攻防对抗视角下的网络安全主动防御体系研究

摘要：

内容目录：

1 网络攻防的发展现状

2 网络安全主动防御体系

3 网络安全主动防御模型

3.1 防御方法

3.2 防御战术与技术

3.3 防御决策

4 主动防御的应用场景

5 结 语

在时间与空间维度上与陆地、海洋、空中及太空领域相互交织的空间可被视为第五维的空间，在这个全球化的信息时代中深入融入政府机构、公众生活和社会各个层面 网络安全则是这个虚拟环境得以存在并持续发展的基础 如何实时感知持续存在的网络威胁 并有效应对不断涌现的各种网络攻击手段 是当前网络安全组织面临的核心挑战 建立纵向防御体系即所谓的Defence-in-Depth DiD体系是一种传统的安全防护措施 但这种在各种信息流节点部署安全防护机制的理念往往会导致防御能力过于僵化 以及缺乏灵活多变的安全应对策略 这就难以适应日益复杂多变的网络安全形势 在长期的发展历程中攻防双方围绕着反检测与检测进行持续对抗 攻击方凭借不断变化的技术手段规避现有的安全检测机制 而作为防御方则必须不断提升自身的防护能力才能占据主动权 好在现有的网络安全手段具有一定的规律性和发展方向性 因此可以在较为早期阶段进行规划和准备 这也是本文提出基于攻防对抗思想构建主动防御体系的意义所在

本文采用综合论述的方式探讨了当前网络安全领域的技术和防御发展现状，并详细介绍了JCWA（Joint Cyber Warfighting Architecture）[1]以及网络杀伤链模型[2]等相关背景知识。文章深入分析了如何将传统静态防护能力转变为基于攻防对抗策略的主动防御体系，并构建了一个可供借鉴的战略框架体系。

1

网络攻防的发展现状

近年来年景欠佳的网络安全威胁中频发着各类针对关键基础设施的信息战

目前此类'炫技'式的黑客攻击事件已相对稀少

取而代之的是一些专业化且具备明确作战思维和明显趋利性趋势下的组织发起的一系列新型网络犯罪行为

这些新型犯罪活动主要由包括 various 黑客团伙, 潜在的利益集团 等构成

这种转变部分原因来自于网络安全能力在人工智能与大数据技术支持下持续提升

同时也有助于推动美国相关研究成果的发展

网络安全防御可被视为网络作战能力的重要组成部分。美国对这一领域的理论研究和技术实践给予高度重视。于2019年实施联合网络作战架构顶层设计方案后构建了覆盖网络空间作战全程全要素的架构体系该体系协调统一地处理作战任务规划决策生成指挥控制和力量投送等活动同时整合了国防部的网络空间资源大幅提升了网络空间作战能力。于2014年洛克希德·马丁公司发布了开创性的网络安全白皮书《情报驱动的计算机网络防御》首次提出了网络杀伤链模型旨在实现对攻击者高级可持续威胁（Advanced Persistent Threat APT）活动的感知能力该模型将网络攻击划分为7个阶段包括侦察跟踪武器化开发载体化递送漏洞利用安装植入命令与控制以及目标达成等环节而MITRE公司的"对抗性战术 技术与公共知识库（Adversarial Tactics Techniques and Common Knowledge ATT&CK）"模型则是在上述基础上围绕对抗战术对抗技术提出了一套更细粒度更易共享的知识模型框架。

该军事机构及其相关组织致力于全身心投入攻防对抗理论研究，并不仅在"能力提升、理论先导"方面具有显著优势，在此基础上更将作战理念延伸至网络安全领域，并必然会对以纵向防御为主的传统网络安全思维产生深远影响

２

网络安全主动防御体系

从攻防对抗的角度出发，在网络安全领域中融入了攻击与防御思维方式这一理念后，则需要解决一个系统化的架构问题。随着网络环境呈现出高度动态性特点的发展趋势, 因此网络安全防护体系应当具备完整性、规则性、时效性和演进性的特征.基于这一思路构建起来的主动防御机制, 如图1所示.

