网络攻击(对计算机系统和资源进行的攻击)

随机推荐

网络攻击（英文名：cyberattack），也叫赛博攻击，是指针对计算机信息系统、基础设施、计算机网络或personal computer设备的，任何类型的进攻行为。

在计算机和计算机网络中，破坏、泄露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何计算机的数据，都被视为对计算机和计算机网络的攻击。攻击类型有主动攻击和被动攻击。攻击手段主要是利用漏洞和安全缺陷进行破坏。攻击方式：有远程攻击、伪远程攻击和本地攻击。攻击步骤：侦查与信息收集阶段、扫描与漏洞发现阶段、攻击与权限获取阶段、维持与后门植入阶段、痕迹清除与隐匿阶段。应对策略：dos和DDoS防御、流氓软件防御、Web攻击防护、SQL注入防护、XSS防护、密码攻击防护、供应链攻击防护、内部威胁防御、中间人攻击防护、网络钓鱼攻击防御、DNS欺骗防护、基于身份的攻击防护、路过式攻击防护、物联网防御等。

简介

近年来，网络攻击手段不断升级，国家面临的网络安全形势日益严峻复杂。一是个人信息和重要数据泄露风险频发。贩卖个人信息和重要数据获利成为黑产的主要手段之一，一些联网数据库存在未授权访问或弱口令漏洞，容易导致姓名、身份证号、手机号等数据泄露。二是勒索软件攻击呈持续增长趋势。勒索攻击的主流威胁形态已经演变成“勒索软件即服务（RaaS）+定向攻击”收取高额赎金的模式，制造、医疗、金融、建筑、能源和公共管理等行业频繁成为勒索攻击的目标。2024年全球公开披露的勒索软件攻击事件超过5700起，中国某金融机构驻外子公司被勒索组织Hunters攻击，泄露数据量达6.6TB。三是网络安全漏洞风险依然严峻。2024年，国家信息安全漏洞共享平台（CNVD）共收录通用软硬件漏洞1.8万个，其中高危漏洞占比达46.4%。“微软蓝屏”事件虽然并非安全漏洞，但也导致全球超过850万台设备运行故障，造成巨大经济损失。随着大数据、云计算、人工智能等新技术的广泛应用，网络安全技术的应用场景也越来越广泛，势必也将引入新的安全风险。

定义

网络攻击是指任何非授权而进入或试图进入他人计算机网络的行为，是人侵者实现人侵目的所采取的技术手段和方法。这种行为包括对整个网络的攻击，也包括对网络中的服务器、防火墙、路由器等单个节点的攻击，还包括对节点上运行的某一个应用系统或应用软件的攻击。

网络攻击的类型

网络攻击是指利用人为设计的特殊计算机程序或计算机病毒以及其他手段，削弱、破坏或者摧毁目标计算机网络系统，或降低其使用效能的各种措施和行动。有的网络攻击利用信息系统配置、协议或程序的脆弱性，有的则通过强力攻击致使信息系统状态异常，两者最终都会造成系统损失或带来负面的社会影响。对于计算机和计算机网络来说，破坏、揭露、修改、使软件或服务失去功能，在没有得到授权的情况下窃取或访问任何一台计算机的数据，都会被视为对计算机和计算机网络的攻击。根据攻击实现的方式不同，网络攻击可以分为主动攻击和被动攻击两种类型。

主动攻击

主动攻击是指攻击者有攻击目的，对目标系统进行未经授权的信息收集、漏洞利用、窃取数据等行为。例如：攻击可通过端口扫描获取目标系统的相关服务，对此服务进行漏洞挖掘和利用，最后对目标系统进行远程控制等。主动攻击的实现方法比较多，如中断、伪造、篡改、重放和重排、欺骗、伪装、假冒等。主动攻击针对信息的真实性、完整性和可用性特点，一般可以分为欺骗、篡改、中断三种类型。

欺骗

欺骗是对信息真实性的挑战，是指某个实体（人或者系统）被假冒或者伪装成其他实体发出具有身份信息的数据信息，从而获取一些合法用户的权利和特权。欺骗主要用于身份认证、授权阶段的攻击，攻击者获得合法用户的登录凭据（用户名、密码、Cookie 等），假冒成合法用户非法访问资源或进行非法操作。例如：攻击者通过“社会工程学”攻击，获得了管理员的账号口令，之后登录系统进行数据拷贝、数据删除、预留后门等操作，这对信息系统造成了严重的威胁。

欺骗的本质是让信息系统认为用户提交的信息是真实的。常见的欺骗手段有假冒（声称自己是合法的）、伪装（伪造成合法的样子）和重放。为了防止被欺骗，信息系统往往需要强认证，同时也要保证通信两端没有第三方的介人，否则就可能被窃取登录凭据。

篡改

篡改是针对信息完整性的挑战，是指数据未经授权而被篡改，破坏了信息的原始性和真实性。篡改攻击主要有修改、插入、删除、更新、伪造、乱序等，最终形成虚假信息。在现在的信息系统中，信息是以数字化存储的形式存在的，这使得信息被篡改的可能性要比纸质的信息更高。因此，篡改在网络攻击中是较常见的，同时也是危害较大的一种攻击类型。

有时算改会失败，比如，篡改后被系统发现时，系统会及时调整安全策略，对篡改结果进行恢复。典型的如网页防篡改设备，在发现页面被篡改后，系统会自动删除篡改文件，再用未被篡改的文件进行替换。篡改失败也会带来可用性问题，如将某数据修改后，系统出错，无法正常运行，这就损害了系统的可用性。对于算改来说，成功需要两个要素：一是不能被发现，二是篡改后可正常执行。

中断

中断主要是针对信息可用性的攻击。可用性是指要确保数据和系统随时可用，系统访问通道和身份验证机制等正常工作。也就是说，无论什么时候，只要得到授权的实体需要，信息系统就必须是可用的，不能拒绝服务。中断攻击主要通过破坏系统的硬件、软件达到拒绝服务的目的，如拒绝服务攻击、数据删除、勒索病毒，此外还包括自然灾害（火灾、洪水、地震、雷击等）。

被动攻击

被动攻击的本质是在传输中进行监听或者监视，目的是从传输中获得信息。被动攻击只威胁数据的机密性，通常难以被发现或被检测到，因为它们并不会使数据产生任何变化。常见的被动攻击主要有网络窃听与网络流量分析攻击两种方式。

网络窃听

网络窃听是一种从通信媒介中收集报文信息的活动。作为一个有效的网络用户，会受到限制，只能看到本系统相关的信息。然而，若借助合适的工具（以及来自组织的授权），就可以看到所有途经本机网络接口的数据。借助Wireshark和NetWitness的嗅探工具以及专用的窃听工具，如T-Sight、ZedAtackProxy（ZAP）和Cain\u0026Abel等，网络中的所有信息都能呈现出来。一些工具只能显示原始的网络报文，而有些工具会重组出原始数据，并在显示器上实时展示出来。

流量分析

流量分析攻击方式适用于一些特殊场合，例如敏感信息都是保密的，攻击者虽然从截获的消息中无法的到消息的真实内容，但攻击者还能通过观察这些数据报的模式，分析确定出通信双方的位置、通信的次数及消息的长度，获知相关的敏感信息，这种攻击方式称为流量分析。

网络攻击溯源技术

网络攻击溯源（Cyber Attacks Attribution）技术也称威胁狩猎（ThreatHunting）技术，是根据已有网络攻击数据和痕迹，通过技术手段还原攻击事件，主动追踪网络攻击发起者、定位攻击源，结合网络取证和威胁情报分析，有针对性地缓解或反制网络攻击的一类技术。网络攻击溯源技术能够帮助提前制定或事后实施应对措施，最终抵御和反制网络攻击，在网络信息安全中具有举足轻重的作用，并在网络对抗中具有巨大的应用价值。

按照网络攻击溯源的行为性质可将其分为主动溯源和被动溯源。

主动溯源

主动溯源主要是在报文传输过程中，对网络数据包添加标记信息、或者对网络数据流添加水印信息，攻击一旦发生，管理人员就能够利用标记或水印信息去追踪数据包传输路径并确定攻击源。其中，渗透测试溯源是一种重要的主动溯源方式，它通过模拟攻击者的攻击手法不断测试评估计算机网络系统的安全性，发现对手的弱点、技术缺陷或漏洞，对攻击活动进行定位溯源。

