網(wǎng)絡(luò)空間安全智能主動(dòng)防御關(guān)鍵技術(shù)研究及應(yīng)用

朱炫蓉 顏春

【摘要】網(wǎng)絡(luò)空間安全主動(dòng)防御的理論模型和技術(shù)方法創(chuàng)新性研究，重點(diǎn)研究網(wǎng)絡(luò)空間安全主動(dòng)防御體系架構(gòu)、關(guān)鍵工業(yè)信息基礎(chǔ)設(shè)施系統(tǒng)、云計(jì)算服務(wù)平臺(tái)、物聯(lián)網(wǎng)及智能終端系統(tǒng)等安全主動(dòng)防御共性關(guān)鍵技術(shù)，實(shí)現(xiàn)相關(guān)理論及關(guān)鍵共性技術(shù)的突破，推動(dòng)網(wǎng)絡(luò)空間安全創(chuàng)新技術(shù)與產(chǎn)品的攻關(guān)研發(fā)、實(shí)景試驗(yàn)和部署應(yīng)用，發(fā)展網(wǎng)絡(luò)空間安全產(chǎn)業(yè)。

【關(guān)鍵詞】網(wǎng)絡(luò)空間;主動(dòng)防御;信息安全;智能;大數(shù)據(jù);態(tài)勢(shì)感知;網(wǎng)絡(luò)攻擊

2016年，國(guó)務(wù)院印發(fā)了《“十三五”國(guó)家信息化規(guī)劃》，從關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)檢測(cè)、威脅感知、持續(xù)防御能力等方面提出網(wǎng)絡(luò)空間安全自主發(fā)展生態(tài)鏈規(guī)劃，并啟動(dòng)了“網(wǎng)絡(luò)空間安全”重點(diǎn)研發(fā)計(jì)劃。

網(wǎng)絡(luò)空間安全主動(dòng)防御的理論模型和技術(shù)方法創(chuàng)新性研究，重點(diǎn)研究網(wǎng)絡(luò)空間安全主動(dòng)防御體系架構(gòu)、關(guān)鍵工業(yè)信息基礎(chǔ)設(shè)施系統(tǒng)、云計(jì)算服務(wù)平臺(tái)、物聯(lián)網(wǎng)及智能終端系統(tǒng)等安全主動(dòng)防御共性關(guān)鍵技術(shù)，實(shí)現(xiàn)相關(guān)理論及關(guān)鍵共性技術(shù)的突破，推動(dòng)網(wǎng)絡(luò)空間安全創(chuàng)新技術(shù)與產(chǎn)品的攻關(guān)研發(fā)、實(shí)景試驗(yàn)和部署應(yīng)用，發(fā)展網(wǎng)絡(luò)空間安全產(chǎn)業(yè)。

一、網(wǎng)絡(luò)空間安全智能主動(dòng)防御技術(shù)研究已具備的基礎(chǔ)

（一）網(wǎng)絡(luò)空間安全防御技術(shù)發(fā)展趨勢(shì)

網(wǎng)絡(luò)空間的安全防御技術(shù)其核心技術(shù)是網(wǎng)絡(luò)空間“惡意程序（代碼）的辨識(shí)”技術(shù)，從樣本比對(duì)技術(shù)向主動(dòng)防御技術(shù)和人工智能、大數(shù)據(jù)技術(shù)方向發(fā)展。

網(wǎng)絡(luò)空間安全防御技術(shù)發(fā)展經(jīng)歷三代。

第一代：基于特征碼、規(guī)則的防御。有惡意代碼的已知樣本和規(guī)則才能發(fā)現(xiàn)和清除病毒、木馬等惡意代碼，這一代防御技術(shù)稱為被動(dòng)防御技術(shù)（先有病毒樣本才能查殺）。 如早前的瑞星、江民、金山毒霸等殺毒軟件。

第二代：基于程序行為算法、人工智能算法的防御。不依賴病毒特征庫及樣本，通過算法的方式實(shí)現(xiàn)對(duì)惡意程序的識(shí)別、防御及清除。這一代防御技術(shù)能實(shí)現(xiàn)對(duì)未知惡意程序的防御，稱為主動(dòng)防御。如美國(guó)新銳公司Cylance公司、中科慧創(chuàng)的主動(dòng)防御系統(tǒng)PDS、中科慧創(chuàng)工控主動(dòng)防御系統(tǒng)ICS-PDS。

