以动态、实时、主动为特征的网络安全防御是解决网络系统中未知威胁和入侵攻击的新途径。在动态网络安全技术架构中,根据网络整体安全状况和实战安全运行需求,构建“持续监测、智能预警”的主动防御模式,结合优秀安全意识所需要素应对已知威胁。可以在实战中应对攻击和未知威胁。网络安全防御技术的演进和动态重构需要根据系统的安全态势和可能存在的安全威胁来考虑。如何有效感知网络系统的威胁态势,提前了解和判断、响应和处理,动态调整防御策略,是当前数字化的关键。转型期网络安全技术创新研究领域的一项重要任务。一、引言近年来,网络空间迅速上升为大国争夺的新战场。以政府企业、科研机构为代表的APT攻击、DDoS、工业互联网等攻击日趋严重,导致政府企事业单位重要情报数据被盗,工业互联系统被破坏,金融基础设施遭受重大经济损失,严重危害我国国家安全和社会经济利益。面对针对性APT攻击、勒索病毒、挖矿病毒等新型攻击手段,传统的基于特征检测的技术手段在应对动态、多变、高强度等方面存在较大局限性。在这种情况下,基于智能的数据挖掘分析、溯源与定位、动态策略传递、事件自动响应与处置就显得尤为重要。动态防御具有高效、资源利用灵活等优点,成为近年来网络安全防御技术研究领域的一个重要方向。2.网络动态防御技术网络安全动态防御旨在基于主动防御架构,根据网络环境的动态变化,不断调整威胁安全检测策略,配合大数据智能进行高效、准确的检测未知的安全威胁和异常活动。预警事件触发后,及时采取措施,采取应对措施,保证关键应用服务的持续运行,整体降低威胁攻击的影响和损失,提高弹性收缩的安全防御能力。2011年美国国家技术委员会提出“移动目标防御”(MTD)概念;也有学者将MTD技术称为“动态防御技术”、“动态弹性安全防御技术”或“动态赋能网络防御技术”。动态防御可以主动欺骗攻击者,扰乱攻击者的视线。通过设置虚假目标/诱饵,诱使攻击者实施攻击,从而触发攻击警报。动态防御改变了网络防御的被动局面,改变了攻防双方的“游戏规则”,真正实现了“主动”防御。目前,动态防御技术已成为网络安全理论研究的热点和技术制高点。国际上,许多网络安全研究机构都专注于动态防御的理论和技术。我国还开展了动态防御技术的关键技术研究,其中吴江兴院士提出了赛博空间拟态防御(CMD)的思想。CMD理论在可靠性领域引入了基于非相似冗余架构的异构冗余动态重构机制,使得在函数不变的情况下,目标对象内部的非相似冗余构造元素始终在数量或数量上运行类型、时间或空间维度的战略变化或转换,利用不确定防御原理对抗网络空间中确定或不确定的威胁。一个完整的动态防御体系应该基于足够完善的安全防御框架来构建动态防御体系,同时建立对系统防御效能的安全评估,以及动态反馈和调整的智能决策能力评估分析结果,形成完整的闭环管控机制,实现安全态势下策略的动态调整和优化。2.1动态防御效能评估实体动态防御技术能否达到预期效果,提高防御能力,需要综合分析评估。防御和效能评价可以从定性分析和定量评价两个角度结合形式化分析方法进行描述和量化。评价标准的选择既可以考虑多个指标的综合评价,也可以选择脆弱性等单一但直观的评价标准。为保证评估的客观性,需要从整体防御、系统漏洞、攻击面、防御成本等多个角度借鉴现有防御评估标准,实现动态赋能效能评估的技术路线.动态防御效能评价基于层次分析法,分析系统的要素及其相互关系,将各要素归并到不同层次,计算各层次的权重并进行比较。在划分系统评价性能等级时,可以考虑采用模糊综合评价法,通过对系统动态变化的多个时间段的观测生成模糊关系矩阵,进而得到综合评价结果。当系统观测到的数据达到一定规模时,可以通过积累的数据来预测和评估下一时刻的综合评级水平。基于漏洞发现的动态性能评估可以在一定程度上有效提高动态检测效果。