| 标准编号 | GB/T 37027-2025 (GB/T37027-2025) | | 中文名称 | 网络安全技术 网络攻击和网络攻击事件判定准则 | | 英文名称 | Cybersecurity technology - Criteria for determing network attack and network attack incident | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 26,244 | | 发布日期 | 2025-02-28 | | 实施日期 | 2025-09-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 37027-2025: 网络安全技术 网络攻击和网络攻击事件判定准则
ICS 35.030
CCSL80
中华人民共和国国家标准
代替GB/T 37027-2018
网络安全技术
网络攻击和网络攻击事件判定准则
2025-02-28发布
2025-09-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 1
5 描述信息要素 2
5.1 网络攻击 2
5.2 网络攻击事件 2
6 判定条件 3
6.1 判定概述 3
6.2 网络攻击的判定条件 4
6.3 网络攻击事件的判定条件 6
7 计数方法 7
7.1 计数概述 7
7.2 网络攻击的计数 7
7.3 网络攻击事件计数 7
附录A(资料性) 典型攻击对象类型 10
附录B(资料性) 典型网络攻击过程 12
附录C(资料性) 网络攻击和网络攻击事件的典型判定方法 14
附录D(资料性) 网络攻击和网络攻击事件概述 15
附录E(资料性) 描述网络攻击和网络攻击事件的信息要素和计数示例 16
参考文献 18
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件代替GB/T 37027-2018《信息安全技术 网络攻击定义及描述规范》,与GB/T 37027-
2018相比,除结构调整和编辑性改动外,主要技术变化如下:
a) 更改了网络攻击的定义(见3.1,2018年版的3.1);
b) 增加了网络攻击事件的定义(见3.2);
c) 更改了“网络攻击”中“攻击技术手段”“安全漏洞类型”的描述(见5.1,2018年版的6.2、6.3);
d) 增加了网络攻击事件的信息描述(见5.2);
e) 增加了网络攻击的判定条件(见6.2);
f) 增加了网络攻击事件的判定条件(见6.3);
g) 增加了网络攻击的计数方法(见7.2);
h) 增加了网络攻击事件的计数方法(见7.3)。
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:国家计算机网络应急技术处理协调中心、国家计算机网络应急技术处理协调中心
北京分中心、中国电子技术标准化研究院、中国移动通信集团有限公司、启明星辰信息技术集团股份有
限公司、安天科技集团股份有限公司、北京长亭科技有限公司、国家工业信息安全发展研究中心、国能数
智科技开发(北京)有限公司、郑州信大捷安信息技术股份有限公司、北京天融信网络安全技术有限公
司、国家信息中心(国家电子政务外网管理中心)、中国信息通信研究院、广东省信息安全测评中心、中科
信息安全共性技术国家工程研究中心有限公司、杭州安恒信息技术股份有限公司、北京升鑫网络科技有
限公司、奇安信科技集团股份有限公司、中国电子信息产业集团有限公司第六研究所、北京时代新威信
息技术有限公司、江苏君立华域信息安全技术股份有限公司、北京中测安华科技有限公司、中电科网络
安全科技股份有限公司、北京神州绿盟科技有限公司、三六零数字安全科技集团有限公司、杭州迪普科
技股份有限公司、公安部第三研究所、国家计算机网络应急技术处理协调中心黑龙江分中心、长安通信
科技有限责任公司。
本文件主要起草人:严寒冰、饶毓、郭晶、陈亮、赵彦、周莹莹、卢卫、徐剑、吕志泉、韩志辉、温森浩、
王惠莅、朱雪峰、徐雅丽、李一鸣、邱勤、杨天识、刘佳男、杨坤、张晓菲、牛月坤、刘为华、安高峰、闫桂勋、
