基于威脅的網(wǎng)絡安全動態(tài)防御研究
- 以動態(tài)化、實時化、主動化為特點的網(wǎng)絡安全防御是解決網(wǎng)絡系統(tǒng)中未知威脅與入侵攻擊的新途徑。在動態(tài)的網(wǎng)絡安全技術體系架構中,可根據(jù)全局網(wǎng)絡安全狀態(tài)、實戰(zhàn)化安全運營要求等不同,構建“持續(xù)監(jiān)測、情報預警”的主動防御模式,組合優(yōu)秀的安全感知所需元素來應對已知攻擊、未知威脅,達到實戰(zhàn)化協(xié)同處置。
- 網(wǎng)絡安全防御技術的演變和動態(tài)重構需依據(jù)對系統(tǒng)安全態(tài)勢、可能遭受的安全威脅來考慮,如何有效感知網(wǎng)絡系統(tǒng)的威脅態(tài)勢,提前洞悉研判、響應處置及動態(tài)防御策略的調整,是當前數(shù)字化轉型時期網(wǎng)絡安全技術創(chuàng)新研究領域的重要任務。
一、引言
近年來,網(wǎng)絡空間已快速上升到大國間博弈的新戰(zhàn)場,以政企、科研機構為代表的APT攻擊、DDoS、工業(yè)互聯(lián)網(wǎng)攻擊等日益嚴峻,導致政企機構重要情報數(shù)據(jù)被竊取、工業(yè)互聯(lián)系統(tǒng)被破壞、金融基礎設施遭受到重大經(jīng)濟損失,嚴重危害到了我國國家安全和社會經(jīng)濟利益。
面對定向的APT攻擊、勒索病毒、挖礦病毒等新型攻擊手段,基于特征檢測的傳統(tǒng)技術手段在應對動態(tài)、多變、高強度等方面存在了較大的局限性。
在這種情況下,基于智能的數(shù)據(jù)挖掘分析、溯源定位、策略動態(tài)下發(fā)、事件自動化響應處置顯得尤為重要。動態(tài)防御以高效率、彈性資源利用等優(yōu)勢,成為近年來網(wǎng)絡安全防御技術研究領域的重要方向。
二、網(wǎng)絡動態(tài)防御技術
網(wǎng)絡安全動態(tài)防御旨在基于主動防御架構,根據(jù)網(wǎng)絡環(huán)境的變化動態(tài),持續(xù)調整威脅安全檢測策略,協(xié)同大數(shù)據(jù)情報展開對未知安全威脅、異常活動行為等高效率、準確性的檢測,在預警事件觸發(fā)后,及時采取措施并加以反制,保證關鍵應用服務的持續(xù)運轉,整體上降低威脅攻擊的影響及損失,提高彈性收縮的安全防御能力。
2011年,美國國家技術委員會提出了“移動目標防御”(MTD)的概念;也有學者將MTD技術稱為“動態(tài)防御技術”、“動態(tài)彈性安全防御技術”或者“動態(tài)賦能網(wǎng)絡防御技術”。
動態(tài)防御可以主動欺騙攻擊者,擾亂攻擊者的視線。通過設置偽目標/誘餌,誘騙攻擊者實施攻擊,從而觸發(fā)攻擊告警。動態(tài)防御改變了網(wǎng)絡防御的被動態(tài)勢,改變了攻防雙方的“游戲規(guī)則”,真正實現(xiàn)了“主動”防御。
目前,動態(tài)防御技術已成為網(wǎng)絡安全理論研究的熱點和技術制高點。國際上,很多網(wǎng)絡安全研究機構聚焦在動態(tài)防御的理論和技術方面。我國對動態(tài)防御技術也進行了重點技術研究,其中,鄔江興院士提出了網(wǎng)絡空間擬態(tài)防御(CMD)思想。CMD理論在可靠性領域非相似余度架構基礎上導入異構冗余動態(tài)重構機制,實現(xiàn)在功能不變的條件下,目標對象內部的非相似余度構造元素始終在作數(shù)量或類型、時間或空間維度上的策略性變化或變換,用不確定防御原理來對抗網(wǎng)絡空間的確定或不確定威脅。
