網(wǎng)絡(luò)空間安全智能主動防御關(guān)鍵技術(shù)研究及應(yīng)用

朱炫蓉 顏春

【摘要】網(wǎng)絡(luò)空間安全主動防御的理論模型和技術(shù)方法創(chuàng)新性研究，重點研究網(wǎng)絡(luò)空間安全主動防御體系架構(gòu)、關(guān)鍵工業(yè)信息基礎(chǔ)設(shè)施系統(tǒng)、云計算服務(wù)平臺、物聯(lián)網(wǎng)及智能終端系統(tǒng)等安全主動防御共性關(guān)鍵技術(shù)，實現(xiàn)相關(guān)理論及關(guān)鍵共性技術(shù)的突破，推動網(wǎng)絡(luò)空間安全創(chuàng)新技術(shù)與產(chǎn)品的攻關(guān)研發(fā)、實景試驗和部署應(yīng)用，發(fā)展網(wǎng)絡(luò)空間安全產(chǎn)業(yè)。

【關(guān)鍵詞】網(wǎng)絡(luò)空間;主動防御;信息安全;智能;大數(shù)據(jù);態(tài)勢感知;網(wǎng)絡(luò)攻擊

2016年，國務(wù)院印發(fā)了《“十三五”國家信息化規(guī)劃》，從關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險檢測、威脅感知、持續(xù)防御能力等方面提出網(wǎng)絡(luò)空間安全自主發(fā)展生態(tài)鏈規(guī)劃，并啟動了“網(wǎng)絡(luò)空間安全”重點研發(fā)計劃。

網(wǎng)絡(luò)空間安全主動防御的理論模型和技術(shù)方法創(chuàng)新性研究，重點研究網(wǎng)絡(luò)空間安全主動防御體系架構(gòu)、關(guān)鍵工業(yè)信息基礎(chǔ)設(shè)施系統(tǒng)、云計算服務(wù)平臺、物聯(lián)網(wǎng)及智能終端系統(tǒng)等安全主動防御共性關(guān)鍵技術(shù)，實現(xiàn)相關(guān)理論及關(guān)鍵共性技術(shù)的突破，推動網(wǎng)絡(luò)空間安全創(chuàng)新技術(shù)與產(chǎn)品的攻關(guān)研發(fā)、實景試驗和部署應(yīng)用，發(fā)展網(wǎng)絡(luò)空間安全產(chǎn)業(yè)。

一、網(wǎng)絡(luò)空間安全智能主動防御技術(shù)研究已具備的基礎(chǔ)

（一）網(wǎng)絡(luò)空間安全防御技術(shù)發(fā)展趨勢

網(wǎng)絡(luò)空間的安全防御技術(shù)其核心技術(shù)是網(wǎng)絡(luò)空間“惡意程序（代碼）的辨識”技術(shù)，從樣本比對技術(shù)向主動防御技術(shù)和人工智能、大數(shù)據(jù)技術(shù)方向發(fā)展。

網(wǎng)絡(luò)空間安全防御技術(shù)發(fā)展經(jīng)歷三代。

第一代：基于特征碼、規(guī)則的防御。有惡意代碼的已知樣本和規(guī)則才能發(fā)現(xiàn)和清除病毒、木馬等惡意代碼，這一代防御技術(shù)稱為被動防御技術(shù)（先有病毒樣本才能查殺）。 如早前的瑞星、江民、金山毒霸等殺毒軟件。

第二代：基于程序行為算法、人工智能算法的防御。不依賴病毒特征庫及樣本，通過算法的方式實現(xiàn)對惡意程序的識別、防御及清除。這一代防御技術(shù)能實現(xiàn)對未知惡意程序的防御，稱為主動防御。如美國新銳公司Cylance公司、中科慧創(chuàng)的主動防御系統(tǒng)PDS、中科慧創(chuàng)工控主動防御系統(tǒng)ICS-PDS。

第三代：基于大數(shù)據(jù)技術(shù)、數(shù)據(jù)挖掘技術(shù)的安全大數(shù)據(jù)分析防御技術(shù)。第三代安全防御解決的是隱藏在網(wǎng)絡(luò)空間中的攻擊問題、APT（高級持續(xù)攻擊）攻擊問題。如美國安全新銳公司火眼、novetta等知名公司。

（二）智能主動防御技術(shù)研發(fā)已有的基礎(chǔ)

1.基于程序行為識別算法技術(shù)的主動防御技術(shù)及系列產(chǎn)品成功研發(fā)并投入實際應(yīng)用，積累了主動防御技術(shù)研發(fā)和在各應(yīng)用環(huán)境應(yīng)用的豐富經(jīng)驗。

