基于用戶生態環境的自適應網絡防御架構方法研究

摘 要：針對商用廣譜網絡安防設備安全漏洞難以實現自我感知與影響評估，以及廠家間技術壁壘阻礙網絡防御效能快速聚合等問題，圍繞用戶信息交互的規程、動作、時機以及表象特征，提出了一種基于用戶信息生態環境、緊密貼合業務特點的精確網絡防御方法，通過不斷地動態循環，細粒度、多視角、持續化地對安全威脅實施動態檢測、實時分析，自動適應網絡變化和安全威脅，不斷優化自身安全防御機制，為后續網絡安全防護系統建設、優化提供參考和借鑒。

關鍵詞：網絡安防設備；用戶生態；自適應；網絡防御；安全漏洞；架構設計

中圖分類號：TP393.08 文獻標識碼：A 文章編號：2095-1302（2024）09-00-03

DOI：10.16667/j.issn.2095-1302.2024.09.021

0 引 言

隨著互聯網的不斷發展，各種網絡安全事件頻發，網絡攻擊手段多變。網絡攻擊者常常根據網絡信息系統的環境與業務特征，利用拉長攻擊時間跨度、定制專項攻擊武器、橫縱多級反復跳轉等方法進行網絡攻擊，給網絡運維管理者帶來了極大的挑戰[1]。為有效降低對網絡安防運維人員技能儲備的依賴以及其工作強度，使得對網絡攻擊行為的感知識別更加簡單便捷、處置加固更加精準高效，迫切需要探索出

一種自適應網絡信息生態的精確網絡防御方法。

1 網絡用戶安全生態環境現狀

網絡安全生態環境包括網絡用戶硬件環境、軟件環境、防御環境、技術儲備、人員素質等，這些因素相輔相成、相互制約，構成了網絡安全防御的整體環境態勢[2]。目前，網絡用戶對網絡安全生態建設方面都十分重視，網絡生態環境需要滿足更高的網絡安全要求，以有效應對網絡安全風險。還有不少網絡用戶存在以下問題需要解決：

（1）網絡用戶一般采用邊界隔離、數據加密、網絡威脅監測與接入控制等方式進行網絡安全防范，但計算終端安全檢測及防護體系的傳統建設思路存在手段單一、時效性差等問題。

（2）網絡用戶信息系統程序的頂層安全設計不充分、開發過程管控不細致、功能代碼編寫不規范等情況常有發生，使得信息系統原生安全隱患多，易被攻擊利用。

（3）業務日常交互內容多、體量大，同時還與指揮、運維、安管等信息交織并存，當攻擊行為發生時，難以快速準確地篩選、定位、追蹤、追溯威脅來源，應急處置效率低下。

（4）目前網絡安全防范設備廠家對于自身產品的設計缺陷往往是根據用戶的反饋進行彌補或修正的，缺乏主動挖掘自身產品安全漏洞的內驅動力或資源配置，而這些漏洞一旦被攻擊方發現并加以利用，將對用戶造成無法估量的

危害。

（5）網絡運維人員能力參差不齊，使得各類安防策略在終端側的落實不完整、易走樣，安全管理實施不準確、難細致。當威脅發生時，存在極大可能無法準確應對。

因此，僅依靠傳統廣譜的網絡安防做法不足以適配網絡用戶信息安全交互的需求，必須結合自身信息生態環境，創新性地研究出一種可及時發現異常、快捷判斷風險、高效消除隱患的精確網絡防御方法。

2 用戶網絡安全防御信息生態建立原則

網絡防御應當堅持對各類信息系統的信息進行多維度綜合考量，通過將業務信息的封裝格式、交互特征以及發生條件等關鍵判決條件有機結合，構建系統化的網絡防御原則，從而指導工作。從職能屬性、安全需求、部署運用等多維度綜合考量，通過將業務信息的封裝格式、交互特征以及發生條件等關鍵判決條件有機結合，充分發揮和利用信息交互過程中的“矢量”特征[3]，達到阻斷一切不合法、不合規信息來源，實現控制攻擊“線”的防護目標。同時，將可能的攻擊渠道和影響壓縮至“點”后，利用業務系統的冗余備份來對抗“點”的隱形風險，最終實現整個網絡系統的防護