完整的動態(tài)防御體系,應基于足夠完善的安全防御架構基礎,構建動態(tài)的防御體系,同時建立系統(tǒng)防御效能的安全評估,以及評估分析的結果動態(tài)反饋及調節(jié)的智能決策能力,形成完整的閉環(huán)控制機制,實現(xiàn)安全態(tài)勢下對策略的動態(tài)調整及優(yōu)化。
2.1 動態(tài)防御效能評估
實體的動態(tài)防御技術能否達到預期效果、能否提升防御能力,需要進行綜合分析評價。防御與效能評估可以從定性分析和定量評估兩個角度出發(fā),結合形式化分析方法加以描述和量化。評估準則的選取,既可以考慮多指標的全面評估,也可以選取如漏洞這樣單一但直觀的評估標準。
為保證評估的客觀性,應從防御整體、系統(tǒng)漏洞、攻擊面、防御成本等多角度,借鑒已有防御評估標準,實現(xiàn)動態(tài)賦能效能評估技術路線。
- 動態(tài)防御效能評估,是基于層次的分析方法,分析系統(tǒng)的要素及相互關系,將各要素歸并為不同層次,計算各層次權重并加以比較。
- 在對系統(tǒng)評估效能等級進行劃分時,可考慮利用模糊綜合評估方法,構造系統(tǒng)在動態(tài)變化中多個時段觀測產(chǎn)生的模糊關系矩陣,進而得出綜合評估結果。當系統(tǒng)觀測的數(shù)據(jù)達到一定規(guī)模時,就可以用已經(jīng)積累的數(shù)據(jù),對下一時刻的綜合評級等級進行預測和評估。
- 基于漏洞發(fā)現(xiàn)的動態(tài)效能評估,可在一定程度上有效提升動態(tài)檢測效果。
- 因系統(tǒng)在動態(tài)變化的時間間隔內仍為靜態(tài)的,基本思想是將系統(tǒng)漏洞進行分級評價,考慮多種要素,如: 攻擊途徑、攻擊復雜度、認證、機密性影響、可用性影響、完整性影響、偏向因子、漏洞的可利用性、修復程度和報告以及潛在間接危害、主機分布等因素,通過計算產(chǎn)生響應的度量值并加以評估。
- 基于攻擊面的度量防御效能評估,需要從兩大方面考慮。
一方面對攻擊者的攻擊特征進行建模,對其攻擊能力進行特征化,并將其同防御系統(tǒng)隨機變化狀態(tài)相結合,每個系統(tǒng)狀態(tài)對應不同的攻擊面,進而產(chǎn)生攻擊者視角的系統(tǒng)狀態(tài)模型,借助Petri網(wǎng)絡模型進行安全性分析及測試。
另一方面,應考慮攻防雙方對系統(tǒng)攻擊面的掌握情況,對系統(tǒng)攻擊面的狀態(tài)遷移進行建模,分別對攻防雙方對攻擊面的了解情況及采取的供方策略進行預判,進而對攻擊面下一狀態(tài)進行預測,借此對系統(tǒng)的防御能力變化進行量化分析,可借助馬爾可夫鏈對攻擊面的狀態(tài)變遷進行建模度量。
- 動態(tài)防御系統(tǒng)可用性評估,要綜合考慮成本與收益。
對攻擊者的攻擊策略變化、防御者采取的應對策略以及產(chǎn)生的回報等,進行更細化的建模描述,以期為防御者選用優(yōu)秀防御策略提供依據(jù)。同時,相對于傳統(tǒng)技術而言,動態(tài)防御策略部署考慮對系統(tǒng)在軟件開發(fā)、運行性能、軟件部署、運維管理等方面的影響。
2.2 動態(tài)防御智能決策
動態(tài)智能防御,是通過智能分析、載荷生成、載荷編排三大引擎,來賦予系統(tǒng)中所參與的主體、通信協(xié)議、信息數(shù)據(jù)等實現(xiàn)特征變換的能力。
引擎工作過程需要性能計算強大的硬件支持,同時借助配合響應的智能決策技術,使系統(tǒng)能夠跟隨網(wǎng)絡環(huán)境、安全需求變化實現(xiàn)按需動態(tài)防護目標,針對不同的安全威脅對載荷模塊進行自適應調整,合理分配虛擬節(jié)點的網(wǎng)絡資源。
