網絡安全防御戰術研究

◆車路 夏亞東 馬鴻健 劉瑾

（山東農業大學網絡信息技術中心 山東 271018）

戰術是一門古老科學，由于認識角度不同，各國對戰術的認知概念也不完全相同?！吨袊娛掳倏迫珪鹦g學分冊》關于戰術的定義具有科學性和權威性，戰術是“進行戰斗的方法，主要內容包括：基本原則，兵力部署、協同動作、戰斗指揮、戰斗行動的方法和各種保障措施”[1]。戰術本身是對戰斗的一種思維方法，其通過對戰斗領域中所進行的獨到思維，形成贏得勝利的方法。戰術亦是一種決策藝術，即對戰斗因素的平衡與組合藝術，戰術是贏得戰斗勝利的科學和藝術統一，是一種具有思想性，創造性的指揮與控制方式[2]。目前，網絡已經成為繼陸、海、空、天之后的“第五空間”，維護網絡空間主權與安全已上升到各國國家戰略層面?！熬W絡安全的本質在對抗，對抗的本質在攻防兩端能力的較量[3]?！?戰術是對抗過程中實踐經驗積累和運用，戰術存在于網絡安全攻擊和防御雙方。

1 研究網絡防御戰術意義

對比來看，我們構建的網絡防御體系與軍事斗爭領域中“城堡”十分類似[4]，但網絡防御面臨更復雜情況：

（1）攻擊時間不明確，統計數據呈指數級上升。信息化環境下各種組件交互關系復雜，覆蓋面極廣，“去偽存真”的信息在數量上急劇增加，對攻擊行為判斷、甄別、分類工作難度增大。

（2）對抗區域不明確，網絡攻擊面越來越多。防御者要抵御OSI模型4-7 層中所有可能的攻擊，而應用數據傳輸鏈越來越長，數字終端環境越來越復雜。攻擊者只需找到一個可利用的安全弱點，就能突破防御體系，逐步獲得核心數據。

（3）攻擊人員不明確，攻擊成本越來越低。網絡攻擊工具呈武器化擴散勢頭，自動化攻擊工具可以輕易獲得，防御方要在有限時間范圍內快速、高效、準確地采取有效措施，防御的成本越來越高。

（4）攻擊方式不明確，手段正趨向精確和智能。隨著計算機技術的不斷發展，以數據科學、機器學習和人工智能為代表的互聯網新理念，提供了新的思維認識方式和技術。新一代網絡攻擊開始逐步融合新興技術，“人工智能黑客”正逐步成為現實，人工智能將打破攻擊與防御現狀，而用戶很難發現自己已經被AI 攻擊[5]。

如此看來，網絡安全雙方的不對稱性導致攻擊方存在巨大優勢，其可以隨時從互聯網任何地點發起攻擊，防御方無法識別和定位跳板主機后的攻擊人員身份，也無法分辨攻擊方背景和目的。隨著應用數據鏈不斷擴大，對抗區域也變得越來越模糊，防御方只能在具有一定權限的網絡空間內開展防護措施，這成為了一種“敵強我弱”的包圍形態。但自古以來，任何對抗中的形勢往往都是瞬息萬變?！肮粽呓洺Ｕ加凶畛鮾瀯?，但當戰斗拖延到延時，防御方會變得更加強大”[6]。

2 研究網絡防御戰術目的

網絡防御性行動是通過計算機網絡來保護、監視、分析、檢測和響應信息系統和計算機中未經授權的活動[7]。網絡防御的目的是保護自身核心信息資源，運用戰術實現不確定性[8]，通過綜合運用網絡安全攻防中各組成因素，遏制對方戰術和攻擊能力，震懾和阻絕網絡攻擊。