愿景。

2.1 分類建立防御策略

網絡防御的基礎在于分析自身生態信息系統，關鍵在于把握自身生態信息系統特點，綜合分析網絡用戶信息系統的職能屬性、安全需求以及部署運用等實際情況。一般信息系統可劃分為3大類，并采取對應的防御策略。一是承擔用戶核心業務的系統終端。該類終端的操控系統具有種類多樣、技術代差明顯、對安全需求強烈等特點的同時，對防護手段的兼容性要求也比較高，故采用對I/O信息全方位立體監控、多維度精確甄別、無差錯嚴格控制的防御思路。二是承擔指揮管理和系統運維類的系統終端。該類終端多為PC，可替代性強、安全需求中等，故采用全面多手段綜合防護、邊界誘敵顯跡、內部強化安防抗毀手段等對抗性防御思路。三是承擔音頻通話、視頻會議以及安全監控類的系統終端。該類終端安全需求低，故采用平時強監管、攻擊時主動“斷臂求生”的自斷式防御思路[4]。

2.2 策略統一編排

目前很多網絡設備布防是根據個體設備開展網絡防護，沒有形成統一的總體策略[5]，網絡安全防控有效性不強。因此必須實現整體策略編排，使得對安全事件的響應動作并行聯動。日常工作中，該設備根據人為設置的安全防御策略，實時接收威脅行為偵測或其他安防設備通報的安全預警信息，同步執行真實性校驗、證據固化、威脅處置以及信息上報等動作。當收到威脅行為偵測設備的告警信息時，安全策略編排與自動響應設備將實時提取威脅特征信息，并立即在系統防火墻、網絡訪問控制列表等網絡防御設備中實施攔截阻斷，封存該時段流量，通報運維人員開展人工

審查[6]。

2.3 立體監控、精準甄別

威脅行為偵測設備主要被部署并應用于核心系統防護域，通過物理分路形式全方位監控核心防護域內各類信息的交互過程，并根據信息的生成條件、封裝的協議格式、傳遞的特征表現等全方位立體判斷相關信息是否合法合規，進而構建對非法、非規流量的及時感知、精準甄別、高效處置的一體化防護系統；在采用旁路部署安防設備建設思路的同時，部署一批全流量記錄、安全策略編排與自動響應，以及可準確甄別系統核心業務信息真實性的威脅行為偵測

設備[7]。

2.4 查漏堵缺、強基固體

為堵住攻擊者通過信息系統源頭或在傳遞運輸過程中預先植入攻擊載荷而實施迂回攻擊的路徑，通過將用戶系統安全防護的相關需求、條件約束及檢驗評估方式深度融合進安防系統的規劃設計、建設論證、研制測試以及部署應用等各個環節的運行機制中去，消除業務與安全“兩層皮”現象，實現業務為安全提供判決信息、安全為業務保駕護航的終極目標。

3 網絡安全防御架構設計

與傳統安全防護解決方案中追求“面面俱到”的設計思路不同[8]，基于用戶生態的精確安防模型主要需要解決核心業務系統與典型安防手段間適配度低、安防運維難度高、消耗大，以及未知威脅難判別、易疏漏等問題[9]，故在本安防模型的設計中將關注焦點對準信息交互“線”，突出“隔網限流、控線保安”的精確防護指導思路。在模型的功能劃分上，按照職責界面不同切分為威脅行為偵測、安全編排與自動響應以及處置溯源共3個功能模塊。圖1為用戶系統安全防護模型。

該模型通過威脅行為偵測模塊將全流量探針、磁盤陣列、防病毒、入侵檢測、安全審計等安防設備采集到的各聯網終端工作狀態和進出流量與自身業務特征綜合起來進行深度分析，從而進行實時威脅研判，找出攻擊特征后將其提交至安全編排與自動響應模塊。安全編排與自動響應模塊識別威脅流量模塊傳遞來的攻擊信息，并根據信息內容快速匹配到預置的安全事件策略案例，之后根據案例內的預置流程自動完成對攻擊事件的處置工作。安全事件處置溯源模塊對安全編排與自動響應模塊所發送的指令進行及時應答，包括但不限于核對、查殺、阻斷、舍棄等威脅應對操作[10]。

精確網絡防御方法的本質是通過充分認清并利用好自身信息交互生態特點，迅速提高甄別網絡攻擊的準確率和執行效率，降低安防崗位技能需求和未知攻擊風險。因此，在實施過程中要注意把握好以下幾個關鍵動作：