- 智能分析引擎需具備對威脅情報、未知威脅、網(wǎng)絡突發(fā)事件、以及原始數(shù)據(jù)分析后的任務載荷提取、策略特征值匹配的綜合分析能力。
針對當前急劇變化的網(wǎng)絡安全威脅形勢,重點關注對網(wǎng)絡中已知攻擊特征、復雜的0Day漏洞攻擊、未知威脅APT攻擊等抓取分析,并如何快速地在海量數(shù)據(jù)中提取出有價值的威脅情報數(shù)據(jù)用于決策處置輔助。
安全分析一方面對網(wǎng)絡中的數(shù)據(jù)量、會話、文件、元數(shù)據(jù)、網(wǎng)絡日志、網(wǎng)絡行為等原始數(shù)據(jù)進行梳理匯總,另一方面,對前端各類網(wǎng)絡安全設備采集的安全事件、流量數(shù)據(jù)及上層威脅情報進行充分分析。
通過對已有威脅數(shù)據(jù)的學習及提取比對,機器學習模型能夠檢測到未知或之前未檢測到的攻擊模式。另外,機器學習模型可以從新的數(shù)據(jù)中獲取信息,進行實時、批量的檢索,通過前期學習訓練以及聚類算法,對當前網(wǎng)絡中可能存在的安全威脅進行判斷,提高對未知威脅檢測的準確度。
- 載荷生成與編排智能決策引擎,根據(jù)載荷需求特征,生成滿足需求的任務載荷,編排管理生成優(yōu)秀的部署方案。
載荷生成與編排智能決策引擎需要根據(jù)網(wǎng)絡環(huán)境以及安全需求的變化進行自適應調整,通過智能匹配規(guī)則和最優(yōu)處理規(guī)則填補安全策略模板,在元載荷中自動進行自合調用,實現(xiàn)按需分配服務,不需要人工干預。
一方面,對安全策略載荷方式進行快速分析得到安全策略模板,自動優(yōu)化功能載荷的性能,提高功能載荷的生成速度。綜合考慮資源分配與實例選擇,通過智能優(yōu)化算法對安全載荷進行合理編排,有效提高安全資源的利用率。
同時,動態(tài)優(yōu)化元素功能的組合,降低安全防護成本,實現(xiàn)動態(tài)防御的按需載荷功能實效。
2.3 動態(tài)防御的架構模型
動態(tài)防御架構體系以可隨機變化、隨機適配的思路構建動態(tài)防御的“邏輯任務模型”(如圖1所示)。該邏輯模型應是基于不同的網(wǎng)絡場景或異構化安全需求,實現(xiàn)實時捕獲及傳遞態(tài)勢數(shù)據(jù)概貌。核心驅動是“抓取、適配、檢測、聯(lián)動”,它以隨機時間間隔,定制網(wǎng)絡策略配置的隨機變化,各類變化由“編排配置管理中心”負責,控制“全局”動態(tài)調整配置。
圖1 動態(tài)防御系統(tǒng)模型圖
“適配引擎”對基礎設施網(wǎng)絡抓取隨機變化參數(shù),使安全狀態(tài)進行隨機變化,“分析平臺”能夠獲取實時威脅數(shù)據(jù)、從“編排配置管理中心”獲取當前的策略配置,確定可能的脆弱性、正在進行的攻擊、以及未知威脅的研判。“適配引擎”是監(jiān)測全局網(wǎng)絡狀態(tài)以及安全態(tài)勢,和“邏輯安全模型”捕獲的一樣。“行為分析模型”由2個邏輯模型組成:戰(zhàn)術模型和系統(tǒng)技術模型。
通過“對抗戰(zhàn)術、技術”框架的構建,可深入了解應監(jiān)控哪些系統(tǒng)以及需要從中收集哪些內容,降低因檢測入侵技術濫用所造成的影響,實現(xiàn)對每種技術都有具體場景示例,推演出攻擊者是如何通過某一惡意軟件或行動方案來利用該技術的。通過行為分析模型,建立對當前覆蓋范圍的全局化分析,評估被攻擊目標面臨的風險,以為采用有意義措施來彌合差距提供參考。
