基于社團結構的網絡協同防御

王 剛, 陸世偉, 馮 云, 伍維甲

(空軍工程大學信息與導航學院，西安，710077)

公共互聯網作為一種普遍使用網絡，要求保障關鍵服務安全可控，保護用戶合法權益。然而，網絡信息竊取和關鍵節點破壞等非法蓄意攻擊對公共互聯網安全造成極大威脅，包括分布式拒絕服務攻擊、病毒攻擊、先進持續性威脅等。傳統防御系統主要采用靜態防御的方法來加固系統防護，從而保護網絡的安全，相關技術包括防火墻技術、加解密技術、數據鑒別及訪問控制技術等。對于網絡系統的正常訪問、用戶合法身份的鑒別和權限管理、數據信息安全，這類技術起到了一定的防護作用。然而，對于隱藏特征的網絡病毒，如“震網”病毒、Regin病毒和“狼人殺”病毒，與傳統蠕蟲病毒相比，它們的技術手段和行動更為隱蔽高效。“潛伏”是這類網絡病毒所共有的典型特性，因而通常將其稱為潛伏型病毒。在感染目標網絡節點時，潛伏型病毒為實現特定戰術目標，將其攻擊感染的表征暫時隱藏起來；根據行動需求和前期設定的觸發機制，攻擊方會選擇特定時機或采用特定手段激活啟動該病毒。由于潛伏特性，靜態防御通常難以檢測該病毒潛伏特征，也就無法徹底清除病毒，因而傳統防御模式在處理此類外部攻擊時存在先天的局限性。

目前，國內外網絡安全機構和專家已將此類問題的解決途徑轉移到主動防御、動態防御和集體防御上來，如鄔江興院士提出的擬態防御架構，可用于應對未知漏洞后門病毒等不確定威脅[1]；沈昌祥院士倡導運用可信計算方法，設計自主可控的網絡安全信息技術體系[2-3]；國外Rathore等人結合智能城市IoT網絡的區塊鏈技術，提出一種基于軟件定義網絡(SDN)的去中心化安全架構，檢測物聯網網絡中的攻擊，并能夠緩解現有架構固有的“單點故障”問題[4]。總體上看，這些網絡安全防御是通過預先設計網絡防御機制，實現攻擊的誘導與轉移，降低外部攻擊對網絡造成的損失，其實現技術包括節點信任通信[5-6]、動態目標防御[7-8]和信息蜜罐與蜜網[9-10]等，這些研究從不同層面為網絡安全防御實踐應用提供了先進防御理念和技術支撐。然而，由于不同團隊前沿研發技術相對獨立，有些忽略了網絡防御要素間的兼容性和協同能力，造成網絡監控要素分布分散和功能獨立，使得網絡防御依舊面臨系列問題[11]，如持續監控難以實現，被動封鎖效果有限，防御分散響應緩慢，攻防管控各自為戰。客觀上，需要結合網絡自身的復雜異構性創新理念，如引入網絡生態和分布式集體防御[12-13]，建立新的網絡安全協同防御架構，通過定義網絡要素間動態聯動關系和生態機制，預測和防御包括不確定攻擊在內的多類型網絡攻擊，將攻擊后果最小化并快速恢復網絡至安全狀態。

本文結合公共互聯網安全特點，首先根據網絡邏輯結構及節點功能，將目標網絡劃分為多個網絡社團，按照分布式協同控制模式設計了協同防御架構基礎通信模型，在此基礎上融合了多類型功能模塊，提出了基于社團結構的網絡協同防御架構。其次，借鑒網絡生態系統運維理念，設計了基于網絡協同架構的協同機制，通過集體行動提升網絡的病毒檢測能力、快速響應能力和應急恢復能力。最后，以潛伏型病毒為例，給出基于社團結構的協同防御流程和仿真驗證。

1 協同防御架構

關于網絡病毒傳播模型的研究表明，降低網絡節點平均度是抑制病毒傳播的主要方法[14-17]。定義網絡圖G=(V,E)為某一具體網絡，V=(vi)N為節點集，N為網絡節點總數，E為網絡邊的集合。網絡在遭遇病毒入侵時，通過隔離節點策略可抑制病毒的大規模傳播。設隔離節點vi的度為ki，隔離vi前后網絡平均度分別為〈k〉f和〈k〉l，則〈k〉l可表示為:

(1)

