今天，网络安全正在面临着前所未有的挑战，军队的网络同样遭到高级持续性威胁(Advanced Persistent Threat)、分布式拒绝服务(Distributed Denial of Service)攻击等诸多威胁。洛克希德·马丁(Rockheed Martin)公司提出的网络杀伤链将网络攻击流程细分为侦察、武器化、散布、恶用、设置、命令与控制、目标达成等七个阶段，并基于此建立了包括各阶段应对方案的运用概念。目前，韩军正处于网络战建设的关键时期，包括一系列网络攻击流程与应对方案的网络杀伤链为探索网络作战的新模式提供了重要的参考依据。本文首先介绍了网络杀伤链的概念及实际案例，在韩军网络战中的适用可能性、原则及范围，并提出了韩军的网络防御作战杀伤链架构（案）。希望通过这样的努力，能够为韩军构建网络作战遂行体制、制订相关政策、发掘战力化需求提供可靠支撑。

以特定国家或企业为对象的智能化、破坏性网络攻击日趋活跃。据韩国互联网振兴院称，虽然蠕虫病毒等网络威胁呈现减少趋势，但是从2008年起，高级持续性威胁(Advanced Persistent Threat)、分布式拒绝服务(Distributed Denial of Service)攻击等网络攻击事件却大幅增加¹。

从高级持续性威胁、分布式拒绝服务、恶意软件（malware）等网络攻击的特性来看，当接到网络空间的物理指令后，就会以极快的速度发起攻击。不过，从攻击者寻找攻击目标的漏洞或缺陷、设置攻击程序、建立攻击环境，到下达攻击命令为止，往往需要进行周密细致的筹划和部署，整个过程有时需要几日，甚至数年时间。

美国军工企业洛克希德·马丁(Rockheed Martin)公司认为，网络攻击是利用网络存在的漏洞和安全缺陷，根据一系列的计划流程实施的攻击活动。基于这一考虑，该公司提出了普遍适用的网络攻击流程与防御概念。这一网络攻击流程与防御概念参考军事上的杀伤链(Kill Chain)概念，使用了“网络杀伤链(Cyber Kill Chain)”一词。“杀伤链”是指从对军事目标的探测到破坏的整个处理过程，网络攻击也要经过类似的、连续的过程。若防御者能够成功阻止某一阶段的攻击，那么攻击者下一个阶段的攻击活动就会受到相应地限制。

网络空间已经成为新的战场，而网络对抗正在发展成为重要的作战样式之一。正因为如此，有必要加快网络作战力量建设步伐，确保韩国网络空间安全。

本文介绍了网络杀伤链的概念及相关事例，并提出了旨在加强韩军网络安全的发展方向。

一、杀伤链概念

在介绍网络杀伤链之前，有必要简要介绍一下“杀伤链”概念。杀伤链是指对攻击目标从探测到破坏的一系列循环处理过程，由几个不同阶段的行为构成。“杀伤链”是为了有效应对核武器、导弹等不断变化位置、危险性大、需要即刻应对的时敏目标(time sensitivetarget)而发展起来的作战流程。具体来讲，就是防御者通过各个阶段阻止核武器或导弹等发挥作用，从而使攻击者无法达成预期的作战目的。

杀伤链最初是由美前空军参谋长罗纳德·福格尔曼(Ronald Fogleman)将军在1996年的空军协会研讨会上提出的，后来经过不断地改进与完善。通常，杀伤链可分为F2T2EA六个阶段，即发现(Find)阶段、锁定(Fix)阶段、跟踪(Track)阶段、定位(Target)阶段、交战(Engage)阶段、评估(Assess)阶段²。

二、网络杀伤链概念

（一）洛克希德·马丁公司的网络杀伤链攻击流程

网络杀伤链由攻击流程与防御概念构成。如图1所示，攻击流程分为侦察、武器化、散布、恶用、设置、命令与控制、目标达成等七个阶段³。

第一、侦察阶段。侦察阶段是攻击者为达成目标，进行探测、识别及确定攻击对象（目标）的过程。在这个阶段，可通过网络收集企业/机关网站、报道资料、招标公告、职员的社会关系网(socialmedia networks)、学会成员目录等各种与目标相关的情报。