被动溯源

被动溯源主要是使用工具分析网络主机日志、网络设备日志、网络流量情况等信息，进行攻击溯源。按照溯源所处时段，网络攻击溯源可分为事前溯源、事中溯源和事后溯源。

网络攻击溯源的4个迭代循环的步骤

产生假设

攻击溯源从某种攻击活动假设开始，可以通过网络安全与人工智能算法自动生成攻击活动假设。

数据调查

有效利用工具，通过关联分析、可视化分析、统计分析、机器学习等融合分析不同的网络安全数据，帮助安全分析人员更好地调整假设、发现网络攻击事件。

识别溯源

识别溯源的过程也是新的攻击模式和攻击战略战术发现过程。通过工具和技术揭示新的恶意行为模式和对手在攻击过程中的战略战术。

自动化分析

为了更加高效地进行攻击溯源分析，可以将溯源过程部分自动化。分析人员利用相关分析软件得知潜在风险，跟踪网络可疑行为。四个步骤迭代效率越高，越能尽早发现新的威胁。

攻击手段

获取口令

口令（账户和密码）是各系统的一道重要防线，也是攻击者的重要目标。口令的攻击有多种方式。通过网络监听技术得到用户的口令，该方法只在共享式局域网中才易实现，但危害很大，可以监听到该网段所有用户的口令；在已知用户账户名后，可以利用一些专门软件破解用户密码，该方式不受网段限制，但破解所需时间可能很长，需要一遍遍尝试登录服务器。如果能够获得用户系统的口令文件，通过口令破解软件可以获得用户口令。该方式的破解完全是离线进行的，因此可以较容易地破解出用户的口令。利用系统提供的默认账户和密码。由于部分用户没有关闭默认账户，所以给了攻击者以可乘之机。

特洛伊木马

放置木马特洛伊木马程序可以直接侵入用户的计算机并进行破坏，它常伪装成工具程序或者游戏等诱使用户打开。一旦用户打开或者执行了这些程序，它们就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在用户的计算机中，并在计算机系统中隐藏一个可以在操作系统启动时悄悄执行的程序。木马一旦被植人攻击主机后，一般会通过一定的方式把人侵主机的IP地址、木马植人的端口等发送给攻击者所在的客户端，这样攻击者就可以删除或修改文件格式化硬盘、上传和下载文件、侵占系统资源、窃取内容、实施远程控制（如控制鼠标、接管键盘），从而实现对目标计算机的控制。

电子邮件攻击

电子邮件是互联网上运用得十分广泛的一种通信方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用，即电子邮件轰炸。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反应缓慢，甚至瘫痪。另一种攻击方式是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员的完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序。

网络监听

网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。

利用黑客软件进行攻击

利用黑客软件进行攻击是互联网上比较常见的一种攻击手法。BackOrifice2000、冰河Emotet等都是比较著名的特洛伊木马，它们可以非法地取得用户计算机的超级用户级权利，可以对其进行完全的控制，除了可以进行文件操作外，同时也可以进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端，当黑客进行攻击时，会使用用户端程序登录已安装好服务器端程序的计算机，这些服务器端程序都比较小，一般会附带于某些软件上。有可能当用户下载了一个小游戏并运行时，黑客软件的服务器端就安装完成了，而且大部分黑客软件的重生能力比较强，给用户进行清除造成一定的麻烦。例如伪装成TXT文件的木马，表面看上去是一个TXT文本文件，但实际上却是一个附带黑客程序的可执行程序，另外有些程序也会伪装成图片和其他格式的文件。除了木马程序，在网络中比较容易获得的其他黑客软件有进行欺骗的软件、拒绝服务攻击软件等。

安全漏洞攻击

许多系统和软件存在安全漏洞（bugs），其中一些是操作系统或应用软件本身具有的，另一些则是使用的协议具有的。例如：攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击，破坏根目录，从而获得超级用户的权限。又如，ICMP也经常被用于发动拒绝服务攻击，它的具体手法就是向目的服务器发送大量的数据包，几乎占用该服务器所有的网络宽带从而使其无法对正常的服务请求进行处理，而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。现在常见的植物病原线虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极强，一般通过微软的Outook软件向众多邮箱发出带有病毒的邮件，从而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言，也有可能遭到大量数据包的攻击使其无法进行正常的网络操作。

缓冲区溢出攻击

由于很多系统在不检查程序与缓冲之间变化的情况下，就接收任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样，攻击者只要发送超出缓冲区所能处理长度的指令，系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符，甚至可以访问根目录，从而拥有对整个网络的绝对控制权。缓冲区溢出攻击是属于系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。当然，随便往缓冲区中填东西并不能达到攻击的目的。常见的手段是通过制造缓冲区溢出使程序运行一个用户壳层，再通过shell执行其他命令。如果该程序具有root权限的话，攻击者就可以对系统进行任意操作了。

高级持续性威胁

高级持续性威胁（Advanced Persistent Threat，APT）是黑客以窃取核心资料为目的，针对目标所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意间谍威胁”。APT并非一种新的网络攻击方法和单一类型的网络威胁，而是一种持续、复杂的网络攻击活动。APT通常作为地缘政治、情报活动意图下的网络间谍活动，用来实施长久性的情报刺探、收集和监控。实施APT攻击的组织，通常具有国家、政府或情报机构背景，其拥有丰富的资源用于实施攻击活动。APT攻击行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法在于隐匿自己，针对特定对象，长期有计划和有组织地窃取数据。

网络欺骗入侵

网络欺骗入侵包括IP欺骗、ARP欺骗、DNS欺骗和WWW欺骗四种方式。其方法是伪造一个可信任地址的数据包获取目标主机的信任，从而达到目的。

IP欺骗

就是通过伪造某台主机的IP地址，使得某台主机能够伪装成另外一台主机，而这台主机往往具有某种特权或被其他主机所信任。目前IP欺骗是黑客攻克防火墙系统最常用的一种方法，也是许多其他网络攻击手段的基础。

ARP欺骗

主要是通过更改ARP 缓存的内容达到攻击的目的的。由于ARPCache中存有IP与麦金塔地址的映射信息，若黑客更改了此信息，则发送到某一的数据包就会被发送到黑客指定的主机上。

DNS欺骗

是一种更改DNS服务器中主机名和正P地址映射表的技术。当黑客改变了DNS服务器上的映射表后，客户机通过主机名请求浏览时，就会被引导到非法的服务器上。WWW 欺骗也是通过更改映射关系从而达到攻击的目的的，它不是更改DNS映射，而是更改 Web 映射。当客户机通过正地址浏览时，就会被引导到非法的 Web服务器上，打开非法的网页。

拒绝服务攻击

拒绝服务（Denial OfService，dos）攻击是一种很简单有效且具有破坏性的网络攻击方式。其主要目的是对网络或服务器实施攻击，使其不能向合法用户提供正常的服务。DOS攻击主要有两种攻击方式：网络带宽攻击和连通性攻击。网络带宽攻击是用极大的通信量冲击网络，消耗尽所有可用的网络带宽资源，造成网络系统瘫痪，即使是合法用户的正常请求也不能通过，连通性攻击是指用大量的连接请求冲击主机，消耗尽该主机的系统资源，使系统暂时不能响应用户的正常请求。尽管攻击者不可能得到任何的好处，但拒绝服务攻击会给合法用户和站点的形象带来较大的影响。

密码窃取攻击

密码窃取攻击是指黑客通过窃听等方式在不安全的传输通道上截取正在传输的密码信息或通过猜测甚至暴力破解法窃取合法用户的账户和密码。这是一种常见的而且行之有效的网络攻击手段。黑客通过这种手段，在获取合法的用户账户和密码等信息后，就可成功登录系统。

邮件炸弹

邮件炸弹是指反复收到大量无用的电子邮件。过多的邮件会加剧网络的负担，消耗大量的存空间，造成邮箱的溢出，使用户不能再接收任何邮件，导致系统日志文件变得十分庞大，甚至造成文件系统溢出；同时，大量邮件的到来将消耗大量的处理时间，妨碍系统正常的处理活动。

病毒攻击

病毒对计算机系统和网络安全造成了极大的威胁，网络为病毒快速的传播提供了条件。毒破坏轻者是恶作剧，重者不仅破坏数据，使软件的工作不正常或瘫痪，而且可能破坏硬件系统。