由于系统在动态变化的时间间隔内仍然是静态的,其基本思想是分级评估系统漏洞,考虑各种因素,例如:攻击路径、攻击复杂性、身份验证、机密性影响、可用性影响、完整性影响、偏差因素、漏洞的可利用性、修复和报告的程度以及潜在的间接损害、主机分布等,通过生成相应的指标来计算和评估。基于攻击面测量的防御效能评估需要从两个方面考虑。一方面,它对攻击者的攻击特征进行建模,表征其攻击能力,并结合防御系统的随机变化状态。每个系统状态对应不同的攻击面,然后从攻击者的角度生成系统状态。模型,借助Petri网络模型进行安全分析和测试。另一方面,攻击者和防御者都应该考虑对系统攻击面的掌握程度,对系统攻击面的状态转换进行建模,预测攻击者和防御者对攻击面的理解和采用的供应商策略。预测面的下一个状态,从而定量分析系统防御能力的变化,并且可以借助马尔可夫链对攻击面的状态变化进行建模和测量。动态防御系统的可用性评估应综合考虑成本和收益。对攻击者攻击策略的变化、防御者采取的响应策略以及产生的奖励进行更详细的建模描述,以期为防御者选择优秀的防御策略提供依据。同时,与传统技术相比,动态防御策略的部署从软件开发、运行性能、软件部署、运维管理等方面考虑了对系统的影响。2.2动态防御智能决策动态智能防御是通过智能分析、负载生成、负载编排三大引擎,赋予系统中的参与主体、通信协议、信息数据实现特征转换的能力。引擎的工作过程需要强大的性能计算硬件支持。同时,借助配合响应的智能决策技术,系统可以跟随网络环境和安全需求的变化,实现按需动态保护目标,并对负载模块进行自适应调整针对不同的安全威胁。合理分配虚拟节点的网络资源。智能分析引擎需要具备威胁情报、未知威胁、网络突发事件、原始数据分析后的任务负载提取、策略特征值匹配等综合分析能力。针对当前瞬息万变的网络安全威胁态势,重点抓取和分析网络中已知攻击特征、复杂0-day漏洞攻击、未知威胁APT攻击,如何从海量数据中快速提取有价值的威胁情报这些数据用于决策和处置辅助。一方面,安全分析对网络中的数据量、会话、文件、元数据、网络日志、网络行为等原始数据进行梳理和总结;另一方面对安全事件、流量数据进行分析,充分分析上层威胁情报。通过学习、提取和比较现有威胁数据,机器学习模型可以检测未知或以前未检测到的攻击模式。此外,机器学习模型可以从新数据中获取信息,进行实时和批量检索,通过预学习训练和聚类算法判断当前网络中可能存在的安全威胁,提高未知威胁检测的准确性。负载生成与编排智能决策引擎根据负载需求的特点,生成符合要求的任务负载,并进行编排管理,生成优秀的部署方案。负载生成与编排智能决策引擎需要根据网络环境变化和安全需求进行自适应调整,通过智能匹配规则和优化处理规则填写安全策略模板,并自动进行自集成调用元负载实现按需分发服务,无需人工干预。一方面,快速分析安全策略加载方式,获取安全策略模板,自动优化功能负载的性能,提高功能负载的生成速度。综合考虑资源分配和实例选择,采用智能优化算法合理安排安全负载,有效提高安全资源利用率。同时动态优化要素功能组合,降低安全防护成本,实现动态防御按需加载功能的实效。2.3动态防御架构模型动态防御架构体系以随机变化和随机适配的思想构建动态防御的“逻辑任务模型”(如图1所示)。逻辑模型应基于不同的网络场景或异构的安全需求,实现态势数据概览的实时捕获和传输。核心驱动力是“捕获、适配、检测和链接”。它以随机时间间隔自定义网络策略配置的随机更改。“编排配置管理中心”负责“全局”动态调整配置的各种变更和控制。图1动态防御系统模型图“适配引擎”为基础设施网络捕获随机变化的参数,使安全状态发生随机变化,“分析平台”可获取实时威胁数据,并从“部署配置管理”获取当前策略中心”配置,识别可能存在的漏洞,持续攻击,分析未知威胁。