顯然，節點隔離策略能降低網絡平均度，抑制網絡病毒的傳播。研究表明，少量的節點隔離不足以完全抑制病毒傳播，過多的節點隔離又會導致網絡通信能力的損失，節點隔離策略需要在維護網絡安全的同時，保證網絡基本通信能力。現實中，網絡病毒的感染過程通常是由一個節點或一個區域向周邊節點擴散開來，最終蔓延至整個網絡。根據式(1)知，降低病毒所在網絡的節點數N，同樣能夠降低節點平均度，從而起到抑制病毒傳播的作用。按照這一思路，將整個網絡分為若干個子網絡(社團)，在檢測到病毒入侵時，及時封鎖病毒所在社團，縮小病毒傳播范圍，就能通過隔離較少的節點來維護網絡的安全。在封鎖社團后，來自病毒感染社團的信息需要經過特定的驗證機制，在確保安全的條件下轉發至其它社團節點。

網絡協同防御模型能更好地完成網絡安全防御任務[5,18]。在大規模網絡主動協同防御模型中，全局網絡可劃分為若干個自治系統(autonomous system，AS)，單個AS采用基于代理的協同控制框架來完成協同防御任務，整體上通過分布式集體協作共同抵御病毒傳播[18]。對于劃分AS后的網絡，如果遭遇病毒入侵，只需要隔離病毒感染社團和少量節點，即可抑制病毒傳播。

一般網絡都具有社團屬性，可采用社團識別算法，如Newman快速凝聚算法、Girvan-Newman分裂算法等[19-21]，將整體網絡劃分為多個自治社團(network community，NC)。設劃分后的社團數為n，對應集合為NC={NC1,NC2,…,NCn}。在此基礎上，可按分布式協同控制模式[11-12]設計對應的基礎通信模型，見圖1。其中，單個社團由用戶主機、協同控制中心和社團內的各種安全系統組成[18]。

圖1 協同防御中網絡社團基礎通信模型

社團內部安全系統主要包括入侵檢測系統(intrusion detection system，IDS)、信息蜜罐與蜜網系統、帶有節點信任值管理模塊(node trust-value management module，NTVMM)的防火墻系統[6]、入侵防護系統(intrusion prevention system，IPS)、協同防御策略庫，對應的協同防御系統架構見圖2。

圖2 協同防御系統架構

協同防御架構建立在大規模網絡的主動協同防御模型[18]和基于覆蓋網的協同式安全防護與分析系統模型[22]基礎上，進一步融合了協同防御策略庫、帶有NTVMM的防火墻、信息蜜罐與蜜網模塊。除了適用于防御DDOS攻擊與蠕蟲病毒攻擊[18]，還能提升對潛伏型病毒等新型攻擊的防御能力，且具備更強的協同防御功能。

2 協同防御機制

在實際應用中，需要科學的防御機制來確保各模塊間的協同協作，保證在低損失情況下網絡的整體安全。借鑒網絡生態系統態勢感知-持續監控-協同防御-快速恢復-溯源反制(situation awareness, monitoring, cooperative defense, recovery, countermeasure，SMCRC)機制[11]，設計協同防御架構的協同防御機制。考慮網絡攻擊形式的多樣化，以下以潛伏型病毒防御為例[17]。

潛伏型病毒通常利用其潛伏特性，繞過安全防御單元檢測，入侵內部網絡，并在激活后迅速感染網絡。對于潛伏型病毒入侵，協同防御系統主要功能包括：檢測病毒的潛伏特征與感染特征、抑制潛伏型病毒在網絡中的傳播、清除網絡中潛伏型病毒等。根據防御系統對病毒入侵事件的響應順序，可將協同防御機制劃分為態勢感知協同、態勢分析協同、行動決策協同以及調節反饋協同4個部分，構成一個網絡協同防御環，自適應選取最優防御策略來應對潛伏型病毒入侵，如圖3所示。

圖3 網絡協同防御環路和防御機制

2.1 態勢感知協同

態勢感知協同防御需要對目標網絡狀態實施不間斷監控，傳統防御中IDS、防火墻等防御單元很難做成集成模塊，協作能力較差，對異常信息的監測能力較差，通常會導致直接隔離異常信息或是錯將包含潛伏病毒的異常信息放入內網，都可能對節點或網絡造成較大的損失[11]。