为了避免系统遭受病毒的攻击，不仅应定期地对系统进行病毒扫描检查，而且还须对病毒的入侵做好实时的监视，防止病毒进入系统，彻底避免病毒的攻击。

过载攻击

过载攻击是使一个共享资源或者服务处理大量的请求，从而导致无法满足其他用户的请求。过载攻击包括进程攻击和磁盘攻击等几种方法。

后门攻击

后门攻击是指入侵者绕过日志，进入被入侵系统的过程。常见的后门有：调试后门、管理后门、恶意后门、Login后门、服务后门、文件系统后门、内核后门等。

节点攻击

攻击者在突破一台主机后，往往以此主机作为根据地，攻击其他主机。他们能使用网络监听方法，尝试攻破同一网络内的其他主机，也能通过IP欺骗和主机信任关系，攻击其他主机。

按攻击位置分类

远程攻击

指外部攻击者通过各种手段，从该网络以外的地方向该网络或者该网络内的系统发动攻击。远程攻击的时间一般发生在目标系统当地时间的晚上或者凌晨时分，因为这个时间段网络内的用户和管理人员都很少，是网络内最疏于防范安全警戒能力最低的时候。另外，远程攻击发起者一般不会用自己的机器直接发动攻击，而是通过跳板的方式，对目标进行迁回攻击，以迷惑系统管理员，防止暴露真实身份。

本地攻击

指本单位的内部人员，通过所在的局域网或子网络，向本单位的其他系统或上一层主干网络发动的攻击。在本机上进行非法越权访问的行为也属于本地攻击。本地攻击也可能是远程攻击以跳板的形式对本地系统发动的攻击。

伪远程攻击

是指内部人员为了掩盖攻击者的身份，从本地获取目标的一些必要信息后，从外部远程发起攻击过程，造成外部人侵的现象，从而使追查者误以为攻击者是来自外单位。

攻击步骤

黑客的网络攻击阶段可以根据不同的模型和描述有所差异，但通常都包括侦查与信息收集、扫描与漏洞发现、攻击与权限获取、维持与后门植入以及痕迹清除与隐匿等关键步骤。黑客隐藏自己会使用代理服务器、VPN、Tor网络、匿名操作系统（Tails和whonix）、或社会工程学欺骗、诱导目标从事某些行为。匿名代表多层加密和多级代理。

侦查与信息收集阶段

开放源情报收集：通过搜索引擎、社交媒体、论坛等公开渠道获取目标的基本信息，如姓名、地址、手机号码等。

被动信息收集：利用监听、嗅探等技术手段，获取目标的网络活动信息，如IP地址、开放端口、操作系统版本等。

主动信息收集：通过漏洞扫描、端口扫描等技术手段，主动获取目标主机的漏洞情况和开放端口信息。

扫描与漏洞发现阶段

网络扫描：使用工具如Nmap进行端口扫描、服务扫描等，以发现目标网络中可能存在的弱点。

漏洞扫描器：利用漏洞扫描器（如OpenVAS、Nessus等）对目标系统进行全面扫描，识别已知的安全漏洞。

渗透测试：通过模拟黑客攻击，对目标系统的安全性进行评估，发现潜在的安全隐患。

攻击与权限获取阶段

漏洞利用：根据扫描阶段发现的漏洞，利用相应的漏洞利用工具或编写自定义的exploit代码，对目标系统进行攻击，以获取系统权限。

密码破解：使用暴力破解、字典攻击等技术手段，尝试破解目标系统的登录密码。

社会工程学：通过欺骗、伪装等手段，诱骗目标用户泄露敏感信息，如登录凭证、验证码等。

维持与后门植入阶段

后门植入：在目标系统中植入后门程序，如特洛伊木马、远程控制软件等，以便在需要时能够重新进入系统。

数据窃取：利用已获取的权限，窃取目标系统中的敏感数据，如用户信息、财务记录等。

横向移动：在目标网络中横向扩散，探测其他主机，以获取更多的敏感信息和权限。

痕迹清除与隐匿阶段

痕迹清除：删除访问日志、修改系统时间、干扰入侵检测系统等，以清除入侵痕迹，避免被发现。

隐匿身份：使用代理服务器、VPN、伪造IP地址等技术手段，隐匿自己的真实身份和攻击来源。

反取证技术：采用数据隐藏、加密通信、混淆代码等技术，增加取证难度，防止被追踪和追责。

攻击工具

DoS和DDoS攻击

分布式拒绝服务（DDoS)）攻击类似于DoS攻击，因为它同样试图耗尽系统的资源。DDoS攻击由感染了流氓软件并被黑客控制的大量主机发起。dos攻击会使目标站点被非法请求淹没。DoS和DDoS攻击不同于其他类型的网络攻击，具体体现为：其他类型的网络攻击使黑客能够访问系统或提升他们当前拥有的访问权限，黑客可以直接通过这些类型的攻击获益；而DoS和DDoS网络攻击的目标只是中断目标服务的有效性。

恶意软件

恶意软件是受害者在不知情的情况下安装并感染其设备的恶意软件。网络犯罪分子使用各种社会工程技术在设备上安装恶意软件。例如，恶意软件可能会通过网络钓鱼企图或错误下载包含恶意内容的不信任文件（如软件、游戏和电影）来安装在您的设备上。一旦网络犯罪分子成功地用恶意软件感染您的设备，他们就能危及您的隐私并窃取您的敏感信息。恶意软件有很多不同类型，例如勒索软件、特洛伊木马和间谍软件，至少有10种以上。

Web攻击

Web攻击是指针对基于Web的应用程序中的漏洞的威胁。您每次在Web应用程序中输入信息时，都会启动一个命令，而命令会生成响应。例如，如果您使用网上银行应用程序向某人汇款，则您输入的数据会指示该应用程序进入您的账户，取出钱并将钱汇到收款人的账户。黑客根据这种请求的框架进行谋划，利用它们谋取利益。黑客对WEB攻击的OWASP Top 10。参数篡改涉及调整程序员作为安全措施实施的参数，这些参数旨在保护特定操作。操作的执行取决于参数中输入的内容。黑客只需更改参数，即可绕过依赖于这些参数的安全措施。

SQL注入式攻击

结构化查询语言（SQL)）注入是一种常见的攻击，这种攻击利用依赖数据库为用户服务的网站。客户端是从服务器获取信息的计算机，SQL攻击利用从客户端发送到服务器上数据库的SQL查询。命令被插入或“注入”到数据层，取代通常会传输到数据层的其他内容（例如密码或登录名）。然后，数据库所在的服务器运行命令，导致系统被渗透。如果SQL注入成功，可能造成的后果包括：敏感数据泄露；重要数据被修改或删除。此外，攻击者可以执行管理员操作（例如关机命令）来中断数据库的功能。

XSS攻击

在XSS（跨站脚本）攻击中，攻击者会利用将被发送到目标浏览器的可点击内容传输恶意脚本。当受害者点击这些内容时，脚本将被执行。由于用户已经登录到Web应用程序的会话，因此Web应用程序会认为用户输入的内容是合法的。但是，执行的脚本已被攻击者修改，从而导致“用户”执行无意识的操作。例如，XSS攻击可以更改通过网上银行应用程序发送的转账请求的参数。在伪造的请求中，预期收款人的姓名被替换为攻击者的姓名。攻击者还可以更改转账金额，从而获得更多金钱。

密码攻击

密码攻击是指网络犯罪分子试图通过猜测或使用程序来猜测您的凭证来获得对您的敏感信息的未经授权的访问。不良密码习惯（例如使用弱密码或在多个账户中重复使用密码）会使受害者容易受到这些类型的攻击。黑客可以直接猜测用户的密码，尤其是如果用户使用默认密码或容易记住的密码，例如“1234567”。例如，黑客可以任意组合使用目标的姓名、出生日期、周年纪念日或其他具有辨识度的个人信息来破解密码。用户在社交媒体上发布的信息也可被用于暴力密码攻击。有时，个人会将自己的兴趣爱好、宠物的名字或孩子的名字用于设置密码，这使得密码很容易被暴力黑客猜到。黑客还可以使用字典攻击来确定用户的密码。字典攻击使用常用字词和短语（例如，字典中列出的字词和短语）来猜测目标的密码。

密码攻击有多种方法，包括：

暴力攻击：暴力攻击是一种使用试错方法来猜测您的登录凭证来访问您的账户的有力尝试。

凭证填充：凭证填充利用一组暴露的凭证来试图一次访问多个账户。这种类型的攻击中大多数成功的入侵都是由于多个帐户重复使用密码。

密码喷洒：密码喷洒是指网络犯罪分子对许多用户账户进行少量常用密码尝试，以试图获得未经授权的访问。

字典攻击：在字典攻击中，网络犯罪分子会利用常用短语和单词的单词列表来入侵受害者的凭证，并危及他们的账户。受害者通常是那些在密码中使用常用短语和字典单词的人。

生日攻击：“生日攻击”这个名称来源于生日悖论；生日悖论是指在23人中至少有两人生日相同的概率大于50%。因此，虽然人们认为自己的生日是独特的，但其实每个人的生日并没有他们本人想象中那么独特。