中科慧創(chuàng)研發(fā)的主動防御技術(shù)及產(chǎn)品屬于第二代安全防護產(chǎn)品，對標(biāo)美國第二代安全防御產(chǎn)品，整體技術(shù)處于國內(nèi)領(lǐng)先，居國內(nèi)同類產(chǎn)品先進水平。

技術(shù)原理：系統(tǒng)技術(shù)不以病毒的特征碼作為判斷病毒的依據(jù)，而是采用行為目的分析技術(shù)、攻擊識別算法技術(shù)，在感知、分析、識別、處理等環(huán)節(jié)中采用威脅主動感知、未知威脅識別、威脅追蹤處理等主動性技術(shù)來進行防御。在突破主動防御技術(shù)的基礎(chǔ)上，形成“1+2+3”主動防御戰(zhàn)略的技術(shù)支撐體系。

1個核心技術(shù)：網(wǎng)絡(luò)空間行為的實時識別算法技術(shù)。

2大平臺：安全云平臺、安全大數(shù)據(jù)平臺。

3大系列產(chǎn)品：主動防御系列、深度威脅分析系列、網(wǎng)絡(luò)靶場系列。

通過以上產(chǎn)品構(gòu)成事前、事中、事后安全主動防御體系。

2.建立了主動防御研發(fā)、驗證、測試的網(wǎng)絡(luò)靶場，具有先進的研發(fā)試驗測試環(huán)境。

3.研發(fā)的主動防御技術(shù)及產(chǎn)品在各行業(yè)得到應(yīng)用并提升了重要信息系統(tǒng)的安全防御能力，得到用戶和專家的肯定。

基于行為識別算法技術(shù)的主動防御、工控主動防御、網(wǎng)絡(luò)靶場通過實踐應(yīng)用效果和項目專家驗收鑒定，整體技術(shù)處于國內(nèi)領(lǐng)先水平，居國際同類產(chǎn)品先進水平。

二、網(wǎng)絡(luò)空間主動防御技術(shù)持續(xù)發(fā)展及應(yīng)用存在的問題

（一）建立網(wǎng)絡(luò)空間安全主動防御的理論與方法

研究攻擊威脅和惡意代碼的智能建模與分析方法，構(gòu)建網(wǎng)絡(luò)大數(shù)據(jù)環(huán)境下的深度學(xué)習(xí)體系，解決知識模型與數(shù)據(jù)雙驅(qū)動的網(wǎng)絡(luò)安全態(tài)勢感知、實時監(jiān)測、實時防御/對抗/清除已知和未知攻擊、智能評估與預(yù)警等關(guān)鍵問題，實現(xiàn)網(wǎng)絡(luò)空間安全攻擊態(tài)勢的智能感知。

需要解決的關(guān)鍵技術(shù)問題：建立對惡意程序、攻擊行為識別的人工智能深度學(xué)習(xí)系統(tǒng)，智能實時判斷和清除入侵系統(tǒng)的已知和未知攻擊。

（二）面向關(guān)鍵工業(yè)信息基礎(chǔ)設(shè)施運行安全的主動防御

需要解決的問題：針對關(guān)鍵工業(yè)信息基礎(chǔ)設(shè)施系統(tǒng)體系架構(gòu)，不同的工業(yè)控制應(yīng)用環(huán)境，基于人工智能的主動防御技術(shù)，解決工控主機的主動防御，建立工業(yè)信息基礎(chǔ)設(shè)施系統(tǒng)主動防護體系。

（三）面向云服務(wù)、云計算系統(tǒng)安全的主動防御

需要解決的問題：針對不同的云服務(wù)、云計算系統(tǒng)技術(shù)架構(gòu)和應(yīng)用環(huán)境，基于人工智能的主動防御技術(shù)，解決云計算環(huán)境的安全的主動防御。包括國產(chǎn)操作系統(tǒng)（如麒麟linux）、CPU（如龍芯、飛騰）等自主可控系統(tǒng)。

（四）面向物聯(lián)網(wǎng)應(yīng)用安全的主動防御

需要解決的關(guān)鍵問題：針對物聯(lián)網(wǎng)系統(tǒng)及智能終端應(yīng)用，基于人工智能的主動防御技術(shù)，解決物聯(lián)網(wǎng)智能終端安全的主動防御。

（五）主動防御智能安全態(tài)勢感知評價指標(biāo)體系建立

需要解決的關(guān)鍵技術(shù)問題：主動防御環(huán)境下，安全度量和評價指標(biāo)體系的系統(tǒng)講究與建立，包括IOC（Indicators of Compromise危損指標(biāo)）體系、IOA（Indicators of Attack攻擊指標(biāo)）體系、IOD（Indicators of Defense防御指標(biāo)）體系、IOW（Indicators of Warning預(yù)警指標(biāo)）、攻擊殺傷鏈評估指標(biāo)體系。

