信息安全工程师-核心考点：网络攻击模型与一般过程全解析

一、引言

网络攻击原理与常用方法是软考信息安全工程师考试《信息安全工程师教程》第 2 章核心内容，属于网络安全知识模块的基础考点，历年考试中选择题、案例分析题占比约 8%-12%。本知识点的核心价值在于建立攻击视角的防御思维，只有明确攻击者的主体、行为逻辑、实施流程，才能针对性构建纵深防御体系。
网络攻击研究的发展经历了三个阶段：2000 年之前以孤立攻击事件分析为主，2000-2015 年逐步形成标准化攻击过程模型，2015 年至今形成以 MITRE ATT&CK 为代表的全局攻击框架体系。本文将从攻击者分类、攻击建模、攻击生命周期、发展趋势四个维度系统梳理考点，同时明确考试重点与学习方法。

二、攻击者分类与特征

攻击者是网络攻击的实施主体，软考要求掌握不同类型攻击者的动机、手段、典型危害的对应关系，是选择题高频考点。

（一）六类典型攻击者画像

1. 黑客
   （1）攻击意图：以技术挑战、好奇心满足、炫技为核心目标，通常无明确经济或政治诉求。
   （2）常用工具：公开漏洞利用脚本、通用扫描工具、开源攻击程序，极少使用定制化攻击武器。
   （3）典型攻击效果：常见为篡改网站首页、获取服务器普通权限、造成局部服务中断，一般不会造成大规模数据泄露或核心系统破坏。
2. 间谍
   （1）攻击意图：受国家或机构委托，定向获取敏感领域情报，目标明确且长期潜伏。
   （2）常用工具：定制化特种木马、零日漏洞利用工具、APT 攻击平台，攻击手段具有高度隐蔽性。
   （3）典型攻击效果：核心涉密数据、商业机密长期泄露，攻击过程可持续数月至数年，难以被常规安全设备发现。
3. 恐怖分子
   （1）攻击意图：通过网络攻击制造社会恐慌、达成政治诉求，目标多为关键信息基础设施。
   （2）常用工具：可获取的所有攻击手段，包括 DDoS 攻击、工控系统漏洞利用、数据销毁工具，不在乎攻击痕迹暴露。
   （3）典型攻击效果：关键服务大面积拒绝服务、生产系统瘫痪、公众利益受损，社会影响恶劣。
4. 内部人员
   （1）攻击意图：多为报复雇主、获取经济利益，具备合法身份和系统访问权限，是最难防御的攻击主体之一。
   （2）常用工具：系统内置命令、合法权限滥用、物理存储介质拷贝，不需要复杂漏洞利用过程。
   （3）典型攻击效果：核心业务数据窃取、配置恶意篡改、系统资源破坏，数据丢失风险远高于外部攻击。
5. 职业犯罪分子
   （1）攻击意图：以直接经济利益为唯一目标，攻击活动呈现产业化、链条化特征。
   （2）常用工具：自动化攻击工具、僵尸网络、勒索软件套件、钓鱼平台，攻击规模大、覆盖范围广。
   （3）典型攻击效果：用户个人信息批量窃取、服务资源被盗用、勒索加密造成业务停运，经济损失明确。
6. 破坏者
   （1）攻击意图：以报复特定组织、展示技术能力为目标，追求攻击效果的公开性。
   （2）常用工具：公开漏洞利用程序、DDoS 攻击工具、数据擦除工具，攻击手段直接且破坏性强。
   （3）典型攻击效果：对外服务长期瘫痪、核心数据被恶意删除，企业声誉受损严重。

六类攻击者特征对比表，横向维度为攻击者类型、攻击意图、常用工具、典型效果、防御优先级

三、攻击模型与框架

攻击模型是对攻击行为的抽象表达，用于统一攻击描述语言、支撑攻防演练与防御评估，是软考案例分析题的核心考点。

（一）攻击树模型

1. 核心原理
   攻击树模型起源于工业领域的故障树分析方法，采用树形结构描述攻击过程：树根为最终攻击目标，中间节点为攻击子目标，叶子节点为具体攻击动作，节点之间通过 AND（需满足所有子节点条件）和 OR（满足任意子节点即可）逻辑连接。例如目标为 “获取服务器管理员权限”，OR 子节点可包括 “口令爆破”、“漏洞利用”、“社会工程学获取凭证”，其中 “口令爆破” 的 AND 子节点包括 “获取用户名列表”、“弱口令字典”、“服务器开放远程管理端口” 三个必要条件。
2. 优缺点分析
   （1）优点：结构清晰，适合攻击路径头脑风暴、费效比分析（计算每个攻击路径的成本）、概率评估（统计每个攻击动作的发生概率），可针对特定目标定制化建模复杂攻击场景。
   （2）缺点：难以处理多重尝试攻击、时间依赖型攻击、循环事件，当目标网络规模超过 500 台节点时，攻击树结构会过于复杂，维护成本极高。
3. 典型应用
   红队渗透测试路径规划、蓝队攻击路径风险排序、特定系统脆弱性评估。