態勢感知協同機制主要依賴于IDS、信息蜜罐與蜜網和協同控制中心。IDS可直接檢測出已知特征的病毒類型，并發出警報通知協同控制中心。對于潛伏型病毒，IDS通常只能感知到信息的異常，而無法直接判斷信息是否攜帶病毒。這種情況下，協同防御中的IDS會記錄異常信息并通知協同控制中心，控制中心命令交換機和路由器控制異常信息傳輸速率，并將部分異常信息送至信息蜜罐或蜜網中進行監測。如果在信息蜜罐或蜜網中，異常信息表現出感染特性，安全分析設備會立即檢測出感染特征，并通知控制中心將檢測出的感染特征添加至各IDS和防火墻的病毒特征庫。特殊地，如果異常信息在蜜罐中的感染過程是有時滯的，可認為該信息中攜帶潛伏型病毒，蜜罐或蜜網中安全系統會進一步分析異常信息代碼，提取病毒潛伏特征，并通知控制中心轉發潛伏特征。此外，在網絡的關鍵交換機和路由器中會部署流量分析器和探測器，可用來跟蹤異常數據流并完成持續監控。

2.2 態勢分析協同

態勢感知協同會對每個時間段內的網絡狀態進行監控，如果網絡中節點狀態發生改變，需要態勢分析協同機制來判斷網絡是否受到攻擊、攻擊強度、攻擊區域以及網絡能否自恢復至安全狀態等。態勢分析協同主要依賴于協同控制中心，通過收集IDS報警信息、信息蜜罐與蜜網檢測信息、關鍵交換機和路由器檢測信息，對網絡整體態勢進行分析，分析內容包括病毒的潛伏能力與感染能力、網絡受感染區域分布、網絡中可能潛伏病毒的區域、病毒傳播趨勢、網絡對病毒的免疫能力等，態勢分析結果有助于對病毒傳播模型[14-16]中的參數值進行估計，計算病毒傳播的基本再生數，進而選取當前最適合的協同防御策略。

對于異常信息，協同控制中心根據收集到的相關信息對該類信息可疑度進行判定；借鑒異常信息檢測方法[23-25]，選擇既往攻擊信息為訓練集，訓練異常信息分類模型，即可實時判定該類信息類型或是否包含潛伏型病毒，進而選取合適的免疫或隔離策略[26-28]來防御潛伏型病毒。

2.3 行動決策協同

態勢分析協同可深入分析網絡受感染程度等安全態勢信息，社團中的協同管理中心會根據安全態勢分析結果，查詢協同防御策略庫，生成當前最優防御策略，分發給社團中的節點，節點采取相應的防御措施共同應對網絡威脅。如果已獲取病毒的攻擊特征或潛伏特征，控制中心會將這些特征廣播給社團內的用戶主機、交換機以及社團間的路由器節點，這些節點對接收或傳輸的數據包進行檢查和過濾，拒絕包含病毒特征數據的接收或限制其傳輸速度。

若社團中部分節點的安全設備檢測出異常信息，但未能發現病毒特征，協同控制中心會通知社團中其它節點進行協同檢測與分析。通過收集網絡中異常信息存在的區域與規模，并根據目前網絡的通信需求，對比策略庫中策略適用條件，選擇防御策略。以下列舉了幾種參考策略：①若網絡各社團均被感染，此時網絡需要盡快恢復到安全狀態，而對通信能力要求不高，協同控制中心可選擇基于最大節點度的隔離策略[29]，盡快降低網絡平均度，從而迅速抑制病毒傳播；②若網絡各社團均被感染，而網絡正在進行重要通信，需要在維護網絡安全的同時保證網絡的通信損失較少，可采用基于節點信任關系的惡意信息攔截策略[6]，通過選擇最合適的信任閾值，在控制病毒傳播的同時，保證網絡的業務承載能力。被隔離社團發出的信息及其它社團發往被隔離社團的信息可由路由器轉送至信息蜜網中進行存儲與檢測，從而提高病毒特征的檢測率，并降低策略造成的信息損失。

