李慶華，郭曉黎，張鋒軍，張小軍，石 凱，許 杰

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

網(wǎng)絡(luò)空間是全球化信息環(huán)境，在時空上與陸、海、空、天領(lǐng)域交匯重疊，被稱為第五維疆域。在萬物互聯(lián)的當下，網(wǎng)絡(luò)空間滲透到國家、社會和個人的方方面面，而網(wǎng)絡(luò)安全正是網(wǎng)絡(luò)空間賴以生存和發(fā)展的關(guān)鍵。如何感知時刻存在的網(wǎng)絡(luò)威脅，應對層出不窮的網(wǎng)絡(luò)攻擊，是每個網(wǎng)絡(luò)安全組織和從業(yè)者所面臨的棘手問題。建立縱深防御（Defence-in-Depth，DiD）體系是較為典型和傳統(tǒng)的網(wǎng)絡(luò)安全防御措施，但其在內(nèi)外各信息流關(guān)卡處堆疊安全防護手段的思想，容易造成防御能力固化、防御策略欠缺靈活性的弊端，無法有效應對不斷變化的網(wǎng)絡(luò)攻擊行為?？v觀網(wǎng)絡(luò)安全歷史，攻防雙方一直圍繞著反檢測與檢測進行著持續(xù)對抗。攻擊方最重要的法寶是“變”，通過變化來規(guī)避各種已知檢測手段，而防守方必須去應對各種變化才能逐步提升防護能力。所幸的是，因為網(wǎng)絡(luò)攻擊手段類似、有章可循，所以網(wǎng)絡(luò)防御手段亦可提前謀劃、按圖索驥，這也是本文提出基于攻防對抗思想、設(shè)計網(wǎng)絡(luò)安全主動防御體系的價值所在。

本文以綜合論述的方式，分析了典型網(wǎng)絡(luò)攻擊與防御的技術(shù)發(fā)展現(xiàn)狀，并介紹了聯(lián)合網(wǎng)絡(luò)作戰(zhàn)架構(gòu)（Joint Cyber Warfighting Architecture，JCWA）[1]和網(wǎng)絡(luò)殺傷鏈模型[2]等背景情況，闡述了如何在網(wǎng)絡(luò)安全領(lǐng)域?qū)鹘y(tǒng)靜態(tài)防護能力轉(zhuǎn)變?yōu)橐怨シ缹篂橐罁?jù)、以動態(tài)指揮為核心的主動防御能力，提出了一套可供參考的思維框架。

1 網(wǎng)絡(luò)攻防的發(fā)展現(xiàn)狀

近年來，網(wǎng)絡(luò)攻擊事件頻頻發(fā)生，但黑客炫技攻擊事件已越來越少，取而代之的是作戰(zhàn)思維更加明確、趨利性更加明顯的專業(yè)化網(wǎng)絡(luò)攻擊組織發(fā)起的攻擊事件，涉及各種勒索軟件團伙、地下黑產(chǎn)組織等。這種網(wǎng)絡(luò)攻擊作戰(zhàn)化趨勢，一方面來自網(wǎng)絡(luò)攻擊能力在人工智能、大數(shù)據(jù)技術(shù)加持下的不斷提升，另一方面也受到了來自美國網(wǎng)絡(luò)攻防體系研究成果的推動。

網(wǎng)絡(luò)安全防御是網(wǎng)絡(luò)作戰(zhàn)能力的一個分支，美國非常重視其理論研究和技術(shù)實踐。2019年，美國國防部批準實施聯(lián)合網(wǎng)絡(luò)作戰(zhàn)架構(gòu)頂層設(shè)計方案，構(gòu)建了覆蓋網(wǎng)絡(luò)空間作戰(zhàn)全程全要素的架構(gòu)體系，統(tǒng)一協(xié)調(diào)了作戰(zhàn)任務(wù)規(guī)劃、決策生成、指揮控制和力量投送等活動，并同步整合了國防部網(wǎng)絡(luò)空間資源和能力，大幅提升了網(wǎng)絡(luò)空間作戰(zhàn)能力。2014年，美國洛克希德·馬丁公司發(fā)布了開創(chuàng)性的網(wǎng)絡(luò)安全白皮書《情報驅(qū)動的計算機網(wǎng)絡(luò)防御》，首次提出了網(wǎng)絡(luò)殺傷鏈模型，力求實現(xiàn)對攻擊者高級可持續(xù)威脅（Advanced Persistent Threat，APT）活動的感知能力。該模型將網(wǎng)絡(luò)攻擊劃分為7 個階段：偵察跟蹤、武器化開發(fā)、載荷投遞、漏洞利用、安裝植入、命令和控制、目標達成。美國MITRE 公司的“對抗性戰(zhàn)術(shù)，技術(shù)和公共知識庫（Adversarial Tactics, Techniques and Common Knowledge，ATT&CK）”模型[3]是在網(wǎng)絡(luò)殺傷鏈模型基礎(chǔ)上，圍繞對抗戰(zhàn)術(shù)和對抗技術(shù)，提出的一套更細粒度、更易共享的知識模型和框架。