第三代：基于大數(shù)據(jù)技術(shù)、數(shù)據(jù)挖掘技術(shù)的安全大數(shù)據(jù)分析防御技術(shù)。第三代安全防御解決的是隱藏在網(wǎng)絡(luò)空間中的攻擊問題、APT（高級(jí)持續(xù)攻擊）攻擊問題。如美國(guó)安全新銳公司火眼、novetta等知名公司。

（二）智能主動(dòng)防御技術(shù)研發(fā)已有的基礎(chǔ)

1.基于程序行為識(shí)別算法技術(shù)的主動(dòng)防御技術(shù)及系列產(chǎn)品成功研發(fā)并投入實(shí)際應(yīng)用，積累了主動(dòng)防御技術(shù)研發(fā)和在各應(yīng)用環(huán)境應(yīng)用的豐富經(jīng)驗(yàn)。

中科慧創(chuàng)研發(fā)的主動(dòng)防御技術(shù)及產(chǎn)品屬于第二代安全防護(hù)產(chǎn)品，對(duì)標(biāo)美國(guó)第二代安全防御產(chǎn)品，整體技術(shù)處于國(guó)內(nèi)領(lǐng)先，居國(guó)內(nèi)同類產(chǎn)品先進(jìn)水平。

技術(shù)原理：系統(tǒng)技術(shù)不以病毒的特征碼作為判斷病毒的依據(jù)，而是采用行為目的分析技術(shù)、攻擊識(shí)別算法技術(shù)，在感知、分析、識(shí)別、處理等環(huán)節(jié)中采用威脅主動(dòng)感知、未知威脅識(shí)別、威脅追蹤處理等主動(dòng)性技術(shù)來進(jìn)行防御。在突破主動(dòng)防御技術(shù)的基礎(chǔ)上，形成“1+2+3”主動(dòng)防御戰(zhàn)略的技術(shù)支撐體系。

1個(gè)核心技術(shù)：網(wǎng)絡(luò)空間行為的實(shí)時(shí)識(shí)別算法技術(shù)。

2大平臺(tái)：安全云平臺(tái)、安全大數(shù)據(jù)平臺(tái)。

3大系列產(chǎn)品：主動(dòng)防御系列、深度威脅分析系列、網(wǎng)絡(luò)靶場(chǎng)系列。

通過以上產(chǎn)品構(gòu)成事前、事中、事后安全主動(dòng)防御體系。

2.建立了主動(dòng)防御研發(fā)、驗(yàn)證、測(cè)試的網(wǎng)絡(luò)靶場(chǎng)，具有先進(jìn)的研發(fā)試驗(yàn)測(cè)試環(huán)境。

3.研發(fā)的主動(dòng)防御技術(shù)及產(chǎn)品在各行業(yè)得到應(yīng)用并提升了重要信息系統(tǒng)的安全防御能力，得到用戶和專家的肯定。

基于行為識(shí)別算法技術(shù)的主動(dòng)防御、工控主動(dòng)防御、網(wǎng)絡(luò)靶場(chǎng)通過實(shí)踐應(yīng)用效果和項(xiàng)目專家驗(yàn)收鑒定，整體技術(shù)處于國(guó)內(nèi)領(lǐng)先水平，居國(guó)際同類產(chǎn)品先進(jìn)水平。

二、網(wǎng)絡(luò)空間主動(dòng)防御技術(shù)持續(xù)發(fā)展及應(yīng)用存在的問題

（一）建立網(wǎng)絡(luò)空間安全主動(dòng)防御的理論與方法

研究攻擊威脅和惡意代碼的智能建模與分析方法，構(gòu)建網(wǎng)絡(luò)大數(shù)據(jù)環(huán)境下的深度學(xué)習(xí)體系，解決知識(shí)模型與數(shù)據(jù)雙驅(qū)動(dòng)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知、實(shí)時(shí)監(jiān)測(cè)、實(shí)時(shí)防御/對(duì)抗/清除已知和未知攻擊、智能評(píng)估與預(yù)警等關(guān)鍵問題，實(shí)現(xiàn)網(wǎng)絡(luò)空間安全攻擊態(tài)勢(shì)的智能感知。

