史建中， 邊杏賓， 胡志勇

（中國(guó)電子科技集團(tuán)公司33研究所， 山西 太原 030032）

引言

當(dāng)前，網(wǎng)絡(luò)和信息技術(shù)已經(jīng)深刻地融入了社會(huì)生活。隨著移動(dòng)終端的普及、云計(jì)算模式的推廣，以及“互聯(lián)網(wǎng)+”戰(zhàn)略的實(shí)施，人們的生活和工作方式不斷改變。在目前的信息時(shí)代，人們生活在物理世界、人類社會(huì)和信息空間組成的三維世界中[1]。

網(wǎng)絡(luò)空間（國(guó)際上使用Cyberspace一詞）是所有信息系統(tǒng)的集合，是人類所處的信息環(huán)境，人在其中與信息相互作用相互影響。網(wǎng)絡(luò)空間安全問題隨著網(wǎng)絡(luò)在社會(huì)生活的滲透日趨復(fù)雜化、多樣化，網(wǎng)絡(luò)空間的安全形勢(shì)日趨嚴(yán)峻[2]。

習(xí)近平主席指出：“沒有網(wǎng)絡(luò)安全，就沒有國(guó)家安全。沒有信息化，就沒有現(xiàn)代化”。可見，保障網(wǎng)絡(luò)空間安全已經(jīng)被提升到國(guó)家戰(zhàn)略的高度。本文從網(wǎng)絡(luò)威脅動(dòng)機(jī)的角度，綜合分析國(guó)際網(wǎng)絡(luò)空間安全威脅的現(xiàn)狀、未來發(fā)展趨勢(shì)及應(yīng)對(duì)措施。

1 國(guó)內(nèi)外網(wǎng)絡(luò)空間安全威脅現(xiàn)狀

1.1 基本安全形勢(shì)

當(dāng)前，信息化機(jī)構(gòu)或個(gè)人對(duì)互聯(lián)網(wǎng)的依賴性越來越強(qiáng)。然而，大多數(shù)流行軟件本身遺留有漏洞或錯(cuò)誤，對(duì)這些軟件的修復(fù)存在技術(shù)和資金投入的雙重困難。應(yīng)用最廣泛的系統(tǒng)同時(shí)也是最易遭受攻擊的系統(tǒng)，甲骨文公司、蘋果公司和微軟公司位列最易受攻擊系統(tǒng)供應(yīng)商的前三名。

造成網(wǎng)絡(luò)安全事件發(fā)生的原因既包括攻擊者的主觀惡意，也包括網(wǎng)絡(luò)使用者的安全意識(shí)淡薄。Check Point的調(diào)查報(bào)告表明，75%的在用主機(jī)沒有使用最新版本的軟件（例如：Acrobat Reader，F(xiàn)lash Player，Internet Explorer，Java運(yùn)行時(shí)環(huán)境等），意味著這些主機(jī)暴露著許多可以被黑客利用的漏洞[7]。當(dāng)前，網(wǎng)絡(luò)攻擊的手段越來越多樣化，從技術(shù)角度講，內(nèi)存崩潰、緩沖區(qū)溢出和拒絕服務(wù)攻擊是排在前三位的攻擊技術(shù)。

1.2 當(dāng)前主要的網(wǎng)絡(luò)安全威脅及動(dòng)機(jī)分析

當(dāng)前的網(wǎng)絡(luò)攻擊手段更先進(jìn)、復(fù)雜，一次攻擊過程可能由多種攻擊技術(shù)組成。因此，從用戶角度出發(fā)，更具意義的網(wǎng)絡(luò)威脅類別劃分依據(jù)是發(fā)起攻擊的動(dòng)機(jī)。目前主要的網(wǎng)絡(luò)威脅動(dòng)機(jī)有以下六種。

1.2.1 APT攻擊

APT攻擊（Advanced persistent threats）也稱為定向攻擊，是針對(duì)既定目標(biāo)開展的長(zhǎng)時(shí)間持續(xù)攻擊，且不能通過常規(guī)的安全檢測(cè)系統(tǒng)監(jiān)測(cè)到。研究表明，83%的安全管理人員確認(rèn)他們的系統(tǒng)遭受過APT攻擊。比較著名的兩種APT攻擊是極光行動(dòng)（Operation Aurora）和黑幕操作遠(yuǎn)程木馬（Operation Shady remote access Trojan（RAT））。APT背后的動(dòng)機(jī)包括：出于間諜目的、戰(zhàn)爭(zhēng)情報(bào)目的，或者商業(yè)競(jìng)爭(zhēng)目的竊取商業(yè)、政府或軍事信息；滲透網(wǎng)絡(luò)并控制關(guān)鍵系統(tǒng)；通過分布式拒絕服務(wù)攻擊或信息竊取的黑客行為，達(dá)到某種政治聲明的目的；進(jìn)行未經(jīng)授權(quán)的銀行和信用卡交易處理；以網(wǎng)絡(luò)恐嚇或誘惑的手段進(jìn)行網(wǎng)絡(luò)銷售等。