綜上所述，美國軍事機構(gòu)和相關(guān)組織不遺余力地發(fā)展攻防對抗理論研究，不但發(fā)揮了“能力建設(shè)，理論先行”優(yōu)勢，更將作戰(zhàn)化概念引入網(wǎng)絡(luò)安全領(lǐng)域，勢必對以縱深防御為主的傳統(tǒng)網(wǎng)絡(luò)安全思維產(chǎn)生深遠影響。

2 網(wǎng)絡(luò)安全主動防御體系

在攻防對抗視角下，將攻防對抗思維引入網(wǎng)絡(luò)安全防御領(lǐng)域，需要解決體系化設(shè)計問題。由于網(wǎng)絡(luò)空間的攻防對抗是一個高度動態(tài)的過程，因此網(wǎng)絡(luò)安全防御體系應涵蓋完整性、規(guī)則性、時效性和演進性的設(shè)計特點?；诠シ缹顾季S的網(wǎng)絡(luò)安全主動防御體系設(shè)計，如圖1 所示。

圖1 基于攻防對抗思維的網(wǎng)絡(luò)安全主動防御體系

該體系包含情報收集、監(jiān)測預警、防御指揮和防御行動4 個要素，具體說明如下。

（1）情報收集。情報收集是一種獲取信息優(yōu)勢的“知己知彼”能力，使得主動防御有章可循。情報收集迭代能力是傳統(tǒng)安全運維思維升級為攻防對抗思維的前提條件，要點包括：防御者建立與外界安全情報的共享機制，摸清被防御資產(chǎn)和網(wǎng)絡(luò)環(huán)境，及時更新漏洞庫，積極研習安全防御理論、案例和手段，進而建立防御基本規(guī)則；防御者積極跟蹤典型黑客組織畫像、攻擊熱點，攻擊理論、案例和工具，維護攻擊特征庫，為網(wǎng)絡(luò)安全態(tài)勢研判和防御決策提供“以攻促防”的知識依據(jù)。

（2）監(jiān)測預警。監(jiān)測預警能力是防御體系的“千里眼”和“順風耳”，力求時刻捕捉和洞察來自各方向、各維度的網(wǎng)絡(luò)安全威脅。一方面，防御者應養(yǎng)成定期開展漏洞挖掘和安全基線巡查的習慣，及時發(fā)現(xiàn)防御方防護短板；另一方面，防御者針對重點防護目標（如主機、網(wǎng)絡(luò)、系統(tǒng)等），以實時監(jiān)測、數(shù)據(jù)采集/匯聚、日志審計為基礎(chǔ)，開展威脅行為分析，發(fā)現(xiàn)或預判敵方攻擊意圖，及時發(fā)起威脅預警通報。針對預警通報，借鑒美國網(wǎng)絡(luò)戰(zhàn)能力設(shè)想，規(guī)劃5 類預警攻擊類型，包括：欺騙、拒止、分離、降級、毀壞和恢復[4]；受攻擊程度包括：疑似、最小、警告、注意、嚴重、災難。除此之外，防御者還可進行追蹤溯源攻擊行為、構(gòu)建攻擊者畫像等工作，為對攻擊者形成反制能力提供依據(jù)。

（3）防御指揮。防御指揮是網(wǎng)絡(luò)安全主動防御體系的核心，是應對網(wǎng)絡(luò)攻擊而開展防御活動的決策“大腦”，可發(fā)揮體系能力“倍增器”作用[5]。機構(gòu)/企業(yè)建立的防御指揮團隊，不但需要以安全專家/運維人員為主體，還需要納入網(wǎng)絡(luò)管理人員、系統(tǒng)運維人員和業(yè)務(wù)決策人員，盡可能降低網(wǎng)絡(luò)安全對日常業(yè)務(wù)運營的影響，并縮短遭受突發(fā)重大安全攻擊時安全處置的授權(quán)時間。