“适配引擎”监控全局网络状态和安全态势,这与“逻辑安全模型”捕获的一样。“行为分析模型”由两个逻辑模型组成:战术模型和系统技术模型。通过“对抗战术与技术”框架的构建,可以深入了解哪些系统应该被监控,哪些内容需要从中收集,从而降低检测滥用的影响。入侵技术,实现每种技术的具体场景示例,并推断攻击攻击者如何通过特定的恶意软件或操作过程利用该技术。通过行为分析模型,建立当前覆盖范围的全局分析,评估被攻击目标面临的风险,为采取有意义的措施弥合差距提供参考。在动态防御系统的有效性分析中,更多地使用攻击面理论来验证动态防御能力的有效性。攻击面理论不仅可以对安全技术能力进行定性分析,还可以对安全技术的防御能力进行严密、定量的衡量,从而快速提升动态防御体系的完整性和能力。大多数针对系统的攻击,例如基于缓冲区溢出漏洞的攻击,都是在数据从其操作环境发送到系统时发生的。同样,许多其他针对系统的攻击(例如符号链接攻击)的发生都是因为系统向其发送数据。在这两类攻击中,攻击者使用系统通道(如套接字)连接系统,调用系统程序API,向系统发送数据项(如输入字符串)或从系统接收数据项。攻击者还可以使用文件等持久数据项间接向系统发送数据。攻击者可以在系统即将读取的文件中写入数据。以这种方式向系统发送数据。类似地,攻击者可以使用共享持久数据项间接地从系统接收数据,因此攻击者可以使用存在于系统程序、通道和系统环境中的数据项间接地攻击系统。通过将系统程序、通道、数据项统一为系统资源,定义系统攻击面。图2攻击面示意图结合图2,并不是所有的攻击源都是攻击面的一部分,只有当攻击者使用某种资源对系统进行攻击时,该资源才是图中攻击面的一部分。针对威胁动态安全防御思想,主要考虑系统攻击面和行为攻击的生命周期。通过改变其各种策略配置和安全属性,给攻击者提供了一个不断变化的攻击面,使攻击者更难发起有效的攻击。.攻击者制定攻击计划所需的时间可能很长,一旦建立模型,在此期间发生的变化足以破坏攻击模型的有效性。图3动态防御攻击面迁移模型示意图根据以上直观分析,攻击面是指攻击系统时使用的各种资源(包括但不限于:程序、通道、数据)的子集。动态防御的目标是防御者根据实际情况不断转移系统攻击面的防御方式。防御方根据攻击方的战术和技术能力进行挖矿、机器学习计算、矩阵部署。防守者可以不断转移或减少攻击面。增加攻击者利用系统漏洞的难度和时间。如果防御者转移了系统的攻击面,原来有效的攻击可能不复存在(图3所示的攻击1),攻击者需要花费更多的资源来调整战术和技术手段,使攻击重新生效或寻求新的攻击途径。图4攻击行为生命周期示意图图4展示了攻击行为生命周期。在t0时刻,现有的网络防御措施会生成防御方案k0,并启动多元化服务STk0。te定义为攻击者发起攻击到系统被破坏的时间,也可以认为是攻击者从目标获取账户信息所需的时间。从图中可以看出,一次成功的入侵攻击,从检测到攻击完成的总时间为t1+te。通过以上模型可以得出,动态防御机制可以使防御者提前学习判断,预测的方式可以随机变化,准确无误。系统的安全配置和响应资源结构,通过“蜜罐”牵引等技术,快速增加了安全防御的不确定性和未知性,进而增加了攻击者攻击的复杂性和成本,大大规避了系统的暴露点漏洞和位置漏洞被广泛利用的概率增加了系统的安全防御弹性。以上分析表明,动态防御技术带来的攻击面转移并不能始终降低攻击面指标,快速提供系统安全。因此,需要启用适当的特性,禁用安全风险较大的措施进行协调和联动,以降低攻击难度。大,损失影响受最大化限制。网络动态防御通过逆转对攻击者的非对称方式,最大限度地降低攻击对关键业务能力的影响,并综合运用防御、侦察、自适应技术和作战响应设计策略,采用随机自适应动态响应当前和未知威胁攻击。