董航、甄茁、胡建勋、陈彦羽、卞建超、刘勇、赵云龙、王连强 、金建军、严默默、曹旭博、肖岩军、耿贵宁、
刘吉林、陶源、刘琨、张洛什。
本文件及其所代替文件的历次版本发布情况为:
---2018年首次发布为GB/T 37027-2018;
---本次为第一次修订。
引 言
近年来,随着网络应用的普及和迅猛发展,网络攻击的方法和形式复杂与多变,对网络安全造成了
严重威胁。
网络攻击和网络攻击事件的判定涉及多方面因素,包括:网络攻击和网络攻击事件的区别;网络攻
击和网络攻击事件的界定和分类;网络攻击及网络攻击事件涉及的角色、过程、关键技术、后果评估;各
类网络攻击的和网络攻击事件的判定及计数方法等内容。随着网络攻击和网络攻击事件的日益增
多,当前各组织对网络攻击、网络攻击事件判定和计数方法不统一,导致各组织判定和统计网络攻击出
现较大差异,难以有效实现网络攻击态势的共享和准确感知。因此,需对网络攻击和网络攻击事件进行
更加准确的定义、描述,给出统一分类、判定及统计准则,为抵御网络攻击夯实基础,提升网络攻击态势
的感知效果,增强网络安全保障能力。
网络安全技术
网络攻击和网络攻击事件判定准则
1 范围
本文件确立了网络攻击和网络攻击事件的描述信息要素、判定和计数的方法。
本文件适用于指导组织开展网络攻击和网络攻击事件的监测分析、态势感知、信息报送等活动。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 20986-2023 信息安全技术 网络安全事件分类分级指南
GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南
3 术语和定义
GB/T 20986-2023、GB/T 30279-2020界定的以及下列术语和定义适用于本文件。
3.1
网络攻击 networkattack
通过信息网络技术和各种手段,利用网络中存在的安全漏洞和安全缺陷针对网络实施干扰、控制、
破坏等影响网络正常运行状态,以及针对网络数据实施窃取、滥用、篡改、损毁等危害数据安全的行为。
3.2
网络攻击(3.1)造成或潜在造成业务损失或危害的安全事件。
4 缩略语
下列缩略语适用于本文件。
AS:自治系统(autonomoussystem)
IP:互联网协议(internetprotocol)
5 描述信息要素
5.1 网络攻击
描述网络攻击的基本信息要素见表1。
表1 描述网络攻击的基本信息要素
信息要素 描述
标识号 每次网络攻击应具有唯一标识号
攻击对象
被实施网络攻击的客体信息,如被攻击设备的IP地址、域名,或具体的某个网络设备或者
信息系统名称等
攻击对象类型 攻击对象的类型描述,可参考附录A
攻击源
实施网络攻击的主体信息,包括攻击者身份(如攻击组织名、网络身份标识)、攻击资源
(如攻击者使用的直接攻击IP、真实攻击IP、控制域名)等
攻击技术手段
网络攻击使用的技术手段,包括网络扫描探测、网络钓鱼、漏洞利用、后门利用、后门植
入、凭据攻击、信号干扰、拒绝服务、网页篡改、暗链植入、域名劫持、域名转嫁、DNS污染、
WLAN劫持、流量劫持、BGP劫持、广播欺诈、失陷主机、其他,共19类
攻击时间 攻击发生的时间点或时间范围
注:GB/T 20986-2023中的供应链攻击事件、APT攻击事件一般是综合使用上述攻击技术手段的网络攻击事
件,因此不在攻击技术手段中单独设置相应的类别。见附录D相关描述。
描述网络攻击的扩展信息要素见表2。
表2 描述网络攻击的扩展信息要素
信息要素 描述
网络攻击名称 反映网络攻击特征的命名
安全漏洞 攻击过程中所利用的网络或系统的安全漏洞或安全缺陷
安全漏洞类型 安全漏洞的类型,按GB/T 30279-2020的规定
攻击源详细信息 攻击源的详细信息,包括国内/国外、组织内部/组织外部等
攻击阶段 攻击所处的阶段,可参考附录B
攻击详细信息 详细描述攻击行为、手法或过程等
判定方法 判定网络攻击所使用的方法,见附录C
其他信息 可根据需要增加一个或多个其他信息要素
5.2 网络攻击事件
描述网络攻击事件的基本信息要素见表3。
表3 描述网络攻击事件的基本信息要素
信息要素 描述
标识号 每个网络攻击事件应具有唯一标识号