協同防御策略由社團中協同控制中心共同制定，為了便于模型的架構擴展與實現，需要統一協同策略的生成格式和字段：

——————

其中，Community表示策略所適用社團編號；Target表示策略所適用目標，如IP地址，端口；Type表示策略種類，包括檢測、抑制、清除或免疫病毒等；Event指當前針對的網絡安全事件，如潛伏型病毒入侵、感染型病毒入侵、混合型病毒入侵或DDOS攻擊等；等級表示網絡當前所處的安全級別；Objects表示操作的對象，如IDS、交換機、信息蜜罐和信息蜜網等；Operation表示操作對象所要執行的操作，包括掃描、分析、隔離或轉發信息至蜜罐等。

協同控制中心通過安全協議(如SSL協議等)與社團內其他用戶和安全模塊建立安全通信連接，在協同策略生成后，協同控制中心將策略安全分發至社團中目標節點。

2.4 調節反饋協同

協同策略分發后，網絡節點會根據策略內容實時調節自身行為。用戶主機的行為調節包括改變IDS檢測級別及需要檢測內容、防火墻過濾規則、NTVMM模塊閾值(閾值會決定異常信息的接收比例)、IPS的清除對象；交換機和路由器行為調節包括信息分發規則、控制異常信息流速、端口開放情況；信息蜜罐和蜜網會調整對特殊事件記錄及監視頻率、提升安全分析軟件對日志的審查和分析頻率、以及允許轉存信息的數量。控制中心可以協同計算策略庫中策略的期望收益，分配最高收益的策略，社團根據接收到的指令調整各自行為。調整后的網絡狀態經過感知與分析，就可以判斷網絡安全狀態經過調整是否得到提升。調節反饋協同的具體流程見圖4。

圖4 調節反饋協同流程

首先，由協同控制器根據具體情況生成初始策略并分發至各社團，同時計算預期收益。社團根據協同控制中心產生的策略調整自身行為。調整行為后，網絡整體安全狀態會發生改變，此時節點將調節后的狀態反饋給協同控制中心，包括節點安全狀態的變化和通信損失情況等。根據收集到的反饋信息，協同控制中心計算網絡實際收益，通過對比實際收益與期望收益，實時調整協同防御策略，確保網絡獲得最佳收益。網絡收益計算方法可根據策略對網絡整體的通信能力及網絡受感染情況的影響來設計[30]。以潛伏型病毒為例，根據網絡病毒傳播SEIQRS模型[17]，可以計算出病毒傳播的基本再生數為：

(2)

式中：〈k〉為網絡平均度；β為潛伏型病毒的感染系數；γ為潛伏病毒在網絡節點中被激活的概率；ψ為網絡節點具有抗病毒攻擊感染能力的概率；δ為節點抗病毒能力退化的概率；ω為受病毒攻擊感染的節點斷開網絡連接的概率；θ表示潛伏的病毒失去激活機會的概率；b表示節點在病毒潛伏期具備免疫能力的概率。由此，可進一步計算網絡相對安全指數[30]：

(3)

式中：

(4)

(5)

式中：λmax由網絡魯棒性確定，λ為隔離節點后造成網絡信息損失的比例；a1,b1為網絡魯棒性范圍內通信和安全所占的比例系數，a1+b1=1。在網絡魯棒性范圍內隔離節點，對網絡通信影響較小，而安全提升明顯，因而通常a1b2。Δμ(t)和Δδ(t)為t時刻后網絡平均信息強度和網絡相對安全指數變化值，計算如下：

(6)

如果網絡未到達安全狀態，可以計算實際收益與期望收益的差值，若差值大于某個閾值，協同控制中心可根據最新的態勢感知與分析結果，調整協同防御策略的生成與分發，以獲取更高的網絡收益。

3 潛伏型病毒協同防御流程

潛伏型病毒通常先潛伏至網絡關鍵節點，在激活后迅速感染網絡其它節點，由于潛伏型病毒的隱蔽性，傳統防御架構難以有效查殺，病毒清除過程普遍滯后于病毒感染與傳播[27]。網絡協同防御可基于大規模網絡的主動協同防御模型[18]，用于防御DDOS攻擊和蠕蟲病毒攻擊，還可按照協同防御機制抵御潛伏型病毒入侵。以潛伏型病毒為例設計網絡協同防御流程，如圖5所示。

