网络安全主动防御技术:策略、方法和挑战 扈红超, 隋嘉祺, 张帅, 仝玉 引用本文 扈红超, 隋嘉祺, 张帅, 仝玉. 网络安全主动防御技术:策略、方法和挑战[J]. 计算机科学, 2024, 51(11A): 231100132-13. HU Hongchao, SUI Jiaqi, ZHANG Shuai, TONG Yu. Proactive Defense Technology in 相似文章推荐（请使用火狐或 IE 浏览器查看文章） Similar articles recommended (Please use Firefox or IE to view the article) 拟态防御中基于ANP-BP的执行体异构性量化方法 ANP-BP Based Executive Heterogeneity Quantification Method in Mimicry Defense Framework for Smart Grid 计算机科学, 2024, 51(2): 359-370. https://doi.org/10.11896/jsjkx.221100187 基于拟态防御的VPN流量劫持防御技术 VPN Traffic Hijacking Defense Technology Based on Mimic Defense 计算机科学, 2023, 50(11): 340-347

Agent 是关键发展方向，但尚处于初步阶段。AI Agent 具备自主决策、认知、行动、学习的能力，在自 动化响应、智能分析、主动防御等方面潜力巨大。国内厂商已开始探索 AI Agent 在告警关联、溯源调查、事件 响应造成等场景的应用。但是基于数据分析的主动威胁防御能力的高质量 AI Agent 在国内安全运营中心的应用 仍在早期研究和实验阶段，技术成熟度、数据质量、可解释性和可信度有待提升。 数据中无法发现真正威 胁，并导致“告警疲劳”；安全事件的分析和响应主要依赖人工，效率低下且响应速度慢；各类安全设备和系 统之间缺乏有效集成，形成“数据孤岛”，难以共享信息、协同防御；同时，传统 SOC 往往缺乏主动发现潜在 威胁和预测风险的能力。 为了有效应对这些挑战，智能化安全运营中心（ISOC）应运而生。ISOC 并非对传统 SOC 的简单替代，而 是其全面的智能化升级和能力增强。ISOC 智能体等先进技术）、大数据分析、安全编排与自动化（SOAR）等技术，并强调人机协同的运营模式。 其目标是实现对安全威胁的更高效、更准确、更主动、更智能的检测、分析、响应和预防，致力于构建一个能 够全面感知安全态势、智能分析研判威胁、自动化响应处置事件、持续学习优化提升、人机协同高效运营，并 最终实现自适应安全防御的智能化安全运营体系。 ISOC 的建设能够为企业带来多方面的价值提升。它通过 AI 技术显著增强威胁检测能力，有效识别未知威

更新和完善，以便用户单位能够及时获取最新的网络安全专用产品信息。 本册为《指南》上册，共收录了 58 家企业提供的 200 款产品，涉及数据备份与恢复产品、 防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、网络和终端隔离产品、反垃圾邮件产品、 网络安全审计产品、网络脆弱性扫描产品、安全数据库系统、网站数据恢复产品、虚拟专用网 产品、防病毒网关等 12 类网络安全专用产品，其中每类产品均按企业名称首字母进行排序。 ............................................................................................223 入侵防御系统（IPS） 北京天地和兴科技有限公司.............................................................................. 对经过的数据流进行解析 , 并实现访问控制及安全防护功能的产品。 ３ 入侵检测系统 (IDS) 以网络上的数据包作为数据源 , 监听所保护网络节点的所有数据包并进 行分析 , 从而发现异常行为的产品。 ４ 入侵防御系统 (IPS) 以网桥或网关形式部署在网络通路上 , 通过分析网络流量发现具有入侵 特征的网络行为 , 在其传入被保护网络前进行拦截的产品。 ５ 网络和终端隔离产品 在不同的网络终端和网络安全域之间建立安全控制点

腾讯云安全，知攻更懂防 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 外部环境：攻击者越来越专业化，攻击手段向平台化、自动化演变 差距点：攻击方往往占据攻防主动权，开展 持续、深度的风险面管理，才能化被动为主动 攻击方 防守方 ü 技术精湛，各单位优秀渗透人员 ü 团队作战，各人才分工明确高效 人员 缺乏磨合，临时组建无实战配合 ✗ 已有安全厂商设备，IP封堵为主 ✗ 设备能力层次不齐 ✗ 价低者中标 ✗ 部分单位租借或友情支持 ✗ 情报滞后，响应较晚 ✗ 虚假情报满天飞，干扰分析精力 ü 战场主动权，随意选择攻击目标 ü 技术精湛，各单位优秀渗透人员 ü 团队作战，各人才分工明确高效 ü 专业攻防协作平台及工具集 ü 更多攻防数据挖掘平台（社工、云等） ✗ 防护手段以漏扫、配置检查为主，缺乏攻击者视角风险发现能力 以前的攻防演练（14天高频对抗） 现在的攻防演练（持续且深入的较量） 防御挑战：企业对安全建设结果的保障需求 业务数据 企业安全防护措施 （FW、WAF、主机安全等） 是否存在数据外泄？ 还有哪些可利用路径？ 1. 漏洞利用 2. 配置不当 3. …… 企业缺乏对最终防御结果的保障能力，无法验证当前产品能力、防御策略等的有效性 运营挑战：安全运营事件层出不穷，如何持续提升运营效率？

