网络安全主动防御技术:策略、方法和挑战 扈红超, 隋嘉祺, 张帅, 仝玉 引用本文 扈红超, 隋嘉祺, 张帅, 仝玉. 网络安全主动防御技术:策略、方法和挑战[J]. 计算机科学, 2024, 51(11A): 231100132-13. HU Hongchao, SUI Jiaqi, ZHANG Shuai, TONG Yu. Proactive Defense Technology in 相似文章推荐（请使用火狐或 IE 浏览器查看文章） Similar articles recommended (Please use Firefox or IE to view the article) 拟态防御中基于ANP-BP的执行体异构性量化方法 ANP-BP Based Executive Heterogeneity Quantification Method in Mimicry Defense Framework for Smart Grid 计算机科学, 2024, 51(2): 359-370. https://doi.org/10.11896/jsjkx.221100187 基于拟态防御的VPN流量劫持防御技术 VPN Traffic Hijacking Defense Technology Based on Mimic Defense 计算机科学, 2023, 50(11): 340-347

构建安全攻防矩阵 增强数字安全免疫力 腾讯云安全 张华 腾讯云安全，知攻更懂防 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 外部环境：攻击者越来越专业化，攻击手段向平台化、自动化演变 差距点：攻击方往往占据攻防主动权，开展 持续、深度的风险面管理，才能化被动为主动 攻击方 防守方 ü 技术精湛，各单位优秀渗透人员 以前的攻防演练（14天高频对抗） 现在的攻防演练（持续且深入的较量） 防御挑战：企业对安全建设结果的保障需求 业务数据 企业安全防护措施 （FW、WAF、主机安全等） 是否存在数据外泄？ 还有哪些可利用路径？ 1. 漏洞利用 2. 配置不当 3. …… 企业缺乏对最终防御结果的保障能力，无法验证当前产品能力、防御策略等的有效性 运营挑战：安全运营事件层出不穷，如何持续提升运营效率？ 【预期会有“体制内”（央国企背景）的支撑单位，帮助管局进行监测预警和渗透测试等检查工作。】 5. 对监管职责和问责制度进行了明确 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 安全运营趋势：国际顶尖企业安全运营建设趋势 关键结论： CTEM是 Gartner 于 2022 年 7 月 推出的一个框架，可帮助企业持续、

更新和完善，以便用户单位能够及时获取最新的网络安全专用产品信息。 本册为《指南》上册，共收录了 58 家企业提供的 200 款产品，涉及数据备份与恢复产品、 防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、网络和终端隔离产品、反垃圾邮件产品、 网络安全审计产品、网络脆弱性扫描产品、安全数据库系统、网站数据恢复产品、虚拟专用网 产品、防病毒网关等 12 类网络安全专用产品，其中每类产品均按企业名称首字母进行排序。 ............................................................................................223 入侵防御系统（IPS） 北京天地和兴科技有限公司.............................................................................. 对经过的数据流进行解析 , 并实现访问控制及安全防护功能的产品。 ３ 入侵检测系统 (IDS) 以网络上的数据包作为数据源 , 监听所保护网络节点的所有数据包并进 行分析 , 从而发现异常行为的产品。 ４ 入侵防御系统 (IPS) 以网桥或网关形式部署在网络通路上 , 通过分析网络流量发现具有入侵 特征的网络行为 , 在其传入被保护网络前进行拦截的产品。 ５ 网络和终端隔离产品 在不同的网络终端和网络安全域之间建立安全控制点

Agent 是关键发展方向，但尚处于初步阶段。AI Agent 具备自主决策、认知、行动、学习的能力，在自 动化响应、智能分析、主动防御等方面潜力巨大。国内厂商已开始探索 AI Agent 在告警关联、溯源调查、事件 响应造成等场景的应用。但是基于数据分析的主动威胁防御能力的高质量 AI Agent 在国内安全运营中心的应用 仍在早期研究和实验阶段，技术成熟度、数据质量、可解释性和可信度有待提升。 诸多瓶颈：海量告警数据中无法发现真正威 胁，并导致“告警疲劳”；安全事件的分析和响应主要依赖人工，效率低下且响应速度慢；各类安全设备和系 统之间缺乏有效集成，形成“数据孤岛”，难以共享信息、协同防御；同时，传统 SOC 往往缺乏主动发现潜在 威胁和预测风险的能力。 为了有效应对这些挑战，智能化安全运营中心（ISOC）应运而生。ISOC 并非对传统 SOC 的简单替代，而 是其全面的智能化升级和能力增强。ISOC 其目标是实现对安全威胁的更高效、更准确、更主动、更智能的检测、分析、响应和预防，致力于构建一个能 够全面感知安全态势、智能分析研判威胁、自动化响应处置事件、持续学习优化提升、人机协同高效运营，并 最终实现自适应安全防御的智能化安全运营体系。 ISOC 的建设能够为企业带来多方面的价值提升。它通过 AI 技术显著增强威胁检测能力，有效识别未知威 胁、高级威胁和异常行为，降低误报和漏报。在事件分析方面，ISOC 能够自动化进行事件关联、根本原因分析、