圖5 潛伏型病毒的協同防御流程

在協同防御系統中，信息蜜罐與蜜網、網絡鏈路中的IDS系統都能對潛伏型病毒實時進行監控。如果網絡中流量異常，IDS立即通知協同控制中心，控制中心命令交換機或路由器將信息誘導至信息蜜罐或蜜網中，進行長期的觀察。由于信息蜜罐或蜜網中會設置一些能滿足潛伏型病毒激活條件的環境，如調整系統時間，鍵盤鍵入，訪問次數觸發等，從而提升網絡對異常信息中病毒的檢測能力。若未能檢測到異常信息中的病毒信息，可進一步提取分析信息中部分內容，以便尋找出病毒潛伏的特征。對于數據內容的提取，蜜罐和蜜網需要向協同控制中心提出數據訪問請求，在協同防御中心通過后，可對異常信息的內容進行訪問與提取，以此來確保蜜罐或蜜網中信息的安全性。一旦檢測出病毒潛伏特征，信息蜜罐和蜜網會將特征告知協同控制中心，控制中心通知其它節點啟用IPS和防火墻，清除和過濾包含潛伏特征的流量數據，從而提升病毒的免疫率。

以上特征提取過程主要針對處于潛伏階段的病毒，對于感染階段的病毒，協同防御系統可將其視為蠕蟲病毒。此外，在防御感染階段病毒的同時，網絡節點還需要檢測病毒是否包含潛伏特性，避免網絡恢復安全后的二次感染。如果協同控制中心確定病毒類型潛伏型病毒但未檢測出潛伏特征，可命令網絡用戶開啟防火墻的NTVMM模塊，在可承受的通信損失范圍內選擇一個合適的閾值，并以部分通信代價來提升網絡的安全性。

以上潛伏型病毒防御流程能對已知類型病毒的潛伏和感染特征進行檢測，也能利用模塊間的協同作用來檢測未知類型病毒的潛伏和感染特征，從而有效提升網絡對病毒的檢測能力。在檢測出病毒特征之前，即病毒監測階段，協同控制中心會生成并分發協同防御策略，來抑制病毒傳播規模，確保病毒對網絡造成的損失降到最低。

4 仿真驗證

仿真部分重點驗證所構建協同防御架構及機制在防御潛伏型病毒方面的有效性。節點信任值管理算法(NTVMM)[6]和基于最大性能收益的隔離算法(maximum performance gain isolation algorithm，MPGIA)[29]在網絡收益方面要優于最大度隔離算法(maximum degree isolation algorithm， MDIA)[30]，仿真主要將協同防御策略與前兩種策略進行對比。

4.1 網絡社團劃分

生成一個小世界網絡，網絡節點數 ，邊的數量，平均度近似等于2，平均聚類系數為0.273。根據Newman快速凝聚算法，將網絡劃分為6個社團。圖6和圖7分別給出了網絡社團劃分圖及每個社團中節點的數量圖。

圖6 網絡社團劃分圖

圖7 每個社團中節點的數量

在圖6中，網絡節點尺寸越大，節點的度越大；節點的顏色表示該節點所處的社團，共有6種顏色，每種顏色節點的數量對應于圖7中社團節點的數量。

4.2 仿真參數設置

選取SEIQRS病毒傳播模型[17]，模型中轉移參數設置為β=0.6、θ=0.1、γ=0.6、ω=0.2、ε=0.2、φ=0.2、δ=0.2、b=0.1。網絡總節點數N=1 000，網絡平均度k=2，令狀態節點數量初始值(S(0),E(0),I(0),Q(0),R(0))=(980,0,20,0,0)，計算可得直接潛伏型病毒傳播模型的基本再生數分別為R0=2.25，該參數設置下網絡中是有病毒的存在，而且網絡利用自身免疫系統無法恢復至安全狀態，需要合理的策略來抑制病毒的傳播。仿真中，在整個網絡中單獨采用MPGIA和NTVMM來恢復網絡安全(作為對照組)，計算網絡恰好達到安全時2種防御算法帶來的網絡性能收益。假設網絡中單位時間內兩個節點間通信一次，即有2條信息傳輸。仿真中單位時間取為1 s。由于只在網絡魯棒性范圍內計算策略的收益，小世界網絡中網絡收益函數參數[30]取a1=0.5、b1=0.5。

