网络安全主动防御技术:策略、方法和挑战 扈红超, 隋嘉祺, 张帅, 仝玉 引用本文 扈红超, 隋嘉祺, 张帅, 仝玉. 网络安全主动防御技术:策略、方法和挑战[J]. 计算机科学, 2024, 51(11A): 231100132-13. HU Hongchao, SUI Jiaqi, ZHANG Shuai, TONG Yu. Proactive Defense Technology in 相似文章推荐（请使用火狐或 IE 浏览器查看文章） Similar articles recommended (Please use Firefox or IE to view the article) 拟态防御中基于ANP-BP的执行体异构性量化方法 ANP-BP Based Executive Heterogeneity Quantification Method in Mimicry Defense Framework for Smart Grid 计算机科学, 2024, 51(2): 359-370. https://doi.org/10.11896/jsjkx.221100187 基于拟态防御的VPN流量劫持防御技术 VPN Traffic Hijacking Defense Technology Based on Mimic Defense 计算机科学, 2023, 50(11): 340-347

Agent 是关键发展方向，但尚处于初步阶段。AI Agent 具备自主决策、认知、行动、学习的能力，在自 动化响应、智能分析、主动防御等方面潜力巨大。国内厂商已开始探索 AI Agent 在告警关联、溯源调查、事件 响应造成等场景的应用。但是基于数据分析的主动威胁防御能力的高质量 AI Agent 在国内安全运营中心的应用 仍在早期研究和实验阶段，技术成熟度、数据质量、可解释性和可信度有待提升。 数据中无法发现真正威 胁，并导致“告警疲劳”；安全事件的分析和响应主要依赖人工，效率低下且响应速度慢；各类安全设备和系 统之间缺乏有效集成，形成“数据孤岛”，难以共享信息、协同防御；同时，传统 SOC 往往缺乏主动发现潜在 威胁和预测风险的能力。 为了有效应对这些挑战，智能化安全运营中心（ISOC）应运而生。ISOC 并非对传统 SOC 的简单替代，而 是其全面的智能化升级和能力增强。ISOC 智能体等先进技术）、大数据分析、安全编排与自动化（SOAR）等技术，并强调人机协同的运营模式。 其目标是实现对安全威胁的更高效、更准确、更主动、更智能的检测、分析、响应和预防，致力于构建一个能 够全面感知安全态势、智能分析研判威胁、自动化响应处置事件、持续学习优化提升、人机协同高效运营，并 最终实现自适应安全防御的智能化安全运营体系。 ISOC 的建设能够为企业带来多方面的价值提升。它通过 AI 技术显著增强威胁检测能力，有效识别未知威

大数据技术帮助企业提升了在海量数据中挖掘价值信息，但大量数据汇聚之后，你清楚 高价值数据的流转和走向吗？信息资产又靠什么来保障不被别人盗取？ 网络开放性进一步提升之后，首当其冲的是网络攻击面的扩大？你的防御机制能够抵御 新的攻击形势吗？如果一旦沦陷，是否能够快速识别采取措施防止损失进一步扩大？ 数字化转型， CIO 的新机遇 数字化转型，大量新兴的 IT 技术应用 是否做好迎接新的安 全挑战的准备 新兴 IT 技术自 身安全问题 业务深度融合，攻击 目标价值扩大 大数据开源组件系统漏洞 互联网 + 与云计算技术，导致边界发生变化 大数据深入融合业务，企业高价值数据资产相对聚集 传统架构重防御且能力相对静态固化 WannaCry 勒索病毒全球大爆发 30 万 终端 150 个 国家地 区 企业 机构 个人 Source:Beta 内网漏洞 被利用 访问恶意 网站 / 终端用户有没有异常的行为不知道？ 数据的流转和拷贝，无法管控？ 有哪些 BYOD 接入使用网络，不感知？ 防火墙 防病毒 IPS 阻挡来自外部 边界的威胁 原因是：传统安全建设现状 边界防御为主 网闸 外网应用