供应链攻击

供应链攻击是指网络犯罪分子在组织的供应链中创建或利用漏洞，其恶意目的是访问其专用网络和数据。这些攻击针对的是第三方供应商，而不是受害者组织本身，这使得他们很难检测和防范。

在这种类型的攻击中，网络犯罪分子可能会向其整个客户群使用的供应商提供流氓软件。或者，网络犯罪分子可能会利用供应商客户使用的程序的软件代码中的现有漏洞。成功后，网络犯罪分子可能会危及企业的敏感信息 – 泄露重要的文件，例如客户记录、支付信息等。供应链攻击通常发生在软件、硬件和固件攻击中。

内部威胁

内部威胁会发生在组织内部，来自现有或以前的企业分支机构，例如员工、合作伙伴、承包商或供应商，并最终导致敏感信息和系统受到威胁。内部威胁可能是蓄意的，也有可能是无意的，具体取决于内部人员的意图以及其是否有同伙。他们通常可以访问各种系统，在某些情况下还具有管理权限，能够对系统或系统的安全策略进行重要更改。此外，公司内部人员通常对公司的网络安全架构以及公司如何应对威胁有深入的了解。对这些情况的了解有助于他们获取受限区域访问权限，更改安全设置，或者推断进行攻击的最佳时机。这些攻击可能会导致数据泄露、经济损失和声誉损失，甚至可能产生法律后果。这些威胁通常可以通过数字和行为指标检测到。

中间人攻击

中间人（MITM）网络攻击是指黑客利用网络安全漏洞来窃取两个人、两个网络或两台计算机之间来回发送的数据。这些攻击之所以称为“中间人”攻击，是因为黑客将自己置于想要沟通的两方的“中间”。实际上，黑客监视双方之间的互动。在MITM攻击中，双方当事人不会察觉到他们的沟通有何异常。他们不知道的是，在消息到达目的地之前，实际发送消息的人会非法修改或访问消息。这些攻击通常发生在公共WiFi等不安全的网络上。

窃听攻击是指黑客拦截通过网络发送的流量，企图收集用户名、密码和其他机密信息（例如信用卡信息）。窃听可以是主动的，也可以是被动的。主动窃听是指黑客在网络流量路径中插入软件，以收集信息进行分析，从中获得有用的数据。被动窃听攻击的不同之处在于，黑客“监听”或窃听传输过程，希望找到可窃取的有用数据。主动窃听和被动窃听都属于MITM攻击。

会话劫持是多种MITM攻击之一。在这种攻击中，黑客接管客户端和服务器之间的会话。用于攻击的计算机用自己的互联网协议（IP)）地址取代客户端计算机的IP地址，服务器则继续会话，毫不怀疑正在与其通信的是黑客而不是客户端。这种攻击很容易得逞，因为服务器使用客户端的IP地址来验证客户端的身份。如果黑客的IP地址在会话过程中被插入，则服务器可能不会怀疑存在漏洞，因为它已经建立了可信的连接。

网络钓鱼攻击

网络钓鱼攻击是指恶意黑客发送貌似来自可信合法来源的电子邮件，试图从目标获取敏感信息。网络钓鱼攻击结合了社交工程和技术，之所以叫这个名字，因为黑客实际上通过使用貌似可信的发送者作为“诱饵”来“钓获”禁区访问权限。它通过编造虚假的叙述来欺骗受害者泄露敏感信息，从而使网络罪犯合法化。不良行为者会将自己伪装成受害者熟悉的发件人，如朋友、同事、经理或公司。

为了执行这种攻击，不法分子可能会发送链接，将您带到某个网站，然后诱骗您下载流氓软件（例如病毒）或者向黑客提供您的私人信息。在许多情况下，目标可能不会意识到自己受到了攻击，没有人怀疑存在恶意活动，这使得黑客可以继续攻击同一组织中的其他人。

鲸钓攻击之所以叫这个名字，是因为它的攻击对象是组织中的“大人物”——通常包括高管或其他管理者。这些个人很可能拥有对黑客有价值的信息，例如，关于企业或其运营情况的专有信息。如果被攻击的“大人物”下载了勒索软件，他们更有可能支付赎金，以防止他们被成功攻击的消息泄露出去，避免他们本人或其组织的声誉受损。

鱼叉式网络钓鱼是指特定类型的有针对性的网络钓鱼攻击。黑客会花时间研究其预期目标，然后编写可能会使目标觉得与其个人相关的消息。这种攻击被贴切地称为“鱼叉式”网络钓鱼，因为黑客以某种方式攻击某个特定目标。消息看起来是合法的，因此很难发现鱼叉式网络钓鱼攻击。

通常，鱼叉式网络钓鱼攻击使用电子邮件欺骗，电子邮件的“发件人”部分的信息是假的，使电子邮件看似来自不同的发件人。这个假的发件人可能是目标信任的人，例如，社交网络上认识的人、好友或业务合作伙伴。黑客还可能使用网站克隆使通信看起来合法。通过网站克隆，黑客复制合法的网站，让受害者放下戒备。于是，受害者认为网站是真实的，然后放心地输入自己的私人信息。

DNS欺骗

通过域名系统（DNS）欺骗，黑客可以更改DNS记录，将流量发送到虚假或“假冒”网站。进入诈骗网站后，受害者可能会输入敏感信息，这样黑客就有机会利用或出售这些信息。黑客还可能会构建包含贬损性或煽动性内容的劣质网站，以诋毁竞争对手公司。在DNS欺骗攻击中，黑客会设法让用户认为他们访问的网站是合法的。这样，黑客就能以清白无辜的公司的名义实施犯罪——至少网络访客是这样认为的。

基于身份的攻击

攻击者通过冒充合法用户或窃取用户身份来非法访问系统或数据。基于身份的攻击也称为冒充攻击或身份盗用，是指网络犯罪分子利用他人的身份来欺骗他人，或获得敏感信息和对系统的访问权限。网络犯罪分子通过窃取个人的个人数据并入侵他们的在线账户来进行基于身份的攻击。可以用被窃的身份信息进行的攻击的例子包括：以受害者的名义开信用卡、窃取失业救济金、进入银行账户以及将受害者的房屋所有权转移到自己名下。

路过式攻击

在路过式攻击中，黑客将恶意代码嵌入到不安全的网站。当用户访问嵌入了恶意代码的网站时，脚本会在用户的计算机上自动执行，感染计算机。这种攻击之所以称为“路过式攻击”，是因为受害者只要“路过”恶意网站就会被感染，即使他们没有点击网站上的任何内容或输入任何信息。

物联网攻击

物联网攻击通过智能设备（如智能电视、智能灯泡和其他需要互联网连接的实物）发起。网络犯罪分子利用这些设备来访问您的网络，因为大多数受害者并没有对这些设备采取相同的网络安全标准。一旦网络犯罪分子获得了物联网设备的访问权限，他们就能窃取您的数据并入侵您的网络。

应对策略

针对性应对

DOS和DDoS防御

网络带宽扩容与流量清洗，使用专业的DDoS防护服务或硬件设备；智能路由与负载均衡，将攻击流量导向黑洞或其他可以吸收攻击的地方；建立IP黑名单，阻断已知攻击源，优先保证白名单内的流量正常访问；对服务器操作系统和网络设备的协议栈进行加固，修复已知漏洞，减少协议层攻击；部署IPS、IDS安全设备，实时监测与应急响应；建立应急预案，发生DDoS攻击时能快速启动防御机制。

恶意软件防御

在计算机上安装防病毒软件，并定期更新；在网络边界部署防火墙、防毒墙等安全设备提升安全性；谨慎点击邮件附件或URL链接；使用SSL工具检查网站安全性，避免访问未知或可疑网站；及时打补丁以修复漏洞，并遵循最佳网络安全实践；定期更新操作系统和应用程序补丁，使用强密码、限制管理员权限等；