苏比安托 Indra Allen 在探索这一复杂领域时，仅仅投资先进技术是不够的。它需要一种包含人员、 流程和技术的全面方法。随着生成式人工智能的出现，网络安全领域有望进一 步演变，带来新的威胁和创新的防御机制。PwC2024年全球数字信任洞察报告 的见解为那些旨在提升其网络安全态势并保护其数字资产的公司提供了一个至 关重要的指南。 在数字化转型的时代，以史无前例的速度加速发展，全球范围内的企业都将网 总体上）。 强烈同意他们的 组织将开发新的 业务线使用通用人工智能 （49% 比 33% 总体）。 4倍可能性 需持续更新 他们的风险管理计划以减轻 云风险。 计划部署通用人工智能工具 对于网络防御（44%） 与27%）相比。 不同意 那“GenAI将导致一场灾难性的” 网络攻击（33% 比 22% 总体）。 网络威胁不仅针对大公司，也针对初创企业。考虑到它们常常在快速的环境中进行运营，这种环境对 ：安全领导 者 = 1762 普华永道洞察：常见网络攻击 来源：普华永道《监管网络安全风险：董事会的角色》 电子邮件 账户 妥协 勒索软件是一种主要且日益增长的威胁。企业 应加强防御并发展事件响应措施 计划，以及应对相关问题的操作手册 勒索软件攻击。勒索软件犯罪分子数量正在增加， 吸引新的网络人才、创新恶意软件和采取行动 在未受惩罚的情况下。领先公司正在投资于网络安全。

对经过的数据流进行解析 , 并实现访问控制及安全防护功能的产品。 ３ 入侵检测系统 (IDS) 以网络上的数据包作为数据源 , 监听所保护网络节点的所有数据包并进 行分析 , 从而发现异常行为的产品。 ４ 入侵防御系统 (IPS) 以网桥或网关形式部署在网络通路上 , 通过分析网络流量发现具有入侵 特征的网络行为 , 在其传入被保护网络前进行拦截的产品。 ５ 网络和终端隔离产品 在不同的网络终端和网络安全域之间建立安全控制点 义的过滤规则和防护策略实现对网络内病毒防护的产品。 5 序号 产品类别 产品描述 13 统一威胁管理产品 (UTM) 通过统一部署的安全策略 , 融合多种安全功能 , 针对面向网络及应用系 统的安全威胁进行综合防御的网关型设备或系统。 14 病毒防治产品 用于检测发现或阻止恶意代码的传播以及对主机操作系统应用软件和用 户文件的篡改、窃取和破坏等的产品。 15 安全操作系统 从系统设计、实现到使用等各个阶段都遵循了一套完整的安全策略的操 提供对接入网络的终端进行访问控制功能的产品。 25 USB 移动存储介质管理 系统 对移动存储设备采取身份认证、访问控制、审计机制等管理手段 , 实现 移动存储设备与主机设备之间可信访问的产品。 26 文件加密产品 用于防御攻击者窃取以文件等形式存储的数据、保障存储数据安全的 产品。 27 数据泄露防护产品 通过对安全域内部敏感信息输出的主要途径进行控制和审计 , 防止安全 域内部敏感信息被非授权泄露的产品。 28

监视区域造成侵害，是低空安防过程中的“手脚”。 虽然部分机场、边境口岸等重点安防场所部署了雷达、视频等感知设施和电磁压制等设备，但针对低空空域的多类型飞 行器、多样化攻击手段等特征，低空安防技术防御体系整体仍处于起步阶段。此外，虽然现有感知探测和反制存在多种技术 手段，但单一技术在实现功能、适用场景等方面各有差异，单一探测感知和反制技术无法满足各种低空安防场景的需求，构 建多技术融合的低空 能受到干扰与欺骗，如利用卫星导航欺骗、通信 链路劫持等技术，可导致低空无人机失控或被操控；三是低空反制技术滞后性。针对黑飞无人 机的反制技术目前只通过电磁干扰、物理捕网等方式，技术发展滞后，可靠防御能力不足。 传统民航体系只是在机场、军事设施等领域部署了雷达和视频等探测及反制设施，这些设施也 只能对大型飞行物进行探测。对于低空飞行区域，尤其是政府要地、能源园区、低空航线等区 域，当前低空 低空安防融合感知技术应用蓝皮书 06 2.2 低空安防融合感知基本业务需求 当前，大部分低空安防场景尚未有明确的业务指标需求，我们根据项目实践提炼，构建了探测概率、误报率等八大指 标，并根据区域安防场景的安全发现、防御级别等需求，按照高、中、一般等级分三种情况，梳理了典型指标需求总览，如 表2.1所示。 表2.1 低空安防融合感知基本业务需求 政府科研要地 机场 注：以上指标仅为概要总览，详细的指标参见第四章。