防御指揮團隊需要對安全防御能力建設(shè)進行籌備、組織和部署，并且應具備調(diào)整控制能力，以便有效應對不斷變化的攻擊者、對抗環(huán)境和對抗進程。構(gòu)建防御指揮能力，需要重視3 方面工作：一是設(shè)計和實現(xiàn)防御模型。防御者通過引入攻防對抗理念，制定包含戰(zhàn)術(shù)、技術(shù)與過程（Tactics, Techniques and Procedures，TTPs）要點的防御方法[6]，按需編制防御算法（如攻防博弈算法、安全免疫算法等），搭建具備云服務(wù)與大數(shù)據(jù)分析等技術(shù)特征[7]的防御框架，最終建立基于攻防對抗思維的網(wǎng)絡(luò)主動防御模型，能以命令下達或系統(tǒng)聯(lián)動等方式有效驅(qū)動各項防御行動。二是充分運用防御指揮核心能力。防御者應開展預案計劃、態(tài)勢感知與呈現(xiàn)、態(tài)勢研判與預測、決策制定、處置監(jiān)控、效能評估等日常指揮活動，并提供模擬演練條件，不斷促進防御模型的能力優(yōu)化和演進。三是設(shè)定防御流程規(guī)范來約束防御指揮活動。防御者要以感知、判斷、決策和行動（Obervation,Orientation, Decision and Action，OODA）理論為基礎(chǔ)[8]，以評估（Assessment）為補充，時刻關(guān)注防御效果評估在OODA 各環(huán)節(jié)發(fā)揮的作用，提升防御指揮能力在安全防御行動編排、引導和控制時發(fā)揮的整體效能。

（4）防御行動。接收到防御指揮命令，防御處置團隊將開展具體、可及時生效的防御行動。一方面，在具備對各類安全設(shè)施直接管理的條件下，對安全防護措施進行規(guī)劃、部署和開通，配置全局安全策略以便提升整體防御效果，并承擔病毒查殺、漏洞修復等日常安全運維工作，此外，還可進一步為機構(gòu)/企業(yè)信息化建設(shè)中的國產(chǎn)替代和自主可控過程提供參考建議；另一方面，當遭受突發(fā)安全攻擊事件且正常業(yè)務(wù)受影響時，能夠迅速開展應急響應、輔助聯(lián)動和威脅反制等臨機處置行動，力求達到攻擊阻斷、入侵容忍、自愈恢復、輿論聲討等防御效果。

3 網(wǎng)絡(luò)安全主動防御模型

網(wǎng)絡(luò)安全主動防御體系中的防御模型，應具備鮮明的以攻助防特點，支持智能化防御決策，具備體系化、流程化的防御鏈塑造能力，可有效應對來自攻擊方的網(wǎng)絡(luò)攻擊行為，包括阻止攻擊、降低攻擊影響等。

3.1 防御方法

面對紛繁復雜的網(wǎng)絡(luò)攻擊行為，有效的網(wǎng)絡(luò)安全主動防御方法可參考網(wǎng)絡(luò)殺傷鏈、ATT&CK知識庫和OODA 來設(shè)計，力求發(fā)揮三合一的聚優(yōu)作用?；诠シ缹顾季S的網(wǎng)絡(luò)安全主動防御方法如圖2 所示。

圖2 攻防視角下的網(wǎng)絡(luò)安全主動防御方法

首先，戰(zhàn)術(shù)對抗。針對網(wǎng)絡(luò)殺傷鏈[9]威脅，被攻擊方應建立網(wǎng)絡(luò)防御鏈，實現(xiàn)防御戰(zhàn)術(shù)的合理選取和有序編排。在攻擊前，面對來自攻擊者的目標偵察和武器構(gòu)建等威脅，可通過防御測繪與加固、威脅情報收集措施來阻止或緩解；在攻擊進行中，面對來自攻擊者的武器投遞、武器激活、木馬安裝、連接控制和攻擊執(zhí)行等隱秘威脅行動，防御者應持續(xù)開展威脅監(jiān)測與處置工作，發(fā)現(xiàn)和預判攻擊者意圖，盡可能阻止攻擊者威脅行動或降低破壞效果。

其次，規(guī)范牽引。應規(guī)范化威脅監(jiān)測與處置工作，無論對暴露的攻擊行為進行應急處置，還是對攻擊方APT 行動進行定期挖掘，都需要建立OODA 的工作范式，提高威脅發(fā)現(xiàn)概率和應對決策效率。