（1）自身業務特征梳理。特征梳理，即對網絡信息交互需求和特征的自我認清，它是能否有效貫徹精確網絡防御機制的前提條件。實施過程中必須理解和規范每一臺信息系統的職責用途，并根據信息交互對象和內容加以嚴格區分限制。在該環節可向設備研制廠家申請獲取支持，并通過實踐進行檢驗。

（2）威脅甄別模型構建。攻擊建模，即對網絡信息交互對象、內容、過程進行綜合分析，它是能否準確發現網絡攻擊行為的理論基礎。實施過程中必須綜合考慮自身業務中每一類流量產生的內部、外部因素，包括但不限于時機、場合、對象、內容、形式等，進而合理構建威脅甄別模型。模型算法保密性要求高，更適合自研完成。

（3）聯動處置時延壓減。時延壓減，即利用多種防御手

段，對網絡攻擊同步開展精準控制、溯源查證及安全加固，它是提升攻擊處置效率的根本保證。實施過程中必須以快、準、穩為安防策略設計與執行的必要前置條件。同時在設備選型上也要求選擇與現有安全防護手段兼容性好、耦合度高的品牌。

4 結 語

本文針對通信網絡面臨的現實安全威脅，明確了網絡安全防護的能力需求。相較于傳統的邊界隔離、縱深防御的廣譜網絡安防構建方法，本文方法是在充分理解和消化了網絡生態特點的基礎上設計出來的，由于與用戶信息生態存在強耦合關系，故可以對信息系統的安全防御效能發揮起到極大促進作用：一是轉變防御思路，從如何甄別和抵御威脅轉變為充分認知自己，以自身業務特點抵消強敵攻擊優勢，從而使得識別判斷非法、非規流量的方法變得簡單精準，更加容易學習理解，有效降低錯判和誤判發生率。二是合理分割信息系統區域，精細管控信息交互流程，使得對網絡攻擊的生存空間壓縮明顯，特別是采用多維立體威脅偵測識別手段的核心網絡防御陣地，其信息系統的安全需求可獲得極大滿足。三是通過視情引入安全策略編排與自動響應手段，完成了對可預知威脅隱患的自動化處置能力的構建，解決了安防工作操作程序不規范、資源編配不充足、技術壁壘難打破等問題，異常處置和攻擊溯源的效率得到全面提升[11]，有效提高了整個網絡的安全基線，為網絡安全防護系統建設提供參考和借鑒。

參考文獻

[1]佟林杰，劉博. 信息生態視域下政府數據開放中的數據安全和隱私保護問題研究[J]. 圖書館理論與實踐，2020，42（5）：

67-72.

[2]李敏，李煒，于仕，等.基于大數據分析和未知威脅感知的電網企業信息安全主動防御體系研究[J].科技廣場，2016，29（8）：82-85.

[3]羅敏，陳洋.基于等保2.0高效網絡安全主動防御體系建設探析

[J].信息與電腦，2021，33（21）： 197-199.

[4]耿磊.基于“互聯網+”環境下的網絡安全防御技術分析[J].網絡安全技術與應用，2022，22（12）：18-19.

[5]宋悅.人工智能技術在網絡安全防御中的應用[J].科技風，2023，36（6）：65-67.

[6]張超.基于演化博弈的網絡安全防御決策方法研究[J].網絡安全技術與應用，2023，23（3）：13-15.

[7]衣娜.云計算環境中計算機網絡安全防御系統設計探討[J].網絡安全和信息化，2023，8（4）：131-133.

[8]劉永輝，胡巧婕，趙麗.基于蜜罐技術的局域網安全防御系統設計[J].電子設計工程，2022，30（14）：68-72.

[9]林志達，張華兵，曹小明，等.基于堡壘機技術的企業信息網絡安全防護模型[J].電子設計工程，2022，30（18）：179-183.

[10]解春升.計算機網絡安全技術在網絡安全維護中的防范研究[J].網絡安全技術與應用，2022，22（8）：162-164.

[11]謝遠福.入侵檢測技術在計算機網絡安全維護中的應用[J].信息與電腦（理論版），2022，34（12）：225-227.

收稿日期：2023-07-17 修回日期：2023-08-15

作者簡介：邵宇航（1984—），男，寧夏賀蘭人，工程師，主要研究方向為通信系統與網絡設計。