2 全模态融合的认知能力 48 3 通义大模型全生命周期安全实践 49 3.1 研发安全：数据与算法根基防护，强化内生 49 安全能力 3.2 部署安全：过程控制，构建防御屏障 59 3.3 运行安全：上线监测，实现动态防护 60 CHAPTER CHAPTER 阿里云AI基础设施：原生安全 保障 1AI 基础设施及其关键挑战：兼顾安全、30 能力、效率 产品形态变化 68 1.2 MaaS 时代下的新型安全风险研判 68 1.3 拥抱全球合规框架，构建可信 AI 基石 70 2 阿里云百炼全链路安全能力框架 72 2.1 安全设计理念：纵深防御与原生集成 72 2.2 核心：贯穿生命周期的数据安全与隐私保护 73 2.3 扩展：支持客户弹性、灵活地应对外部攻击 78 3 阿里云百炼关键场景安全实践 82 3.1 场景一：发布并调用一个线上模型推理服务 Thinking 模式增强推理过程透明化，提升模型可解释性，同 时支持内容标识和溯源，建立明确的责任追溯机制。 2.3 云原生安全保障：打造可靠 AI 基础设施 阿里云百炼以云原生安全设计、多层纵深防御为核心理念，构建起一套覆盖 AI 基础 设施全安全体系。 ● 云平台级别的全栈安全保障：阿里云 AI 基础设施的研发流程中融入 DevSecOps 与零信任架构，实现了产品全生命周期安全管理。结合高可用架构、容灾备份与红蓝

苏比安托 Indra Allen 在探索这一复杂领域时，仅仅投资先进技术是不够的。它需要一种包含人员、 流程和技术的全面方法。随着生成式人工智能的出现，网络安全领域有望进一 步演变，带来新的威胁和创新的防御机制。PwC2024年全球数字信任洞察报告 的见解为那些旨在提升其网络安全态势并保护其数字资产的公司提供了一个至 关重要的指南。 在数字化转型的时代，以史无前例的速度加速发展，全球范围内的企业都将网 总体上）。 强烈同意他们的 组织将开发新的 业务线使用通用人工智能 （49% 比 33% 总体）。 4倍可能性 需持续更新 他们的风险管理计划以减轻 云风险。 计划部署通用人工智能工具 对于网络防御（44%） 与27%）相比。 不同意 那“GenAI将导致一场灾难性的” 网络攻击（33% 比 22% 总体）。 网络威胁不仅针对大公司，也针对初创企业。考虑到它们常常在快速的环境中进行运营，这种环境对 ：安全领导 者 = 1762 普华永道洞察：常见网络攻击 来源：普华永道《监管网络安全风险：董事会的角色》 电子邮件 账户 妥协 勒索软件是一种主要且日益增长的威胁。企业 应加强防御并发展事件响应措施 计划，以及应对相关问题的操作手册 勒索软件攻击。勒索软件犯罪分子数量正在增加， 吸引新的网络人才、创新恶意软件和采取行动 在未受惩罚的情况下。领先公司正在投资于网络安全。

业务覆盖全国31个省级 行政区域和220多个地市 研发人员占35%以上 3家全资子公司 及16个分支机构 空间规划 工程建设项目审批管理 城市体检评估 市政基础设施管理 房屋综合管理 水旱灾害防御 水利数字孪生 排水管理 海绵城市 供水管理 智慧水务 智慧城建 城市数字公共基础设施 01 企业资质 企业荣誉 广州拟上市高企百强企业 智慧城市先锋榜优秀企业 广州市首批民营领军企业 的时空基准有机融合，在此基础上汇聚和治理各类基础数据、监测感知数据、业务数据和外部共享数 据，构成数字孪生流域“算据”基础。 业务 应用 数字孪 生平台 流域防洪系统 实时雨水情、风险预警、应急响应 值班值守、洪水防御保障、洪水预演 流域“一张图” 工程设施、水雨工情、视频监控、专题图层 水利工程运行管理 工程概况、巡查巡检 调度运用 数 据 底 板 模型平台 水利专业模型 水文模型 水力模型 调度模型� 保障水利工程安全稳定运行。 ④ 业务应用 流域防洪应用：包括气象雨水情实时监测、预警响应、值班值守、通告简报、洪水防御保障、洪水 预演等模块，实时掌握各流域洪水形势、水利工程的运行状态，对流域风险提前预警、预报，对流域洪 水调度进行模拟推演和智能决策，提高流域洪水风险防御能力、保障人民生命财产安全。 12 规范的水务信息化模型 充分考虑水利业务的专业需求，制定统一规范的水务 信息化