事件时间 攻击事件发生的时间点或者时间范围
事件类型 网络攻击事件的类型,按GB/T 20986-2023及D.2的规定
攻击对象 同表1“攻击对象”
攻击对象类型 同表1“攻击对象类型”
攻击源 同表1“攻击源”
事件影响
网络攻击事件已造成或潜在造成的影响,包括影响对象的重要程度、业务损失的具体情
况、危害具体情况等
描述网络攻击事件的扩展信息要素见表4。
表4 描述网络攻击事件的扩展信息要素
信息要素 描述
网络攻击事件名称 反映网络攻击事件特征的命名
事件分级
网络攻击事件的分级描述,按GB/T 20986-2023的规定,包括特别重大事件(一级)、重
大事件(二级)、较大事件(三级)、一般事件(四级)
事件详细信息 详细描述网络攻击事件的行为、手法或过程等
安全漏洞 攻击过程中所利用的网络或系统的安全脆弱性或弱点
安全漏洞类型 安全漏洞的类型,按GB/T 30279-2020的规定
攻击源详细信息 攻击源的详细信息,包括国内/国外、组织内部/组织外部等
攻击动机 可能的攻击动机,如政治、经济、兴趣、炫耀等
判定方法 判定网络攻击事件所使用的方法,见附录C
相关网络攻击的标识 提供与本起网络攻击事件相关的1个或者多个网络攻击的标识号
其他信息 可根据需要增加一个或多个其他信息要素
6 判定条件
6.1 判定概述
网络攻击和网络攻击事件的判定,指在一个判定时间段内,结合判定方法(见附录D),识别出不同
的网络攻击和网络攻击事件。在判定的过程中,如果命中了相关的判定条件,则可以认为识别出了相应
的网络攻击或网络攻击事件。
6.2 网络攻击的判定条件
6.2.1 网络扫描探测攻击
存在下列情况之一,判定发生网络扫描探测攻击:
a) 一定时间范围内,针对端口、路径、配置等的网络请求数量超出正常阈值范围,或网络请求内容
存在遍历性和构造性;
b) 网络流量或设备/系统/软件日志中包含网络扫描软件的特征,如 HTTP头部中的 UA和
Cookie字段中包含某类网络扫描软件所特有的字符串特征。
6.2.2 网络钓鱼攻击
当通过网络传播的信息(如网页、网络邮件、软件、文件、图片等)具有欺诈性、伪造性,且存在诱使访
问者提交重要数据、个人信息,或下载恶意软件,或通过扫描二维码转账等方式获取经济利益等情况
时,判定发生网络钓鱼攻击。
6.2.3 漏洞利用攻击
存在下列情况之一,判定发生漏洞利用攻击:
a) 网络流量或设备/系统/软件日志中包含典型漏洞利用攻击包的字符串特征;
b) 网络流量或设备/系统/软件日志中包含漏洞利用工具的特征,如 HTTP头部中的 UA和
Cookie字段中包含相关字符串特征。
6.2.4 后门利用攻击
存在下列情况之一,判定发生后门利用攻击:
a) 网络流量或设备/系统/软件日志中包含后门利用攻击包的特征,如存在后门利用工具或者代
码的特征;
b) 网络、应用或操作系统中包含后门利用的痕迹,如存在网页后门执行文件,或者存在后门账户
的登录行为等。
6.2.5 后门植入攻击
存在下列情况之一的,判定发生后门植入攻击:
a) 网络流量或设备/系统/软件日志中包含后门植入攻击包的特征,如存在后门植入工具或者代
码的特征;
b) 网络、应用或操作系统中包含后门植入的痕迹,如检测发现存在可使攻击者获取更大权限的后
门文件,或存在某被植入的后门账户。
6.2.6 凭据攻击
存在下列情况况之一,判定发生凭据攻击:
a) 网络流量或者业务系统日志中包含攻击者在短时间内进行凭据枚举猜解的行为特征,如
SSH、RDP等网络登录多次失败超过设定的阈值,WEB系统登录失败超过设定的阈值;
b) 攻击者存在识别解析凭据信息的行为,如账号密码破解,证书窃取等;
c) 识别发现存在诱导将凭据信息提交给攻击者的恶意链接或文件;
d) 发现凭据遗失或者被窃取的情况,如通过开源情况发现暗网等论坛存在企业证书、账号密码
的售卖行为。
6.2.7 信号干扰攻击
存在下列情况之一,判定发生信号干扰攻击:
a) 通过检测发现未授权的干扰源;
b) 通过检测发现利用已授权信号源干扰其他信号源的行为;
c) 通过检测与正常设备行为不一致的迹象,如未经授权的无线电发射器的存在,可以发现潜在的
信号干扰攻击;
d) 通过监测邻近通信链路的质量变化和异常行为。
