我不知道问这个问题是否合适,但我认为没问题。我的问题很简单:如何区分故障和攻击?拒绝服务可能是由两者引起的,可能被视为数据注入的可能是设备无法正常工作等等。我看到最近有很多关于这个主题的论文,他们通常将故障和攻击视为同一件事。你们有这方面的经验吗?真的有可能区分攻击和故障吗?
答案1
攻击涉及对手。故障是技术故障。因此,如果您遇到问题,您必须找到根本原因。如果服务器电源断电,但没有人进入服务器机房,则很可能是故障。如果您发现钓鱼邮件、意外的 VPN 登录、CnC 流量指标以及对服务器的可疑访问和意外关闭,则更有可能是攻击。话虽如此,您无法总是明确地区分故障和攻击。在一天结束时,您必须有足够的信心说出是前者还是后者,以便做出正确的结论(确保问题不会再次发生、延长监控时间、提前更换零件、追捕对手……)
答案2
攻击是意图违背所有者利益的外部行为。这是一个在技术领域之外决定的类别。如果我看到应用程序突然分配所有 RAM 作为用户输入的原因,我只能在考虑用户的意图。John 加载了一个大文件,希望得到有用的结果。这不是攻击。同一个人明天加载同一个文件,这可能现在就是一种 DoS 攻击(他们希望当应用程序再次死机时,可以额外浏览 5 分钟的 stackexchange;可能是 HNQ)。
经过一番努力,你可以将故障分为两类:一种故障是外部操作(例如某个用户将数据输入应用程序)导致的故障,另一种故障是没有这种外部原因而发生的故障。第二种故障不能由攻击引起,这直接符合定义。
有些攻击会导致故障(第一类),有些则不会。