该体系由情报收集、信息收集、监测预警、监控预警以及指挥协调、防卫行动等四个要素构成；详细阐述各要素的具体内容。

情报收集是一种掌握获取信息优势的能力，在主动防御体系中扮演着基础作用。情报收集的迭代进化能力是传统安全运维思维向攻防对抗思维升级的前提条件，在其内涵中包含以下要点：第一，在防御体系中建立起对外来安全情报共享机制的管理架构；第二，在全面摸清被保护的资产以及网络环境特征的基础上建立动态更新机制；第三，在及时完善漏洞数据库的同时深入研究安全防护理论、案例分析以及应对策略；第四，则是对具有代表性的黑客组织画像、攻击热点及技术手段进行持续跟踪研究，并在不断更新攻击行为特征数据库的过程中为网络安全态势分析和防御决策提供‘攻防一体’的支持依据

（2）监测预警能力是防御体系的关键观察点与实时监控系统,旨在持续关注并分析来自各个方向的网络安全威胁动态。一方面,防御者需建立定期漏洞扫描与安全基准线核查机制,以确保及时发现并修复潜在防护漏洞;另一方面,重点关注的目标包括主机、网络及系统等关键设施,通过持续的数据采集、信息汇总与日志审查,开展威胁行为分析,及时识别或预测敌方攻击意图并发出相应的威胁预警通报。针对预警信息的处理,拟构建5种预警攻击模式,涵盖从初步感知到全面瘫痪的不同阶段；受攻击范围则将涵盖从疑似状态到完全瘫痪的全过程；此外,还需开展攻击行为追踪溯源工作并建立攻击者画像数据库,以此为基础制定针对性防御策略

（3）防御指挥。防御指挥作为网络安全主动防御体系的核心部分，在面对网络攻击时负责制定并执行防御策略与行动方案。该岗位不仅能够承担着应对网络攻击并实施防御活动的决策中枢职责，并且还能够发挥出系统整体效能的最大化放大效应 [5]。组织/企业组建的防御指挥团队不仅要由主要由安全技术人员 / 运维人员构成，并且还需要吸纳具备系统管理能力的网络管理人员、系统运维人员以及业务决策者等多维度人才，在实际工作中尽量减少网络安全对日常业务运营的影响，并在遭受突发重大安全攻击时迅速启动应急响应机制以缩短授权处置时间

防御指挥团队必须对安全防御能力建设进行全面规划、协调与执行，并具备灵活调控能力以有效应对多变的攻击者环境及对抗进程的变化。构建完整的防御体系需从三个方面入手：首先是构建覆盖全面的防御模型，在引入攻防对抗理念的基础上制定涵盖战术布局、技术应用与操作流程（Tactics, Techniques and Procedures, TTPs）的核心要素，并根据需求设计相应的防护算法（如攻防博弈算法、安全免疫算法等），最终形成集云服务与大数据分析于一体的防护架构 [7] 。其二是强化核心指挥能力，在日常工作中实施包括预案制定、态势感知与呈现、态势研判与预测等环节的同时，并通过模拟演练等方式不断优化及提升模型效能。其三是确立科学的操作规范以规范指挥流程，在遵循OODA理论的基础上加强评估机制的作用，在决策判断各环节持续关注防护效果评估的影响因子，并以此全面提升安全防御行动编排效能。

（4）防御行动。根据防御指挥中心发出的指令进行处理后，在具备直接管理各类安全设施的前提条件下制定详细的防护方案并执行部署工作，在保障网络安全稳定的前提下构建全面的安全防护体系，并承担机构/企业信息化建设中的国产替代与自主可控战略规划工作；当遭受突发安全攻击事件导致正常业务受到影响时，则迅速启动应急响应机制并组织相关系统进行联动防护工作，在切断攻击入口的同时采取相应措施防止网络被入侵，并通过公开负面信息引导公众舆论形成有利于网络安全的社会认知氛围；另一方面，在遭受严重威胁情况下能够快速启动威胁评估机制并制定针对性威胁应对方案以达到阻断攻击源、实现入侵容忍以及实现自愈功能的目标