更新和完善，以便用户单位能够及时获取最新的网络安全专用产品信息。 本册为《指南》上册，共收录了 58 家企业提供的 200 款产品，涉及数据备份与恢复产品、 防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、网络和终端隔离产品、反垃圾邮件产品、 网络安全审计产品、网络脆弱性扫描产品、安全数据库系统、网站数据恢复产品、虚拟专用网 产品、防病毒网关等 12 类网络安全专用产品，其中每类产品均按企业名称首字母进行排序。 ............................................................................................223 入侵防御系统（IPS） 北京天地和兴科技有限公司.............................................................................. 对经过的数据流进行解析 , 并实现访问控制及安全防护功能的产品。 ３ 入侵检测系统 (IDS) 以网络上的数据包作为数据源 , 监听所保护网络节点的所有数据包并进 行分析 , 从而发现异常行为的产品。 ４ 入侵防御系统 (IPS) 以网桥或网关形式部署在网络通路上 , 通过分析网络流量发现具有入侵 特征的网络行为 , 在其传入被保护网络前进行拦截的产品。 ５ 网络和终端隔离产品 在不同的网络终端和网络安全域之间建立安全控制点

腾讯云安全，知攻更懂防 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 外部环境：攻击者越来越专业化，攻击手段向平台化、自动化演变 差距点：攻击方往往占据攻防主动权，开展 持续、深度的风险面管理，才能化被动为主动 攻击方 防守方 ü 技术精湛，各单位优秀渗透人员 ü 团队作战，各人才分工明确高效 人员 缺乏磨合，临时组建无实战配合 ✗ 已有安全厂商设备，IP封堵为主 ✗ 设备能力层次不齐 ✗ 价低者中标 ✗ 部分单位租借或友情支持 ✗ 情报滞后，响应较晚 ✗ 虚假情报满天飞，干扰分析精力 ü 战场主动权，随意选择攻击目标 ü 技术精湛，各单位优秀渗透人员 ü 团队作战，各人才分工明确高效 ü 专业攻防协作平台及工具集 ü 更多攻防数据挖掘平台（社工、云等） ✗ 防护手段以漏扫、配置检查为主，缺乏攻击者视角风险发现能力 以前的攻防演练（14天高频对抗） 现在的攻防演练（持续且深入的较量） 防御挑战：企业对安全建设结果的保障需求 业务数据 企业安全防护措施 （FW、WAF、主机安全等） 是否存在数据外泄？ 还有哪些可利用路径？ 1. 漏洞利用 2. 配置不当 3. …… 企业缺乏对最终防御结果的保障能力，无法验证当前产品能力、防御策略等的有效性 运营挑战：安全运营事件层出不穷，如何持续提升运营效率？

教育信息 化 2.0 满足安全的合规标准 等级保护 制度 2.0 · 加强 主动防范能力 提高 网络预警能力 提升 应急处置与恢复能力 完善 管理机制和工作能力 业务稳定与数据安全 校园等保 2.0 方案设计目标 经济 符合校园特性 达到最佳性价比 可视 “ 主动防御” +“ 持续响应” 合规 产品 + 服务 符合网络安全法和等保 2.0 的要求 校园等保 校园等保 2.0 方案设计原则 教育城域网 数据中心交换机 数据中心区 运维管理区 路由器 安全防御管理区 多业务 无线控制器 智慧防火墙 & 入侵防御系统 上网行为管理 WEB 应用防火墙 无线认证 网络核心区 汇聚交换机 无线管理区 网络接入区 互联网 核心业务系统 前端摄像头 接入交换机 有线和无线融合 有线和无线融合 有线和无线融合 用户终端 终端安全系统 智慧防火墙 •复杂环境组网、深度应用识别、精细化访问控制以及高性能应用层威胁防御能力 •集成了互联网威胁情报、异常行为分析、安全可视化等新一代安全技术 •与终端安全管理系统、云端威胁情报中心、沙箱检测系统实现智能化的协同联动 终端安全管理 •以大数据技术为支撑、以可靠服务为保障， •精确检测已知病毒木马、未知恶意代码，有效防御 APT 攻击， •提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审

网络等级保护 安全防护体系建设方案 智安网络等级保护安全防御体系方案 目 录 1 概述...........................................................................................3 1.1 基本背景·················································· 72 3.5.3 重装版······································································76 2 智安网络等级保护安全防御体系方案 1 概述 1.1 基本背景 根据当前国内信息化建设的发展趋势，政府党政机关、各大央企国企、中小企 业在信息化利用程度上呈现出快速增长的势头，大数据、AI 智能、5G 等新技术的 ，发现企业网络和信息系统与国 家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足，通过安全整改， 提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。 3 智安网络等级保护安全防御体系方案 1.2 等保标准的演进 信息等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法， 是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。国务院 法规和中央