需要解決的關(guān)鍵技術(shù)問題：建立對(duì)惡意程序、攻擊行為識(shí)別的人工智能深度學(xué)習(xí)系統(tǒng)，智能實(shí)時(shí)判斷和清除入侵系統(tǒng)的已知和未知攻擊。

（二）面向關(guān)鍵工業(yè)信息基礎(chǔ)設(shè)施運(yùn)行安全的主動(dòng)防御

需要解決的問題：針對(duì)關(guān)鍵工業(yè)信息基礎(chǔ)設(shè)施系統(tǒng)體系架構(gòu)，不同的工業(yè)控制應(yīng)用環(huán)境，基于人工智能的主動(dòng)防御技術(shù)，解決工控主機(jī)的主動(dòng)防御，建立工業(yè)信息基礎(chǔ)設(shè)施系統(tǒng)主動(dòng)防護(hù)體系。

（三）面向云服務(wù)、云計(jì)算系統(tǒng)安全的主動(dòng)防御

需要解決的問題：針對(duì)不同的云服務(wù)、云計(jì)算系統(tǒng)技術(shù)架構(gòu)和應(yīng)用環(huán)境，基于人工智能的主動(dòng)防御技術(shù)，解決云計(jì)算環(huán)境的安全的主動(dòng)防御。包括國(guó)產(chǎn)操作系統(tǒng)（如麒麟linux）、CPU（如龍芯、飛騰）等自主可控系統(tǒng)。

（四）面向物聯(lián)網(wǎng)應(yīng)用安全的主動(dòng)防御

需要解決的關(guān)鍵問題：針對(duì)物聯(lián)網(wǎng)系統(tǒng)及智能終端應(yīng)用，基于人工智能的主動(dòng)防御技術(shù)，解決物聯(lián)網(wǎng)智能終端安全的主動(dòng)防御。

（五）主動(dòng)防御智能安全態(tài)勢(shì)感知評(píng)價(jià)指標(biāo)體系建立

需要解決的關(guān)鍵技術(shù)問題：主動(dòng)防御環(huán)境下，安全度量和評(píng)價(jià)指標(biāo)體系的系統(tǒng)講究與建立，包括IOC（Indicators of Compromise危損指標(biāo)）體系、IOA（Indicators of Attack攻擊指標(biāo)）體系、IOD（Indicators of Defense防御指標(biāo)）體系、IOW（Indicators of Warning預(yù)警指標(biāo)）、攻擊殺傷鏈評(píng)估指標(biāo)體系。

（六）未來網(wǎng)絡(luò)信息系統(tǒng)的主動(dòng)防御

主動(dòng)防御技術(shù)的特點(diǎn)及優(yōu)勢(shì)是解決未來網(wǎng)絡(luò)信息安全防御最為有效的技術(shù)手?，F(xiàn)需要解決未來網(wǎng)絡(luò)（如基于SDN/NFV、Open Daylight網(wǎng)絡(luò)）系統(tǒng)安全主動(dòng)防御機(jī)理研究及實(shí)現(xiàn)的關(guān)鍵技術(shù)問題。

三、網(wǎng)絡(luò)空間主動(dòng)防御主要研究方向（部分）

（一）網(wǎng)絡(luò)空間安全主動(dòng)防御的理論與方法

研究主動(dòng)防御的有效機(jī)理、技術(shù)途徑和實(shí)現(xiàn)方法，重點(diǎn)是基于網(wǎng)絡(luò)及平臺(tái)系統(tǒng)要素的主動(dòng)重構(gòu)或遷移機(jī)制、數(shù)據(jù)驅(qū)動(dòng)智能安全防御、復(fù)雜大數(shù)據(jù)環(huán)境下的對(duì)抗學(xué)習(xí)等理論與關(guān)鍵技術(shù)，解決攻擊的自適應(yīng)容忍和智能阻斷等關(guān)鍵問題，實(shí)現(xiàn)網(wǎng)絡(luò)空間多樣攻擊環(huán)境下的智能主動(dòng)防御。研究攻擊威脅和惡意代碼的智能建模與分析方法，構(gòu)建網(wǎng)絡(luò)大數(shù)據(jù)環(huán)境下的深度學(xué)習(xí)體系，解決知識(shí)模型與多源數(shù)據(jù)雙驅(qū)動(dòng)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知、實(shí)時(shí)監(jiān)測(cè)、智能評(píng)估與預(yù)警等關(guān)鍵問題，實(shí)現(xiàn)網(wǎng)絡(luò)空間安全攻擊態(tài)勢(shì)的智能感知。

