主动防御：将战争策略应用于网络安全领域

主动防御是针对特定威胁采取的直接行动

关于主动防御的定义，不同的人有不同的理解，甚至很多人每次使用主动防御的意思都不一样。毛主席曾说过，真正的防御是积极防御，即摧毁敌人进攻的能力。这和主动网络防御中积极策略的目标很相似。

美国网络安全名人堂首位入选者、美国计算机协会研究员、美国海军研究生院教授多罗西·邓宁（Dorothy Denning）在一篇主动防御领域的标志性论文中称：主动网络防御是一种直接的防御行动，目标是挫败或消除针对本方力量和资产的网络威胁，或使其效力降低。主动防御既不具攻击性，也不一定是危险的。

北约对主动防御的定义是：侦测或获取关于网络入侵、网络攻击或即将发生的网络行动信息的主动措施，或为确定网络行动的源头而实施的先发制人、预防性或反制行动。

虽然目前主动防御理念缺乏明确的定义，但是，从上述观点中可以得出的结论是：相对于被动防御侧重于保护网络资产免受各种可能的威胁，主动防御则是针对特定威胁采取的直接行动。

主动防御在网络安全领域的典型应用

既然是主动防御，则肯定对应“被动防御”。被动防御的经典应用就是传统采用特征码技术的杀毒软件。传统的杀毒思路都是病毒先出现，甚至是大规模爆发后，安全厂商才提取特征码放入病毒库，终端用户通过升级将最新的病毒清除掉。这种做法显然不能在第一时间完成对最新病毒的防护。

主动防御理念的安全策略不再依赖于病毒的特征，而是根据行为做出预先判断并进行阻止。从技术角度来说，可分为四个方面：资源控制，通过对某些特定资源做严格的控制，让木马或恶意程序无法访问系统资源；访问控制，对特定文件或其他脚本做实际的访问检测；行为分析，对所有进程行为进行分析处理，判断进程本身是否恶意的来源；威胁情报，通过情报进行提前预警和防御部署。

从技术层面讲，许多网络安全技术可以归纳为主动防御技术，例如蜜罐、黑客反击等，都是有代表性的、常见的主动防御技术。

蜜罐技术本质上是一种对攻击方进行欺骗的技术。通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对其实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的 工具 与方法，推测攻击意图和动机。这种技术能够让防御方清晰地了解所面对的安全威胁，并通过技术和管理手段增强实际系统的安全防护能力。蜜罐好比是情报收集系统，可以获知攻击者入侵的途径，并随时了解针对服务器发动的最新攻击和漏洞，而且，还可以通过窃听黑客之间的联系，收集黑客所用的工具并掌握其社交网络。但是，蜜罐技术属于资源密集型的技术，设计、开发、部署和维护蜜罐需要大量的时间和专业知识。因此，在实施利用该技术之前，需要认真分析成本和保护目标。

黑客反击不是一种特定的工具，而是一种技术，主要是通过分析识别攻击者和攻击源，有时也被称为主动防御，涵盖一系列不同技术和工具。高级的黑客反击行为，包括远程侵入黑客的服务器并擦除任何被盗的数据，使黑客的恶意软件失效，甚至发动分布式拒绝服务（DDoS）攻击使罪犯的行动缓慢。但是，黑客反击也有缺点，即合法性。由于黑客反击的侵略性和潜在的法律后果，即使是合法的国家行为者，也必须考虑在先。

主动防御能够落地实践的三大关键因素

主动防御是一种全新的安全理念，如何将上文所述的蜜罐技术、黑客反击等典型应用真正落地实践，又是一个新的挑战。我们认为，数据记录、信息分析、响应处置是主动防御能够落地实践的三大关键因素。

数据记录能力。数据是安全防护的基础，主动防御的前提是有足够的数据支撑，需要了解包括知道攻击者、攻击目标、攻击手段等尽可能多的信息。数据的质量和价值对主动防御能力的落地也尤为关键。因此，对关键活动和行为，需要有一个非常全面和周详的记录，这种记录是连续性的而不是间歇性的。传统入侵防护系统（IPS）、入侵检测系统（IDS）等产品安全防护能力有限，其根本原因就是数据不够，导致分析能力有限。因此，想要达到主动防御，必须通过灵活采集包括网络层、主机业务层等各方面数据，为后期数据分析和响应处置提供基础内容支撑。

信息分析能力。对于关键基础设施而言，有效、实时的分析能力，必不可少。犹如雷达拦截导弹，前提是先完成精准识别。传统基于流量的分析能解决一部分问题，但是，还远远不够。引入新的技术和方法，比如大数据分析、机器学习等技术，将使分析变得更加贴近真实的应用场景，从而有效地在关键基础设施的范畴里做到更好识别。目前，基于大数据分析和机器学习的技术已经能够根据已有数据感知和预测未来，也就是说，利用已有的海量攻击数据提取特征并构建出有效的模型，再根据模型实时监测异常流量，识别出异常行为，预测安全风险。

响应处置能力。安全响应的有效性取决于处置的实效性及处置方法，如何降低平均检测时间/平均响应时间（MTTD/MTTR）是当下亟需解决的问题。因此，如果可以做到迅速分析，则会给处置留下比较多的时间，反之，则不然。安全人员始终在和攻击者赛跑，如何在黑客发动攻击之前，完成防御策略的调整阻断或者迟滞其攻击；以及如何在潜入内部的黑客盗取数据、造成破坏之前找到攻击者，并且立刻评估可能的损失范围和影响程度，及时进行响应和处置，避免造成真正的损失。因此，需要制定科学的应急预案，并尽量模拟真实的网络安全场景进行演练，加强自身应急响应能力。此外，在处置过程中，选择合理的处置方法和工具，也非常重要。通常情况下，引入自动化或半自动化的流程则会让处置过程事半功倍，因此，合理的工具和系统的支撑，非常必要。传统安全对黑客的检测和拦截取决于对它的认知，主动防御则要求将目光从黑客身上转移到自己身上，并通过持续的监控分析，快速精准地发现安全威胁和入侵事件，提供灵活高效的问题解决能力。

（本文刊登于《中国信息安全》杂志2018年第12期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。