在動態(tài)防御體系的有效性分析中,更多采用了攻擊面理論來驗證動態(tài)防御能力的有效性。攻擊面理論不僅可以定性分析安全技術能力,還可以嚴謹?shù)囟繙y量安全技術的防御能力,以快速提高動態(tài)防御體系的完善性及能力。
大多數(shù)針對系統(tǒng)的攻擊(如基于緩沖區(qū)溢出漏洞的攻擊)發(fā)生在從其操作環(huán)境向系統(tǒng)發(fā)送數(shù)據(jù)的過程中。同理,針對系統(tǒng)許多的其他攻擊(如符號鏈接攻擊)的出現(xiàn),是因為系統(tǒng)向其發(fā)送數(shù)據(jù)。在這兩類攻擊中,攻擊者利用系統(tǒng)通道(如套接字)連接至系統(tǒng),調用系統(tǒng)程序API,并向系統(tǒng)發(fā)送數(shù)據(jù)項(如輸入字符串)或從系統(tǒng)接收數(shù)據(jù)項。攻擊者還能使用永久數(shù)據(jù)項(如文件)間接向系統(tǒng)發(fā)送數(shù)據(jù)。攻擊者可以在系統(tǒng)即將讀取的文件中寫入數(shù)據(jù)。通過這種方式向系統(tǒng)發(fā)送數(shù)據(jù)。類似地,攻擊者可利用共享的持久數(shù)據(jù)項間接地從系統(tǒng)接收數(shù)據(jù),因此,攻擊者可以間接地使用系統(tǒng)程序、通道和系統(tǒng)環(huán)境中出現(xiàn)的數(shù)據(jù)項攻擊系統(tǒng)。
通過對系統(tǒng)程序、通道和數(shù)據(jù)項統(tǒng)一作為系統(tǒng)資源,可以以此來定義系統(tǒng)攻擊面。
圖2 攻擊面示意圖
結合圖2,并不是所有的攻擊源都是攻擊面的一部分,只有攻擊者利用某種資源攻擊系統(tǒng)時,該資源才作為圖中攻擊面的一部分。
針對威脅動態(tài)的安全防御思想,主要從系統(tǒng)攻擊面和行為攻擊生存期來進行考慮,通過改變自身各種策略配置、安全屬性,向攻擊者呈現(xiàn)不斷變化攻擊面,使攻擊者更難發(fā)起有效攻擊。攻擊者可能制定攻擊方案所需的時間可能會變長,一旦模型建立完畢,在這段時間已發(fā)生足夠變化,足以破壞攻擊模型的有效性。
圖3 動態(tài)防御攻擊面轉移模型示意圖
根據(jù)上述的直觀上分析,攻擊面是指攻擊系統(tǒng)時使用的各類資源(包括不限于:程序、通道和數(shù)據(jù))的子集。動態(tài)防御的目標是防御者根據(jù)實際情況不斷轉移系統(tǒng)攻擊面的防護方法,防御者根據(jù)攻擊者的戰(zhàn)術、技術能力進行挖掘、機器學習計算、矩陣化部署,防御者可不斷轉移或減少攻擊面,增加攻擊者利用系統(tǒng)漏洞難度及時間。若防御者轉移系統(tǒng)的攻擊面,則原本有效的攻擊可能將不復存在(如圖3所示攻擊1),籍此攻擊者需要花費更多資源進行戰(zhàn)術和技術手段的調整,來使攻擊重新有效或尋求新的攻擊途徑。
圖4 攻擊行為生存周期示意圖
圖4顯示了攻擊行為生存期,在時間t0,已有的網(wǎng)絡防御措施將生成防御方案k0,并啟動多樣化服務STk0。te定義為攻擊者從開始發(fā)動攻擊到系統(tǒng)受損之間的時間,也可以認為攻擊者從目標獲得賬戶信息所需要的時間。
從圖中可以看出,對于一次成功的入侵攻擊,從探測到攻擊完成總用時t1+te
通過上述模型,可以得出:動態(tài)防御機制可以使防御者提前研判、預知的方式隨機、準確地改變系統(tǒng)的安全配置及應對資源組成結構,通過“蜜罐”牽引等技術快速增加安全防御的不確定性和未知性,進而增加攻擊者的攻擊復雜度和攻擊成本,大大規(guī)避系統(tǒng)漏洞的暴露點和位置漏洞被廣泛利用的概率,增加系統(tǒng)的安全防御彈性。