第二、武器化阶段。武器化阶段是指通过侦察阶段确定目标后，准备网络武器的阶段。网络武器可由攻击者直接制造，也可利用自动化工具来制造。

第三、散布阶段。散布阶段是指将制造完成的网络武器向目标散布的阶段。据洛克希德·马丁公司网络安全保障小组称，自2004年至2010年间，使用最为频繁的散布手段有邮件附件、网站、USB(Universal Serial Bus)等。

第四、恶用阶段。恶用阶段是指网络武器散布到目标系统后，启动恶意代码的阶段。在大部分的情况下，往往会利用应用程序或操作系统的漏洞及缺陷。

第五、设置阶段。设置阶段是指攻击者在目标系统设置特洛伊木马、后门等，一定期限内在目标系统营造活动环境的阶段。

第六、命令与控制阶段。这一阶段是指攻击者建立目标系统攻击路径的阶段。在大部分情况下，智能型网络攻击并非是单纯的自动攻击，而是在攻击者的直接参与下实施的。一旦攻击路径确立后，攻击者将能够自由接近目标系统。

第七、目标达成阶段。这一阶段是指攻击者达到预期目标的阶段。攻击目标呈现多样化，具体来讲有侦察、敏感情报收集、破坏数据的完整性⁴、摧毁系统等。

 

图1.洛克希德·马丁公司的“网络杀伤链”攻击流程

（二）洛克希德·马丁公司应对网络攻击的类型

洛克希德·马丁公司参考美国防部信息作战（IO：Information Operation）小组的应对方案，将网络防御类型分为探测、拒止、干扰、弱化、欺瞒、破坏六种。表1对各种网络防御类型运用的技术做了具体归纳⁵。

表1.针对网络杀伤链攻击流程的各阶段应对类型

 

 

应对网络攻击的类型中，探测是指发现、识别入侵者的行为，拒止是指阻止攻击者的接入，干扰是指阻挠破坏攻击者的入侵信息流，弱化是指降低攻击效率及攻击效果，欺瞒是指通过捏造虚假信息，使攻击者做出错误的判断，破坏是指使攻击者或攻击工具受到损伤，丧失应用功能，无法恢复原状。

（三）美国防部的“网络安全杀伤链”

如图2所示，美国防部在2015年发行的《网络安全测试与评估指南》⁶中援引美国防部防御分析研究所(Institute for Defense Analysis)的资料，提出了包括网络攻击与防御主要活动、目的等内容的“网络安全杀伤链(CSKC: Cybsersecurity Kill Chain)”。在CSKC的攻击流程中，没有网络杀伤链中的设置阶段，且在目标达成阶段之后，追加了维持阶段。CSKC的防御者应对类型与网络杀伤链的应对类型相同。

 

图2.美国防部“网络安全杀伤链”

全球性企业高德纳（Gartner）公司、Verdasys公司、惠普企业（HPE）公司等也提出了与洛克希德·马丁公司的网络杀伤链攻击流程类似的概念。

（四）高德纳(Gartner)公司的“攻击链模型”

从高德纳(Gartner)公司的“攻击链模型(Attack ChainModel)”来看，攻击流程细分为传递、恶用/设置、命令与控制、提升权限、资源接近、夺取六个阶段⁷。此外，如图3所示，明确了钓鱼木码、恶意代码等攻击类型与攻击流程中的具体阶段相关。

 

图3.高德纳(Gartner)公司的“攻击链模型”

与洛克希德·马丁公司的网络杀伤链概念不同的是，高德纳(Gartner)公司的“攻击链模型”未将侦察与武器化阶段列入到流程之中。此外，为了具体体现攻击类型的多样性，“攻击链模型”将网络杀伤链的目标达成阶段细分为提升权限、资源接近、夺取三个阶段。

（五）Verdasys公司的“网络攻击防御”

如图4所示，Verdasys公司提出了由恶意代码引入、命令与控制、扩张、目标识别、夺取（攻击）、后退等七个阶段构成的名为“网络攻击防御(Cyber Attack Defense)”的攻击流程和应对方案⁸。Verdasys公司的“网络攻击防御”的独特之处在于将攻击者侦察对方资料存储系统位置及非法获取接近权限的阶段定义为识别阶段，并专门设置了攻击后实施后退的阶段。

 

图4.Verdasys公司的“网络攻击防御”