（二）面向關(guān)鍵工業(yè)信息基礎(chǔ)設(shè)施運(yùn)行安全的主動(dòng)防御

針對(duì)關(guān)鍵工業(yè)信息基礎(chǔ)設(shè)施系統(tǒng)體系架構(gòu)，研究信息物理融合環(huán)境下工業(yè)控制系統(tǒng)的脆弱性分析模型，解決可信增強(qiáng)與控制系統(tǒng)耦合、關(guān)鍵組件動(dòng)態(tài)重構(gòu)機(jī)理、安全可控芯片等關(guān)鍵問題，實(shí)現(xiàn)內(nèi)生安全的關(guān)鍵工業(yè)信息基礎(chǔ)設(shè)施系統(tǒng)主動(dòng)防護(hù)體系。

（三）面向云服務(wù)系統(tǒng)、云計(jì)算安全的主動(dòng)防御

針對(duì)云服務(wù)、云計(jì)算安全防護(hù)需求，研究云服務(wù)、云計(jì)算系統(tǒng)主動(dòng)防御機(jī)理、云數(shù)據(jù)中心環(huán)境下威脅行為建模、IPV6/IPV9、未來網(wǎng)絡(luò)（如基于SDN/NFV、Open Daylight網(wǎng)絡(luò)）系統(tǒng)安全主動(dòng)防御機(jī)理、不可信云環(huán)境下數(shù)據(jù)隱私和內(nèi)容保護(hù)、密文訪問控制等安全主動(dòng)防護(hù)機(jī)制，解決組件、節(jié)點(diǎn)、系統(tǒng)和平臺(tái)層安全能力動(dòng)態(tài)重構(gòu)等關(guān)鍵問題，實(shí)現(xiàn)不依賴于惡意代碼（程序）具體特征和行為的云服務(wù)主動(dòng)防護(hù)。

（四）面向物聯(lián)網(wǎng)應(yīng)用安全的主動(dòng)防御

針對(duì)物聯(lián)網(wǎng)系統(tǒng)及智能終端應(yīng)用，研究基于信息流的物聯(lián)系統(tǒng)安全主動(dòng)防御機(jī)理、業(yè)務(wù)系統(tǒng)與智能終端的安全漏洞自動(dòng)分析與挖掘，解決物聯(lián)網(wǎng)應(yīng)用安全模型定義、系統(tǒng)安全行為刻畫、安全屬性組合驗(yàn)證等關(guān)鍵問題，實(shí)現(xiàn)物聯(lián)網(wǎng)安全可自動(dòng)驗(yàn)證與智能檢測(cè)的主動(dòng)防御。

【參考文獻(xiàn)】

[1]林偉.分布式主動(dòng)防御系統(tǒng)研究[D].成都：電子科技大學(xué)，2009.

[2]劉志祥.網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒的檢測(cè)與防御技術(shù)研究[D].武漢：華中科技大學(xué)，2009.

[3]金山網(wǎng)絡(luò).2010—2011中國(guó)互聯(lián)網(wǎng)安全研究報(bào)告[EB/OL].（2011-02-16）[2019-04-24].http：//www.ijinshan.com/zhuanti/2011report/.

[4]馮登國(guó)，趙險(xiǎn)峰.信息安全技術(shù)概論[M].北京：電子工業(yè)出版社，2009：115-117.

[5]陳婧婧.基于行為特征的木馬檢測(cè)系統(tǒng)研究及實(shí)現(xiàn)[D].成都：四川師范大學(xué)，2010.

[6]Ulrich Bayer.TTAnalyze： A tool for Analyzing Malware.Master Thesis of Vienna University of Technology， 2006.