最后，手段落地。充分利用ATT&CK 知識庫和安全行業(yè)典型研究理論，在戰(zhàn)術(shù)、技術(shù)和案例等網(wǎng)絡(luò)安全先驗知識支撐下，判斷和預測潛在威脅，制定行之有效的防御措施。

3.2 防御戰(zhàn)術(shù)與技術(shù)

防御戰(zhàn)術(shù)與技術(shù)的全面性，決定著網(wǎng)絡(luò)安全主動防御體系的完備性。針對網(wǎng)絡(luò)殺傷鏈的7 個攻擊步驟，借鑒ATT&CK 提出了14 種防御戰(zhàn)術(shù)，梳理了相關(guān)的防御技術(shù)，如表1 所示。針對各階段的攻擊步驟，可以設(shè)置與之相抗衡或能降低攻擊效果的防御戰(zhàn)術(shù)，并通過先驗知識盡可能多地儲備可供選擇的防御技術(shù)和防御工具，為按需制定防御策略和實施防御手段提供依據(jù)。

表1 典型防御戰(zhàn)術(shù)與技術(shù)對照

3.3 防御決策

防御決策先進性，決定著網(wǎng)絡(luò)安全主動防御水平的高低。無論是網(wǎng)絡(luò)攻擊，還是網(wǎng)絡(luò)安全防御，都高度依賴計算機技術(shù)來提高行動效能。由于攻擊行動比較零散且隨機，計算機將主要承擔集成化和流程化工作，協(xié)助攻擊者完成對各類攻擊工具的收集、組裝和協(xié)作，提高攻擊效率。由于防御行動比較固定，應重視采用計算機系統(tǒng)預設(shè)或加載各類防御措施（防御軟硬件工具、防御策略預案、防御決策算法等）的方法，提高網(wǎng)絡(luò)安全的智能化、體系化防御處置能力。

攻防對抗不只是技術(shù)的比拼，更是一種決策能力的較量。處于技術(shù)劣勢的一方，可以通過打造決策優(yōu)勢，提高自身的應變能力以及動態(tài)處置效率，彌補技術(shù)上的不足。因此，在防御措施中，相較需要大量經(jīng)驗積累的軟硬件工具和策略預案，決策算法是一個值得研究的前沿方向，且相關(guān)的算法設(shè)計不應只局限于網(wǎng)絡(luò)安全或計算機技術(shù)本身，可發(fā)揮跨學科融合優(yōu)勢，挖掘創(chuàng)新潛力。其中，面向網(wǎng)絡(luò)攻防對抗、基于博弈論（Game Theory）的博弈算法是一個具有代表性的研究方向。

博弈論自產(chǎn)生發(fā)展到今天已形成了較成熟的理論體系，應用范圍不僅包括經(jīng)濟學、政治學、軍事、外交、國際關(guān)系、犯罪學等，還可以應用到攻防對抗的信息學領(lǐng)域。攻防行動猶如兩軍交戰(zhàn)的戰(zhàn)場，整個過程是雙方互相博弈螺旋上升的過程。因此，掌握對抗雙方博弈轉(zhuǎn)換關(guān)系，記錄對抗雙方多變的態(tài)勢變化和對彼此的影響程度，建立符合攻防規(guī)律的博弈算法，將有助于理解和評價網(wǎng)絡(luò)攻防的矛盾沖突，有助于預測未來的攻擊行為并選取相應的防御策略。網(wǎng)絡(luò)攻防博弈是一種典型的非合作博弈形式[10]，可以選取不完全信息動態(tài)博弈和精煉貝葉斯均衡[11]理論開展具體研究，其重點是通過計算行動收益比尋求最優(yōu)網(wǎng)絡(luò)安全防御決策。

用不完全信息動態(tài)博弈來模擬攻擊者和防御者之間的策略選擇過程時，主要技術(shù)路線可使用強化學習和多智能體強化學習來模擬攻防雙方之間的策略相互競爭，包括持續(xù)的策略更新，直到充分收斂雙方策略，力求得出最佳的網(wǎng)絡(luò)安全防御策略。強化學習的核心思想是試錯：被賦予智能體特性的防御者，根據(jù)與環(huán)境交互獲得的反饋信息迭代優(yōu)化防御策略。當推導一個防御點（如一臺防火墻）策略時，僅需考慮一個智能體的強化學習過程；當推導多個防御點（如數(shù)據(jù)中心安全防護設(shè)施）策略時，則變成對一個多智能體系統(tǒng)的思考，需要引入多智能體強化學習。此時環(huán)境中全局安全狀態(tài)的改變和所有智能體聯(lián)合動作相關(guān)，防御策略隨之升級為全局聯(lián)合策略。