苏比安托 Indra Allen 在探索这一复杂领域时，仅仅投资先进技术是不够的。它需要一种包含人员、 流程和技术的全面方法。随着生成式人工智能的出现，网络安全领域有望进一 步演变，带来新的威胁和创新的防御机制。PwC2024年全球数字信任洞察报告 的见解为那些旨在提升其网络安全态势并保护其数字资产的公司提供了一个至 关重要的指南。 在数字化转型的时代，以史无前例的速度加速发展，全球范围内的企业都将网 总体上）。 强烈同意他们的 组织将开发新的 业务线使用通用人工智能 （49% 比 33% 总体）。 4倍可能性 需持续更新 他们的风险管理计划以减轻 云风险。 计划部署通用人工智能工具 对于网络防御（44%） 与27%）相比。 不同意 那“GenAI将导致一场灾难性的” 网络攻击（33% 比 22% 总体）。 网络威胁不仅针对大公司，也针对初创企业。考虑到它们常常在快速的环境中进行运营，这种环境对 ：安全领导 者 = 1762 普华永道洞察：常见网络攻击 来源：普华永道《监管网络安全风险：董事会的角色》 电子邮件 账户 妥协 勒索软件是一种主要且日益增长的威胁。企业 应加强防御并发展事件响应措施 计划，以及应对相关问题的操作手册 勒索软件攻击。勒索软件犯罪分子数量正在增加， 吸引新的网络人才、创新恶意软件和采取行动 在未受惩罚的情况下。领先公司正在投资于网络安全。

总部无法突破打击分支机构 分支机构无法突破打击供应链（研发） 国舜一所的金融工作站，攻防演练攻击队成员，从攻击者视角分析客户问题和隐患 攻击者视角 攻击方入侵方式及思路 攻防演练攻击战法中出现的新特征，传统安全防御手段难以检测 新型攻击战法介绍 利用百度文 库、 github 、 fofa 、脉 脉等渠道收集信息 利用网站、 VPN 、邮件 系统、 JAVA 等应用的漏 洞打开入口 迂回攻击下属单位，进 纵深 防御，更没有监测预警能力，攻击方一旦突破互联网边界防护，即可内网全网漫游。 七是集权系统防护脆弱。域控制器、堡垒机、云平台、大数据平台、杀毒管理系统、单点登录系统、 4A 系统成 为攻击重点目标，大量存在弱口令、口令复用、老旧漏洞问题，一旦被控给网络安全带来致命打击。 八是核心业务系统缺乏重点防御。核心业务系统安全防护基本依赖网络流量层设备，运行依赖的主机基本上是 零防御、零感知状态，攻击方基本发现即可将其控制。 验 安 全 防 护 能 力 通过设立深层次的演练，检验公司已建的安全防 护措施是否有效 检 验 检 测 预 警 能 力 检验企业内部网络安全监测发现、威胁预警、安 全防护和应急处置的主动防御和动态防御能力 检 验 部 门 协 同 能 力 检验安全管理和安全服务部门之间的快速协同能 力 检 验 应 急 预 案 能 力 检验现有的网络安全队伍依据应急预案开展应急 处置工作执行能 累

航 显 网 广 播 网 POS 网 安 防 网 … • 13+ 烟囱式物理网络，数据孤岛， 业务割裂 • 单点故障多，设备资源利用率低 烟囱式网络，数据分散 IT 运维效率低 被动安全防御 接入体验要求高 • 传统边界安全，无法实时感知网 络安全状态 • 海量物联终端接入，单点防护， 攻击难溯源 • 品质 Wi-Fi 需要支持 4K 视频、 机器人等应用 • 旅客 Wi-Fi 全千兆， WLAN&IoT 共站址，覆盖无死角 • 全云化管理， LAN 、 WLAN 端到端自动化 一体安全，云网安协同 • 零信任架构，全网态势感知，动态检测 • 云、管、边、端全局安全防御，快速处置 一网承载，一纤多用 • 切片技术提供差异化服务，专网级体验 • 一纤多用， FlexE 切片，安全隔离，节省资源 一键运维，管控析融合 • 独家智能无线射频调优，实时保障用户体验 Confidential 15 AirEngine Wi-Fi 6 提升机场网络接入体验和运行效率 AI-IS 漫游易掉线 同频易干扰 覆盖有空洞 TO-BE 漫游切换无中断 • 独家智能漫游技术，主动漫游引 导，漫游成功率提高到 96% 覆盖零死角 • 独家 4 振子智能天线，信号随人 而动，覆盖远 20% 的距离 覆盖无盲点 • 独家 3D 网规， 3D 信号仿真和 漫游，直观感知规划效果