（六）惠普企业（HPE）公司的攻击生命周期

惠普企业（HPE）公司提出了更为详细的攻击流程⁹。如图5所示，惠普企业（HPE）公司的攻击生命周期(Attack Life Cycle)由侦察、攻击传递、恶用、设置、命令与控制、区域性夺取、内部搜索、提升权限、渠道生成、情报夺取等十个阶段构成。惠普企业（HPE）公司的攻击生命周期将攻击者侵入系统后的阶段细分为内部搜索、提升权限、情报夺取等阶段的同时，未将武器化阶段列入其中。从这一点来看，惠普企业（HPE）公司的攻击生命周期与洛克希德·马丁公司的网络杀伤链有明显不同，而与高德纳(Gartner)公司的“攻击链模型”有所类似。

 

图5.HPE公司的攻击生命周期

下面，通过DDoS攻击，对洛克希德·马丁公司的网络杀伤链的攻击流程展开具体说明。DDoS攻击是指借助客户/服务器技术将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者将恶意代码安装在多个计算机上。当这些计算机接到远程控制命令同时接入特定网站时，会引起网站服务器过载，从而干扰乃至阻断系统的正常运行。

从DDoS攻击的流程来看，在第1阶段（侦察）攻击者确定攻击目标；在第2阶段（武器化）生成恶意代码；在第3阶段（散布）通过各种渠道（网站、邮件附件等）散布恶意代码；在第4阶段（恶用）侵入对方系统，搜集有用情报；在第5阶段（设置）追加设置恶意代码；在第6阶段（命令与控制），恶意代码潜伏在僵尸计算机，等候指令；在第7阶段，接到命令后，僵尸计算机同时向特定网站发起攻击，使该网站瘫痪。

三、网络杀伤链概念在国防领域的应用

（一）应用时的考虑事项

为了在国防领域应用先进的网络杀伤链概念，韩军需考虑如下事项：

第一、“有事时，韩国军队能否有效实施网络作战？”，即需深入研究韩军是否具备完备的网络作战概念，并评估韩军遂行网络作战的能力。

第二、“在网络作战时，韩军能否应用网络杀伤链概念？”，即需深入研究网络杀伤链概念是否在发达国家中得以应用，并评估韩军网络作战遂行体系中是否可以运用网络杀伤链概念。

第三、“能否基于网络杀伤链概念，重新确立网络作战遂行体系？”，即需深入研究网络作战各阶段的目标、任务、流程、技术等，并建立保证网络作战顺利实施的相关机构间的合作机制。

（二）应用可能性

从应用网络杀伤链的角度来看，网络杀伤链等攻击流程模型不但可适用于恶意代码，还可适用于其它的攻击形式。即，在大部分情况下，网络威胁采用恶意代码方式，且如同高德纳(Gartner)公司的“攻击链模型”一样，还能够适用于其它的攻击类型。虽说一些人强调网络杀伤链并未考虑到来自内部的威胁，但是实际情况却是，即便是内部破坏者，同样需要经历侦察（目标确定）、武器化（系统接入）等阶段，因此也完全能够适用网络杀伤链的基本概念。至于网络杀伤链的应对阶段，主要是基于美国防部信息作战小组的应对方案。考虑到美国防部的应用事例，从军事层面运用网络杀伤链是可行的。

除了洛克希德·马丁公司的“网络杀伤链”之外，由于其它模型的侦察阶段与武器化阶段是在攻击对象系统的外部实施的，而未被列入攻击流程之中。但是从实际情况来看，跟踪IP地址、接入频率监控、调查与分析武器化工具等在应对网络攻击方面起着非常重要的作用。因此，从先发制人的军事应对角度来考虑，需将侦察阶段与武器化阶段包括在内。

（三）应用原则

韩军在应用网络杀伤链时，需遵循以下原则：

第一、为了有效应对当前及今后来自国内外的网络威胁，需完善网络杀伤链概念。第二、需充分认识网络杀伤链概念的优缺点，最大限度地发挥网络杀伤链的概念优势。第三、通过改进与完善，推动民用概念与网络军事作战相融合。第四、实现网络作战与现有军事作战理论及尖端军事技术的有效整合。第五、面对网络威胁，在以防御概念为主的基础上，需增加攻击性的内容。第六、明确评估与衡量韩国网络作战能力的标准。第七、积极运用商用成品或技术(COTS)，必要的情况下，可开发政府专用产品（GOTS）。第八、通过实际发生的需求变化来驱动识别变化、管理变化。