３

网络安全主动防御模型

基于主动安全的技术构建的网络防护体系中所包含的核心防护模型具有显著的以攻为守的技术优势，在面对外部网络攻击时能够实现智能化的安全决策，并提供从威胁检测到响应处理的一整套系统化安全防护链条建设能力。该模型不仅能够有效识别并阻止恶意请求还能够最大限度地减少潜在损失等各项关键指标的表现

3.1 防御方法

面对复杂多样的网络攻击行为，在网络安全领域中构建有效的主动防御体系时可借鉴网络杀伤链、ATT&CK知识库以及OODA模型来制定相应的防护策略，并致力于实现三者协同作用以达到最佳防护效果。采用攻防一体思维模式来构建网络安全主动防御体系如图2所示。

在面对对抗性 tactic 时，在面临 network sabotage threat 的情况下

被攻击方需构建相应的 defense framework 以应对该类 threat

应采取相应的 protective measures 以应对该类 threat

在 attack 发生期间：beating back hidden threats such as weapon deployment, activation, malware installation, network control, 和 direct attacks 应持续实施 threat monitoring 和 response actions

针对 network sabotage threat … 应尽可能减少 attack impact 或完全阻断其 effect

其次，在规范导向下推进工作。应当建立一套涵盖威胁监测与处置的工作机制，在无论是应对暴露的攻击行为时，在还是针对攻击方 APT 的持续行动中都需要构建OODA工作范式框架下开展相关保障措施工作以提升威胁检测的概率以及应对决策的速度和效率

最终方案得以实施。基于ATT&CK知识库以及行业研究理论，在网络安全领域内进行深入分析与实践应用。识别潜在威胁并进行风险评估，在战术、技术与案例等维度构建防御体系；结合网络安全先验知识与实际需求，在具体措施上实现精准应对与有效防护。

3.2 防御战术与技术

网络安全主动防御体系的有效性直接关系到网络威胁防护的整体效果。在分析网络攻击流程中的 7 个关键环节时，在借鉴 ATT&CK 模型的基础上提出了 14 种针对性防御策略，并详细梳理了相应的防护技术手段（如图所示）。在每个阶段的关键环节上设置相应的防护措施，并结合先验知识储备多种防护技术和工具以备不时之需。

表 1 典型防御战术与技术对照

3.3 防御决策

防御决策的重要性不仅体现在网络安全主动防御的整体效果上，在面对各种威胁手段时都发挥着关键作用。不论是网络安全中的何种威胁手段或者是相应的防护措施的应用方式与策略选择等环节中都需要依靠强大的计算能力来提升执行效能。
由于当前大多数网络攻击手段较为分散且具有不确定性而使得传统的单点防护难以应对现代网络环境下的威胁情况因此需要依靠计算设备实现更为复杂的协同防护功能：一方面帮助攻击者实现对各类攻防工具的收集、组装以及协作配合；另一方面则能够通过数据处理与分析功能为安全防护提供有力支持。
与此同时还应当注重通过预先设置或加载一系列具体的防护措施（包括但不限于：各种类型的攻防软件工具配置方案以及相应的安全策略制定等）来提升整体系统的智能化与规范化的防护能力从而构建起多层次的安全防护体系以应对日益复杂的网络威胁挑战。

除了技术实力的竞争外，在技术和能力上稍处劣势的一方可以通过构建自身的优势来提升其快速反应能力和应对突发状况的能力，并弥补其在技术和资源上的不足。因此，在当前网络安全防护措施中

自产生以来发展至今, 博弈论已形成较为完善的理论体系. 其应用领域不仅限于经济学、政治学、军事学等基础学科, 还延伸至更为广泛的领域. 攻防行动犹如一场战场上的对峙, 整个过程呈现出双方相互博弈的趋势, 并不断向复杂化演变. 为了深入理解网络攻防中的矛盾关系, 必须追踪敌方行为的变化特征及其影响范围, 构建符合攻防规律的博弈模型. 这种非合作博弈形式可以通过不完全信息动态博弈理论进行具体分析, 其核心在于通过计算各参与方收益比值来实现最优网络安全防御策略的选择.