上述分析得出動態(tài)防御技術帶來的攻擊面轉移并不能總是降低攻擊面度量指標、快速提供系統(tǒng)安全性,因此需要啟用合適的特征和禁用安全隱患更大的措施協(xié)同聯(lián)動,將攻擊難度變大,損失影響受到最大化限制。
網(wǎng)絡動態(tài)化防御通過逆轉對攻擊者不對稱方式,隨機適配最小化攻擊對關鍵任務能力的影響,綜合運用防御、偵察、自適應技術、操作響應設計策略和技術來動態(tài)響應當前及未知威脅攻擊。
網(wǎng)絡動態(tài)化防御基于即時感知機制,對攻擊事件快速做出響應更安全、更具抵抗性的體系結構調整,抵抗無意和目標明確的攻擊,實現(xiàn)足夠的彈性,能夠承受初始及隨之而來的破壞。同時,基于分割、隔離、封閉機制,如從可信系統(tǒng)中分割出不確定部分,減少攻擊面,限制攻擊者的利用和破壞。
網(wǎng)絡動態(tài)防御因基于自身多樣性和隨機性適配,可在不同的時間內使用不同操作系統(tǒng)和應用程序進行匹配檢測,或協(xié)同處置時調用這些組件應對攻擊實現(xiàn)復雜度的目的,減少敵方識別和攻擊脆弱性的機會,維持系統(tǒng)原狀。采用非持續(xù)性技術,可以保護系統(tǒng)免遭危險行動帶來的長期影響。
三、動態(tài)網(wǎng)絡安全威脅感知技術
動態(tài)防御技術是以保護網(wǎng)絡信息系統(tǒng)中某種實體的數(shù)據(jù)安全、業(yè)務穩(wěn)定運行為目的。一般來說,網(wǎng)絡信息系統(tǒng)中的實體包括軟件、網(wǎng)絡、計算平臺與數(shù)據(jù)等。
網(wǎng)絡動態(tài)防御基于網(wǎng)絡側的海量多樣化數(shù)據(jù)的自動化采集、機器學習、挖掘分析,協(xié)同云端情報數(shù)據(jù),以動態(tài)化、虛擬化和隨機化的方式提前對安全威脅攻擊進行快速發(fā)現(xiàn)、源頭精準定位、入侵途徑及行為背景的研判與溯源,同時基于SOAR技術自動化編排,實現(xiàn)聯(lián)動響應處置。
網(wǎng)絡動態(tài)防御打破了原有對網(wǎng)絡安全配置的靜態(tài)性、確定性和相似性,提升了對未知威脅和攻擊的定位、溯源和針對性阻斷能力,使得安全防御體系具備足夠的能力彈性擴展,承受隨之而來的潛在破壞。
3.1 威脅情報大數(shù)據(jù)
威脅情報大數(shù)據(jù)的使用,基于云端計算資源、通過數(shù)據(jù)清洗與驗證子模塊對來自多數(shù)據(jù)源的數(shù)據(jù)進行清洗和驗證,結合專業(yè)的網(wǎng)絡安全研究人員的經(jīng)驗值分析,生成原始的威脅情報。然后,通過威脅情報規(guī)則將原始威脅進行處理,生成威脅場景的各類規(guī)則,來發(fā)現(xiàn)隱藏的安全威脅,并有能力對安全威脅采取相應處理手段及行為溯源。
圖5 威脅情報數(shù)據(jù)流程示意圖
威脅情報數(shù)據(jù)應包含大量的APT攻擊行為數(shù)據(jù)、全球的IP、DNS、URL、文件黑白名單信譽數(shù)據(jù)庫,這些數(shù)據(jù)通過人工智能結合大數(shù)據(jù)知識以及攻擊者的多個維度特征還原出攻擊者的全貌,包括程序形態(tài),不同編碼風格和不同攻擊原理的同源木馬程序,惡意服務器(C&C)等,通過全貌特征‘跟蹤’攻擊者,持續(xù)地發(fā)現(xiàn)未知威脅。
3.2 傳感容器組件