在整個網絡中用2個策略恢復網絡安全后，將網絡按照4.1中方法劃分為6個社團，并在相同仿真參數環境下模擬協同防御過程(作為實驗組)。由于是從數值上對協同防御仿真，對其中的部分模塊功能進行量化處理。信息蜜罐和信息蜜網對潛伏病毒的潛伏特征和感染特征進行檢測，設置檢測周期為20 s，網絡對潛伏節點和感染節點的免疫概率增加20%。蜜罐和蜜網存儲MPGIA和NTVMM中未能成功發送的信息，并在網絡恢復安全后將這些信息轉發至目的節點。由于網絡中信息對時間的依賴程度是隨機的，只有部分信息對時間是敏感的，即延遲發送有很大損失，而其它信息對時間的敏感度較低，在網絡安全后發送也不會有太大的損失。因此，根據平均場理論，可認為蜜罐和蜜網會降低網絡中一半的信息損失，即協同防御中總的信息損失會在原有損失基礎上減少至50%。協同防御過程中被病毒感染的社團，會采用收益最高的策略來進行隔離與恢復。沒有發現病毒的社團可保持正常通信，只需與受感染的社團間中斷通信。據此，計算協同防御在恢復網絡安全時的累積網絡收益。

4.3 協同防御收益的有效性驗證

初始狀態節點數(S(0),E(0),I(0),Q(0),R(0))=(980,0,20,0,0)，表示在病毒爆發初始時刻，網絡協同感知和分析系統檢測出被感染病毒節點有20個，此時還未檢測出有潛伏病毒的節點，且所有節點都不具備抵御病毒感染的能力。假設檢測出的潛伏型病毒具有明顯的地域特性，集中分布在某個社團內，但不確定病毒所在社團編號。在此條件下，仿真驗證有協同防御和無協同防御時2種策略帶來的網絡收益。

圖8是病毒分別出現在在1-6號社團時，網絡整體采用NTVMM和MPGIA，以及隔離對應社團后采用NTVMM和MPGIA得到的網絡收益，即不同策略組合的網絡性能收益。

圖8 不同策略組合的網絡性能收益

此時，網絡中所隔離的社團一定是病毒存在的社團編號。其中，MPGIA-CI表示社團隔離后在受感染社團中采用MPGIA來恢復網絡的安全；NTVMM-CI表示社團隔離后在受感染社團中采用NTVMM；MPGIA-NE為不隔離社團，網絡整體采用MPGIA；NTVMM-NE為不隔離社團，網絡整體采用NTVMM。

由圖8分析知，社團隔離后采用MPGIA和NTVMM恢復網絡安全所獲得的網絡收益是近似相等的，且通常優于在整個網絡中采用這兩種策略獲得的收益。由于社團3和社團6的節點數量較多，隔離社團后會對較多節點通信造成影響。因此，如果病毒存在于這兩個社團時，可對網絡整體采用收益較高的策略，不需要隔離社團。此外，網絡整體采取策略所獲得的收益與病毒所在的具體社團無關。在協同防御系統具體運行時，協同控制中心總會根據病毒所在社團，選擇最佳防御方案，如病毒在社團1時選擇MPGIA-CI防御方案，病毒在社團3時選擇NTVMM-NE防御方案。為進一步探究協同防御的有效性，圖9給出了網絡采用協同防御時兩種策略的收益和不采用協同防御時兩種策略的收益。

圖9 有無協同防御時最佳收益對比

由圖9可以看出，協同防御下所采用的最佳策略收益總優于無協同防御時最佳策略收益。協同防御增強了網絡對潛伏型病毒的檢測能力，降低了防御策略造成的信息損失比例。因此，網絡防御的收益得到有效提升。此外，協同防御策略能以更小的通信代價提升網絡安全性能。

仿真結果表明，協同防御在防御潛伏型病毒傳播方面比無協同防御更具優勢，能以較小的通信損失來恢復網絡的安全。

5 結語

在大規模網絡的主動協同防御模型基礎上，融合了信息蜜罐與蜜網、帶有節點信任管理功能的防火墻、協同防御策略庫等安全模塊，構建了新的網絡協同防御系統架構。通過設計合理的協同防御機制，打破了網絡防御要素間的獨立性，使這些防御要素以協同的方式共同抵御外部攻擊。相比于無協同防御的系統，該協同防御系能提升網絡對潛伏型病毒的防御能力，在一定程度上增強了網絡全系統感知、元素認證、防御動態化、行為可監控、快速響應與恢復能力，符合網絡空間安全生態系統的要求。此外，協同防御架構模型具有較強的擴展性，針對其它類型的網絡攻擊，可通過增加安全模塊和防御機制，增強協同防御系統的功能。