基于用戶生態(tài)環(huán)境的自適應(yīng)網(wǎng)絡(luò)防御架構(gòu)方法研究

摘 要：針對(duì)商用廣譜網(wǎng)絡(luò)安防設(shè)備安全漏洞難以實(shí)現(xiàn)自我感知與影響評(píng)估，以及廠家間技術(shù)壁壘阻礙網(wǎng)絡(luò)防御效能快速聚合等問(wèn)題，圍繞用戶信息交互的規(guī)程、動(dòng)作、時(shí)機(jī)以及表象特征，提出了一種基于用戶信息生態(tài)環(huán)境、緊密貼合業(yè)務(wù)特點(diǎn)的精確網(wǎng)絡(luò)防御方法，通過(guò)不斷地動(dòng)態(tài)循環(huán)，細(xì)粒度、多視角、持續(xù)化地對(duì)安全威脅實(shí)施動(dòng)態(tài)檢測(cè)、實(shí)時(shí)分析，自動(dòng)適應(yīng)網(wǎng)絡(luò)變化和安全威脅，不斷優(yōu)化自身安全防御機(jī)制，為后續(xù)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)建設(shè)、優(yōu)化提供參考和借鑒。

關(guān)鍵詞：網(wǎng)絡(luò)安防設(shè)備；用戶生態(tài)；自適應(yīng)；網(wǎng)絡(luò)防御；安全漏洞；架構(gòu)設(shè)計(jì)

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2024）09-00-03

DOI：10.16667/j.issn.2095-1302.2024.09.021

0 引 言

隨著互聯(lián)網(wǎng)的不斷發(fā)展，各種網(wǎng)絡(luò)安全事件頻發(fā)，網(wǎng)絡(luò)攻擊手段多變。網(wǎng)絡(luò)攻擊者常常根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的環(huán)境與業(yè)務(wù)特征，利用拉長(zhǎng)攻擊時(shí)間跨度、定制專項(xiàng)攻擊武器、橫縱多級(jí)反復(fù)跳轉(zhuǎn)等方法進(jìn)行網(wǎng)絡(luò)攻擊，給網(wǎng)絡(luò)運(yùn)維管理者帶來(lái)了極大的挑戰(zhàn)[1]。為有效降低對(duì)網(wǎng)絡(luò)安防運(yùn)維人員技能儲(chǔ)備的依賴以及其工作強(qiáng)度，使得對(duì)網(wǎng)絡(luò)攻擊行為的感知識(shí)別更加簡(jiǎn)單便捷、處置加固更加精準(zhǔn)高效，迫切需要探索出

一種自適應(yīng)網(wǎng)絡(luò)信息生態(tài)的精確網(wǎng)絡(luò)防御方法。

1 網(wǎng)絡(luò)用戶安全生態(tài)環(huán)境現(xiàn)狀

網(wǎng)絡(luò)安全生態(tài)環(huán)境包括網(wǎng)絡(luò)用戶硬件環(huán)境、軟件環(huán)境、防御環(huán)境、技術(shù)儲(chǔ)備、人員素質(zhì)等，這些因素相輔相成、相互制約，構(gòu)成了網(wǎng)絡(luò)安全防御的整體環(huán)境態(tài)勢(shì)[2]。目前，網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)安全生態(tài)建設(shè)方面都十分重視，網(wǎng)絡(luò)生態(tài)環(huán)境需要滿足更高的網(wǎng)絡(luò)安全要求，以有效應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。還有不少網(wǎng)絡(luò)用戶存在以下問(wèn)題需要解決：

（1）網(wǎng)絡(luò)用戶一般采用邊界隔離、數(shù)據(jù)加密、網(wǎng)絡(luò)威脅監(jiān)測(cè)與接入控制等方式進(jìn)行網(wǎng)絡(luò)安全防范，但計(jì)算終端安全檢測(cè)及防護(hù)體系的傳統(tǒng)建設(shè)思路存在手段單一、時(shí)效性差等問(wèn)題。

（2）網(wǎng)絡(luò)用戶信息系統(tǒng)程序的頂層安全設(shè)計(jì)不充分、開(kāi)發(fā)過(guò)程管控不細(xì)致、功能代碼編寫(xiě)不規(guī)范等情況常有發(fā)生，使得信息系統(tǒng)原生安全隱患多，易被攻擊利用。