（四）应用范围与韩军杀伤链架构（方案）

在应用网络杀伤链的概念时，韩军需做到如下几个方面：第一、在制订联合网络战略概念与网络作战计划时，需反映网络杀伤链概念。第二、网络杀伤链概念优先适用于网络作战领域，尽可能减少与一般军事作战的关联性。第三、网络作战和网络防护均属于网络防御作战范畴。第四、敌方的网络攻击流程参照洛克希德·马丁（Rockheed Martin）公司的杀伤链攻击流程。

基于上述考虑，韩军网络防御作战杀伤链框架（方案）如图6所示。整体来讲，攻击与防御呈现多样化，网络攻击与网络防御有时同步进行，有时会有时间差。

 

图6.韩军网络防御作战杀伤链架构(案)

从韩军网络防御作战杀伤链架构(案)中的敌方攻击流程来看，大体上分为作战计划、作战实施、作战结束三个阶段，并参考洛克希德·马丁公司的网络攻击流程进行了细化。具体来讲，在作战计划阶段，进行任务计划与监视预防；在作战实施阶段，对网络杀伤链模型的六大应对类型――美国防部信息作战小组的六个阶段（探测、拒止、干扰、弱化、欺瞒、破坏）进行了调整/整合，即对敌网络攻击进行探测、应对、修复、追踪破坏；在结束阶段，分析评估己方损失结果，并提出网络防御作战计划改进事项。

（五）预期效果

在国防领域应用网络杀伤链，有望达成如下预期效果：首先，面对网络攻击，韩军可以分阶段进行先发制人应对，从而有效防范破坏性的网络攻击。即便遭到网络攻击，也能够进行智能响应及快速高效的网络修复。在攻击者达成目标之前，及时切断攻击线路，从而使攻击者不得不为日后的网络渗透付出更为高昂的代价。此外，通过分析攻击者的入侵技术、方法与手段，为日后的网络防护及损失评估提供具体数据。与此同时，通过识别新技术与系统、工具、流程等，为构筑内部网络防护系统、确立项目优先发展次序等提供可靠支撑。

结束语

美军工企业洛克希德·马丁公司认为，网络攻击是利用网络存在的漏洞和安全缺陷，根据一系列的计划流程实施的攻击活动，并基于此提出了普遍适用的网络攻击流程与防御概念。这一网络攻击流程与防御概念参考军事上的杀伤链(Kill Chain)概念，使用了“网络杀伤链”一词。今天，网络杀伤链概念正步入快速发展期，并在重要行业和关键领域得到广泛应用。发达国家的一些机构和企业也提出了一些与洛克希德·马丁公司的“网络杀伤链”类似的概念。

“网络杀伤链”概念可覆盖目前正在发生的各种网络威胁。今后，韩国需考虑军队特性与韩军的实际情况，持续发展“网络杀伤链概念”，深入开展韩军网络防御作战相关研究。（全文完）

 

1韩国互联网振兴院(2015)，“网络攻击最新动向与虚拟避风港介绍”，KINX Peering Forum 2015(6月12日)。

2 卢勋{音}(2013)，“朝鲜核开发进展与时敏目标处理系统的发展”，《周刊国防论坛》第1455号。韩国国防研究陆军。

3 Eric M.Hutchins,Michael J.Cloppert, Rohan M. Amin.(2010). “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns andIntrusion Kill Chains”Proc. 6th Int’l Conference.Information Warfare and Security (ICIW 11).AcademicConferences, Ltd. pp. 113-125.

4 数据的完整性是维持数据准确性和一致性的重要保证，具体是指防止非法用户修改或删除数据内容，以保证所有数据值均处于正确的状态。

5 U.S.Joint Chief of Staff. (2006). Information Operation Doctrine (JP3-13). Version2006.

6 Department of Defense. (2015). Cybersecurity Test and Evaluation Guidebook. Version 1.0

7 Ramon Krikken, Anton Chuvakin. (2014). Selecting Security Monitoring Approaches byUsing the Attack Chain Model. Research ID G00264714. Gartner.

8 Verdasys.(2013). Cyber Attack Defense A Kill Chain Strategy. White Paper.

9 HewlettPackard Enterprise. (2016). HPE Attack Life Cycle Use Case Methodology.Technical White Paper.