网络安全新形势下的动态防御体系研究（下）

---

一、动态防御体系构成

（一）建立对抗式威胁评估能力

信息系统种类多、数据量大，包括各类业务、办公、经营、管理等应用和数据。在面对不断变化的网络安全风险时，需要采用模拟对抗式的评估方式，利用安全威胁分析作为重要信息系统和关键信息基础设施防护的基本防范依据，梳理业务资产、评估资产价值，构建场景化威胁响应，分析威胁影响的资产并结合资产价值对风险后果进行预判，以威胁对抗为核心梳理威胁点，对网络攻击影响进行模拟分析，增强网络安全规划、安全能力叠加演进以及安全推演的能力。

通过推演工具验证防御措施的有效性，从而发现在高对抗场景下系统的风险点以及当前安全防御措施的不足或亟待改进优化的地方。

（二）建立安全防御效能验证能力

目前，各基于网络安全等级保护的要求建立自身安全防护体系。在面对不断变化的网络威胁时，需要对现有安全技术能力进行持续的有效性验证，以保证现有安全手段能够有效覆盖绝大部分网络威胁。基于 ATT&CK 威胁框架各项攻击技术点，扫描并收集主机信息、匹配漏洞、建立会话、收集信息、提权、跳板等，模仿攻击技术实现对内部网络中各项资产安全防御能力的验证。针对系统主机、网络设备、物联网设备等进行防御效能验证，验证过程完全匹配 ATT&CK 威胁框架攻击技术点，模拟真实攻击过程，对网络目标进行漏洞攻击、缺陷攻击及网络钓鱼攻击等。

（三）建立安全防御基准检测能力

针对业务系统的防护需求和基础安全能力，各积极建设自身安全基线，用于指导后续安全配置或变更。在面对业务应用的发展以及网络威胁的变化时，需要通过总结各类关键安全防御动作和技术措施，形成防御能力体系，基于此体系形成防御效能验证功能，用于检验各业务系统防御能力覆盖情况，从识别、防护、检测、响应和分析等方面对安全动作与技术措施进行逐一枚举和验证，支撑安全能力检验、提升防御能力，实现通过体系化安全能力建设达成检测、干扰、阻断和呈现攻击者杀伤链的目标。

通过增强欺骗式网络环境构造环节，加大防御纵深、构筑欺骗环境，大大提高系统整体容错能力。

（四）建立欺骗式防御能力

基于网络安全等级保护的要求建设了分区分域的网络架构，形成了纵深防御能力。但面对不断变化的网络攻击时，仍无法避免网络入侵、远程控制等安全威胁，因此应提升自身网络空间的塑造能力。

通过建设蜜罐等欺骗式防御系统，增强网络空间环境的可塑性，形成主动的威胁捕获能力，提供包括网络设备仿真、Web 仿真、数据库仿真、操作系统仿真、系统服务仿真、应用服务仿真等持续丰富的仿真能力，能够生成威胁事件、攻击链等溯源信息。采用高低交互结合的方式进行仿真，高交互仿真资产为真实的服务，擅长深度伪装、捕获深度攻击；低交互仿真资产为仿真的服务，擅长广度伪装，覆盖多种类的服务类型且性能要求较低，高低交互结合不仅覆盖了仿真深度，也覆盖了广度，从而实现仿真程度最大化。

（五）建立安全态势分析处置能力

安全管理中心是各网络安全能力建设中必不可少的一环。目前，安全管理中心基本具备安全监测、实时告警的能力，但面对重要业务系统安全告警时，需要及时发现并完善当前安全态势感知的深度分析和响应处置功能，利用安全威胁深度分析、漏洞挖掘、响应处置等能力，实现从威胁检测、分析、处置、追溯，到优化调整的闭环处置流程。