1.2.2 內(nèi)部攻擊

內(nèi)部攻擊來源于一個(gè)組織內(nèi)部。統(tǒng)計(jì)表明，48%的攻擊事件的發(fā)生和內(nèi)部人員的故意，甚至是惡意的行為有關(guān)。攻擊者通常有一個(gè)可信的組織內(nèi)部人員為其提供訪問組織內(nèi)部網(wǎng)絡(luò)的途徑[3]。發(fā)起內(nèi)部攻擊的方式是多樣的，但其動(dòng)機(jī)往往是為了盜取有價(jià)值的信息進(jìn)行個(gè)人牟利。

1.2.3 全自動(dòng)攻擊

傳統(tǒng)的病毒、蠕蟲近年一直呈下降趨勢(shì)。全自動(dòng)攻擊載體（病毒、蠕蟲）由攻擊者發(fā)送并傳播出去，需要很少或者不需要制作者的人工管控，就能在網(wǎng)絡(luò)中復(fù)制傳播。全自動(dòng)攻擊的后果主要是降低系統(tǒng)效能。

1.2.4 社交網(wǎng)絡(luò)帶來的威脅

不斷增長(zhǎng)的社交媒介應(yīng)用給公司或機(jī)構(gòu)的網(wǎng)絡(luò)空間安全帶來了威脅，難以保障內(nèi)部人員不會(huì)在大眾化的社交媒體上發(fā)布公司或機(jī)構(gòu)內(nèi)部信息。近期的攻擊事件表明，黑客已經(jīng)將惡意軟件的傳播渠道從Email轉(zhuǎn)移到社交網(wǎng)絡(luò)。

1.2.5 網(wǎng)絡(luò)用戶被卷入的攻擊

大多數(shù)攻擊都卷入了無辜網(wǎng)絡(luò)用戶，常見的方式包括：以電子郵件附件的方式傳播惡意可執(zhí)行軟件、通過用戶訪問被感染的網(wǎng)站而在客戶端執(zhí)行惡意軟件、即時(shí)通信軟件在傳遞可執(zhí)行程序和Web鏈接的同時(shí)提供感染計(jì)算機(jī)和泄漏信息的通道、通過感染軟件供應(yīng)商提供的軟件更新軟件達(dá)到傳播攻擊工具的目的等。

1.2.6 DOS/DDOS攻擊

DOS/DDOS攻擊是最早使用的削弱IP網(wǎng)絡(luò)的攻擊方式，現(xiàn)在仍然是用于降低IP網(wǎng)絡(luò)和服務(wù)性能的最有效攻擊方式，主要的攻擊方式是通過一群攻擊主機(jī)向目標(biāo)主機(jī)發(fā)送壓倒性數(shù)量的數(shù)據(jù)包，使網(wǎng)絡(luò)處理飽和，無法正常響應(yīng)自身的服務(wù)請(qǐng)求。

2 網(wǎng)絡(luò)空間安全威脅的未來趨勢(shì)

通過分析網(wǎng)絡(luò)攻擊背后的動(dòng)機(jī)，可以將網(wǎng)絡(luò)威脅的未來發(fā)展趨勢(shì)歸結(jié)為四個(gè)方向：

2.1 以犯罪為動(dòng)機(jī)的網(wǎng)絡(luò)威脅

目前，網(wǎng)絡(luò)犯罪時(shí)常發(fā)生，而且會(huì)隨著網(wǎng)絡(luò)犯罪工具的改進(jìn)和巨大的利益誘惑而長(zhǎng)期存在[4]。廣義的講，網(wǎng)絡(luò)犯罪是指惡意的阻塞、干擾網(wǎng)絡(luò)服務(wù)或盜取信息的行為。網(wǎng)絡(luò)犯罪動(dòng)機(jī)包括獲取利益和破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

2.2 以間諜活動(dòng)為動(dòng)機(jī)的網(wǎng)絡(luò)威脅

隨著企業(yè)間的經(jīng)濟(jì)競(jìng)爭(zhēng)、國(guó)際間的多方競(jìng)爭(zhēng)的加劇，網(wǎng)絡(luò)間諜活動(dòng)在未來會(huì)長(zhǎng)期存在。還有，中美間在網(wǎng)絡(luò)空間安全方面的缺乏互信[5]，也會(huì)導(dǎo)致網(wǎng)絡(luò)間諜及其它形式的跨國(guó)網(wǎng)絡(luò)攻擊。