技术。网络动态防御基于即时感知机制,快速响应攻击事件,通过更安全、更具抵抗力的架构调整,抵御无意和有针对性的攻击,并获得足够的弹性来抵御初始和后续攻击的破坏。同时,基于分段、隔离、封闭机制,将不确定的部分与可信系统分离,减少攻击面,限制攻击者的利用和破坏。网络动态防御基于自身的多样性和随机适应性,可以在不同的时间使用不同的操作系统和应用程序进行匹配检测,或者在协同处理时调用这些组件来应对攻击,从而达到复杂化的目的,减少敌人的识别和机会攻击漏洞,维持系统原样。使用非可持续技术,可以保护系统免受危险行为的长期影响。3.动态网络安全威胁感知技术动态防御技术旨在保护网络信息系统中特定实体的数据安全和稳定运行。一般来说,网络信息系统中的实体包括软件、网络、计算平台和数据等。网络动态防御是基于对网络侧海量多样数据的自动采集、机器学习和挖掘分析,协同作战借助云情报数据,以动态、虚拟化、随机化的方式快速提前发现安全威胁,准确定位源头,并对入侵路径和行为背景进行研判溯源,并基于SOAR技术自动编排,实现联动响应和处置。网络动态防御打破了原有网络安全配置的静态性、确定性和相似性,提高了对未知威胁和攻击的定位、追踪和阻断能力,使安全防御体系具有足够的弹性扩展能力。承受随之而来的潜在伤害。3.1威胁情报大数据利用威胁情报大数据,基于云计算资源,通过数据清洗和验证子模块对多个数据源的数据进行清洗和验证,并结合专业网络安全研究人员的经验值分析,生成原创数据。威胁情报。然后通过威胁情报规则对原始威胁进行处理,生成各种威胁场景规则,发现安全威胁隐患,并具备采取相应措施和追溯安全威胁源头的能力。图5威胁情报数据流图威胁情报数据应该包括大量的APT攻击行为数据、全球IP、DNS、URL、文件黑名单和白名单信誉库,这些数据通过人工智能结合大数据知识和攻击者的多维度特征还原攻击者全貌,包括程序形态、不同编码风格、不同攻击原理的同源木马程序、恶意服务器(C&C)等,通过全图特征“追踪”攻击者,不断发现未知威胁.3.2感知容器组件流量感知容器是对网络中流量的镜像文件进行在线实时采集和完整还原。恢复后的流量日志安全传输至后端安全分析引擎。传输层和应用层的头信息,甚至重要的载荷信息,PE和非PE文件的检测和检查能力。图6传感器组件架构示意图流量感知容器应具备端口匹配、流量特征检测、连接自动关联、行为特征分析等功能。Webshel??l、命令执行、文件包含等应用程序攻击机制。3.3沙箱检测面对当前网络环境中恶意代码的复杂性和多样性,传统的静态检测技术体现出特征库匹配的局限性,无法完全检测出新兴的恶意代码。但是,如果基于沙箱的动态检测技术通过动态执行,可以对文件进行细粒度的行为检测,从行为层面进行细致的分析,是对传统静态检测技术的有效补充。静态分析看其“形”,动态分析看其“线”,准确全面分析文件属性,对文件恶意风险进行多维度风险判断,直观了解潜在混合威胁造成的危害程度,从而采用速读方法应急处理。在动态防御中使用沙箱技术,可以充分兼顾虚拟环境模拟技术的使用,在虚拟环境中模拟各种软硬件、Windows、Linux、Android等主流操作系统,构建纯净透明的虚拟化动态分析Environment,在ATT&CK技术的支持下,可以全景展示和分析恶意代码行为,细粒度地检测漏洞利用和恶意行为的可能性。3.4原始数据全包存储动态网络防御要求完整保存网络中的海量原始数据和全流量,实现秒级提取和发现,在网络事件发生时还原所有网络通信内容,快速实现分组级数据取证查责,为后续及时响应处置提供数据支撑。动态防御体系框架中的流量感知容器组件将实时捕获网络中的海量流量数据包。这些捕获的数据包流在存储性能和分析粒度方面都有非常高的要求。性能带来更大的挑战。