6.2.8 拒绝服务攻击
存在下列情况之一,判定发生拒绝服务攻击:
a) 网络流量中包含拒绝服务攻击的指令特征;
b) 网络或信息系统的流入流量或访问量超过设定的阈值;
c) 网络流量符合拒绝服务攻击的特定协议类型与代码、速率和报文长度特征。
注:设定或者自学习网络和信息系统的正常流量或正常访问量的阈值,并与实际流量、访问量进行比对。针对不同
网络和信息系统可以依据其重要程度设定不同的检测阈值。
6.2.9 网页篡改攻击
存在网页源代码及内容被非授权恶意更改的情况时,判定发生网页篡改攻击。
6.2.10 暗链植入攻击
存在下列情况之一,判定发生暗链植入攻击:
a) 发现存在未经授权的或异常的链接,指向恶意网站、下载恶意软件的链接或其他恶意资源;
b) 发现安全日志和监测出现异常行为,网站或应用程序文件被修改。
6.2.11 域名劫持攻击
当域名的解析结果被非域名所有者指向非预期的IP地址的情况时,判定发生域名劫持攻击。
6.2.12 域名转嫁攻击
当域名的解析结果被域名所有者指向了不属于所有者或者利益相关方所拥有的IP地址情况时,判
定发生域名转嫁攻击。
6.2.13 DNS污染攻击
当网络中存在错误的DNS数据包,把域名的解析结果指向不正确的IP地址时,判定发生DNS污
染攻击。
6.2.14 WLAN劫持攻击
存在下列情况之一,判定发生 WLAN劫持攻击:
a) 无线网络大量的数据流量被重定向到未知的目标,或数据包被篡改,或通信被中断;
b) 频繁断连且超出设定阈值,或连接到未知的或可疑的无线网络;
c) 出现未经授权的无线接入点,频繁地信道切换且超出设定阈值。
6.2.15 流量劫持攻击
存在下列情况之一,判定发生流量劫持攻击:
a) 实际流入流量与对端发出流量存在差别;
b) 实际流出流量与到达对端流量存在差别。
6.2.16 BGP劫持攻击
存在下列情况之一,判定发生BGP劫持攻击:
a) 检测发现攻击者发送污染包劫持路径的行为,如使用伪造或篡改等手段污染BGP边界网关协
议的路由数据,欺骗其他 AS将流量引向攻击者指定的 AS,出现请求内容与响应结果不对
称,响应时间增大的现象;
b) 检测发现攻击者已经劫持了路径,并将流量引向其指定的AS,如检测发现AS实际网络通信
路由路径与合理的网络路由通信路径存在差别。
6.2.17 广播欺诈攻击
存在下列情况之一,判定发生广播欺诈。
a) ARP表中IP地址与 MAC地址的映射与正常情况不一致或存在重复映射。
b) 网络中的数据流量和通信模式发现大量的冲突通信、数据包丢失、通信中断等异常情况。
c) 频繁地发送ARP请求且超出设定阈值,或自动更新ARP表,或重置网络接口等。
6.2.18 失陷主机攻击
存在下列情况之一,判定发生失陷主机攻击:
a) 被控设备对外发送心跳包、控制指令响应包或开启非授权服务;
b) 被控设备中包含具有远程控制功能的恶意代码或者相关感染痕迹,例如特洛伊木马文件等。
6.2.19 其他网络攻击
采取其他攻击技术手段的网络攻击行为。
6.3 网络攻击事件的判定条件
判定网络攻击事件需同时满足两个条件:一是已判定单个或多个相关的网络攻击;二是已判定的网
络攻击造成或潜在造成业务损失或危害。
a) 针对6.2所列网络攻击,如存在已判定的使用相应攻击技术手段的网络攻击,且网络攻击造成
或潜在造成业务损失或危害,则判定发生相应类型的网络攻击事件。
b) 针对供应链攻击事件,通过分析相关攻击行为,如确认攻击方通过利用合法软件产品或网络服
务的供应链中的脆弱性来实现其攻击意图,则判定发生供应链攻击事件。
c) 针对APT攻击事件,存在下列一种或者多种情况,则判定发生APT攻击事件:
1) 网络攻击中的IOC或者技战术属于已知APT组织;
2) 攻击活动存在针对性、持久性和高隐蔽性,且攻击对象是重要信息系统或高价值个人,且
攻击目的是窃取情报、破坏或者潜伏等待指令。
7 计数方法
7.1 计数概述
网络攻击和网络攻击事件的计数,是指在判定单次网络攻击、单个网络攻击事件的基础上,对多个
网络攻击和网络攻击事件进行计数。
多次或者多个网络攻击和网络攻击事件,如果具有相同的信息要素,则可以进行加合统计。