Web攻击防护

部署Web应用防火墙（WAF）；系统定期更新应用程序和所有相关组件，及时安装安全补丁，遵循最小化权限原则；使用SSL/TLS证书对网站进行加密，对存储在服务器上的敏感数据（如用户密码、数据库凭据等）进行加密处理；实施强密码策略，为敏感账户启用多因素认证，配置访问控制列表；部署入侵检测和预防系统（IDS/IPS），制定应急响应计划；定期组织安全意识培训和模拟攻防演练；实施安全的编码标准，确保开发人员在编写代码时遵循最佳安全实践；定期对系统进行安全审计，以发现可能存在的漏洞和弱点并及时修复。

SQL注入防护

使用参数化查询或预编译语句：通过将用户输入作为参数传递给SQL语句，而不是直接拼接到SQL语句中，可以确保输入被正确转义，并且不会被解释为SQL代码的一部分；对所有用户输入进行严格的验证，确保它们符合预期的格式、类型和长度。拒绝或清理不符合规则的输入，特别是那些包含SQL注入特征的输入（如单引号、双引号、分号等）；对象关系映射（NHibernate）框架通常内置了防止SQL注入的机制，通过自动处理数据查询和持久化，减少了直接编写SQL的需要；确保数据库连接或用户账户仅拥有完成其任务所需的最小权限。这限制了即使攻击者成功注入SQL代码，他们所能造成的损害范围；遵循安全编码规范，避免在代码中直接拼接用户输入和SQL语句。使用安全的函数或库来处理用户输入。

XSS防护

对所有用户输入的数据进行严格验证，确保其符合预期的数据类型、长度和格式。拒绝或清理不符合规范的输入，防止恶意代码被注入；对可能导致HTML或ECMAScript代码执行的特殊字符（如\u003c、\u003e、\u0026、"等）进行严格的过滤或转义处理；在将用户输入的数据输出到HTML页面时，应使用HTML实体编码（如将\u003c转换为\u0026lt;，将\u003e转换为\u0026gt;等），以防止恶意脚本被浏览器解析和执行；对于用户输入中可能作为URL参数的部分，应进行URL编码，以防止攻击者利用URL进行XSS攻击；使用安全HTTP头部，设置HttpOnly和Secure标记的Cookie：将Cookie设置为HttpOnly属性，这样ECMAScript就无法访问它，从而防止攻击者通过XSS攻击窃取Cookie。

密码攻击防护

密码应包含大写字母、小写字母、数字和特殊字符，并且长度应足够长（一般建议至少8位）。避免使用容易被猜到的信息作为密码，如生日、电话号码、常见单词等；在用户身份验证过程中，除了输入正确的用户名和密码外，还要求用户提供第二种或更多种不同的证明信息，如手机验证码、指纹识别、面部识别等。这可以大大提高账户的安全性；设置账户登录尝试次数的限制，当连续多次登录失败时，账户将被锁定一段时间或需要进行额外的验证步骤。这可以防止暴力破解攻击；定期更换密码可以降低密码被盗用的风险。建议用户每隔一段时间（如每三个月）更换一次密码。

供应链攻击防护

企业应加强对员工的安全意识培训，使员工了解供应链攻击的风险和防范措施，同时要求供应链伙伴也建立健全的信息安全管理制度，并对员工进行定期的安全培训，确保整个供应链的安全意识得到提升；建立供应商评估和审查制度，对供应商进行定期的安全检查，确保他们的安全措施得到有效实施；在与供应链伙伴之间的数据传输和存储过程中，应采用加密技术，保障数据的安全性，防止被黑客窃取或篡改，确保供应链中的通信协议都采用了安全的标准和加密方法，如HTTPS、SSL/TLS等；实施最小特权原则，为员工和合作伙伴提供最基本的工作权限，限制他们对敏感数据和系统的访问权限，以降低供应链被攻击的风险。

内部威胁防御

限制员工的敏感系统访问权限，仅允许在工作上有需要的员工访问敏感系统；对需要访问敏感系统的人使用多重身份验证，要求他们至少提供自己知道的一件事以及拥有的一件东西，才能访问敏感系统。例如，用户可能必须输入密码并插入USB设备。在其他配置中，访问号码在用户需要登录的手持设备上生成。只有密码和号码都正确时，用户才能访问安全区域。

对于涉及敏感信息的岗位，企业应与员工签订保密协议，明确员工在离职或转岗时需承担的保密责任；部署安全监控系统，实时监测员工的网络访问行为，及时发现异常操作。同时，建立完善的审计机制，对关键操作进行记录和分析；对存储在服务器上的敏感数据进行加密处理，防止未经授权的人员获取数据。加密技术包括对称加密、非对称加密等，可以根据数据的敏感程度和需求选择合适的加密方。

中间人攻击防护

采用SSL/TLS等加密协议，确保通信内容在传输过程中被加密。这样，即使攻击者截获了数据，也难以解密，从而保护通信内容的机密性和完整性；在网页浏览等场景中，使用HTTPS代替HTTP，确保数据传输过程中的加密和完整性校验；在建立加密连接时，客户端应验证服务器的证书和域名，确保连接的是正确的服务器，而不是攻击者伪造的服务器。这可以通过检查证书颁发机构（CA）的签名、证书的有效期、证书的域名等信息来实现。

网络钓鱼攻击防御

网络钓鱼防御需要综合考虑用户、技术、管理和应急响应等多个方面。通过提高用户警惕性、加强技术防护、完善管理制度以及提升应急响应能力等措施，可以有效地降低网络钓鱼攻击的风险和危害，重点：仔细检查电子邮件所有字段的详细信息，并确保用户不会点击任何无法验证其目标合法的链接。

DNS欺骗防护

企业应优先考虑使用知名且信誉良好的DNS服务提供商，这些服务商通常拥有强大的安全防护机制和快速的响应能力，能够及时发现并抵御潜在的DNS欺骗攻击，也可以考虑部署本地的DNS服务器，以减少对外部DNS服务的依赖，提高DNS解析的安全性和稳定性；DNSSEC是一种为DNS提供数据完整性和来源认证的安全机制。通过启用DNSSEC，可以对DNS查询结果进行加密签名和验证，确保用户接收到的DNS信息未被篡改；DNS over HTTPS（DoH）或DNS over TLS（DoT）：使用这些加密技术来加密DNS请求和响应，可以防止中间人攻击，进一步提升DNS通信的安全性。

基于身份的攻击防护

除了传统的用户名和密码认证外，增加额外的认证因素，如手机验证码、指纹识别、面部识别等，提高身份认证的复杂性和安全性；要求用户设置复杂且难以猜测的密码，并定期更换密码。同时，系统应提供密码强度检测功能，确保用户密码的安全性；实施严格的权限管理制度，确保每个用户只能访问其需要的数据和服务，避免权限滥用；使用安全的会话管理机制，如HTTPS协议，确保用户会话的安全性。同时，限制会话持续时间，并在会话结束后及时清理会话信息。

路过式攻击防护

用户应确保在计算机上运行最新的软件，包括在上网时可能需要使用的应用程序，例如Adobe Acrobat和Flash。此外，您可以使用网页过滤软件，这种软件能够在用户访问网站之前检测网站是否安全。

物联网防御

确保设备具有强大的身份验证和访问控制机制，如使用强密码、多因素认证等；定期进行安全漏洞扫描和修复，确保设备的安全性得到及时更新；定期更新路由器、交换机等网络设备的操作系统和固件，以修复已知的安全漏洞；禁用不必要的network service和协议，如HTTP、SNMP等，减少潜在的攻击面；使用IPSec、TLS等加密协议对物联网设备之间的通信进行加密，防止数据在传输过程中被窃取或篡改；对物联网设备产生的敏感数据进行加密存储和传输，确保数据在存储和传输过程中的安全性。

整体性应对

建立健全的网络安全政策

网络安全政策可作为企业为提高网络安全效率而采取的所有措施的正式指南。正确的策略可帮助安全专家和员工达成一致，并描述基本的全公司信息安全实践。

保护企业的周边和物联网连接

由于远程工作、云环境和物联网设备显著名扩大了攻击面，当今企业的边界远远超出了防火墙和DMZ的范围。物联网呈上升趋势——物联网市场预计将从2021年的约3840亿美元增长到2027年的约5670亿美元。安全摄像头、门铃、智能门锁、供暖系统和办公设备——其中许多都连接到互联网，可以用作潜在的攻击媒介。例如，受损的打印机可能允许恶意分子查看所有打印或扫描的文档。