如果设计不充分,动态处置效率和目标将大大降低。因此,需要全面加强威胁检测能力的分析和后续处理的效率,将威胁展现的淋漓尽致。应采用分布式存储技术,实现文件系统和对象存储的集中管理,这些分散的存储资源构成虚拟存储设备。并且基于丰富的存储接口,可以满足多种检测数据类型的需求。3.5威胁感知与判断与处置威胁感知与判断与处置应对威胁事件态势、资产安全态势、异常行为态势等进行综合关联分析与展示,结合威胁情报数据定期对碰撞原始日志进行智能分析和异常行为场景,发现未知威胁攻击,并从攻击链维度划分攻击行为,进行深入调查分析,以告警中被攻击、被迫害的资产为线索,还原整个攻击过程(侦察-入侵-指挥控制-横向渗透-数据泄露-清除痕迹),提供协同应急预案。图7威胁感知、判断和处置流程示意图威胁感知应该能够分析各种未知和已知威胁的分布、攻击来源TOP(排名)、Web攻击、威胁告警趋势、威胁告警类型、威胁情报数据命中情况、被攻击对象统一分析公司的横向、纵向访问等情况。在分析重大未知安全威胁时,充分结合技术专家的知识库,逻辑快速地部署部署的安全资源,实现快速准确的协同联动防御。一般来说,传统的被动防御架构可以作为第一道防线,解决目前已知的大多数网络攻击方式的防御问题;主动防御架构可以作为第二道防线,解决未知漏洞和后门的防御问题。当主动防御发现入侵攻击时,可以从记录的入侵攻击轨迹中学习,获取新的入侵攻击特征,并智能更新被动防御的特征库和检测规则。被动防御可以利用现有的高效检测机制,在入侵到达第二战线之前过滤掉大部分攻击。)跳转、虚拟蜜罐欺骗、敏感信息过滤、页面信息加扰和头域混淆,进而利用动态异构冗余机制实现异构冗余体的动态调度、攻击入侵的主动感知和异常组件的检测有效清洗和恢复.通过上述主动和被动联合配合的动态防御,不仅实现了对已知威胁和漏洞的防御,而且通过动态变化、欺骗和清洗,将多个复杂的未知业务应用组合起来,形成一个动态的、随机的安全防御技术机制。3.6Honeypotdecoycamouflage利用伪装、欺骗等手段阻止入侵者获取真实的系统信息和其他数据,诱使入侵者攻击一些预先设置的陷阱系统,以发现入侵所采用的策略和技术手段。网络通信中的攻防问题可以看作是一个博弈问题。在传统蜜罐的基础上,通过使用模拟服务环境的保护色机制、模拟蜜罐特性的警告色机制等主动欺骗技术,使攻击者无法区分蜜罐与实际环境。生产系统,从而有效迷惑和欺骗攻击者。蜜罐的保护色技术是指蜜罐模仿周围的运行环境和被保护系统的特性,使攻击者无法识别蜜罐的存在。蜜罐的警告色机制是指生产系统模仿蜜罐,让攻击者识别系统为蜜罐,避免攻击。蜜罐防御是一种理性的、非合作的欺骗过程,涉及攻击者和防御者。两党的战略是相互依存的。他们都希望保护自己的信息并获取对方的信息以实现利益最大化。是一种非合作、不完全信息的动态博弈。从攻击者的角度来看,对手不仅仅是提供真实服务的生产系统,而是“蜜罐”和“伪蜜罐”。从防御者的角度来看,对手包括合法用户和攻击者。结语在新时代数字化转型和新基建背景下,如何在保障经济快速发展的同时实现对网络安全的有效保护,是当前网络安全学术界和产业生态界需要共同解决的重大问题。基于传统知识和精确识别的防护方法由于其静态性和相似性,难以应对动态、智能、高强度的未知漏洞和未知威胁。动态防御是对网络空间安全防御技术和体系的探索,将安全能力提升作为系统增强和防御的标准属性。通过动态防御技术,网络系统的安全防御可以呈现不可预知的变化,大大提高了攻击者发现攻击的难度和成本。通过情报数据、欺骗等战术手段的有效结合,将攻击者引入网络攻击逻辑黑洞,进而加强分析判断,触发预警并实施阻断攻击,有利于提高安全防御能力实现由被动防御向主动防御转变。具有重要的战略意义和应用价值。