在模拟攻击者与防御者之间的策略选择过程中，在不完全信息动态博弈模型下主要的技术路线包括通过强化学习及多智能体强化学习来模拟攻防双方之间的战略互动机制，并包含持续的策略更新过程直至双方达到充分收敛状态，并最终旨在确定最优网络安全防御策略方案。其中强化学习的核心思想是通过赋予智能体特性进行试错优化的过程：当推导单个防御点（如一台防火墙）的相关战略时仅需关注单一智能体的学习过程；而当推导包含多个防御点（如数据中心安全防护设施）的战略时则需要构建一个多智能体系统模型以实现协同进化机制。在此过程中环境中的全局安全状态会随着各智能体联合行动的变化而同步更新并形成新的整体安全防护战略水平

精炼贝叶斯均衡理论是一种解决动态博弈均衡问题的方法，在网络安全研究中被用来指导防御者制定最优防御策略。在这一理论框架下，防御者需在决策前基于已知先验攻击策略以及可能存在的随机化策略来预测攻击者的行动意图，并以获得最大自身利益为目标选择相应的对策措施。最佳决策是指，在假设攻击者将采取最优行动的前提下，防御者所能采取能够带来最大收益的具体行动方案。实现这一目标需要掌握两个关键核心技术：第一是采用知识图谱技术构建防御知识图谱，在该图谱中通过整合与被攻击节点类型、攻击类型相关的复杂数据以及可查询的一系列防御措施的知识信息；第二是探索精确评估收益的方式，并借鉴通用安全漏洞评估系统中关于攻防收益成本计算的方法来建立统一的安全评估体系。在此体系下得出的结果将作为选择最优防御策略的重要依据。安全漏洞评估系统中的各项评分标准由国际信息安全领域专家共同制定并最终确定，在这一过程中所使用的CVE编号（Common Vulnerabilities and Exposures）可通过官方网站公开查询到相关信息

４

主动防御的应用场景

云计算与大数据融合的应用场景（云数中心）是信息化社会的典型应用案例。基于文中所提出的依托攻防对抗理念构建的网络安全主动防御体系框架，在此基础上构建面向云数中心的应用方案，并通过多智能体协同机制实现安全防护功能。具体实现效果可见图3。

在该应用场景中体现出一定的防御指挥能力与行动协调性。其中，在保障网络安全方面体现出较强的防护效能主要通过在广域网入口处以及内部局域网（子网）入口处，并结合内部公共服务器等多个关键风险点上配置相应的安全机制来实现。这些机制主要包括：专门负责收集威胁情报信息的诱饵型安全设备；能够在核心资产区与应用服务区之外区域发现并应对潜在入侵行为的核心监控节点；能够实时监测并识别本网络区域内潜在的安全威胁的具体设备；针对可能被漏检的情况，在网络管理层面进行补充防护措施的技术设备；以及能够根据实时需求动态分配全局性安全策略的应用程序交换机等基础保障设备；而针对更高层次的战略管控则依靠独立设置的安全指挥中心来进行综合协调：该中心不仅能够整合各层级安全节点的信息反馈结果，并结合历史数据分析技术快速定位潜在风险；还能够通过建立完善的优化模型选择最优的安全策略方案，并根据实际需求及时更新应用层面上的安全防护措施等多级防护体系从而有效提升整体网络安全防护水平

５

结 语

从分析网络安全领域的攻防对抗发展动态入手，在此基础上构建了基于攻防对抗思维的安全网络防护体系设想，并提出了一种包含情报收集、监测预警、防御指挥以及防御行动四个核心要素的安全网络防护体系设想方案。随后提出了具有以攻为守特点的防护模式实现路径，并探讨了在特定情况下可能采用的技术手段以及一个具体的实践场景设置方案。文中对于当前网络安全领域存在的攻击与防守相互制约的研究热点问题进行了及时回应，并在此基础上提出了一种可行的安全网络防护体系设计思路，并对未来相关研究方向进行了展望与建议