监视区域造成侵害，是低空安防过程中的“手脚”。 虽然部分机场、边境口岸等重点安防场所部署了雷达、视频等感知设施和电磁压制等设备，但针对低空空域的多类型飞 行器、多样化攻击手段等特征，低空安防技术防御体系整体仍处于起步阶段。此外，虽然现有感知探测和反制存在多种技术 手段，但单一技术在实现功能、适用场景等方面各有差异，单一探测感知和反制技术无法满足各种低空安防场景的需求，构 建多技术融合的低空 能受到干扰与欺骗，如利用卫星导航欺骗、通信 链路劫持等技术，可导致低空无人机失控或被操控；三是低空反制技术滞后性。针对黑飞无人 机的反制技术目前只通过电磁干扰、物理捕网等方式，技术发展滞后，可靠防御能力不足。 传统民航体系只是在机场、军事设施等领域部署了雷达和视频等探测及反制设施，这些设施也 只能对大型飞行物进行探测。对于低空飞行区域，尤其是政府要地、能源园区、低空航线等区 域，当前低空 低空安防融合感知技术应用蓝皮书 06 2.2 低空安防融合感知基本业务需求 当前，大部分低空安防场景尚未有明确的业务指标需求，我们根据项目实践提炼，构建了探测概率、误报率等八大指 标，并根据区域安防场景的安全发现、防御级别等需求，按照高、中、一般等级分三种情况，梳理了典型指标需求总览，如 表2.1所示。 表2.1 低空安防融合感知基本业务需求 政府科研要地 机场 注：以上指标仅为概要总览，详细的指标参见第四章。

Management）、数据泄露防护 （DLP）、数据目录和威胁检测等产品， AI赋能的数据安全体系实现了对海量数据的分类分级、自动化脱敏、敏感数据识别、 泄露检测，威胁检测和实时响应，显著提升了对新型攻击的防御效率，例如在自动化敏感数据发现方面，基于自监督向量模型，跨本地、多云及SaaS环境自动识别敏感数据分 布，消除数据盲区；智能语义分析，利用大模型语义理解能力，精准检测“影子数据集”与误标信息，提升数 （2）轻量化专家模型架构：领域适配微调使训练速度明显提升；轻量化参数压缩 显存占用显著降低；适配CPU，GPU，国产NPU等不同计算资源。 （3）对抗鲁棒性增强机制：设计输入层，语义层，训练层三级对抗防御体系。 方案介绍： 基于大模型的数据分类分级引擎，可以基于字段样例，融合语义关联、模式识别等 技术，针对长文本关键字段，中英文夹杂字段，模糊不完整字段自动识别，补全、检出， 对数据 边界无限：守护无界，安全无限！作为国内RASP（应用运行时自防护）的领航者以及ADR概念的创领者，边界无限将国内Top10级别的攻 防能力与技术创新基因全部倾注至核心产品靖云甲ADR，该产品基于RASP技术，突破传统安全设备的被动防御模式，可实时检测和阻断0Day漏洞 利用、内存马注入、反序列化等高危威胁，并可以与WAF等传统应用安全设备协同联动，形成纵深防护的整体应用安全防护体系。 边界无限靖云甲 ADR以业界首屈一指的防

对经过的数据流进行解析 , 并实现访问控制及安全防护功能的产品。 ３ 入侵检测系统 (IDS) 以网络上的数据包作为数据源 , 监听所保护网络节点的所有数据包并进 行分析 , 从而发现异常行为的产品。 ４ 入侵防御系统 (IPS) 以网桥或网关形式部署在网络通路上 , 通过分析网络流量发现具有入侵 特征的网络行为 , 在其传入被保护网络前进行拦截的产品。 ５ 网络和终端隔离产品 在不同的网络终端和网络安全域之间建立安全控制点 义的过滤规则和防护策略实现对网络内病毒防护的产品。 5 序号 产品类别 产品描述 13 统一威胁管理产品 (UTM) 通过统一部署的安全策略 , 融合多种安全功能 , 针对面向网络及应用系 统的安全威胁进行综合防御的网关型设备或系统。 14 病毒防治产品 用于检测发现或阻止恶意代码的传播以及对主机操作系统应用软件和用 户文件的篡改、窃取和破坏等的产品。 15 安全操作系统 从系统设计、实现到使用等各个阶段都遵循了一套完整的安全策略的操 提供对接入网络的终端进行访问控制功能的产品。 25 USB 移动存储介质管理 系统 对移动存储设备采取身份认证、访问控制、审计机制等管理手段 , 实现 移动存储设备与主机设备之间可信访问的产品。 26 文件加密产品 用于防御攻击者窃取以文件等形式存储的数据、保障存储数据安全的 产品。 27 数据泄露防护产品 通过对安全域内部敏感信息输出的主要途径进行控制和审计 , 防止安全 域内部敏感信息被非授权泄露的产品。 28