（二）MITRE ATT&CK® 模型

1. 核心原理
   ATT&CK（Adversarial Tactics, Techniques & Common Knowledge）是基于全球真实攻击事件沉淀的战术技术矩阵，将攻击活动划分为 12 项核心战术：初始访问、执行、持久化、权限提升、防御绕过、访问凭证、发现、横向移动、收集、命令与控制、数据渗漏、影响，每个战术下关联数十种具体实现技术，截至 2024 版共收录超过 600 项攻击技术，每项技术均包含定义、检测方法、缓解措施、实际攻击案例。
2. 优缺点分析
   （1）优点：基于真实攻击数据更新，战术划分符合攻击者实际行为逻辑，是全球通用的攻击描述语言，可直接支撑红蓝对抗、防御能力评估、威胁情报共享。
   （2）缺点：技术更新快，每年新增数十项攻击技术，对中小组织而言全面覆盖所有技术的防御成本过高。
3. 典型应用
   企业安全能力成熟度评估、威胁情报标签标准化、入侵检测规则开发、红蓝对抗效果评估。

（三）网络杀伤链模型

该模型由洛克希德・马丁公司提出，将攻击划分为 7 个线性阶段：侦查、武器化、投递、利用、安装、控制、行动，是攻击过程模型的基础框架，适合描述定向攻击的完整生命周期，其核心价值在于明确每个阶段的防御切入点，理论上阻断任意阶段即可终止攻击。

三类攻击模型对比图，包含核心结构、适用场景、优点、局限性四个对比维度

四、网络攻击的标准生命周期

网络攻击的 8 个阶段是软考核心考点，要求掌握每个阶段的典型行为、对应防御技术，是案例分析题中 “攻击事件溯源” 类题目的答题框架。

（一）隐藏攻击源

攻击者的首要动作是隐匿自身真实身份与位置，典型手段包括：使用多级代理服务器跳转、伪造 IP 报文头、控制已攻陷的 “肉鸡” 作为攻击跳板、使用暗网通信通道。该阶段的防御手段主要为流量溯源技术、威胁情报 IP 黑名单，可定位攻击来源并提前阻断。

（二）信息收集

攻击者通过公开渠道与技术手段获取目标的全面信息，包括：域名注册信息、IP 地址段、网络拓扑、开放端口、服务版本、员工邮箱、公开漏洞信息。典型工具包括 Nmap 端口扫描器、Shodan 物联网搜索引擎、Google Hacking 语法。该阶段的防御手段为网络资产测绘、敏感信息泄露监测，可及时发现攻击者的侦查行为。

（三）挖掘漏洞

攻击者从系统、应用、协议、人员四个维度寻找脆弱点，包括：操作系统未修补的 CVE 漏洞、Web 应用 SQL 注入 / 文件上传漏洞、协议弱口令缺陷、员工社会工程学弱点。典型手段包括漏洞扫描工具利用、手动漏洞挖掘、钓鱼邮件测试。该阶段的防御手段为漏洞扫描、渗透测试、安全配置核查，可提前修复脆弱点。

（四）获取权限

攻击者通过漏洞利用获取目标系统的初始访问权限，包括：普通用户权限、数据库权限、服务器管理员权限。典型手段包括远程代码执行漏洞利用、弱口令登录、钓鱼邮件附件执行。该阶段的防御手段为入侵检测系统、Web 应用防火墙、身份认证多因素校验，可阻断大部分漏洞利用行为。

（五）隐蔽行为

攻击者攻陷系统后首先隐藏自身活动痕迹，典型手段包括：修改进程名称隐藏恶意程序、使用 SSL 加密通信绕过流量检测、篡改系统文件时间戳、利用 Rootkit 隐藏文件与注册表项。该阶段的防御手段为端点检测与响应系统（EDR）、主机入侵检测系统，可发现异常的进程与文件活动。

（六）实施攻击

攻击者执行最终攻击动作，达成核心目标，包括：窃取核心业务数据、加密磁盘文件实施勒索、删除系统数据、控制生产系统。该阶段的防御手段为数据防泄漏系统、数据库审计、核心数据备份，可降低攻击造成的损失。