（3）業(yè)務(wù)日常交互內(nèi)容多、體量大，同時(shí)還與指揮、運(yùn)維、安管等信息交織并存，當(dāng)攻擊行為發(fā)生時(shí)，難以快速準(zhǔn)確地篩選、定位、追蹤、追溯威脅來(lái)源，應(yīng)急處置效率低下。

（4）目前網(wǎng)絡(luò)安全防范設(shè)備廠家對(duì)于自身產(chǎn)品的設(shè)計(jì)缺陷往往是根據(jù)用戶的反饋進(jìn)行彌補(bǔ)或修正的，缺乏主動(dòng)挖掘自身產(chǎn)品安全漏洞的內(nèi)驅(qū)動(dòng)力或資源配置，而這些漏洞一旦被攻擊方發(fā)現(xiàn)并加以利用，將對(duì)用戶造成無(wú)法估量的

危害。

（5）網(wǎng)絡(luò)運(yùn)維人員能力參差不齊，使得各類(lèi)安防策略在終端側(cè)的落實(shí)不完整、易走樣，安全管理實(shí)施不準(zhǔn)確、難細(xì)致。當(dāng)威脅發(fā)生時(shí)，存在極大可能無(wú)法準(zhǔn)確應(yīng)對(duì)。

因此，僅依靠傳統(tǒng)廣譜的網(wǎng)絡(luò)安防做法不足以適配網(wǎng)絡(luò)用戶信息安全交互的需求，必須結(jié)合自身信息生態(tài)環(huán)境，創(chuàng)新性地研究出一種可及時(shí)發(fā)現(xiàn)異常、快捷判斷風(fēng)險(xiǎn)、高效消除隱患的精確網(wǎng)絡(luò)防御方法。

2 用戶網(wǎng)絡(luò)安全防御信息生態(tài)建立原則

網(wǎng)絡(luò)防御應(yīng)當(dāng)堅(jiān)持對(duì)各類(lèi)信息系統(tǒng)的信息進(jìn)行多維度綜合考量，通過(guò)將業(yè)務(wù)信息的封裝格式、交互特征以及發(fā)生條件等關(guān)鍵判決條件有機(jī)結(jié)合，構(gòu)建系統(tǒng)化的網(wǎng)絡(luò)防御原則，從而指導(dǎo)工作。從職能屬性、安全需求、部署運(yùn)用等多維度綜合考量，通過(guò)將業(yè)務(wù)信息的封裝格式、交互特征以及發(fā)生條件等關(guān)鍵判決條件有機(jī)結(jié)合，充分發(fā)揮和利用信息交互過(guò)程中的“矢量”特征[3]，達(dá)到阻斷一切不合法、不合規(guī)信息來(lái)源，實(shí)現(xiàn)控制攻擊“線”的防護(hù)目標(biāo)。同時(shí)，將可能的攻擊渠道和影響壓縮至“點(diǎn)”后，利用業(yè)務(wù)系統(tǒng)的冗余備份來(lái)對(duì)抗“點(diǎn)”的隱形風(fēng)險(xiǎn)，最終實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)系統(tǒng)的防護(hù)

愿景。

2.1 分類(lèi)建立防御策略

網(wǎng)絡(luò)防御的基礎(chǔ)在于分析自身生態(tài)信息系統(tǒng)，關(guān)鍵在于把握自身生態(tài)信息系統(tǒng)特點(diǎn)，綜合分析網(wǎng)絡(luò)用戶信息系統(tǒng)的職能屬性、安全需求以及部署運(yùn)用等實(shí)際情況。一般信息系統(tǒng)可劃分為3大類(lèi)，并采取對(duì)應(yīng)的防御策略。一是承擔(dān)用戶核心業(yè)務(wù)的系統(tǒng)終端。該類(lèi)終端的操控系統(tǒng)具有種類(lèi)多樣、技術(shù)代差明顯、對(duì)安全需求強(qiáng)烈等特點(diǎn)的同時(shí)，對(duì)防護(hù)手段的兼容性要求也比較高，故采用對(duì)I/O信息全方位立體監(jiān)控、多維度精確甄別、無(wú)差錯(cuò)嚴(yán)格控制的防御思路。二是承擔(dān)指揮管理和系統(tǒng)運(yùn)維類(lèi)的系統(tǒng)終端。該類(lèi)終端多為PC，可替代性強(qiáng)、安全需求中等，故采用全面多手段綜合防護(hù)、邊界誘敵顯跡、內(nèi)部強(qiáng)化安防抗毀手段等對(duì)抗性防御思路。三是承擔(dān)音頻通話、視頻會(huì)議以及安全監(jiān)控類(lèi)的系統(tǒng)終端。該類(lèi)終端安全需求低，故采用平時(shí)強(qiáng)監(jiān)管、攻擊時(shí)主動(dòng)“斷臂求生”的自斷式防御思路[4]。