3 網絡防御戰術因素分析

網絡安全對抗要做到“知彼知己”，認知對手、認知自己。美國洛克希德.馬丁公司提出網絡攻擊“網絡殺傷鏈”模型，包括網絡攻擊所需的七個階段：偵察跟蹤、武器構建、載荷投遞、漏洞利用、安裝植入、命令與控制、目標達成[9]，網絡防御則要熟悉己方信息資產，了解安全威脅，識別安全攻擊，修復安全弱點，控制安全風險，落實安全措施，消除安全影響，達到安全需求，過程可簡單表述為保護、檢測、響應、恢復4 個階段[10]。戰術運用中不但要考慮防御人員、數據資產、防護裝備、防御體系等主要因素，更要考慮時間（時機）、情報、心理等輔助因素，見表1。

表1 網絡防御戰術組成要素

注：R=人員、T1=數據資產、T2=防護裝備、T3=防御體系、O=時間（時機）、P=心理、I=情報

3.1 人是戰術中最大變量

網絡防御中所有因素都涉及對人員綜合能力的思考，人員應具備開闊的視野和靈敏的洞察力，扎實的計算機全域技術知識，熟悉安全防護設備功能與性能，具備發散性思維和數據、情報、心理綜合知識，具備不斷接納新知識并轉化為自我實踐水平的能力，具備良好的團隊合作和溝通能力。防御人員必須編制為基本小組，保證在網絡防御中可以輪訓替換。每個小組應具備三種角色：操作者角色，熟悉己方資產，定期檢查和修補資產漏洞，負責配置網絡安全設備規則制定，分析和查找網絡、系統、應用的攻擊弱點，審查和修復應用代碼，識別攻擊行為，實施攻擊阻斷等工作。觀察分析者角色，通過個人知識分析和機器數據分析相結合的方式，分析攻擊目標和攻擊目的，查找和判斷未知威脅，對攻防態勢提供感知分析和決策支撐。指揮者角色，匯總所有信息，進行認知判斷和指揮，決定防御戰術，控制有效攻擊時間、有效攻擊范圍和有效攻擊傷害，標簽化攻擊者并評估攻擊者心理模型，決定反制戰術和措施。評估己方團隊和裝備，保證防御人員和防御體系均處于最佳狀態。

3.2 技術是網絡防御戰術的基本因素

3.2.1 數據資產要素是技術因素中的基礎要素

數據資產包含資產識別、資產賦值、弱點管理等[11]。資產識別要完整、準確對要保護的IT 資源整理和識別，包括：物理資產、軟件資產、員工客戶等。資產賦值量化資產間相互關系與依賴程度，資產構建關系和核心價值，確定核心資產，即防御的重點。弱點管理對資產弱點進行評估、建立標準基線，進行弱點根除，保持監視與響應等。

3.2.2 裝備是技術因素中的重要因素。

裝備包括網絡防御中使用的防護、檢測、分析產品與設備，例如：防火墻、WEB 應用防火墻、入侵檢測、感知探針、分析平臺等。防護設備要具備高可用數據吞吐性能和與之匹配的網絡安全業務處理能力，具備廣泛的攻擊識別種類和數量，具備威脅快速識別防范能力，具備與感知設備聯動功能和分析平臺對接功能。檢測設備要具備分布式部署能力，可采集不同協議網絡流量，具備呈現完整、詳細會話能力與和存儲空間。分析平臺則通過防護設備和檢測設備聯動實現機器數據采集與整合，在此基礎上通過數據預處理、特征提取、態勢預測實現數據噪聲過濾，具備完整的網絡地形和網絡態勢感知呈現能力和存儲空間，具備敏捷快速的威脅識別、分析、告警功能。

3.2.3 網絡防御體系是技術因素中的核心要素。

網絡防御體系涉及數據資產、防護裝備、管理策略、人員的組合應用。網絡防御體系要考慮網絡資產核心和戰術措施，圍繞資產核心建立多層交叉防護機制。保證防御核心在遭到全面網絡攻擊時可用性，以及在同時面臨多個區域被突破時部分核心功能的可用性。防御體系的重心是明確防護、檢測、分析設備部署位置、規則策略、威脅處理、數據分析方式。進行風險評估、風險預測，確定組織和人員運作、管理方式和應急響應流程，并在實踐中不斷補充、修改和完善。