精煉貝葉斯均衡理論是一種求解動態(tài)博弈均衡的方法，在網(wǎng)絡(luò)安全研究中用于支撐防御者選擇最優(yōu)的防御策略。在該理論中，防御者會在決策前根據(jù)已知的先驗攻擊策略和可能的隨機策略推斷攻擊者的行動，以期獲取最佳策略。此時的最佳決策是指防御者在假設(shè)攻擊者會做出最優(yōu)決策的情況下，選取可以獲得最大收益的自身決策。此時有2 個關(guān)鍵技術(shù)需要充分使用。第一，引入知識圖譜技術(shù)，通過構(gòu)建防御知識圖譜來表達復雜但含有邏輯相關(guān)性、能基于被攻擊節(jié)點類型、攻擊類型等，查詢一種或多種防御措施的知識數(shù)據(jù)；第二，尋求對收益的準確量化方式[12]，可參考通用安全漏洞評估系統(tǒng)中的攻防收益成本定義方法進行攻擊和防御的成本收益量化，從而以評估結(jié)果作為選取最優(yōu)防御策略的依據(jù)。安全漏洞評估系統(tǒng)中的各項評分要素均由國際信息安全領(lǐng)域?qū)＜夜餐贫?，單一漏洞的公共漏洞和暴露（Common Vulnerabilities and Exposures，CVE）編號通過官方網(wǎng)站公開，能夠為相關(guān)研究提供很好的支撐。

4 主動防御的應用場景

云數(shù)中心（部署云計算平臺和大數(shù)據(jù)平臺的混合環(huán)境）是信息化社會的典型應用場景，結(jié)合文中提出的基于攻防對抗思維的網(wǎng)絡(luò)安全主動防御體系，提出了面向云數(shù)中心、基于多智能體協(xié)同的網(wǎng)絡(luò)安全主動防御體系應用設(shè)計，如圖3所示。

圖3 云數(shù)中心網(wǎng)絡(luò)安全主動防御體系應用設(shè)計

該應用場景體現(xiàn)了防御指揮中的防御決策能力和防御行動中的防御控制能力。其中，實現(xiàn)防御控制能力，由在廣域網(wǎng)入口、內(nèi)部局域網(wǎng)（即子網(wǎng)）入口和內(nèi)部公共服務(wù)器等風險點部署的智能體實現(xiàn)，包括：用于收集威脅情報的誘餌智能體、用于檢測和應對來自核心資產(chǎn)區(qū)和應用服務(wù)區(qū)以外入侵的網(wǎng)關(guān)智能體、用于檢測和應對本子網(wǎng)內(nèi)部入侵的子網(wǎng)智能體、用于檢測和應對網(wǎng)關(guān)智能體遺漏的外部入侵的服務(wù)器智能體、用于按需分發(fā)全局安全策略的交換機智能體；實現(xiàn)防御決策能力，由獨立部署的全局決策與控制智能體實現(xiàn)，能匯聚來自各智能體的威脅判斷和自主決策初案，通過設(shè)計各類優(yōu)化算法和比對歷史數(shù)據(jù)庫，力求評估和選取全局最優(yōu)策略并按需分發(fā)。以分布式自主判斷和決策為輸入，以集中式關(guān)聯(lián)判斷和擇優(yōu)決策為輸出，將有效提高威脅流量分析、威脅事件判斷、威脅態(tài)勢預測、防御策略決策等處理工作的準確度。

5 結(jié) 語

通過分析網(wǎng)絡(luò)安全領(lǐng)域的攻防對抗發(fā)展動態(tài)，提出了基于攻防對抗思維，包含情報收集、監(jiān)測預警、防御指揮和防御行動4 個要素的網(wǎng)絡(luò)安全防御體系設(shè)想，給出了具備以攻促防特征的防御模型實現(xiàn)思路，闡述了防御指揮活動中防御決策可能的技術(shù)途徑，并構(gòu)想了一個體系實踐場景。文中對當前網(wǎng)絡(luò)安全領(lǐng)域出現(xiàn)的攻防對抗研究熱點進行了及時響應，為提升組織與企業(yè)的網(wǎng)絡(luò)安全能力提供了一個可供參考的體系設(shè)計方向。以此為基礎(chǔ)，建議進一步開展對攻擊檢測與識別算法、威脅態(tài)勢變化預測算法等的研究，彌補本文在研究不完全信息動態(tài)博弈理論時的部分欠缺。