用 HTTPS 等方式傳輸數(shù)據(jù)。為了更準(zhǔn)確地分析木馬和病毒攻擊，將信息系統(tǒng)劃分為硬件層、啟動(dòng)層、驅(qū)動(dòng)層和應(yīng)用層。

　　硬件層一般只存在木馬，該類木馬需要觸發(fā)結(jié)構(gòu)激活，對(duì)芯片安全性和可靠性具有十分嚴(yán)重的損害，其隱蔽性非常高，所帶來的研發(fā)和制造成本巨大，難以發(fā)現(xiàn)及查殺。啟動(dòng)層存在木馬和病毒，其功能單一、隱藏性非常高、難以查殺。驅(qū)動(dòng)層存在木馬和病毒，其功能單一、隱藏性高、查殺困難。應(yīng)用層存在木馬和病毒，其功能復(fù)雜，可能具備監(jiān)視屏幕、記錄鍵盤等功能，不易查殺。在應(yīng)用程序和webshell環(huán)境下的木馬和病毒是最常見和流行的，攻擊者將后門程序寄生在系統(tǒng)中，對(duì)攻擊目標(biāo)進(jìn)行遠(yuǎn)程監(jiān)控、非法操作或資源濫用，該環(huán)境下的木馬和病毒一般功能單一、較容易查殺但傳播廣泛。

　　一些“被動(dòng)接觸”的后門軟件，其技術(shù)大部分是 Rootkit，Rootkit是一套能夠永久、持續(xù)并毫無察覺地駐留在目標(biāo)計(jì)算機(jī)中的程序和代碼，Rootkit可以在應(yīng)用層、內(nèi)核層、BIOS和其他代碼庫中運(yùn)行，實(shí)現(xiàn)自啟動(dòng)、隱藏及shell連接，從而實(shí)現(xiàn)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)、緩沖區(qū)溢出攻擊等行為。如今，Rootkit 利用劫持系統(tǒng)調(diào)用、API Hook、Inline Hook 等行為改變相應(yīng)軟件的執(zhí)行流程來防止被檢測(cè)到，通過 TCP/IP 協(xié)議的Socket 通信建立連接，并將相應(yīng)模塊發(fā)送到受控端后發(fā)送指令進(jìn)行加載，“隱藏”通信端口和相應(yīng)程序，從而實(shí)現(xiàn)“隱藏”攻擊行為并實(shí)現(xiàn)遠(yuǎn)程控制。

　　5　典型網(wǎng)絡(luò)攻擊模式簡(jiǎn)析

　　高級(jí)可持續(xù)攻擊（APT）是近年來出現(xiàn)的具有隱蔽性、先進(jìn)性、持續(xù)性等特征的新型網(wǎng)絡(luò)攻擊。APT攻擊包括信息收集、入侵滲透、潛伏調(diào)整和攻擊退出四個(gè)階段。在信息收集中，對(duì)目標(biāo)系統(tǒng)進(jìn)行嗅探、掃描、竊取和偽造；對(duì)目標(biāo)用戶進(jìn)行誘騙，攻擊者挖掘系統(tǒng)的漏洞，編制惡意代碼，準(zhǔn)備實(shí)施攻擊。攻擊實(shí)施過程為入侵滲透、潛伏調(diào)整和攻擊退出，攻擊者開展基于包含遠(yuǎn)程登錄在內(nèi)的系統(tǒng)攻擊和基于病毒及木馬的代碼攻擊。因此，APT攻擊利用網(wǎng)絡(luò)通信協(xié)議，通過系統(tǒng)，利用病毒、蠕蟲、木馬和后門等途徑，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、操作系統(tǒng)和主機(jī)等信息系統(tǒng)不同目標(biāo)對(duì)象的攻擊。

　　同時(shí)，APT攻擊常用的攻擊手法為水坑式攻擊、魚叉式攻擊等多元化方式，具有多路徑入侵、攻擊空間不確定等特點(diǎn)。另外，APT攻擊還存在攻擊潛伏時(shí)間長(zhǎng)，攻擊周期長(zhǎng)，可以通過Rootkit、清除日志、隱藏活動(dòng)等方式潛伏的特點(diǎn)。因此，可以利用流量特征檢測(cè)方法，基于機(jī)器學(xué)習(xí)的檢測(cè)算法，結(jié)合大數(shù)據(jù)和威脅情報(bào)分析，提升檢測(cè)效率和準(zhǔn)確性，并為大型網(wǎng)絡(luò)的監(jiān)控與分析和在異常情況下的迅速響應(yīng)奠定基礎(chǔ)。

　　6　結(jié)　語

　　在整個(gè)四層的網(wǎng)絡(luò)攻擊中，對(duì)鏈路層攻擊影響范圍最大，對(duì)應(yīng)用層攻擊影響范圍最小。在攻擊頻率、病毒傳播速度等因素一定的情況下，對(duì)應(yīng)用層發(fā)起的攻擊，其破壞力小于對(duì)網(wǎng)絡(luò)層發(fā)起的攻擊。產(chǎn)業(yè)數(shù)字化與數(shù)字產(chǎn)業(yè)化提速，新一代信息技術(shù)加速應(yīng)用，互聯(lián)網(wǎng)具有更加強(qiáng)勁的發(fā)展動(dòng)能，各種線上應(yīng)用服務(wù)平臺(tái)不斷涌現(xiàn)，隨之而來的網(wǎng)絡(luò)攻擊工具和攻擊手段的復(fù)雜性也隨著時(shí)間的推移而增強(qiáng)。與此同時(shí)，網(wǎng)絡(luò)攻擊技術(shù)逐步顯現(xiàn)出低門檻和易操作的趨勢(shì)。富有經(jīng)驗(yàn)的攻擊者通常會(huì)構(gòu)建大量的攻擊腳本和工具包，新手攻擊者只需要點(diǎn)擊鼠標(biāo)就可以使用這些腳本和工具包，并產(chǎn)生毀滅性的影響。因此，加強(qiáng)對(duì)網(wǎng)絡(luò)攻擊技術(shù)現(xiàn)狀及其發(fā)展趨勢(shì)的研究，對(duì)開展攻擊樣本的特征工程以及基于機(jī)器學(xué)習(xí)、深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)框架及算法研究有著重要的作用。