3.3 時間（時機）是戰術運用的基準點。

時間是網絡防御中的“勝負衡量標尺”，也是攻擊者實施網絡攻擊時預期成本中重要因素。對于理性的網絡攻擊者，當且僅當預期收益超過預期成本時，才被視為有價值[12]。所以時間在網絡防御中一是表達行為的初始時間戳，例如：攻擊發現時間、攻擊識別時間、防御響應時間等。二是表達動作的持續時間間隔，例如：內網攻擊時長、系統復原時長等。三是某項措施的介入時機，例如：識別持續攻擊后立即開始對源地址的誘導戰術等。其中，攻擊方主觀因素大的是不可控時間，只能通過技術、情報等手段努力縮短過程時長，而防御方的優勢在于結合其他因素對可控時間和可控時長的靈活把握。

3.4 心理是戰術運用的必要因素。

醫學研究表明網絡行為會對人類心理產生不同作用，而網絡攻擊會對人員心理健康產生影響[13]。網絡安全中考慮心理因素具有兩面性，不僅需要測量和評估攻擊者心理狀態，建立攻擊者心理學特征，例如：性格、情感、狀態等。根據技術特征和軌跡判斷攻擊者心理和目的，不斷阻滯攻擊者行為、分割其戰術目標，使其不斷面臨新的信息和困難，產生劇烈的心理波動和高強度心理壓力，同時也要檢測和分析己方防御人員和員工心理情況，及時干預，避免心理影響。

3.5 情報是戰術運用的風向標。

網絡安全中情報與信息不同，信息經過針對性分析、價值轉換后才能稱為情報，主要表現在網絡防御中預警和溯源等方面。預警是根據1DAY 等網絡威脅信息，網絡防御方緊急快速收縮攻擊面，有效縮短應急響應時間。再者根據攻擊來源信息，加強信息收集與分析頻率，改善防御方法和措施。溯源是主動地追蹤網絡攻擊發起者、定位攻擊源，結合網絡取證和情報分析，有針對性地減緩或反制網絡攻擊。

4 網絡防御戰術運用

目前，許多優秀的軍事戰術思想被廣泛運用在網絡防御中。例如：縱深防御戰術，是以多層結構來阻滯攻擊破壞力，使攻擊流失能，當部分防御節點被入侵時，使攻擊方在特定的網絡區域內失去攻擊能力和攻擊效果[14]。主動防御戰術。采用主動的、前置的防御措施，利用受約束的輔助行為，阻滯攻擊者進入一個敏感網絡區域，提高信息系統安全性和可用性[15]。從本質上看，目前的網絡防御依然是“觸發后響應”的事中、事后反應性模型?！凹词箲馉幨欠烙缘?，它仍然經常包含進攻性的成分”[6]，進攻性防御戰術依然可以運用到網絡安全的事前階段，網絡防御需要從純粹的反應型模型過渡到誘導型模型，見圖1。

圖1 誘導型網絡防御模型示意圖

4.1 運用虛實結合信息，混淆攻擊偵查

網絡攻擊首要階段是偵查并獲取有價值信息，防御戰術要從攻擊者角度思考，從攻擊面入手。攻擊面是指信息環境中可以被攻擊者輸入或提取數據而受到攻擊點位[16]。利用信息隱匿和信息偽裝混淆攻擊方偵查，不斷無規律替換和更迭，保證吸引力和誘導效果，保持攻擊面的不確定性。

（1）真實資產信息隱匿，縮小真實環境攻擊面。例如：隱藏網絡路徑，網絡層設置PING 無響應，TRACERT 信息丟棄；隱匿資產版本信息、WEB 應答，供應鏈信息；隱匿管理接口、API 接口；隱匿人員社會工程學信息等。