通过对网络流量的捕获、还原与分析，实现对文件的深度分析和鉴定，全方位地展示网络中恶意事件和恶意代码的传播态势。通过对安全威胁进行综合分析，在原有安全态势全面感知和及时预警的基础上，实现对威胁的深度分析、精准溯源和快速处置，降低系统安全风险。

1、深度分析

通过对多渠道汇聚的数据信息进行分析、挖掘、关联，确定网络攻击的种类、数量，追踪攻击来源、目标等。同时，针对分析结果进行功能性的统计，并以清晰、直观、形象的视图与表格进行展示。

2、精准溯源

通过数据监测与分析，实时掌握系统监测能力覆盖范围内的安全态势，基于监测数据，同时配合威胁情报驱动威胁分析，针对攻击者的攻击工具、攻击资源、攻击手段进行全面揭示，形成精准追踪溯源的能力。

3、快速处置

通过安全监测、关联分析、情报驱动等过程对安全趋势、威胁、攻击等情况进行深度分析、研判，对威胁进行预警并生成处置方案，创建相应的处置任务，结合自动化分析和人工研判，进行威胁快速处置。

（六）建立情报驱动分析能力

作为我国重要经济支柱，每日都会面对大量来自境内外的、具有针对性的网络探测、攻击等情况，为有效应对内部重要业务系统在高对抗场景下的威胁，通过向量级的威胁情报能够对威胁进行有效理解和预测。通过深入研究威胁信息，实现多源数据综合研究，从而达到对风险的有效认识。

通过具体的威胁分析、攻击利用方法以及攻击者数据帮助研究机构预防攻击行为。通过威胁信息驱动研究可以有效支持安全事件深度研究，针对攻击者的威胁手段、攻击来源、攻击方式做出充分阐述，实现跟踪溯源的功能，并在很大程度上减少搜集情报和威胁分析时间，在关键系统和数据受损之前最大限度地缩短事件响应时间并中断杀伤链。在战略层面全面了解攻击对手，为及时做出决策和采取行动提供重要的支撑。

（七）建立威胁猎杀能力

构建一个完善的安全防护体系需要将技术能力与运营能力相结合。各经过多年的网络安全能力发展，目前已建成稳定的安全防护技术能力，并具备经验丰富的维护人员，通过自动化检测配合人工分析研判的方式，能够对重要业务系统面临的安全威胁进行深度分析和有效猎杀。在处置威胁过程中，配合人工进行取证分析、事件定性、深度关联分析、溯源分析等工作，补充和修正自动威胁分析的结果。

人工分析研判流程：首先，对网络安全设备日志、系统日志、Web 日志、用户日志等原始数据进行收集、处理及分析研究，对异常流量进行分析，通过逆向工程对样本代码语义及功能展开分析等；其次，将各个威胁事件之间进行有效关联，通过过滤、聚合、去伪存真，发掘事件之间的真实联系；最后，综合分析结果给出相应的威胁处置方案。同时，以数据为采集和处理的对象，通过自动化威胁猎杀工具实现知识与情报驱动的自动化关联分析，从而对系统中的未知威胁、高级威胁等进行清除。

二、动态防护技术组成

（一）基于关键安全动作的防御效能验证分析技术

在防护能力建设中，安全动作是针对网络攻击的防护和处置的关键操作，对安全动作有效性的验证直接影响的安全防御能力。将所需的关键安全动作作为防御能力定义的核心，从识别、防护、检测、响应和分析等方面对安全动作与技术措施进行枚举，聚合关键安全动作形成矩阵化描述，支撑安全能力检验，提升防御能力，通过体系化安全能力的建设实现检测、干扰、阻断和呈现网络攻击的目标。

（二）多维、多层的人机结合分析技术

目前，各已建设了大量应用系统，面对每日安全监测中出现的大量告警，需围绕业务分析层、日志分析层、情报分析层 3 个层面，对业务系统的安全告警进行威胁、脆弱性、异常、安全状态等多方面的分析，并结合多种关联要素将具备相关性的安全告警进行归并。

