等保资讯

摘要：为了解决纵深防御体系中防御能力固化、灵活性不足等问题，从攻防对抗视角出发，提出一种网络安全主动防御体系。首先，基于情报收集、监测预警、防御指挥和防御行动等要素的详细描述，设计了用于规划主动防御系统的能力组成框架；其次，选择网络杀伤链、ATT&CK 知识库和 OODA 循环法则，设计了一个以攻助防的防御模型，并分析了引入博弈论进行防御算法设计的优势；最后，以实现为目标，构想了一个典型应用场景，以期为安全能力的体系化设计提供有益借鉴。

内容目录：
1  网络攻防的发展现状
2  网络安全主动防御体系
3  网络安全主动防御模型
3.1  防御方法
3.2  防御战术与技术
3.3  防御决策
4  主动防御的应用场景
5  结 语

网络空间是全球化信息环境，在时空上与陆、海、空、天领域交汇重叠，被称为第五维疆域。在万物互联的当下，网络空间渗透到国家、社会和个人的方方面面，而网络安全正是网络空间赖以生存和发展的关键。如何感知时刻存在的网络威胁，应对层出不穷的网络攻击，是每个网络安全组织和从业者所面临的棘手问题。建 立 纵 深 防 御（Defence-in-Depth，DiD） 体 系是较为典型和传统的网络安全防御措施，但其在内外各信息流关卡处堆叠安全防护手段的思想，容易造成防御能力固化、防御策略欠缺灵活性的弊端，无法有效应对不断变化的网络攻击行为。纵观网络安全历史，攻防双方一直围绕着反检测与检测进行着持续对抗。攻击方最重要的法宝是“变”，通过变化来规避各种已知检测手段，而防守方必须去应对各种变化才能逐步提升防护能力。所幸的是，因为网络攻击手段类似、有章可循，所以网络防御手段亦可提前谋划、按图索骥，这也是本文提出基于攻防对抗思想、设计网络安全主动防御体系的价值所在。

本文以综合论述的方式，分析了典型网络攻击与防御的技术发展现状，并介绍了联合网络作战架构（Joint Cyber Warfighting Architecture，JCWA）[1] 和网络杀伤链模型 [2] 等背景情况，阐述了如何在网络安全领域将传统静态防护能力转变为以攻防对抗为依据、以动态指挥为核心的主动防御能力，提出了一套可供参考的思维框架。

1

网络攻防的发展现状

近年来，网络攻击事件频频发生，但黑客炫技攻击事件已越来越少，取而代之的是作战思维更加明确、趋利性更加明显的专业化网络攻击组织发起的攻击事件，涉及各种勒索软件团伙、地下黑产组织等。这种网络攻击作战化趋势，一方面来自网络攻击能力在人工智能、大数据技术加持下的不断提升，另一方面也受到了来自美国网络攻防体系研究成果的推动。

网络安全防御是网络作战能力的一个分支，美国非常重视其理论研究和技术实践。2019 年，美国国防部批准实施联合网络作战架构顶层设计方案，构建了覆盖网络空间作战全程全要素的架构体系，统一协调了作战任务规划、决策生成、指挥控制和力量投送等活动，并同步整合了国防部网络空间资源和能力，大幅提升了网络空间作战能力。2014 年，美国洛克希德·马丁公司发布了开创性的网络安全白皮书《情报驱动的计算机网络防御》，首次提出了网络杀伤链模型，力求实现对攻击者高级可持续威胁（Advanced Persistent Threat，APT） 活 动 的 感知能力。该模型将网络攻击划分为 7 个阶段：侦 察 跟 踪、 武 器 化 开 发、 载 荷 投 递、 漏 洞 利用、安装植入、命令和控制、目标达成。美国MITRE 公司的“对抗性战术，技术和公共知识库（Adversarial Tactics, Techniques and Common Knowledge，ATT&CK）”模型 是在网络杀伤链模型基础上，围绕对抗战术和对抗技术，提出的一套更细粒度、更易共享的知识模型和框架。

综上所述，美国军事机构和相关组织不遗余力地发展攻防对抗理论研究，不但发挥了“能力建设，理论先行”优势，更将作战化概念引入网络安全领域，势必对以纵深防御为主的传统网络安全思维产生深远影响。