（2）實施信息偽裝，擴大虛擬攻擊面。利用假目標信息偽裝。例如：安全防護設備偽裝端口應答、偽裝應用程序應答、偽裝WEB網站和API 接口、對抗主機偽裝數據文件等。

（3）主動投放偽裝信息，混淆攻擊面。例如：在互聯網環境或真實資產中投放不同語境的偽裝文檔和偽裝賬號，主動暴露偽裝弱點信息，使攻擊者更有可能多的收集虛假情報，并在對抗中標記位置與路徑，當有用戶、IP 或進程與這些偽裝資源進行互動時，記錄攻擊者攻擊時間、攻擊跳板IP 和其大概語言習慣。

4.2 構建多樣化網絡地形，削弱攻擊效果

網絡地形指網絡或計算機系統結構及其接口構成的網絡環境，構建復雜的網絡地形目的是誘導攻擊目標、明確對抗區域、分析攻擊方法、削弱攻擊效果。目前廣泛采用的滲透測試只能模擬部分攻擊行為和方法，網絡攻擊方仍有大量未紕漏的戰術和方法，合理的做法是把誘導戰術與真實環境深度融合，快速變化網絡地形，敏捷指揮與控制，更深入的理解網絡攻擊。

4.2.1 分段設置對抗區域，誘導攻擊者行動

在網絡邊界規劃“緩沖區域”，通過邊界防護設備，阻斷自動化探測和常見攻擊威脅，通過檢測、分析識別真正具有威脅的攻擊者。利用SDN 技術實現可控網絡[17]，為攻擊者和正常用戶無感知分配不同的網絡環境，努力呈現給攻擊者一個看似簡單的防御結構，創建第一層對抗主機或蜜罐，通過路由協議保持攻擊者進出路徑一致，阻斷任何橫向網絡連接。測量和觀察攻擊者行為，為防御人員和分析設備感知、理解爭取更多數據和時間。在核心業務網絡之前規劃“對抗區域”，鏡像業務系統，偽裝數據，利用牽引、阻滯等方式為攻擊者提供有價值偽裝目標，并在對抗網絡或密網中進行分隔和阻斷，時刻準備備用方案，防止攻擊者突破權限，一旦發現要迅速遏制防御裂口。在核心業務區域內部劃分多個子域，嚴格控制進出每個子域交互數據，過濾用戶輸入，篩選DNS、網關等外發數據，防止隧道通訊行為，部署終端防護，關注所有用戶單次獲取的網絡權限和應用權限。多個區域間構建網絡安全“交叉火力”，即合理配置不同類型、不同廠家的防護設備，靈活運用安全策略，實現同一種網絡威脅時在多個網絡區域內可以不斷過濾。

4.2.2 快速變化網絡地形，使攻擊程序失效

網絡攻擊的關鍵在于攻擊程序對漏洞準確識別并成功利用，即攻擊方法的工具化和投送利用。利用移動目標防御（MTD），旨在創建動態且不斷變化的信息系統[18]，將生產環境架構轉變為觸發防御架構，依據攻防模型，將所有數據資產看成可輪換元素，依據攻擊威脅類型和攻擊識別時間不斷替換，實現不斷變化的系統、中間件以及接口。在網絡層面，小型信息應用通過CDN 不斷更改設備和系統IP地址，大型信息應用通過分布式架構不斷變化關鍵節點。在應用層面，在應用系統中引入輪訓多樣性中間件。在接口層面，使用不斷變化的應用接口使特定攻擊腳本失效等。實現網絡地形快速改變，當攻擊偵查后，系統情況已經改變，針對原有漏洞的攻擊程序失效，攻擊者無法實現漏洞利用和安裝植入，逼迫攻擊者不得不重新偵查，延長對抗時間，使攻擊變得困難。

4.2.3 敏捷指揮與控制，認知攻擊目的

指揮和控制關系著網絡防御體系的整體效能，要在網絡地形全面感知的基礎上實現快速、高效的行動流程：

（1）感知，在每個區域關鍵節點部署感知探針，保證探針能獲取全面、詳細的信息，各探針偵測區域不重疊，將防護、檢測、分析等網絡安全設備狀態與主機、應用等真實環境數據匯聚起來，形成完整的網絡地形感知能力，提供威脅來源、時間、位置，實現威脅信息的知識化。