考虑通过保护边界路由器和建立屏蔽子网来保护企业周边。为了增强企业数据库的安全性，还可以将敏感数据与企业网络隔离并限制对此类数据的访问。企业可以将防火墙、VPN等传统保护措施与零信任模型相结合来保护自己。基于从不信任、始终验证的概念，零信任要求不断验证企业中的用户和设备，以防止未经授权访问用户的个人数据。

教育和监控企业员工

以技术为中心的网络安全方法不足以确保全方位保护，因为黑客经常利用人作为切入点。根据Verizon的2023年数据泄露调查报告，74%的泄露涉及人为因素。以人为本的方法可以帮助减少与人相关的风险。在以人为本的安全中，一个重要的边界是工人本身。对于以人为本的安全环境，教育和监控员工是需要考虑的主要事项。

控制对敏感数据的访问

默认情况下授予员工许多权限允许他们访问敏感数据，即使他们不需要。这种方法增加了内部威胁的风险，并允许黑客在破坏员工帐户后立即访问敏感数据。应用最小权限模型（也称为最小权限原则）是一个更好的解决方案。这意味着为每个用户分配尽可能少的访问权限，并且仅在必要时提升权限。如果不需要访问敏感数据，则应撤销相应的权限。

除了最小权限原则和零信任模型之外，即时访问管理方法还可以更精细地控制用户权限。这种方法意味着根据要求在特定时间和正当理由下向员工提供访问权限。企业还可以结合这些访问管理技术。考虑特别注意对基础设施的远程访问。确保远程员工的安全需要采取多种措施相结合，例如提高远程员工操作的可见性以及正确配置网络。

明智管理密码

员工凭据使网络犯罪分子可以直接访问企业敏感数据和有价值的业务信息。暴力攻击、社会工程和其他方法可用于在员工不知情的情况下危及员工的凭据。如何防止暴力攻击和其他威胁，企业可以使用专门的密码管理工具来控制员工的凭据，从而降低帐户泄露的风险。优先选择提供无密码身份验证、一次性密码和密码加密功能的密码管理工具。如果仍然信任员工管理自己的密码，请考虑将以下建议添加到网络安全策略中：为每个帐户使用不同的密码；拥有单独的个人帐户和商业帐户；使用特殊符号、数字和大写字母创建冗长的密码；使用助记符或其他策略来记住长密码；使用密码管理器和生成器；切勿与其他员工共享凭据在以下位置更改密码至少每三个月一次。

监控特权用户和第三方用户的活动

有权访问基础设施的特权用户和第三方拥有一切手段来窃取敏感数据而不被注意。即使这些用户没有恶意行为，他们也可能无意中造成网络安全漏洞。为了降低特权用户和第三方带来的风险，请考虑采取以下措施：保护敏感数据的最有用方法是监控组织IT环境中特权用户和第三方用户的活动。用户活动监控可以帮助用户提高可见性、检测恶意活动并收集证据以进行取证调查。

管理供应链风险

企业的供应商、合作伙伴、分包商、供应商和有权访问企业资源的其他第三方可能容易受到供应链攻击。根据供应链状况报告显示，仅2023年就检测到245,000起软件供应链攻击，是2019年至2022年整个期间的两倍。在供应链攻击中，网络犯罪分子会渗透或破坏供应商之一，并利用其进一步升级供应链下游的攻击，这可能会影响企业。在solarwinds黑客攻击期间，网络犯罪分子通过在Solarwinds软件更新中插入恶意软件，成功访问了数千个组织的网络和数据。

加强数据保护和管理

如何管理业务数据对于企业的隐私和安全至关重要。企业可以首先在数据管理策略中记录信息管理流程。考虑描述数据的收集、处理和存储方式、谁有权访问数据、存储在何处以及何时必须删除。在数据保护政策中概述数据保护措施也很重要。考虑围绕信息安全的关键原则构建数据保护措施：机密性 — 保护信息免遭未经授权的访问；完整性 — 确保未经授权的用户无法在数据生命周期的任何阶段修改数据；可用性 — 确保授权用户始终可以访问他们需要的数据。

高德纳咨询公司概述了可用于实施这些原则的四种关键数据网络安全技术：信息安全最佳实践还包括实施内部风险管理和数据丢失防护解决方案来管理数据安全风险。托管文件传输平台可以帮助您与第三方安全地交换数据。

采用生物识别安全

生物识别技术可确保快速身份验证、安全访问管理和精确的员工身份识别。生物识别技术是在提供对宝贵资产的访问权限之前验证用户身份的可靠方法，这对于企业的安全至关重要。这就是生物识别市场快速增长的原因：生物识别技术提供比密码更可靠的身份验证，这是因为它们经常用于多重身份验证（MFA)）。然而，身份验证并不是生物识别技术的唯一用途。安全员可以应用各种生物识别驱动的工具来实时检测受损的特权帐户。

行为生物识别对于确保用户活动的安全特别有用，因为它允许企业分析用户与输入设备交互的独特方式。如果检测到异常行为，安全人员可以收到通知，以便他们立即做出反应。分析用户活动的用户和实体行为分析（UEBA)）系统采用以下行为生物识别因素：击键动态 — 监控打字速度以及在某些单词中犯典型错误的倾向，以创建用户行为档案；鼠标动态 — 跟踪单击之间的时间以及光标移动的速度、节奏和风格。

使用多重身份验证

多重身份验证通过添加额外的安全层来帮助企业保护敏感数据。激活MFA后，恶意分子即使拥有密码也无法登录。他们仍然需要其他身份验证因素，例如手机、指纹、语音或安全令牌。虽然MFA看似简单，但它是最好的网络安全保护方法之一，并且受到大多数网络安全要求的强制要求，包括通用数据保护条例 (GDPR)、支付卡行业数据安全标准（PCI DSS)）和SWIFT客户安全计划（CSP）。谷歌和Twitter等科技巨头敦促其用户采用MFA。除此之外，MFA允许区分共享帐户的用户，从而提高用户的访问控制能力。

定期进行网络安全审计

定期进行审核可以帮助评估企业的网络安全状态并根据需要进行调整。在审核期间，用户可以检测到：网络安全漏洞，合规差距，员工、特权用户和第三方供应商的可疑活动；审计的质量取决于不同来源的数据的完整性：审计日志、会话记录和元数据。

简化技术基础设施

部署和维护大量工具既昂贵又耗时。此外，资源要求较高的软件可能会减慢企业的工作流程。采用一种或几种包含所有必要功能的综合解决方案。这样，可简化企业的安全基础设施。如果用户还想降低成本和响应时间，请确保选择的解决方案集成了企业需要的所有工具。

发展趋势

中国计算机学会（中国计算机学会夏培肃奖）计算机安全专委会来自国家网络安全主管部门、高校、科研院所、国有企业及民营企业界的专家学者，投票评选出了2024年网络安全十大发展趋势。

人工智能安全技术

人工智能（AI）技术是当前科学与工程研究的一大热点，以ChatGPT为代表的生成式人工智能技术带来了通用人工智能（AGI）的曙光。随着人工智能技术在众多领域的深入应用，网络安全和数据安全的问题也日益突出。网络攻击的方式和手段，在人工智能技术的推动下也在不断演变，呈现出分布式、智能化和自动化的特点；与此同时，人工智能训练和应用过程中，会遇到数据非法获取、数据滥用、算法偏见与歧视以及敏感数据泄露等安全问题。2023年11月，包括中国、美国与欧盟在内的28个国家代表，在全球首届AI安全峰会中签署了《布莱切利宣言》，一致同意加强国际合作，建立面向人工智能的监管框架。在这种背景下，人工智能安全技术正在被全球监管机构、行业参与者和工业界持续关注和积极参与。

网络安全基础设施和公共安全服务

国内外学界已经不断就网络安全的公共服务属性进行深入讨论，并逐步扩大了将网络安全视为社会公共服务观点的影响力。在数字技术不断重塑经济和社会的背景下，网络安全的公共安全属性、非排他性和外部性不断凸显。面对迅速蔓延的网络安全威胁，单靠传统的网络安全责任机制加市场化供应模式，已逐渐难以有效应对网络安全治理问题。因此，借鉴公共安全治理模式以推进网络安全公共安全服务机制的形成变得极为重要。展望2024年，网络安全基础设施作为国家安全体系的基础组成部分，其协同运作的模式预计将得到进一步加强，而网络安全的公共服务化也将成为网络空间治理的新趋势和新模式。