２网络安全主动防御体系

在攻防对抗视角下，将攻防对抗思维引入网络安全防御领域，需要解决体系化设计问题。由于网络空间的攻防对抗是一个高度动态的过程，因此网络安全防御体系应涵盖完整性、规则性、时效性和演进性的设计特点。基于攻防对抗思维的网络安全主动防御体系设计，如图 1 所示。

该体系包含情报收集、监测预警、防御指挥和防御行动 4 个要素，具体说明如下。

（1）情报收集。情报收集是一种获取信息优势的“知己知彼”能力，使得主动防御有章可循。情报收集迭代能力是传统安全运维思维升级为攻防对抗思维的前提条件，要点包括：防御者建立与外界安全情报的共享机制，摸清被防御资产和网络环境，及时更新漏洞库，积极研习安全防御理论、案例和手段，进而建立防御基本规则；防御者积极跟踪典型黑客组织画像、攻击热点，攻击理论、案例和工具，维护攻击特征库，为网络安全态势研判和防御决策提供“以攻促防”的知识依据。

（2）监测预警。监测预警能力是防御体系的“千里眼”和“顺风耳”，力求时刻捕捉和洞察来自各方向、各维度的网络安全威胁。一方面，防御者应养成定期开展漏洞挖掘和安全基线巡查的习惯，及时发现防御方防护短板；另一方面，防御者针对重点防护目标（如主机、网络、系统等），以实时监测、数据采集 / 汇聚、日志审计为基础，开展威胁行为分析，发现或预判敌方攻击意图，及时发起威胁预警通报。针对预警通报，借鉴美国网络战能力设想，规划 5 类预警攻击类型，包括：欺骗、拒止、分离、降级、毁坏和恢复 ；受攻击程度包括：疑似、最小、警告、注意、严重、灾难。除此之外，防御者还可进行追踪溯源攻击行为、构建攻击者画像等工作，为对攻击者形成反制能力提供依据。

（3）防御指挥。防御指挥是网络安全主动防御体系的核心，是应对网络攻击而开展防御活动的决策“大脑”，可发挥体系能力“倍增器”作用 [5]。机构 / 企业建立的防御指挥团队，不但需要以安全专家 / 运维人员为主体，还需要纳入网络管理人员、系统运维人员和业务决策人员，尽可能降低网络安全对日常业务运营的影响，并缩短遭受突发重大安全攻击时安全处置的授权时间。

防御指挥团队需要对安全防御能力建设进行筹备、组织和部署，并且应具备调整控制能力，以便有效应对不断变化的攻击者、对抗环境和对抗进程。构建防御指挥能力，需要重视3 方面工作：一是设计和实现防御模型。防御者通过引入攻防对抗理念，制定包含战术、技术 与 过 程（Tactics, Techniques and Procedures，TTPs）要点的防御方法，按需编制防御算法（如攻防博弈算法、安全免疫算法等），搭建具备云服务与大数据分析等技术特征 [7] 的防御框架，最终建立基于攻防对抗思维的网络主动防御模型，能以命令下达或系统联动等方式有效驱动各项防御行动。二是充分运用防御指挥核心能力。防御者应开展预案计划、态势感知与呈现、态势研判与预测、决策制定、处置监控、效能评估等日常指挥活动，并提供模拟演练条件，不断促进防御模型的能力优化和演进。三是设定防御流程规范来约束防御指挥活动。防御者要以感知、判断、决策和行动（Obervation,Orientation, Decision and Action，OODA）理论为基础 ，以评估（Assessment）为补充，时刻关注防御效果评估在 OODA 各环节发挥的作用，提升防御指挥能力在安全防御行动编排、引导和控制时发挥的整体效能。