流量傳感容器是對網(wǎng)中流量的鏡像文件的在線實時采集及全量還原,還原后的流量日志以安全的傳輸給后端的安全分析引擎,流量抓取應具備對網(wǎng)絡層、傳輸層和應用層的頭部信息,甚至是重要負載信息、PE和非PE文件檢測與送檢能力。
圖6 傳感器組件架構示意圖
流量傳感容器應可端口匹配、流量特征檢測、自動連接關聯(lián)和行為特征分析能力,自身具備對入侵攻擊和WEB攻擊的樣本特征,檢測流量中的遠控木馬行為、Web應用攻擊等Webshell、命令執(zhí)行、文件包含機制。
3.3 沙箱檢測
面對當期網(wǎng)絡環(huán)境下惡意代碼的復雜性和多樣性,傳統(tǒng)靜態(tài)檢測技術體現(xiàn)出特征庫匹配的局限性,已無法完全檢測新出現(xiàn)的惡意代碼,而如基于沙箱動態(tài)檢測技術通過動態(tài)執(zhí)行,可對文件進行細粒度的行為檢測,從行為層面進行細致分析,是對傳統(tǒng)靜態(tài)檢測技術的有效補充。靜態(tài)分析查其“形”,動態(tài)分析查其“行”,精準全面分析文件屬性,對文件的惡意風險進行多維度的風險判斷,直接了解潛在夾雜威脅帶來的危害程度,從而采取快讀的應急處置。
動態(tài)防御中對沙箱技術的使用,可充分考慮到虛擬環(huán)境模擬技術的使用,模擬虛擬環(huán)境中各種軟硬件、Windows,Linux,Android等多種主流操作系統(tǒng),構造純凈、透明虛擬化動態(tài)分析環(huán)境,借助支持ATT&CK技術來全景化展示、分析惡意代碼行為,細粒度檢測漏洞利用和惡意行為的可能性。
3.4 原始數(shù)據(jù)全包存儲
動態(tài)網(wǎng)絡防御,需要對網(wǎng)絡中海量的原始數(shù)據(jù)全流量的完整保存,實現(xiàn)秒級的提取發(fā)現(xiàn),并還原網(wǎng)絡事件發(fā)生時的全部網(wǎng)絡通訊內容,快速實現(xiàn)數(shù)據(jù)包級的數(shù)據(jù)取證和責任判定,并為后續(xù)及時響應處置提供數(shù)據(jù)支撐。
在動態(tài)防御體系框架中的流量傳感容器組件,將實時抓取網(wǎng)絡中海量流量數(shù)據(jù)包,這些捕獲數(shù)據(jù)包流量在存儲性能、分析粒度都提出了十分高的要求,對傳感容器組件本身的性能帶來更大考驗,如果設計不足將大大降低動態(tài)處置效率及目標。
因此,應充分加強威脅檢測能力的分析及后續(xù)處置效率,全景化展現(xiàn)威脅,應采用分布式存儲技術,實現(xiàn)對文件系統(tǒng)、對象存儲的集中化管理,將這些分散存儲資源構成虛擬的存儲設備,并基于豐富存儲接口,滿足多種檢測數(shù)據(jù)類型需求。
3.5 威脅感知與研判處置
威脅感知及研判處置應對威脅事件態(tài)勢、資產(chǎn)安全態(tài)勢、異常行為態(tài)勢等進行綜合關聯(lián)分析展現(xiàn),結合威脅情報數(shù)據(jù)周期性進行碰撞原始日志、異常行為的場景智能化分析,發(fā)現(xiàn)未知威脅攻擊,并從攻擊鏈維度將攻擊行為劃分、深度調查分析,以告警中受攻擊迫害資產(chǎn)為線索還原整個攻擊過程(偵察-入侵-命令控制-橫向滲透-數(shù)據(jù)外泄-痕跡清理),給出協(xié)同化的應急處置方案。
圖7威脅感知與研判處置流程示意圖
威脅感知應可對各類未知已知威脅的分布、攻擊源TOP(排名)、Web攻擊、威脅告警趨勢、威脅告警類型、威脅情報數(shù)據(jù)命中情況、被攻擊對象的橫縱向訪問等情況統(tǒng)一進行分析。在分析得出的重大未知安全威脅時,充分結合技術專家知識庫,對已運營的部署的安全資源進行邏輯上快速編排,實現(xiàn)快速精準的協(xié)同聯(lián)動防御。