（2）分析，根據威脅任務需求，人工方式與自動化工具相結合，依據情報、信息和特征，判斷威脅根本目的和數據資產間相互關系。不斷訓練和演練，提高分析準確性和實效性。

（3）評估，在計劃、準備、實施的各階段，提煉出有價值信息，評估成功的可能性，快速決策行動措施。

（4）輸送，將決策措施及時分發給必要人員，分頭實施，持續監視任務狀況、對抗進度，及時反饋并繼續感知。

4.3 綜合利用各種情報，溯源攻擊信息

情報的本質是研究對手，戰術運用中可分為顯性情報和隱性情報。顯性情報，例如：攻擊方留存的數字ID 信息、惡意程序樣本、攻擊者社交網絡信息等。這些信息可能非常有價值，但也可能混雜了噪聲和錯誤，使用中需要辨別信息真偽，防止攻擊方信息偽裝，故意釋放混淆信息，轉移防御方注意力。盡管如此，越來越多網絡分析人員還是傾向于選用這類數據進行開源情報OSINT 分析，這類數據能夠洞察到某些情報。但這類顯性情報不能與現實情報割裂，需要與可信任的安全企業、政府機構、分析專家一起信息共享，合并多種情報數據，利用已知信息片段，檢查是否存在相似信息，結合人類情報，社會情報、地理空間情報等其他學科知識，全面了解攻擊威脅、攻擊人員和背景。然而，隱性情報不會自動出現，要在一定戰術方法和環境下才能顯現。例如：在防御方不斷誘導、阻斷戰術作用下，攻擊方承受巨大心理壓力時，無意中暴露的特征或個性化信息。網絡攻防雙方是“不見面的對抗”，攻擊方往往隱藏在跳板主機或網絡之后，直接從技術角度溯源難度很大，且要符合法律、法規和道德規范的要求。利用戰術實施心理壓制，目的是使攻擊方泄漏更多隱性情報，這些信息價值往往是顯性情報無法提供的。所以，結合技術、心理等手段綜合利用各種情報溯源攻擊來源、攻擊組織和攻擊背景才是最佳選擇。

4.4 合理利用最佳時機，阻斷攻擊行為

很多情況下網絡防御中不適合武斷的執行威脅發現-阻斷攻擊-隔離業務-系統復原工作流程，這中斷了攻擊者與防御者聯系，攻擊方可以通過更換代理IP 等方法重新發起攻擊，防御方則需要重新收集、分析、評估，導致消耗大量防御成本，不斷重復的過程和防御的本質相矛盾。需要根據防御區域、風險級別、時間等因素選擇處置手段，核算防御成本和行動價值，評估發現威脅的數據資產對整體防護影響，根據威脅向前推斷攻擊時間、攻擊入口和攻擊路徑，向后推演攻擊影響。當在“緩沖區”、“對抗區”內發現有攻擊痕跡，需要保持一定接觸時間，與攻擊者維持交互并不斷監視，通過跟蹤來查找防御體系是否存在安全漏洞、安全設備策略是否有缺陷等，針對性實施誘導方案和數據偽裝措施。在“核心區”內發現攻擊者痕跡，則立即阻斷攻擊并評估系統整體防護效能，準備啟用備用方案，快速遷移防御核心，確定防御核心不會遭受二次攻擊。

5 結束語

總之，網絡攻擊的方式和方法在不斷發展變化，這對網絡防御提出了更高要求?！氨鵁o常勢，水無常形”，人員、技術、時間（時機）、心理、情報等因素都為網絡防御提供了更廣闊的思考空間?！皯鹦g不是割裂的，而是融合的”，把戰術思維融合到網絡防御中，運用戰術手段應對網絡攻擊，不斷改進網絡防御體系，才能提升網絡防御效果?！耙蜃兌儭?，混淆攻擊面、變換網絡地形、誘導攻擊路徑，綜合情報溯源等技戰術融合方式幫助我們在網絡安全對抗中占據主動權。