（4）防御行动。接收到防御指挥命令，防御处置团队将开展具体、可及时生效的防御行动。一方面，在具备对各类安全设施直接管理的条件下，对安全防护措施进行规划、部署和开通，配置全局安全策略以便提升整体防御效果，并承担病毒查杀、漏洞修复等日常安全运维工作，此外，还可进一步为机构 / 企业信息化建设中的国产替代和自主可控过程提供参考建议；另一方面，当遭受突发安全攻击事件且正常业务受影响时，能够迅速开展应急响应、辅助联动和威胁反制等临机处置行动，力求达到攻击阻断、入侵容忍、自愈恢复、舆论声讨等防御效果。

３网络安全主动防御模型

网络安全主动防御体系中的防御模型，应具备鲜明的以攻助防特点，支持智能化防御决策，具备体系化、流程化的防御链塑造能力，可有效应对来自攻击方的网络攻击行为，包括阻止攻击、降低攻击影响等。

3.1　防御方法

面对纷繁复杂的网络攻击行为，有效的网络安全主动防御方法可参考网络杀伤链、ATT&CK知识库和 OODA 来设计，力求发挥三合一的聚优作用。基于攻防对抗思维的网络安全主动防御方法如图 2 所示。

首先，战术对抗。针对网络杀伤链威胁，被攻击方应建立网络防御链，实现防御战术的合理选取和有序编排。在攻击前，面对来自攻击者的目标侦察和武器构建等威胁，可通过防御测绘与加固、威胁情报收集措施来阻止或缓解；在攻击进行中，面对来自攻击者的武器投递、武器激活、木马安装、连接控制和攻击执行等隐秘威胁行动，防御者应持续开展威胁监测与处置工作，发现和预判攻击者意图，尽可能阻止攻击者威胁行动或降低破坏效果。

其次，规范牵引。应规范化威胁监测与处置工作，无论对暴露的攻击行为进行应急处置，还是对攻击方 APT 行动进行定期挖掘，都需要建立 OODA 的工作范式，提高威胁发现概率和应对决策效率。

最后，手段落地。充分利用 ATT&CK 知识库和安全行业典型研究理论，在战术、技术和案例等网络安全先验知识支撑下，判断和预测潜在威胁，制定行之有效的防御措施。

3.2　防御战术与技术

防御战术与技术的全面性，决定着网络安全主动防御体系的完备性。针对网络杀伤链的 7 个攻击步骤，借鉴 ATT&CK 提出了 14 种防御战术，梳理了相关的防御技术，如表 1 所示。针对各阶段的攻击步骤，可以设置与之相抗衡或能降低攻击效果的防御战术，并通过先验知识尽可能多地储备可供选择的防御技术和防御工具，为按需制定防御策略和实施防御手段提供依据。

表 1　典型防御战术与技术对照

3.3　防御决策

防御决策先进性，决定着网络安全主动防御水平的高低。无论是网络攻击，还是网络安全防御，都高度依赖计算机技术来提高行动效能。由于攻击行动比较零散且随机，计算机将主要承担集成化和流程化工作，协助攻击者完成对各类攻击工具的收集、组装和协作，提高攻击效率。由于防御行动比较固定，应重视采用计算机系统预设或加载各类防御措施（防御软硬件工具、防御策略预案、防御决策算法等）的方法，提高网络安全的智能化、体系化防御处置能力。

攻防对抗不只是技术的比拼，更是一种决策能力的较量。处于技术劣势的一方，可以通过打造决策优势，提高自身的应变能力以及动态处置效率，弥补技术上的不足。因此，在防御措施中，相较需要大量经验积累的软硬件工具和策略预案，决策算法是一个值得研究的前沿方向，且相关的算法设计不应只局限于网络安全或计算机技术本身，可发挥跨学科融合优势，挖掘创新潜力。其中，面向网络攻防对抗、基于博弈论（Game Theory）的博弈算法是一个具有代表性的研究方向。

博弈论自产生发展到今天已形成了较成熟的理论体系，应用范围不仅包括经济学、政治学、军事、外交、国际关系、犯罪学等，还可以应用到攻防对抗的信息学领域。攻防行动犹如两军交战的战场，整个过程是双方互相博弈螺旋上升的过程。因此，掌握对抗双方博弈转换关系，记录对抗双方多变的态势变化和对彼此的影响程度，建立符合攻防规律的博弈算法，将有助于理解和评价网络攻防的矛盾冲突，有助于预测未来的攻击行为并选取相应的防御策略。网络攻防博弈是一种典型的非合作博弈形式，可以选取不完全信息动态博弈和精炼贝叶斯均衡理论开展具体研究，其重点是通过计算行动收益比寻求最优网络安全防御决策。