（七）开辟后门

攻击者为实现对目标的长期控制，在系统中安装持久化访问机制，典型手段包括：Webshell 后门、计划任务持久化、注册表开机启动项、预留额外管理员账号。该阶段的防御手段为基线配置核查、异常账号监测、webshell 检测工具，可及时发现非法持久化配置。

（八）清除痕迹

攻击者销毁入侵证据以避免被溯源，典型手段包括：删除系统日志与应用日志、篡改审计记录、停止审计服务、覆盖磁盘操作痕迹。该阶段的防御手段为日志集中存储与备份、离线日志分析、审计权限独立管控，可保留攻击证据支撑溯源。

网络攻击生命周期与防御技术对应图，左侧为 8 个攻击阶段，右侧为每个阶段对应的防御措施

五、网络攻击的发展趋势

攻击技术的演化是软考近年新增考点，要求掌握攻击趋势对防御体系的影响，常见于选择题与论述题。

（一）智能化与自动化

攻击者广泛应用 AI 技术提升攻击效率：利用大语言模型生成高度逼真的钓鱼邮件内容，自动化漏洞挖掘工具可在漏洞公开后 24 小时内生成可用利用代码，AI 驱动的社会工程学攻击成功率较传统手段提升 30% 以上。防御端需采用 AI 辅助的检测技术应对自动化攻击。

（二）攻击武器平民化

勒索软件即服务（RaaS）、自动化攻击套件在暗网公开售卖，攻击者仅需支付数百美元即可获取完整攻击能力，攻击门槛大幅降低，2023 年全球中小企业攻击事件较 2020 年增长 120%，其中 80% 的攻击者无专业安全背景。

（三）攻击目标泛化

攻击目标从传统 IT 系统向工控系统、物联网设备、车联网系统延伸，2023 年全球工控系统攻击事件同比增长 75%，物联网设备成为 DDoS 攻击的主要肉鸡来源，弱口令、未授权访问是物联网设备的主要脆弱点。

（四）资源云端化

攻击者大量利用云服务资源发起攻击：使用云服务器部署 C2 服务器、利用云算力实施口令爆破与加密货币挖矿、借助云存储分发恶意程序，云环境的弹性资源能力使得 DDoS 攻击流量峰值可达 1Tbps 以上，防御难度大幅提升。

（五）高级持续性威胁常态化

APT 攻击已成为国家级网络对抗的主要形式，攻击潜伏期平均超过 6 个月，常使用零日漏洞绕过防御，2023 年全球公开 APT 攻击事件超过 300 起，目标覆盖政府、能源、金融、医疗等关键信息基础设施领域。

（六）漏洞利用窗口缩短

2023 年漏洞披露到野外出现利用代码的平均时间已缩短至 48 小时，零日漏洞、一日漏洞攻击占比超过 30%，传统 “补丁修复周期为 7 天” 的防护模式已无法应对，需要漏洞缓解、虚拟补丁等前置防御技术。

网络攻击技术演进路线图，时间跨度从 2000 年到 2025 年，标注每个阶段的典型攻击技术与特征

六、总结与备考建议

（一）核心知识点提炼

1. 六类攻击者的动机、手段、攻击效果的对应关系，是选择题高频考点，需准确匹配。
2. 攻击树模型、MITRE ATT&CK 模型、网络杀伤链模型的核心原理、优缺点、适用场景，是案例分析题的基础框架。
3. 攻击 8 个阶段的典型行为与对应防御技术，需能够结合具体攻击案例分析每个阶段的防御措施。
4. 六大攻击发展趋势的技术特征与防御需求，是论述题的常用答题切入点。

（二）考试重点提示

1. 高频考点：MITRE ATT&CK 模型的 12 项战术、攻击各阶段对应的防御技术、APT 攻击的特征，近 3 年考试中出现频率超过 5 次。
2. 易错点：攻击树模型的 AND/OR 逻辑判断、内部人员攻击的典型特征、杀伤链与攻击 8 阶段的对应关系，是选择题常见失分点。
3. 案例分析题考点：给出具体攻击事件描述时，需能够对应到攻击的各个阶段，分析每个阶段可采用的防御措施，以及攻击模型在事件分析中的应用。

（三）学习与实践建议

1. 知识关联学习：将攻击过程与后续学习的防火墙、入侵检测、日志审计、访问控制等防御技术一一对应，明确每个防御技术的作用阶段。
2. 结合真题练习：重点练习 2018-2024 年真题中攻击相关的选择题与案例题，梳理答题框架，区分易混淆概念。
3. 扩展学习资源：访问 MITRE ATT&CK 官方网站，了解最新的攻击技术分类，结合公开的 APT 攻击报告理解攻击全流程。

本章考点知识图谱，包含攻击者分类、攻击模型、攻击过程、发展趋势四个模块的考点关联关系