主动学习在网络攻击识别中的应用简介及分类

随着网络技术和应用的发展，网络攻击的数量和严重程度都在不断增加。网络攻击识别在保障网络安全方面发挥着重要作用。通过训练深度学习模型，可以实现对攻击活动的检测，达到发现已知攻击类型的目的。虽有公开的安全数据集，但攻击的演变性很容易过时，此外，若将所有采集到的数据提交专家打标签，由于攻击数据占所有数据的比例很低，会浪费大量的资金和时间投入。

网络攻击分类

1. 拒绝服务攻击

拒绝服务（Denial of Service，DoS）攻击是一种通过发送恶意数据包降低服务器和网络性能，阻止合法用户正常使用网络资源的攻击手段。其一种常见的变体为分布式拒绝服务（Distributed Denial of Service，DDoS）攻击，该攻击利用分布在不同位置的海量计算机同时向目标发送攻击，以期耗尽目标资源。相对于DoS攻击，由于其攻击者分布不同且规模巨大，网络管理者很难及时区分哪些是恶意攻击者以采取防护手段，因此具有更高的成功概率。随着计算资源的日益廉价，DDoS攻击规模也在持续增大。据Google公司报道，其在2017年9月受到2.5Tbps的超大规模DDoS攻击，是2016年破纪录的Mirai僵尸网络623Gbps规模的四倍。根据攻击路径不同，常见DDoS攻击可分为直接型攻击、反射型攻击。

2.  后门攻击

后门（程序）令身份验证系统失效，授予特定用户远程访问权限。后门攻击是利用系统中存有的后门对信息系统发送远程命令，进而控制系统。被利用的后门可以是软件系统或硬件系统设计过程中留有的，也可以是攻击者先前攻击成功后留下的。

3. 漏洞利用

信息安全漏洞是硬件或软件在配置以及实现等过程中存在的安全弱点。漏洞利用是利用在本地或远程计算机上硬件或软件内的一个或多个漏洞，进行非法活动如安装恶意软件、运行恶意代码、获取隐私数据、控制系统。

国家信息安全漏洞库使用的漏洞分类指南将信息安全漏洞划分为26种类型，图1给出了它们间的层次关系。

图1 CNNDV漏洞分类层次树

4. 扫描窃听

扫描窃听是借助网络安全扫描技术通过网络获取目标网络或主机信息的行为。网络安全扫描一直是安全专业人员在网络中进行服务发现的关键技术，但同时也被攻击者用于发现被攻击系统开放的端口、脆弱性等构建攻击工具需要的信息。现已有很多成熟的扫描工具如Nmap、Nessus、Acunetix等可以使用。常见的扫描窃听攻击分为端口扫描攻击、漏洞扫描攻击。

端口扫描攻击通过发送探测数据包，获取端口响应，进而推测开放的服务与端口信息。端口扫描会反馈目标端口是以下三种中的一种状态：（1）开放：目标主机正在监听端口，并正在使用扫描中使用的服务；（2）关闭：已收到数据包请求，但服务未监听端口；（3）过滤：已发送数据包请求，但没有答复，表明防火墙过滤了请求数据包。每个开放的端口都为攻击者提供了访问点，提供了破坏机会。

5. 网络钓鱼

网络钓鱼攻击通过假装为可信任的实体（通常是真实的机构或人），欺骗用户信任，并常常营造一种紧迫感促使用户采取行动，进而实现攻击目标。根据攻击形式的不同，网络钓鱼攻击包括钓鱼邮件、域名欺骗、水坑钓鱼等。

• 钓鱼邮件：钓鱼邮件是最常见的网络钓鱼攻击。攻击者为了令邮件可信，会在钓鱼邮件中使用与伪装的机构或人员类似的邮件地址，使用相同的措辞、字体、标识和签名。通过吸引用户跳转到设计好的恶意网站中或下载恶意附件等方式获得如用户名、密码、联系方式等重要敏感信息。
• 域名欺骗：域名欺骗是指通过采用被伪装的真实网站设计，使用类似的网络域名和字符，创建一个欺诈性的网站，并使其看起来真实可信。如使用域名apple.co伪装苹果公司域名apple.com。
• 水坑钓鱼：水坑攻击不直接对攻击目标实施攻击，而是通过感染攻击目标常用的网站等达到攻击目的。水坑攻击首先确定目标公司员工最常访问的几种特定网站（如公司服务供应商网站），然后感染这类中的一个或多个。当有员工访问被感染的网站，会引发其主机加载恶意软件，为攻击者访问公司内网、获取敏感信息提供机会。
  
  

当这些类型的攻击仅针对一个人时，可归类为鱼叉式网络钓鱼攻击。如在鱼叉式钓鱼邮件攻击中，攻击者向在目标组织中扮演特定角色的某人发送量身定制的电子邮件。此邮件旨在从特定人员获取登录信息或感染特定人员的计算机。

6. 干扰攻击

干扰攻击指通过某种技术手段，对网络进行干扰影响通信质量或通信中断的行为。

7. 其他网络攻击

其他网络攻击指上述六个子类中未包括的网络攻击。