生成式人工智能在网络安全领域应用

2023年3月，微软公司宣布推出Microsoft 证券 Copilot，作为生成式人工智能在网络安全领域的一个典型代表，它能够利用大型语言模型的强大表达能力和专用安全模型的专业知识，实现对复杂多变的网络安全环境的深度理解和智能决策，生成适合的防御措施和修复方案，并自动执行或辅助专业人员完成相关任务。随着大语言模型与多模态技术的日益融合加速，预计生成式人工智能将在威胁检测与响应、自动化安全防护与修复、实时威胁情报与预测，以及自适应安全策略与防御、人机协同防御等多个方面发挥更大的作用。2024年，预计生成式人工智能技术将在网络安全领域得到广泛应用并初步展现其显著效能。

供应链安全管理

随着经济全球化和信息技术的快速发展，网络产品和服务的供应链已演变为全球性的复杂网络结构。供应链安全问题已不仅限于产品范畴，而是波及到整个供应链的各个环节。统计显示，2023年，受供应链安全威胁和风险攻击的比例高达所有网络攻击的一半，同比增长78%，而专业人士中有高达80%的人预计，在未来三年内，供应链攻击将成为企业面临的最大网络威胁之一。随着关键信息基础设施安全保护条例、网络安全审查办法等相关法律法规的制定和施行，对供应链安全提出了更高标准的规定与要求。在数字化转型的大背景下，供应链安全不仅关系到企业的正常运营和发展，也是国家的网络空间安全专业和社会稳定的基石。可以预见，随着安全技术的不断完善和发展，供应链安全管理的战略地位将日渐上升，其重要性也将更加凸显。

隐私计算

随着中华人民共和国网络安全法、中华人民共和国个人信息保护法、中华人民共和国密码法、中华人民共和国数据安全法、中华人民共和国民法典等多部与数据安全相关的法律法规落地实施，我国形成了较为完备的数据安全法律体系。在此体系基础上，隐私计算得到了政策和市场需求的双重推动，产业正处于快速增长阶段。尤其在数据要素加速开放共享的新形势下，隐私计算正成为支撑数据要素流通的核心技术基础设施。该领域的技术，如联邦学习、多方安全计算、可信执行环境等，在确保数据不泄漏、限定数据处理目的方面具有原生的优势。据预测，隐私计算将在2024年获得学术界与产业界更广泛的关注，并在相关技术研究中占据重要地位。

勒索软件的攻击

在全球经济发展不景气和地缘政治动荡的双重影响下，网络犯罪团伙持续涌入勒索软件攻击领域以掠取丰厚的非法利润。勒索软件攻击不仅危害个人用户的隐私和财产，还可能影响政府、医疗、教育等机构和企业的正常运行，甚至威胁到国家安全和社会稳定。随着勒索软件即服务（RaaS）运营模式不断成熟和勒索软件构件（IABs）的兴起，勒索软件的门槛和成本显著下降，勒索攻击活动更为猖獗。据2023年数据显示，全球共发生了4832起勒索软件攻击事件，较前一年增加了83%，且呈现出全球迅速扩散的趋势。展望2024年，网络安全将面临着严峻的挑战，随着黑客组织不断更新和改进攻击策略和技术，如智能化、多重勒索常态化等，新一代的勒索软件攻击会变得更加难以预防和处置。

高级持续性威胁（APT）攻击

在全球网络空间博弈日益激烈和国际局势不稳定的背景下，组织化程度高、策划及执行效率出众、目标针对性明确的网络攻击活动更为频繁。作为一种针对特定目标的复杂、隐蔽和持久的网络攻击手段，高级持续性威胁（APT）攻击近年来已演化为集各种社会工程学攻击与零日漏洞利用的综合体，成为了最严峻的网络空间安全专业威胁之一。据统计，2023年上半年， MITRE跟踪的138个APT组织中约有41个（约 30%）处于活跃状态，全年全球安全厂商共披露了30余个APT组织，表明APT活动呈现持续上升趋势。未来，APT攻防较量更趋复杂，同时APT事件的调查与应对趋向政治化，这无疑将在网络空间与现实地缘政治交融中构成新的风险点。

国产密码技术

密码技术作为我国网络与数据安全的战略性核心技术，是国家安全的基础支撑。得益于国家政策的有力支持，我国的密码技术始终保持持续发展势头，无论是在密码算法、密码芯片、密码产品还是密码服务等方面，均取得了重大的技术进展，逐步构建了一套相对完善的商用密码体系，并赢得了国际认可。近年来，在中华人民共和国网络安全法、中华人民共和国密码法、关键信息基础设施安全保护条例等政策法规的驱动下，我国密码行业正向着成熟与规范化方向稳步迈进。随着国家“十四五”规划及其他一系列促进数字化发展战略的深入实施，我们预计国产密码技术将在基础信息网络、关乎国计民生的重要信息系统、重要工业控制系统以及面向社会服务的政务信息系统中实现更为广泛的推广与应用。

关键信息基础设施保护

关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益。各行各业正逐渐意识到保护关键信息基础设施的重要性。随着相关国家政策和标准的实施推行，我国对于关键信息基础设施的保护工作将迎来新的发展格局。这些法规为相关产业带来了发展的新空间和商机。据预测，到2024年，我国对关键信息基础设施保护的需求将保持增长趋势，尤其在网络安全建设方面，国家重要行业及关键领域的资金投入预计将显著提升。

个人信息保护

随着网络技术的发展和普及，个人信息的收集、使用乃至滥用问题日益突出，个人信息保护不只关乎个人隐私权益，也事关国家安全层面，成为全球普遍关注的议题。自中华人民共和国个人信息保护法、数据出境安全评估办法、个人信息出境标准合同办法等个人信息保护相关法律法规发布施行，我国构建起较为完善的个人信息保护体系。2023年8月，国家网信办发布《个人信息保护合规审计管理办法（征求意见稿）》，进一步凸显出持续加强个人信息保护立法与监管的趋势。同时，加密技术、匿名化处理、人工智能和区块链等创新技术的应用，在识别和防范数据泄露和隐私侵犯方面也发挥着越来越重要的作用。随着法律法规的逐步完善、公众意识的提高和技术的发展，个人信息保护的力度预计将持续加强。

网络安全风险评估技术方法

风险评估程序

资产评估：确定需要保护的资源。

威胁评估：确定可能对资产造成危害的威胁。

弱点评估：确定资产及其所处环境中的弱点。

影响评估：确定资产受到威胁时可能造成的影响。

风险计算：依据威胁、弱点和影响等因素，计算出资产面临的风险值。

风险评估模型

风险评估模型包括定性和定量两种。定性评估模型通常用于判断风险的相对大小，而定量评估模型则可以精确计算风险值。

比较常见的定量评估模型有CVSS（Common Vulnerability Scoring System，通用漏洞评分系统）评估模型和DREAD评估模型。CVSS评估模型将漏洞分为攻击向量、攻击复杂度和影响范围三个维度，最终得出漏洞的风险值。DREAD评估模型则包括破坏性、复现性、扩散性、波及范围、可检测性五个要素，通过对每个要素进行评估，最终得出漏洞的风险值。

具体评估方法

资产信息收集：通过调查表形式，查询资产登记数据库，对被评估的网络信息系统的资产信息进行收集，以掌握被评估对象的重要资产分布。

网络拓扑发现：获取被评估网络信息系统的资产关联结构信息，进而获取资产信息。常见的网络拓扑发现工具有ping、traceroute以及网络管理综合平台。

漏洞扫描：自动搜集待评估对象的漏洞信息，以评估其脆弱性。一般可以利用多种专业的扫描工具，如Nessus、openvas、Metasploit等，对待评估对象进行漏洞扫描，并对不同的扫描结果进行交叉验证，形成扫描结果记录。扫描内容主要包括软件系统版本号、开放端口号、开启的network service、安全漏洞情况、网络信息共享情况、密码算法和安全强度、弱口令分布状况等。

人工检查：进行人工检查前要事先设计好检查表（CheckList），然后评估工作人员按照检查表进行查找，以发现系统中的网络结构、网络设备、服务器、客户机等所存在的漏洞和威胁。所有的检查操作应有书面的记录材料。

网络安全渗透测试：在获得法律授权后，模拟黑客攻击网络系统，以发现深层次的安全问题。主要工作包括目标系统的安全漏洞发现、网络攻击路径构造、安全漏洞利用验证等。

问卷调查：采用书面的形式获得被评估信息系统的相关信息，以掌握信息系统的基本安全状况。问卷一般根据调查对象进行分别设计，管理类调查问卷涵盖安全策略、安全组织、资产分类和控制、人员安全、业务连续性等，主要针对管理者、操作人员；技术类调查问卷主要包括物理和环境安全、网络通信、系统访问控制和系统开发与维护。