2.3 以網(wǎng)絡(luò)戰(zhàn)為動(dòng)機(jī)的網(wǎng)絡(luò)威脅

網(wǎng)絡(luò)戰(zhàn)的目標(biāo)是使敵方的網(wǎng)絡(luò)信息系統(tǒng)失效或被摧毀。網(wǎng)絡(luò)戰(zhàn)往往發(fā)生在不同政治和軍事團(tuán)體之間或國(guó)際間，會(huì)破壞網(wǎng)絡(luò)系統(tǒng)的可用性或完整性。和以往的犯罪方法類似，軟件漏洞仍將是網(wǎng)絡(luò)戰(zhàn)的首要利用目標(biāo)。

2.5 以網(wǎng)絡(luò)煽動(dòng)為動(dòng)機(jī)的網(wǎng)絡(luò)威脅

網(wǎng)絡(luò)煽動(dòng)是最新的網(wǎng)絡(luò)犯罪形式，源于社交網(wǎng)站平臺(tái)的巨大影響力。網(wǎng)絡(luò)煽動(dòng)者通過有影響力的社交網(wǎng)站（如 Twitter、Facebook、LinkedIn、YouTube、微信、微博、QQ、大型論壇等）發(fā)布自己的言論，通過網(wǎng)絡(luò)共享和傳播，并通過社交平臺(tái)與網(wǎng)友互動(dòng)，增強(qiáng)煽動(dòng)效果。

3 安全防護(hù)改進(jìn)策略

3.1 根據(jù)網(wǎng)絡(luò)威脅的動(dòng)機(jī)來采取防御措施

當(dāng)前，以各種網(wǎng)絡(luò)威脅為目的的惡意軟件仍呈上升趨勢(shì)，人們不能再期望通過部署不同的網(wǎng)絡(luò)安全工具，僅從技術(shù)角度應(yīng)對(duì)各種威脅，而要考慮各種網(wǎng)絡(luò)威脅背后的動(dòng)機(jī)，根據(jù)動(dòng)機(jī)的不同來制定最適宜的防護(hù)策略。

3.2 通過多層次網(wǎng)絡(luò)建立綜合防御體系

當(dāng)前形勢(shì)下，不能通過單一的系統(tǒng)來保障網(wǎng)絡(luò)資源的安全。通過集成多層次網(wǎng)絡(luò)安全保障體系，能夠在網(wǎng)絡(luò)威脅傳播之前進(jìn)行識(shí)別。然后做到集成入侵檢測(cè)、協(xié)議行為分析、應(yīng)用管控、漏洞管理等步驟，能夠大大降低復(fù)合網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

3.3 通過人工智能輔助來提高防御效能

當(dāng)前的反病毒系統(tǒng)和入侵檢測(cè)系統(tǒng)缺乏對(duì)APT攻擊的檢測(cè)防御能力，利用人工智能的機(jī)器學(xué)習(xí)算法，可以自動(dòng)識(shí)別網(wǎng)絡(luò)攻擊特征，快速進(jìn)行特征數(shù)據(jù)篩選，降低計(jì)算開銷，在改進(jìn)對(duì)APT檢測(cè)能力的同時(shí)，保證系統(tǒng)的反應(yīng)速度。

4 結(jié)語

面對(duì)當(dāng)前復(fù)雜的網(wǎng)絡(luò)空間安全形勢(shì)，單純技術(shù)或管理都無法確保網(wǎng)絡(luò)空間安全，技術(shù)防御和管理防御變得同等重要。在防御中，根據(jù)網(wǎng)絡(luò)威脅背后的動(dòng)機(jī)采取相應(yīng)的措施保護(hù)網(wǎng)絡(luò)設(shè)施及資源安全更具現(xiàn)實(shí)意義。

[1]沈昌祥，張煥國(guó)，馮登國(guó)，等.信息安全綜述[J].中國(guó)科學(xué)，2007，37（2）：129-150.

[2]Cui H,Mu Y,Au M H.Proof of retrievability with public verifiability resilient against related-key attacks[J].Information Security let,2014（9）：43-49.

[3]VirvilisN,GritzalisD.The big four-whatwe did wrong in advanced persistent threat detection[C].Proceedings of the 2013 International Conference on Availability,Reliability and Security.Washington,DC:IEEE Computer Society,2013.

[4]Hilbert E.Living with cybercrime[J].Network Security,2013（11）：15-17.

[5]Potts M.The state of information security[J].Network Security,2012（7）：9-11.