如果包含的信息要素的数量和类型不同,可代表不同范围内的网络攻击或者网络攻击事件。
计数的结果,需要给计数的时间段、计数方法的简要描述,以及所得出的计数次数或者个数。计数
的示例见附录E。
7.2 网络攻击的计数
7.2.1 单次网络攻击
单次网络攻击指在一个时间点或一段时间范围内,依据6.2判定的网络攻击。
7.2.2 网络攻击的计数方法
网络攻击的计数指在一个计数时间段内,对包含某些信息要素的单次网络攻击进行加和,得到的网
络攻击的次数。
网络攻击的典型计数方法包括以下方法。
a) 使用某类技术手段的网络攻击计数:对信息要素中包含某类技术手段的单次网络攻击进行
统计。
b) 某个攻击对象遭受的使用某类技术手段的网络攻击计数:对信息要素中同时包含某个攻击对
象、某类技术手段的单次网络攻击进行统计。
c) 某个攻击源对某个攻击对象使用某类技术手段的网络攻击计数:对信息要素中同时包含某个
攻击源、某个攻击对象、某类技术手段的单次网络攻击进行统计。
7.2.3 多个网络攻击计数结果的合并计算条件
多个网络攻击计数结果满足可比较或可累加条件时可合并计算。
满足以下条件的多个网络攻击计数结果可进行比较:多个网络攻击计数结果是使用完全相同的网
络攻击判定条件、网络攻击计数方法得到的。
满足以下条件的多个网络攻击计数结果可进行累加:多个网络攻击计数结果是使用完全相同的网
络攻击判定条件、网络攻击计数方法得到的,且不存在单次网络攻击被重复计数的情况。
除上述情况外,多个网络攻击计数结果不宜进行合并计算。
7.3 网络攻击事件计数
7.3.1 单个网络攻击事件
单个网络攻击事件指在一个判定时间段内,依据6.2判定的相关网络行为,需要具有一个或多个相
同信息要素,相同信息要素见表5。即在一个判定时间段,具有表5中相同信息要素的网络攻击即为一
个网络攻击事件。
一个判定时间段一般为一个自然日,或者一个持续的攻击时间段,也可依据判定的实际情况设定。
表5 单个网络攻击事件中包括的相关网络攻击具有的相同信息要素
网络攻击事件类型
单个网络攻击事件中包括的相关
网络攻击具有的相同信息要素
(以下均指一个判定时间段内)
单个网络攻击事件的典型情况
(以下均指一个判定时间段内)
网络扫描探测事件 攻击源、攻击对象 一个攻击对象遭受一个攻击源的网络扫描探测攻击
网络钓鱼事件 攻击源 一个具有网络钓鱼功能的、可访问的钓鱼链接或文档
漏洞利用事件 攻击源、攻击对象 一个攻击源单次或多次成功利用一个攻击对象的漏洞
后门利用事件 攻击源、攻击对象 一个攻击源单次或多次成功利用一个攻击对象的后门
后门植入事件 攻击源、攻击对象 一个攻击源向一个攻击对象单次或多次成功植入后门
凭据攻击事件 攻击源、攻击对象
一个攻击源向一个攻击对象发起单次或多次凭据攻
击,并成功获取正确的凭据
信号干扰事件 攻击对象
一个设备(如通信设备、雷达系统、导航设备等)遭受信
号干扰攻击的影响
拒绝服务事件 攻击对象 一个攻击对象的业务遭受拒绝服务攻击的影响
网页篡改事件 攻击对象 一个网页的内容被单次或多次成功篡改
暗链植入事件 攻击对象 一个网页被成功植入单个或多个暗链
域名劫持事件 攻击对象 一个域名被单次或多次成功劫持
域名转嫁事件 攻击对象 一个域名被单次或多次成功转嫁
DNS污染事件 攻击对象 一个域名遭受单次或多次DNS污染
WLAN劫持事件 攻击对象 一个无线局域网遭受 WLAN劫持攻击的影响
流量劫持事件 攻击对象 一个攻击对象被单次或多次成功流量劫持
BGP劫持攻击事件 攻击对象 一个攻击对象遭受BGP劫持攻击的影响
广播欺诈事件 攻击对象 一个局域网遭受广播欺诈攻击的影响
失陷主机事件 攻击源、攻击对象 一个攻击对象被一个攻击源成功远程控制
供应链攻击事件 攻击对象 一个攻击对象发生供应链攻击事件
APT事件 攻击源、攻击对象 一个攻击源对一个攻击对象的APT攻击事件
其他网络攻击事件 宜根据具体情况确定 根据具体情况确定
7.3.2 网络攻击事件的计数方法
网络攻击事件的计数指在一个计数时间段内,对包含某些信息要素的单个网络攻击事件进行加
和,得到网络攻击事件的个数。
网络攻击事件的典型计数方法包括以下方法。
a) 某类网络攻击事件计数:对信息要素中包含某类网络攻击事......
|