2.2 策略統(tǒng)一編排

目前很多網(wǎng)絡(luò)設(shè)備布防是根據(jù)個(gè)體設(shè)備開(kāi)展網(wǎng)絡(luò)防護(hù)，沒(méi)有形成統(tǒng)一的總體策略[5]，網(wǎng)絡(luò)安全防控有效性不強(qiáng)。因此必須實(shí)現(xiàn)整體策略編排，使得對(duì)安全事件的響應(yīng)動(dòng)作并行聯(lián)動(dòng)。日常工作中，該設(shè)備根據(jù)人為設(shè)置的安全防御策略，實(shí)時(shí)接收威脅行為偵測(cè)或其他安防設(shè)備通報(bào)的安全預(yù)警信息，同步執(zhí)行真實(shí)性校驗(yàn)、證據(jù)固化、威脅處置以及信息上報(bào)等動(dòng)作。當(dāng)收到威脅行為偵測(cè)設(shè)備的告警信息時(shí)，安全策略編排與自動(dòng)響應(yīng)設(shè)備將實(shí)時(shí)提取威脅特征信息，并立即在系統(tǒng)防火墻、網(wǎng)絡(luò)訪問(wèn)控制列表等網(wǎng)絡(luò)防御設(shè)備中實(shí)施攔截阻斷，封存該時(shí)段流量，通報(bào)運(yùn)維人員開(kāi)展人工

審查[6]。

2.3 立體監(jiān)控、精準(zhǔn)甄別

威脅行為偵測(cè)設(shè)備主要被部署并應(yīng)用于核心系統(tǒng)防護(hù)域，通過(guò)物理分路形式全方位監(jiān)控核心防護(hù)域內(nèi)各類(lèi)信息的交互過(guò)程，并根據(jù)信息的生成條件、封裝的協(xié)議格式、傳遞的特征表現(xiàn)等全方位立體判斷相關(guān)信息是否合法合規(guī)，進(jìn)而構(gòu)建對(duì)非法、非規(guī)流量的及時(shí)感知、精準(zhǔn)甄別、高效處置的一體化防護(hù)系統(tǒng)；在采用旁路部署安防設(shè)備建設(shè)思路的同時(shí)，部署一批全流量記錄、安全策略編排與自動(dòng)響應(yīng)，以及可準(zhǔn)確甄別系統(tǒng)核心業(yè)務(wù)信息真實(shí)性的威脅行為偵測(cè)

設(shè)備[7]。

2.4 查漏堵缺、強(qiáng)基固體

為堵住攻擊者通過(guò)信息系統(tǒng)源頭或在傳遞運(yùn)輸過(guò)程中預(yù)先植入攻擊載荷而實(shí)施迂回攻擊的路徑，通過(guò)將用戶系統(tǒng)安全防護(hù)的相關(guān)需求、條件約束及檢驗(yàn)評(píng)估方式深度融合進(jìn)安防系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)論證、研制測(cè)試以及部署應(yīng)用等各個(gè)環(huán)節(jié)的運(yùn)行機(jī)制中去，消除業(yè)務(wù)與安全“兩層皮”現(xiàn)象，實(shí)現(xiàn)業(yè)務(wù)為安全提供判決信息、安全為業(yè)務(wù)保駕護(hù)航的終極目標(biāo)。

3 網(wǎng)絡(luò)安全防御架構(gòu)設(shè)計(jì)

與傳統(tǒng)安全防護(hù)解決方案中追求“面面俱到”的設(shè)計(jì)思路不同[8]，基于用戶生態(tài)的精確安防模型主要需要解決核心業(yè)務(wù)系統(tǒng)與典型安防手段間適配度低、安防運(yùn)維難度高、消耗大，以及未知威脅難判別、易疏漏等問(wèn)題[9]，故在本安防模型的設(shè)計(jì)中將關(guān)注焦點(diǎn)對(duì)準(zhǔn)信息交互“線”，突出“隔網(wǎng)限流、控線保安”的精確防護(hù)指導(dǎo)思路。在模型的功能劃分上，按照職責(zé)界面不同切分為威脅行為偵測(cè)、安全編排與自動(dòng)響應(yīng)以及處置溯源共3個(gè)功能模塊。圖1為用戶系統(tǒng)安全防護(hù)模型。