（六）未來網(wǎng)絡(luò)信息系統(tǒng)的主動防御

主動防御技術(shù)的特點及優(yōu)勢是解決未來網(wǎng)絡(luò)信息安全防御最為有效的技術(shù)手。現(xiàn)需要解決未來網(wǎng)絡(luò)（如基于SDN/NFV、Open Daylight網(wǎng)絡(luò)）系統(tǒng)安全主動防御機理研究及實現(xiàn)的關(guān)鍵技術(shù)問題。

三、網(wǎng)絡(luò)空間主動防御主要研究方向（部分）

（一）網(wǎng)絡(luò)空間安全主動防御的理論與方法

研究主動防御的有效機理、技術(shù)途徑和實現(xiàn)方法，重點是基于網(wǎng)絡(luò)及平臺系統(tǒng)要素的主動重構(gòu)或遷移機制、數(shù)據(jù)驅(qū)動智能安全防御、復(fù)雜大數(shù)據(jù)環(huán)境下的對抗學(xué)習(xí)等理論與關(guān)鍵技術(shù)，解決攻擊的自適應(yīng)容忍和智能阻斷等關(guān)鍵問題，實現(xiàn)網(wǎng)絡(luò)空間多樣攻擊環(huán)境下的智能主動防御。研究攻擊威脅和惡意代碼的智能建模與分析方法，構(gòu)建網(wǎng)絡(luò)大數(shù)據(jù)環(huán)境下的深度學(xué)習(xí)體系，解決知識模型與多源數(shù)據(jù)雙驅(qū)動的網(wǎng)絡(luò)安全態(tài)勢感知、實時監(jiān)測、智能評估與預(yù)警等關(guān)鍵問題，實現(xiàn)網(wǎng)絡(luò)空間安全攻擊態(tài)勢的智能感知。

（二）面向關(guān)鍵工業(yè)信息基礎(chǔ)設(shè)施運行安全的主動防御

針對關(guān)鍵工業(yè)信息基礎(chǔ)設(shè)施系統(tǒng)體系架構(gòu)，研究信息物理融合環(huán)境下工業(yè)控制系統(tǒng)的脆弱性分析模型，解決可信增強與控制系統(tǒng)耦合、關(guān)鍵組件動態(tài)重構(gòu)機理、安全可控芯片等關(guān)鍵問題，實現(xiàn)內(nèi)生安全的關(guān)鍵工業(yè)信息基礎(chǔ)設(shè)施系統(tǒng)主動防護體系。

（三）面向云服務(wù)系統(tǒng)、云計算安全的主動防御

針對云服務(wù)、云計算安全防護需求，研究云服務(wù)、云計算系統(tǒng)主動防御機理、云數(shù)據(jù)中心環(huán)境下威脅行為建模、IPV6/IPV9、未來網(wǎng)絡(luò)（如基于SDN/NFV、Open Daylight網(wǎng)絡(luò)）系統(tǒng)安全主動防御機理、不可信云環(huán)境下數(shù)據(jù)隱私和內(nèi)容保護、密文訪問控制等安全主動防護機制，解決組件、節(jié)點、系統(tǒng)和平臺層安全能力動態(tài)重構(gòu)等關(guān)鍵問題，實現(xiàn)不依賴于惡意代碼（程序）具體特征和行為的云服務(wù)主動防護。

（四）面向物聯(lián)網(wǎng)應(yīng)用安全的主動防御

針對物聯(lián)網(wǎng)系統(tǒng)及智能終端應(yīng)用，研究基于信息流的物聯(lián)系統(tǒng)安全主動防御機理、業(yè)務(wù)系統(tǒng)與智能終端的安全漏洞自動分析與挖掘，解決物聯(lián)網(wǎng)應(yīng)用安全模型定義、系統(tǒng)安全行為刻畫、安全屬性組合驗證等關(guān)鍵問題，實現(xiàn)物聯(lián)網(wǎng)安全可自動驗證與智能檢測的主動防御。

【參考文獻】

[1]林偉.分布式主動防御系統(tǒng)研究[D].成都：電子科技大學(xué)，2009.

[2]劉志祥.網(wǎng)絡(luò)環(huán)境下計算機病毒的檢測與防御技術(shù)研究[D].武漢：華中科技大學(xué)，2009.

[3]金山網(wǎng)絡(luò).2010—2011中國互聯(lián)網(wǎng)安全研究報告[EB/OL].（2011-02-16）[2019-04-24].http：//www.ijinshan.com/zhuanti/2011report/.

[4]馮登國，趙險峰.信息安全技術(shù)概論[M].北京：電子工業(yè)出版社，2009：115-117.

[5]陳婧婧.基于行為特征的木馬檢測系統(tǒng)研究及實現(xiàn)[D].成都：四川師范大學(xué)，2010.

[6]Ulrich Bayer.TTAnalyze： A tool for Analyzing Malware.Master Thesis of Vienna University of Technology， 2006.