国内网络主动防御技术现状探讨

摘要

信息产业的发展越来越深入地影响着普通人的生活，尤其是Web 3.0出现后，网络规模持续高速增长。以2013年Web 3.0出现为起点观察，全国网民从5.6亿扩大到2018年的8.3亿（《中国互联网络发展状况统计报告》），我国光纤线缆总长度从1745万公里增长到2018年的4358万公里（工信部），CN域名总数从1844万发展到2018年的3793万个（《中国互联网络发展状况统计报告》），充分说明我国的网络规模一直在高速发展。

由于Web 3.0的出现和移动通信技术的发展，尤其4G的出现，接入互联网的智能终端越来越多，有更多的工控设备及工控网络接入互联网，造成网络边界越来越模糊。信息设备种类的扩大和规模的增长，但由于硬件设计缺陷和软件缺陷难以避免，必然会给网络带来更多的风险。2013年美国国家漏洞数据库（National Vulnerability Database，NVD）收录高危漏洞2607个；2018年国家信息安全漏洞共享平台（China National Vulnerability Database，CNVD）收录高危漏洞4898个，虽然比2017年减少12.8%，但整体呈现增长的趋势；零日漏洞和ATP攻击近年来也大量涌现。

在当前的安全形势下，依靠边界防护已经不能满足安全需求，美国最早看到了这个趋势，提出主动防御思想，我国学术界和产业界也越来越强调内生安全和主动防御。主动防御思想提出之后，从最开始学术界的讨论到现在产业界的逐步实践，产生了两种不同的主动防御技术路线，一个是以大数据和人工智能为基础的，一个是以网络弹性为基础。

以大数据和人工智能为基础的主动防御路线

传统的信息安全，受限于技术发展，采用被动防御方式。随着大数据分析、云计算（Cloud Computing）等技术的发展，可以更准确地呈现安全态势，更及时对安全事件进行预警。可以通过大数据对用户、程序、终端等网络内容（尤其是行为）进行融合分析，对攻击进行预先定义和实时预警。以此为基础，产业界很多安全企业逐步完善各自的主动防御技术路线。

利用大数据的多源数据融合和基于人工智能的异常行为分析，代表着很多传统安全设备厂商和软件企业的主流思路。这主要得益于信息产业的综合发展，有条件支撑海量安全数据的分析。大数据的产生使安全厂商可以分析更全面的数据资源，也使本来一直在持续演进的单系列网络安全设备有了集成分析的条件；人工智能的发展使业界可以按照自己的理念组织众多的数据，并验证威胁发现算法的有效性，实时呈现网络整体安全态势。在一定意义上，基于大数据和人工智能的主动防御思想，是多年来业界对众多与安全相关产品的数据集成。智能算法的演进使安全厂商的很多分析思想得以实现，从而可以更立体地分析全网的安全态势。

理想的大数据安全平台一般包括以下几类数据：

-入侵检测、防火墙、网络审计等网络安全产品的数据；

-漏洞扫描、杀毒软件、主机审计等终端安全产品的数据；

-网络中服务器、终端等信息资产的运行日志和安全日志数据；

-一些业务系统的安全报警；

-来自学术界和业界相关数据。

可以利用以上数据分析全网安全态势，并运用相应的智能算法分析网络安全趋势。例如，在多天网络正常运行的基础数据上构造正常网络的安全模型，这些模型包括网络流、用户行为、主机行为、资产负载、网络协议等信息，将超出一定阙值的用户行为、网络行为、资产行为、进程行为等作为异常事件，利用异常事件的特征作出预警、形成处置预案、并分析事件趋势。比如一些厂商提出的“程序活动行为分析”、“危险行为驱动的主动防御架构”和“日志数据匹配”等都是这一理念的实践。

各家厂商不断升级最新技术，包括云计算、区块链等，以容纳更多的数据，并感知更广阔的网络空间范围，构造更全面的态势感知、更准确的威胁捕获、更有效的处理预案、和更精准的溯源定位。

以弹性网络为基础的主动防御路线

弹性网络的设计思想主要来源于美国的“动态目标防御”（ Moving Target Defense, MTD）。2009年，美国在《National Cyber Leap Year Summit 2009》中首次提出了MTD的概念；2011年12月，美国国家科学和技术委员会（NSTC）发布了《可信网络空间：联邦网络空间安全研究战略规划》，将MTD确定为“改变游戏规则”的革命性防御技术。

我国在主动防御技术理论的研究和实践上，主要有三家单位：一是中科院信息工程研究所的“网络安全主动防御系统”，二是北京信息系统研究所提出的“动态赋能网络空间体系研究”，三是产业界的“APT动态防御体系”。其思路均是：“建立、评估和部署多样化、不停迁移、随时间变化的机制和策略，增加攻击者的复杂性和成本，限制漏洞暴露，减少攻击机会，并提高系统弹性的能力。（http://www.nitrd.gov）”

它们的共同特点是改变目前过分依靠先验知识和网络被动防御的不足，构建一种动态的、异构的、不确定的网络。动态、随机地部署网络设施，从而减少网络的确定性、静态性、相似性，向攻击者呈现不可预知的目标，使其难以实施攻击。在学术界还有其他对基于网络弹性的主动防御机制的讨论，延伸到动态应用、动态软件、动态平台、动态数据等，并且提出了基于效用的动态弹性、构造动态冗余异构模型等理论，进一步丰富基于网络弹性的主动防御理论。

美国在主动防御方面的做法

美国赛博空间战略经历了从克林顿政府的“被动防御”战略，到小布什政府的“国家赛博空间安全响应系统”战略，到奥巴马政府的“主动防御战略”，再到特朗普政府的“根据需求，对敌方实施网络行动”等几个阶段，为美国制定赛博空间安全建设规划提出了顶层指导和战略要求。

2012年8月，美授予雷神公司“变形网络设施”项目，主要研究在敌方无法探测和预知的情况下，对网络、主机和应用程序进行动态调整和配置，从而预防、迟滞或阻止网络攻击。在斯诺登纰漏的“TUTELAGE”系统和《纽约时报》纰漏的“QUANTUM”计划中，均具有主动防御功能。“TUTELAGE”系统具有发现、阻断、迟滞网络攻击的预期能力，而“QUANTUM”计划更倾向于主动进攻。

美国为了满足2040年的网络空间安全需求，将所需要的网络能力和技术划分为5个焦点领域：

-动态传输、计算和边缘传感器；

-数据—决策活动；人类认知能力强化；

-机器人和自治对抗能力；

-以及网络安全和弹性。

可见网络安全和弹性网络是美国重点发展的焦点领域。目前，移动目标防御技术在美国政府各类研究中均享有优先权，涵盖动态平台技术、动态运行环境技术、动态软件和数据技术等方面。

结语

目前面对新型网络攻击、传统防御手段越来越无效的情况下，积极开展网络主动防御技术研究，并联合产业界尽快形成产品体系，是解决未来网络防御难题的有效途径之一。

作者：王云涛

声明：本文来自中国保密协会科学技术分会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。