同时，结合自动化分析和人工分析研判手段，对分析、处置状态进行持续监测，持续更新事件库，生成分析结果并完善自动分析检测能力，形成完整的闭环，减少误报，有效定位威胁，提升网络安全事件分析效率。

首先，基于威胁告警信息上报的结果日志，自动抽取攻击来源、攻击载荷、受害者、目标载荷，采用关联分析技术，将威胁告警日志关联对应的威胁情报信息，将分散的告警信息形成基于 ATT&CK 的攻击图谱分析。其次，基于自动分析的结果，由系统提供流程式、向导式的人机交互分析方法，通过自动化信标关联分析、人工数据探索排查分析、人工聚合分析三步，补充和修正自动威胁分析的结果，实现威胁告警事件链的明晰化，从而对威胁告警实施定性判定。最后，基于自动化分析、人工分析研判以及持续追踪监测的结果进行综合的威胁评估，通过对威胁事件所形成的攻击技术、攻击阶段、资产失陷状态、业务影响情况、攻击者 / 攻击组织等多维度进行综合评估，完善对威胁的理解。

（三）面向海量异构的威胁情报知识图谱构建技术

具有业务种类多、重要程度高等特点，并且易遭受 APT 攻击。在面对此类安全风险时，应利用多元化、智能化、体系化的分析方法，对恶意代码进行深度的多维基因（特征）向量提取、多源异构数据融合、关联同源分析等操作，构建海量异构的威胁大数据、多源的威胁情报数据、碎片化的威胁知识图谱，实现对特定场景下全量威胁数据的融合分析与深度挖掘，达到全面揭示威胁事件的攻击工具、攻击技术、攻击资源、攻击组织的目的。该技术为安全事件监测预警与人工分析研判提供高价值样本数据，为追踪溯源提供更加全面的数据支撑。

利用分布式图数据库和基因关联特性，基于攻击基因大数据自动化构建网络威胁知识图谱。基于攻击者、安全事件、攻击载荷、攻击路径等元素，通过分布式图数据库由底向上的方式，基于知识抽取技术、知识融合技术、知识加工技术，将标定的攻击基因和威胁情报基础数据形成知识库，并根据数据关联性自动化构建网络威胁知识图谱。

（四）对抗式威胁评估分析技术

具有大量信息技术（Information Technology，IT）软硬件资产，对 IT 资产的防护是安全能力建设的核心，通过威胁分析的理念梳理资产威胁点，评估当前系统风险。利用信息收集、网络扫描和漏洞利用等技术，封装威胁评估工具，通过自动化手段实现对抗式威胁评估。该技术通过多方面进行资产信息收集，确立指标体系，将各个孤立的点联系起来，将安全威胁复杂性、攻击技术等进行量化分析，进而生成威胁评估模型及评估方案，动态执行后输出分析结果。

（五）网络空间欺骗式环境塑造技术

基于业务系统的重要性，在建立纵深防御的网络架构的同时，应提升网络空间的塑造能力，采用网络空间欺骗式环境塑造技术，通过加密与无连接方式传输数据，隐藏采集信道。该技术能够对攻击进行分类与聚合，还原整个攻击流程。在仿真的同时保证隔离性，限制内部的通信和操作，防止欺骗式仿真环境被攻陷后作为跳板机进行进一步的传染与攻击。

---

总结

通过对当前网络安全的特性分析，旨在优化网络安全能力，建设全面的动态防御和运营体系。以安全威胁为基础，通过威胁分析理念，结合威胁框架的验证能力以及 PDCA 和OODA 双循环驱动的运营模式，实现对抗式威胁评估能力、防御效能验证能力、防御基准检测能力、情报驱动的分析和响应能力、威胁猎杀能力，实现叠加演进的安全技术体系与闭环的安全运营体系的有机结合，支撑在网络安全新形势下的动态安全防御需求。