用不完全信息动态博弈来模拟攻击者和防御者之间的策略选择过程时，主要技术路线可使用强化学习和多智能体强化学习来模拟攻防双方之间的策略相互竞争，包括持续的策略更新，直到充分收敛双方策略，力求得出最佳的网络安全防御策略。强化学习的核心思想是试错：被赋予智能体特性的防御者，根据与环境交互获得的反馈信息迭代优化防御策略。当推导一个防御点（如一台防火墙）策略时，仅需考虑一个智能体的强化学习过程；当推导多个防御点（如数据中心安全防护设施）策略时，则变成对一个多智能体系统的思考，需要引入多智能体强化学习。此时环境中全局安全状态的改变和所有智能体联合动作相关，防御策略随之升级为全局联合策略。

精炼贝叶斯均衡理论是一种求解动态博弈均衡的方法，在网络安全研究中用于支撑防御者选择最优的防御策略。在该理论中，防御者会在决策前根据已知的先验攻击策略和可能的随机策略推断攻击者的行动，以期获取最佳策略。此时的最佳决策是指防御者在假设攻击者会做出最优决策的情况下，选取可以获得最大收益的自身决策。此时有 2 个关键技术需要充分使用。第一，引入知识图谱技术，通过构建防御知识图谱来表达复杂但含有逻辑相关性、能基于被攻击节点类型、攻击类型等，查询一种或多种防御措施的知识数据；第二，寻求对收益的准确量化方式 ，可参考通用安全漏洞评估系统中的攻防收益成本定义方法进行攻击和防御的成本收益量化，从而以评估结果作为选取最优防御策略的依据。安全漏洞评估系统中的各项评分要素均由国际信息安全领域专家共同制定，单一漏洞的公共漏洞和暴露（Common　Vulnerabilities and Exposures，CVE）编号通过官方网站公开，能够为相关研究提供很好的支撑。

４主动防御的应用场景

云数中心（部署云计算平台和大数据平台的混合环境）是信息化社会的典型应用场景，结合文中提出的基于攻防对抗思维的网络安全主动防御体系，提出了面向云数中心、基于多智能体协同的网络安全主动防御体系应用设计，如图3所示。

该应用场景体现了防御指挥中的防御决策能力和防御行动中的防御控制能力。其中，实现防御控制能力，由在广域网入口、内部局域网（即子网）入口和内部公共服务器等风险点部署的智能体实现，包括：用于收集威胁情报的诱饵智能体、用于检测和应对来自核心资产区和应用服务区以外入侵的网关智能体、用于检测和应对本子网内部入侵的子网智能体、用于检测和应对网关智能体遗漏的外部入侵的服务器智能体、用于按需分发全局安全策略的交换机智能体；实现防御决策能力，由独立部署的全局决策与控制智能体实现，能汇聚来自各智能体的威胁判断和自主决策初案，通过设计各类优化算法和比对历史数据库，力求评估和选取全局最优策略并按需分发。以分布式自主判断和决策为输入，以集中式关联判断和择优决策为输出，将有效提高威胁流量分析、威胁事件判断、威胁态势预测、防御策略决策等处理工作的准确度。

５结　语

通过分析网络安全领域的攻防对抗发展动态，提出了基于攻防对抗思维，包含情报收集、监测预警、防御指挥和防御行动 4 个要素的网络安全防御体系设想，给出了具备以攻促防特征的防御模型实现思路，阐述了防御指挥活动中防御决策可能的技术途径，并构想了一个体系实践场景。文中对当前网络安全领域出现的攻防对抗研究热点进行了及时响应，为提升组织与企业的网络安全能力提供了一个可供参考的体系设计方向。以此为基础，建议进一步开展对攻击检测与识别算法、威胁态势变化预测算法等的研究，弥补本文在研究不完全信息动态博弈理论时的部分欠缺。

选自《信息安全与通信保密》2024年第1期