通常來說,可利用傳統(tǒng)被動防御架構作為第一道防線,解決大部分目前已知的網(wǎng)絡攻擊手段的防御問題;利用主動防御架構作為第二道防線,解決未知漏洞和后門的防御問題。在主動防御發(fā)現(xiàn)入侵攻擊時,可通過所記錄的入侵攻擊軌跡進行學習,得到新入侵攻擊的特征,對被動防御的特征庫和檢測規(guī)則進行智能更新。被動防御可以利用現(xiàn)有的高效檢測機制在入侵到達第二道陣線前過濾掉大部分攻擊,如:應用防護系統(tǒng)防御大多數(shù)已知攻擊,利用欺騙偽裝技術實現(xiàn)指紋偽裝、統(tǒng)一資源定位器(URL)跳變、虛擬蜜罐欺騙、敏感信息過濾、頁面信息加擾和頭部字段混淆,再利用動態(tài)異構冗余機制實現(xiàn)異構冗余體的動態(tài)調度、攻擊入侵的主動感知和異常部件的有效清洗與恢復。
通過上述主被動聯(lián)合協(xié)作動態(tài)化防御,不僅實現(xiàn)了對已知威脅、漏洞防御,而且通過動態(tài)變化、欺騙與清洗,將多個復雜化未知服務應用結合,形成了一個動態(tài)隨機的安全防御技術機制。
3.6 蜜罐誘騙偽裝
利用偽裝、誘騙等手段,使入侵者無法獲取真實的系統(tǒng)信息等數(shù)據(jù),誘騙入侵者攻擊一些預先設置的陷阱系統(tǒng)來發(fā)現(xiàn)入侵采用的戰(zhàn)術和技術手段。
網(wǎng)絡通信中攻擊與防御的問題可視為博弈問題,在傳統(tǒng)蜜罐基礎上通過使用模擬服務環(huán)境的保護色機制和模擬蜜罐特征的警戒色機制這些主動欺騙技術,使攻擊者無法區(qū)分蜜罐和實際生產(chǎn)系統(tǒng),從而達到對攻擊者的有效迷惑和誘騙。蜜罐的保護色技術是指蜜罐通過模仿周邊運行環(huán)境和擬保護系統(tǒng)特征,使攻擊者無法識別蜜罐的存在。
蜜罐的警戒色機制則是指生產(chǎn)系統(tǒng)模仿蜜罐,使得攻擊者將系統(tǒng)識別為蜜罐而躲避攻擊。蜜罐防護是攻防雙方參與的理性、非合作的誘騙過程,雙方策略相互依存,都期望保護自身信息并獲得對方信息以達到收益最大化,是一種非合作不完全信息動態(tài)博弈。從攻擊者視角看,對手不只是提供真實服務的生產(chǎn)系統(tǒng),而是“蜜罐”和“偽蜜罐”,從防御者視角看,對手則包含合法用戶和攻擊者。
結語
在新時期數(shù)字化轉型、新基建大環(huán)境下,如何在保障經(jīng)濟快速發(fā)展的同時實現(xiàn)網(wǎng)絡安全的有效防護,這是當前網(wǎng)絡安全學術界與產(chǎn)業(yè)生態(tài)界亟需共同解決的重大課題。
基于傳統(tǒng)知識和精確識別的防護手段,因其靜態(tài)性和相似性,難以應對動態(tài)、智能、高強度的未知漏洞及未知威脅攻擊。
動態(tài)防御則是對網(wǎng)絡空間安全防御技術和體系的探索,其可將安全能力作為系統(tǒng)增強防御標準屬性的提升,通過動態(tài)防御技術,讓網(wǎng)絡系統(tǒng)的安全防御呈現(xiàn)不可預測的變化態(tài)勢,大大提高了攻擊者發(fā)現(xiàn)攻擊的難度和成本。
通過情報數(shù)據(jù)、欺騙等戰(zhàn)術戰(zhàn)法的有效結合,將攻擊者引入網(wǎng)絡攻擊邏輯黑洞,進而加強分析研判、觸發(fā)預警及實施阻斷攻擊,對于提升安全防御能力、實現(xiàn)從被動防御到積極防御的轉變具有重要的戰(zhàn)略意義和應用價值。