与工业化进行深入结合。提出 了三条主线、八个能力、四项工程的设计和建设思路，将矿山装备主线、安全生产主线、 经营管理主线与新型数字化技术融合，。借助紫光新华三的数字化基础设施、数据能力 平台、主动安全防护和统一协同运维能力，与矿山智能化建设深度结合，为矿山行业智能 化建设添砖加瓦，实现数字化矿山建设之路。 刊首语 From the Editor 新华三 矿山数字大脑 Part 01 完善安全制度 网络主动检测 未知威胁检测 提升人员意识 运维 控制 边界主动隔离 主机主动防护 防御 检测 智慧矿山工业安全设计原则主要为四点，生产优先、有限影响、主动防御、适度建设。 在智慧矿山防御能力建设上，核心是实现安全隔离与安全防护，通过部署工控防火墙/网闸等 设备实现对信任区域与非信任区域的安全隔离，同时明确安全边界，能抵御非信任区域的威 胁攻击。 防御 在智慧矿山检测 在智慧矿山检测能力建设上，核心是具备网络主动检测和对未知威胁的检测的能力，通过部 署工控态势感知/日志审计等设备，实现对未知威胁的检测以及全网安全的可视化，同时发现 隐藏在网络中的安全隐患，使从原来被动防御的模式转变为主动防御的模式，做到主动发现， 主动防御，主动处置。 检测 在智慧矿山控制能力建设上，核心是对工业主机的主动防护，通过在工业主机部署安全软件， 实现修补漏洞和补丁的功能，同时实现资产全

模式从“被动响应”向“主动智能”跃迁。生成式 AI 与嵌入式机器学习 （ML） 已融入 数据安全态势管理 （DSPM--Data Security Posture Management）、数据泄露防护 （DLP）、数据目录和威胁检测等产品， AI赋能的数据安全体系实现了对海量数据的分类分级、自动化脱敏、敏感数据识别、 泄露检测，威胁检测和实时响应，显著提升了对新型攻击的防御效率，例如在自动化敏感 （2）轻量化专家模型架构：领域适配微调使训练速度明显提升；轻量化参数压缩 显存占用显著降低；适配CPU，GPU，国产NPU等不同计算资源。 （3）对抗鲁棒性增强机制：设计输入层，语义层，训练层三级对抗防御体系。 方案介绍： 基于大模型的数据分类分级引擎，可以基于字段样例，融合语义关联、模式识别等 技术，针对长文本关键字段，中英文夹杂字段，模糊不完整字段自动识别，补全、检出， 对数据 边界无限：守护无界，安全无限！作为国内RASP（应用运行时自防护）的领航者以及ADR概念的创领者，边界无限将国内Top10级别的攻 防能力与技术创新基因全部倾注至核心产品靖云甲ADR，该产品基于RASP技术，突破传统安全设备的被动防御模式，可实时检测和阻断0Day漏洞 利用、内存马注入、反序列化等高危威胁，并可以与WAF等传统应用安全设备协同联动，形成纵深防护的整体应用安全防护体系。 边界无限靖云甲 ADR以业界首屈一指的防

、可靠性要 求。 除了稳定的产品外，强大的运维体系是保障云平台稳定性最直接、最有 效的手段。在主机核心业务逐步上云后，如何加强运维全链路监控能 力，快速定位、定界和解决问题，如何变被动运维为主动故障预防从而 大幅减少潜在故障与运维投入，如何将应用运维与平台运维进行有效协 同从而保障系统性业务高可靠高可用，如何应对平台运维安全与租户安 全带来的双重挑战等问题，成为了摆在金融运维人面前的关键挑战。 最后，服务SLA（Service Level Agreement, 服 务水平协议）的达成还需要有相匹配的管理手段与工 具，如故障模式库、演练工具等资源作为支撑，不但 要能有效跟踪度量SLA的实际效果，还需要持续、 主动发现可用性风险的机制与工具，在可用性管理的 过程中实现数据积累和能力演进。 挑战2：云平台技术栈快速增厚，如何 有效进行全链路可视监控 随着主机上云和业务云化转型的持续深入，分布式数 据库、 运维现代化三大核心能力 存贷款 支付结算 现金管理 理财管理 运行稳定 主动预防 安全可靠 应用改造上云 应用平迁上云 核心重构 资金交易 中间业务 消费信贷 2. 应用运维现代化 主机上云新基座 1. 平台运维现代化 3. 安全运维现代化 全链路可观测 面向应用运维 极简信息汇聚 云网定位定界 故障精准诊断 一键故障恢复 主动风险预防 变更风控管控 混沌工程演练 高可用SLA规划 应用高可用设计