該模型通過(guò)威脅行為偵測(cè)模塊將全流量探針、磁盤(pán)陣列、防病毒、入侵檢測(cè)、安全審計(jì)等安防設(shè)備采集到的各聯(lián)網(wǎng)終端工作狀態(tài)和進(jìn)出流量與自身業(yè)務(wù)特征綜合起來(lái)進(jìn)行深度分析，從而進(jìn)行實(shí)時(shí)威脅研判，找出攻擊特征后將其提交至安全編排與自動(dòng)響應(yīng)模塊。安全編排與自動(dòng)響應(yīng)模塊識(shí)別威脅流量模塊傳遞來(lái)的攻擊信息，并根據(jù)信息內(nèi)容快速匹配到預(yù)置的安全事件策略案例，之后根據(jù)案例內(nèi)的預(yù)置流程自動(dòng)完成對(duì)攻擊事件的處置工作。安全事件處置溯源模塊對(duì)安全編排與自動(dòng)響應(yīng)模塊所發(fā)送的指令進(jìn)行及時(shí)應(yīng)答，包括但不限于核對(duì)、查殺、阻斷、舍棄等威脅應(yīng)對(duì)操作[10]。

精確網(wǎng)絡(luò)防御方法的本質(zhì)是通過(guò)充分認(rèn)清并利用好自身信息交互生態(tài)特點(diǎn)，迅速提高甄別網(wǎng)絡(luò)攻擊的準(zhǔn)確率和執(zhí)行效率，降低安防崗位技能需求和未知攻擊風(fēng)險(xiǎn)。因此，在實(shí)施過(guò)程中要注意把握好以下幾個(gè)關(guān)鍵動(dòng)作：

（1）自身業(yè)務(wù)特征梳理。特征梳理，即對(duì)網(wǎng)絡(luò)信息交互需求和特征的自我認(rèn)清，它是能否有效貫徹精確網(wǎng)絡(luò)防御機(jī)制的前提條件。實(shí)施過(guò)程中必須理解和規(guī)范每一臺(tái)信息系統(tǒng)的職責(zé)用途，并根據(jù)信息交互對(duì)象和內(nèi)容加以嚴(yán)格區(qū)分限制。在該環(huán)節(jié)可向設(shè)備研制廠家申請(qǐng)獲取支持，并通過(guò)實(shí)踐進(jìn)行檢驗(yàn)。

（2）威脅甄別模型構(gòu)建。攻擊建模，即對(duì)網(wǎng)絡(luò)信息交互對(duì)象、內(nèi)容、過(guò)程進(jìn)行綜合分析，它是能否準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為的理論基礎(chǔ)。實(shí)施過(guò)程中必須綜合考慮自身業(yè)務(wù)中每一類(lèi)流量產(chǎn)生的內(nèi)部、外部因素，包括但不限于時(shí)機(jī)、場(chǎng)合、對(duì)象、內(nèi)容、形式等，進(jìn)而合理構(gòu)建威脅甄別模型。模型算法保密性要求高，更適合自研完成。

（3）聯(lián)動(dòng)處置時(shí)延壓減。時(shí)延壓減，即利用多種防御手

段，對(duì)網(wǎng)絡(luò)攻擊同步開(kāi)展精準(zhǔn)控制、溯源查證及安全加固，它是提升攻擊處置效率的根本保證。實(shí)施過(guò)程中必須以快、準(zhǔn)、穩(wěn)為安防策略設(shè)計(jì)與執(zhí)行的必要前置條件。同時(shí)在設(shè)備選型上也要求選擇與現(xiàn)有安全防護(hù)手段兼容性好、耦合度高的品牌。

4 結(jié) 語(yǔ)