网络安全访谈：通过安全专家和网络系统的使用人员、管理人员等相关人员进行直接交谈，以考查和证实对网络系统安全策略的实施、规章制度的执行和管理与技术等一系列情况。

审计分析：包括侵害行为检测、异常事件监测、潜在攻击征兆发觉等。审计数据分析常常采用数据统计、特征模式匹配等多种技术，从审计数据中寻找安全事件有关信息。

入侵监测：利用入侵监测软件和设备进行监测，按照其用途来划分，可粗略分成主机入侵监测、网络入侵监测、应用入侵监测。

网络安全风险评估工具

Nessus：一款流行的漏洞扫描工具，可以扫描企业网络中存在的漏洞，并对其进行风险评估。与其他漏洞扫描工具相比，Nessus更加易于使用和配置。

openvas：一个开源的漏洞扫描工具，也可以自动执行漏洞扫描和风险评估。OpenVAS的最大优点是其强大的扩展性，可以通过丰富的插件对漏洞库进行更新。

Metasploit：一款流行的漏洞利用工具，既可以作为漏洞扫描器，也可以作为漏洞利用平台。Metasploit可以对漏洞进行详细的测试，以便确定漏洞是否可以被利用。

Wireshark：原名ethereal，是一个网络封包分析软件，可以截取网络封包，并尽可能显示出最为详细的网络封包资料。

Nmap：一款用于网络浏览或安全审计的免费开源工具。

Aircrack：一套用于破解WEP和WPA的工具套装，一般用于无线网络的密钥破解，从而非法进入未经许可的无线网络。

网络安全风险评估技术方法与工具多种多样，在实际应用中需要根据具体场景和需求灵活选择。同时，网络安全风险评估是一个持续的过程，需要定期进行以确保网络系统的安全性。

重点防范境外恶意网址和恶意IP

关联IP地址：38.165.82.8；归属地：美国/加利福尼亚州/圣何塞；威胁类型：僵尸网络；病毒家族：XorDDoS。

这是一种Linux僵尸网络病毒，主要通过内置用户名、密码字典进行Telnet和SSH暴力破解的方式扩散。其在加解密中大量使用了Xor，同时运用多态及自删除的方式随机生成进程名，可实现对网络设备进行扫描和对网络摄像机、路由器等IOT设备的攻击，攻击成功后，可利用僵尸程序形成一个僵尸网络，对目标网络发起分布式拒绝服务（DDos）攻击，造成大面积网络瘫痪或无法访问网站或在线服务。

关联IP地址：104.155.138.21；归属地：美国/艾奥瓦州/康瑟尔布拉夫斯；威胁类型：僵尸网络；病毒家族：XorDDoS。

关联IP地址：104.131.68.180；归属地：美国/新泽西州/克利夫顿；威胁类型：僵尸网络；病毒家族：MooBot。

这是一种Mirai僵尸网络的变种，常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵，攻击者在成功入侵设备后将下载MooBot的二进制文件并执行，进而组建僵尸网络并可能发起DDoS（分布式拒绝服务）攻击。

关联IP地址：104.131.68.180；归属地：美国/新泽西州/克利夫顿；威胁类型：僵尸网络；病毒家族：MooBot。

关联IP地址：173.208.162.39；归属地：美国/密苏里州/北堪萨斯城；威胁类型：后门；病毒家族：AsyncRAT。

该恶意地址关联多个AsyncRAT病毒家族样本，部分样本的MD5值为31bfa56bcd984d9a334a3006d3cc323d。该网络后门采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL，以及访问特定URL等。主要通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

恶意地址：

关联IP地址：23.20.239.12；归属地：美国/弗吉尼亚/阿什本；威胁类型：窃密；病毒家族：AmosStealer。

该恶意地址关联到AmosStealer病毒家族样本，部分样本的MD5值为9841c50833e3c05e74bffd97b3737d46。AmosStealer（也称为“Atomic Stealer”）是一种针对macOS系统的信息窃取恶意软件，能够窃取用户的登录凭证、浏览器数据、加密货币钱包信息等，该恶意软件通过伪装成合法软件或利用恶意广告（malvertising）进行传播。

恶意地址：34.58.66.17

归属地：美国/加利福尼亚州/山景城；威胁类型：后门；病毒家族：AsyncRAT。

该恶意地址关联多个AsyncRAT病毒家族样本，部分样本的MD5值为91aa773721ad37dc7205accac80dbf76。该网络后门采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL，以及访问特定URL等。主要通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

恶意地址：

关联IP地址：46.246.86.20；归属地：瑞典/斯德哥尔摩省/斯德哥尔摩；威胁类型：后门；病毒家族：NjRAT。

该恶意地址关联到NjRAT病毒家族样本，部分样本程序的MD5值为b28304414842bcacb024d0b5c70fc2ea。该后门是一种由C#编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell（远程命令执行）、访问特定 URL 及其它多种恶意控制功能，通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播，用于非法监控、数据窃取和远程控制受害者计算机。

恶意地址：serisbot.geek

关联IP地址：139.59.53.195；归属地：印度/卡纳塔克邦/班加罗尔；威胁类型：僵尸网络；病毒家族：Mirai。

这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。

参考资料

..2025-05-11

黑客对网络攻击的流程与手法（15类），如何防护各种网络攻击，你知道吗？.濮阳网警.2025-05-11

专家解读｜完善法律责任制度筑牢网络安全屏障.中国网信网.2025-05-11

..2025-05-11

2024 年预防网络攻击的 12 项网络安全最佳实践措施.微信公众平台.2025-05-11

中国计算机学会计算机安全专委会发布2024年网络安全十大发展趋势.新华社.2025-05-11

信息安全工程师网络安全风险评估技术方法与工具.内蒙古工业大学网络空间安全研究所.2025-05-11

重点防范境外恶意网址和恶意IP.湖北省互联网信息办公室.2025-05-11

专家:多国力推网络安全立法美颁4部法保护关键基础设施.中国网信网.2025-05-11

日本“主动网络防御”相关法案获众议院通过.百家号.2025-05-11

中华人民共和国网络安全法.中国网信网.2025-05-11

中方再次披露美情报机构对我网络攻击事件.环球时报.2025-05-11

美网络攻击我国某智慧能源和数字信息大型高科技企业事件调查报告.国家互联网应急中心CNCERT.2025-05-11

网络安全宣传周|这些真实案例可能就在身边发生.中国网信网.2025-05-11

CNCERT发现处置两起美对我大型科技企业机构网络攻击事件.国家互联网应急中心.2025-05-11

详情公布!西北工业大学遭美国国家安全局网络攻击.澎湃新闻.2025-05-11

2024年十大网络安全事件盘点.中共长沙市委党校(长沙行政学院).2025-05-11

简单百科

随机推荐

简介

定义

网络攻击的类型

主动攻击

欺骗

篡改

中断

被动攻击

网络窃听

流量分析

网络攻击溯源技术

按照网络攻击溯源的行为性质可将其分为主动溯源和被动溯源。

主动溯源

被动溯源

网络攻击溯源的4个迭代循环的步骤

产生假设

数据调查

识别溯源

自动化分析

攻击手段

获取口令

特洛伊木马

电子邮件攻击

网络监听

利用黑客软件进行攻击

安全漏洞攻击

缓冲区溢出攻击

高级持续性威胁

网络欺骗入侵

IP欺骗

ARP欺骗

DNS欺骗

拒绝服务攻击

密码窃取攻击

邮件炸弹

病毒攻击

过载攻击

后门攻击

节点攻击

按攻击位置分类

远程攻击

本地攻击

伪远程攻击

攻击步骤

侦查与信息收集阶段

扫描与漏洞发现阶段

攻击与权限获取阶段

维持与后门植入阶段

痕迹清除与隐匿阶段

攻击工具

DoS和DDoS攻击

恶意软件

Web攻击

SQL注入式攻击

XSS攻击

密码攻击

供应链攻击

内部威胁

中间人攻击

网络钓鱼攻击

DNS欺骗

基于身份的攻击

路过式攻击

物联网攻击

应对策略

针对性应对

DOS和DDoS防御

恶意软件防御

Web攻击防护

SQL注入防护

XSS防护

密码攻击防护

供应链攻击防护

内部威胁防御

中间人攻击防护

网络钓鱼攻击防御

DNS欺骗防护

基于身份的攻击防护