4.1 网络杀伤链与反杀伤链模型

美国军工企业洛克希德·马丁公司认为，网络攻击是利用网络存在的漏洞与安全缺陷，根据一系列计划流程实施的攻击活动。基于这一考虑，该公司于2011年提出了具有普适性的网络攻击流程与防御概念。这一网络攻击流程与防御概念参考军事上的“杀伤链”概念，使用了“网络杀伤链”一词。杀伤链是指从对军事目标的探测到破坏的整个处理过程，网络攻击也有类似的、连续的过程。若防御者能够成功阻止某一阶段的攻击，那么攻击者下一个阶段的攻击活动就会受到相应的限制。

网络空间的对抗正在成为高技术战争的一种日益重要的作战样式。洛克希德·马丁公司提出的网络杀伤链将网络攻击流程细分为侦察、武器化、散布、恶用、设置、命令与控制、目标达成等七个阶段 ^[1] 。

（1）侦察阶段：攻击者为达成目标，进行探测、识别及确定攻击对象（目标）的过程。在这个阶段，可通过网络收集与目标相关的情报。

（2）武器化阶段：通过侦察阶段确定目标后，准备网络武器的阶段。网络武器可由攻击者直接制造，也可利用自动化工具生成。

（3）散布阶段：将制造完成的网络武器向目标散布的阶段。使用最为频繁的散布手段有邮件附件、网站、移动存储介质等。

（4）恶用阶段：网络武器散布到目标系统后，启动恶意代码的阶段。在大部分情况下，往往会利用应用程序或操作系统的漏洞与缺陷。

（5）设置阶段：攻击者在目标系统中设置特洛伊木马、后门等，一定期限内在目标系统营造活动环境的阶段。

（6）命令与控制阶段：攻击者建立目标系统攻击路径的阶段。在大部分情况下，智能型网络攻击并非单纯的自动攻击，而是在攻击者的直接参与下实施的。一旦攻击路径确定后，攻击者将能够自由接近目标系统。

（7）目标达成阶段：攻击者达到预期目标的阶段。攻击目标呈现多样化的特点，具体有侦察、敏感情报收集、破坏数据的完整性、摧毁系统等目标 ^[2] 。

在网络杀伤链模型中可以看出，被攻击方越早发现并阻止攻击，由攻击带来的修复成本和时间消耗就越低。然而实际中的攻击策略并不是一成不变的，不是所有的攻击都严格按照这七步执行。为了识别和阻止网络攻击，提出了反杀伤链模型。网络反杀伤链模型主要有发现、定位、跟踪、瞄准、打击、评估这六个阶段。

（1）发现：该阶段的主要任务是构建完整的检测体系，只有通过基于特征匹配、虚拟执行、异常行为的安全检测，才能构建有效的反杀伤链。对于大型企业而言，发现能力是先决条件。

（2）定位：定位包含了时间、空间两个层面。时间定位用于判断攻击发起、持续的时间，空间定位用于判断攻击者所处的位置。

（3）跟踪：在完成定位后，防御者需要根据定位信息，判断是否进行跟踪。一般对大型企业而言，APT（Advanced Persistent Threat）类攻击在杀伤链的第四到第七阶段之间，仍有一定的时间窗口，因此只要时间、条件允许，防御者可以进行跟踪，以获取更多的入侵信息，从而进一步完善整个杀伤链场景。跟踪可提高后续瞄准、交战时的反击准确度和力度，让对手前功尽弃，至此再也无从下手。

（4）瞄准：瞄准阶段属于打击前的准备阶段，该阶段的主要任务是要确定选择和制作何种工具进行反击，确定打击点。该阶段类似于杀伤链第二步的武器化阶段，当然，这个武器不再是攻击性武器，而是防御性武器。

（5）打击：在完成瞄准后，为拦截入侵者的网络攻击，可实施打击。打击阶段是反杀伤链中的直接和关键的一步，决定了整个反杀伤链的成败。将攻击者所设计的恶意程序清除，采取访问控制措施将攻击者拦在门外。如果前期得到足够多的信息，还可以溯源或进行“反向打击”。

（6）评估：对打击效果进行评估主要由两个方面组成，一是要看实施打击的有效性，也就是本次打击能否完全阻拦攻击者的各种恶意行为，让其杀伤链失效；二是通过反杀伤链行动，分析场景，总结防护经验，加强并优化系统的安防手段，使攻击者今后难以实施入侵行为。

反杀伤链一般在杀伤链的第三到第六阶段起作用。要实现反杀伤链，还需要情报、监视、指挥、控制与协同等关键技术的支撑。 YEdREA2Fuxv9b6RNfipgmYsFRXcWzUt1BP3U6/lVUmBfGFG4SlGExk+PHX0HE+lP