本文針對(duì)通信網(wǎng)絡(luò)面臨的現(xiàn)實(shí)安全威脅，明確了網(wǎng)絡(luò)安全防護(hù)的能力需求。相較于傳統(tǒng)的邊界隔離、縱深防御的廣譜網(wǎng)絡(luò)安防構(gòu)建方法，本文方法是在充分理解和消化了網(wǎng)絡(luò)生態(tài)特點(diǎn)的基礎(chǔ)上設(shè)計(jì)出來(lái)的，由于與用戶信息生態(tài)存在強(qiáng)耦合關(guān)系，故可以對(duì)信息系統(tǒng)的安全防御效能發(fā)揮起到極大促進(jìn)作用：一是轉(zhuǎn)變防御思路，從如何甄別和抵御威脅轉(zhuǎn)變?yōu)槌浞终J(rèn)知自己，以自身業(yè)務(wù)特點(diǎn)抵消強(qiáng)敵攻擊優(yōu)勢(shì)，從而使得識(shí)別判斷非法、非規(guī)流量的方法變得簡(jiǎn)單精準(zhǔn)，更加容易學(xué)習(xí)理解，有效降低錯(cuò)判和誤判發(fā)生率。二是合理分割信息系統(tǒng)區(qū)域，精細(xì)管控信息交互流程，使得對(duì)網(wǎng)絡(luò)攻擊的生存空間壓縮明顯，特別是采用多維立體威脅偵測(cè)識(shí)別手段的核心網(wǎng)絡(luò)防御陣地，其信息系統(tǒng)的安全需求可獲得極大滿足。三是通過(guò)視情引入安全策略編排與自動(dòng)響應(yīng)手段，完成了對(duì)可預(yù)知威脅隱患的自動(dòng)化處置能力的構(gòu)建，解決了安防工作操作程序不規(guī)范、資源編配不充足、技術(shù)壁壘難打破等問(wèn)題，異常處置和攻擊溯源的效率得到全面提升[11]，有效提高了整個(gè)網(wǎng)絡(luò)的安全基線，為網(wǎng)絡(luò)安全防護(hù)系統(tǒng)建設(shè)提供參考和借鑒。

參考文獻(xiàn)

[1]佟林杰，劉博. 信息生態(tài)視域下政府?dāng)?shù)據(jù)開(kāi)放中的數(shù)據(jù)安全和隱私保護(hù)問(wèn)題研究[J]. 圖書(shū)館理論與實(shí)踐，2020，42（5）：

67-72.

[2]李敏，李煒，于仕，等.基于大數(shù)據(jù)分析和未知威脅感知的電網(wǎng)企業(yè)信息安全主動(dòng)防御體系研究[J].科技廣場(chǎng)，2016，29（8）：82-85.

[3]羅敏，陳洋.基于等保2.0高效網(wǎng)絡(luò)安全主動(dòng)防御體系建設(shè)探析

[J].信息與電腦，2021，33（21）： 197-199.

[4]耿磊.基于“互聯(lián)網(wǎng)+”環(huán)境下的網(wǎng)絡(luò)安全防御技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022，22（12）：18-19.

[5]宋悅.人工智能技術(shù)在網(wǎng)絡(luò)安全防御中的應(yīng)用[J].科技風(fēng)，2023，36（6）：65-67.

[6]張超.基于演化博弈的網(wǎng)絡(luò)安全防御決策方法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2023，23（3）：13-15.

[7]衣娜.云計(jì)算環(huán)境中計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)探討[J].網(wǎng)絡(luò)安全和信息化，2023，8（4）：131-133.

[8]劉永輝，胡巧婕，趙麗.基于蜜罐技術(shù)的局域網(wǎng)安全防御系統(tǒng)設(shè)計(jì)[J].電子設(shè)計(jì)工程，2022，30（14）：68-72.

[9]林志達(dá)，張華兵，曹小明，等.基于堡壘機(jī)技術(shù)的企業(yè)信息網(wǎng)絡(luò)安全防護(hù)模型[J].電子設(shè)計(jì)工程，2022，30（18）：179-183.

[10]解春升.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全維護(hù)中的防范研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022，22（8）：162-164.

[11]謝遠(yuǎn)福.入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用[J].信息與電腦（理論版），2022，34（12）：225-227.

收稿日期：2023-07-17 修回日期：2023-08-15

作者簡(jiǎn)介：邵宇航（1984—），男，寧夏賀蘭人，工程師，主要研究方向?yàn)橥ㄐ畔到y(tǒng)與網(wǎng)絡(luò)設(shè)計(jì)。