網絡安全防御突破模擬技術的應用研究

摘要：隨著我國網絡安全防護措施的不斷完善，網絡安全防護水平進一步提高。然而，與信息技術創新和發展相關的安全威脅與傳統安全問題交織在一起，使得網絡空間安全問題日益復雜和隱蔽，網絡安全風險越來越大，各類網絡攻擊事件層出不窮。針對國內各行業組織機構頻繁被黑客攻破導致多年信息安全投入失效的問題，文章論述了入侵與攻擊模擬技術的原理，分析了該技術在各行業組織機構日常網絡安全運營的技術應用場景，闡述了該技術在日常網絡安全運營中的經濟價值，具有現實推廣意義。

關鍵詞：入侵與攻擊模擬技術；網絡信息安全；網絡安全防御；解決方案

中圖分類號：TP393.08 文獻標志碼：A

0 引言

近年來，我國移動互聯網惡意程序數量快速增長，針對境內網站的攻擊事件頻繁發生，互聯智能設備被惡意控制并用于發起大流量分布式拒絕服務攻擊現象日益嚴重，網站數據和個人信息泄露造成的危害不斷擴大，欺詐勒索軟件在互聯網上肆虐，具有國家背景的黑客組織發起的APT攻擊直接威脅國家的安全穩定。上述現象不禁讓人反思：近些年大規模投入購置網絡安全產品建立起來的網絡安全防御體系是否有效，如何檢驗網絡安全防御體系效果，如何提升網絡安全日常運營的人機功效。

1 網絡安全現狀與挑戰

1.1 網絡安全現狀

網絡安全問題一直伴隨著互聯網的發展，尤其是云計算、5G、IoT、大數據、AI技術的飛速發展，使信息化越來越影響和改變世界形態。社會的網絡化、資產的數據化、國與國之間網絡邊界的模糊化，使網絡安全的重要性越來越突出。隨著網絡攻擊行為的組織化、智能化、隱蔽化，網絡安全風險越來越大，安全威脅滲透到政治、經濟、文化、社會、生態、國防等多領域中［1］。近年來，網絡空間的攻擊變得越來越復雜。網絡風險的升級，讓政府、企業和個人都對該風險愈加關注。企業面臨的網絡風險或者網絡威脅主要有網站入侵、網頁內容篡改、數據泄露、網絡勒索、分布式拒絕服務攻擊等多種形式的攻擊。隨著攻擊者的技術水平不斷提升，政企用戶暴露的弱點、漏洞等被攻擊面越來越多元化，攻擊手段由簡單的口令拆解、竊聽等向更為復雜的0day漏洞利用和APT攻擊演變，使得網絡信息安全問題日益突出。人工智能技術的快速融入使得新一代高級網絡攻擊技術變得更加隱蔽、狡猾和復雜，傳統安全工具和解決方案之間缺乏聯系，事件分類和調查過程存在孤島問題，導致大多數安全分析人員的事件關聯和攻擊觀點存在局限性，這給攻擊者隱藏自己提供了很好的機會。網絡安全形勢日益嚴峻，網絡攻擊的破壞性和威脅性持續增加，攻擊的針對性、持續性、隱蔽性顯著增強，增加了網絡安全防護難度。

1.2 面臨的問題與風險

面對日益復雜的網絡環境和無休止的網絡攻擊，對海量數據分析、主動安全防御、便捷高效的安全工作的需求日益增加，安全操作市場逐漸增多，現有的安全產品本身已不能滿足現代的保護需求。現有的安全產品主要存在效率低、不專業、成本高3個方面的問題。主要表現在2個方面。

1.2.1 缺乏對安全產品防護能力的評估

傳統安全建設一般是以經驗模型為指導，組織機構的防護建設基本依賴于安全設備，對安全建設缺乏體系性的評估手段，組織機構經過多年信息化投入建設也部署了大量的安全防護設備，但是真正遭受攻擊時，現有安全防護體系是否有效，是否防得住，對攻擊方式方法的檢測和防護是否全面有效，安全運維是否能高效響應，應該購買何種設備產品以完善防御能力，應該采取何種防御策略優化，這些問題都亟待解決。

1.2.2 缺乏常態化實戰演習

網絡威脅愈演愈烈，傳統以合規為導向的被動防護已無法應對當前各種各樣的攻擊。對于已知、未知威脅最好的防御能力評估就是實戰攻防演練，同時政策層面也明確提出實戰攻防演練要求。但目前大部分工作還依賴于人的經驗，同時只能是偶爾進行，無法做到自動化持續性評估，本質上安全能力提升非常有限。

2 入侵與攻擊模擬技術原理

2.1 入侵檢測技術定義

入侵檢測源于傳統的系統審計，從20世紀80年代初期提出的理論雛形到實現產品化的今天已經有近40年的歷史。作為一項主動的網絡安全技術，它能夠檢測未授權對象（用戶或進程）針對系統（主機或網絡）的入侵行為，監控授權對象對系統資源的非法使用，記錄并保存相關行為證據，可根據配置要求在特定情況下采取必要的響應措施（警報、檢測入侵、防御反擊等）。所有能夠執行入侵檢測任務和實現入侵檢測功能的系統都可以稱為入侵檢測系統（Intrusion Detection System，IDS），其中包括軟件系統或軟硬件結合系統。入侵檢測系統自動監視出現在計算機或網絡系統中的事件并分析這些事件，以判斷是否有入侵事件發生。入侵檢測系統一般位于網絡的入口處，安裝在防火墻的后面，用于檢測外部入侵者的入侵和內部用戶的非法活動。

2.2 攻擊模擬技術定義

攻擊模擬技術是一種用于評估網絡、系統或應用程序安全性的方法。它模擬了真實的攻擊行為，幫助組織發現安全漏洞并加以修復。以下是攻擊模擬技術的一些關鍵方面。

2.2.1 模擬真實攻擊者行為

攻擊模擬工具會嘗試模擬真實黑客或惡意用戶的行為，例如嘗試暴力破解密碼、利用已知的漏洞進行入侵、發送釣魚郵件等。

2.2.2 發現潛在漏洞

攻擊模擬可以幫助組織識別其系統、網絡或應用程序中的潛在漏洞和弱點，從而及時采取措施加以修復。

2.2.3 評估安全防御措施

通過模擬攻擊，組織可以評估其安全防御措施的有效性，包括防火墻、入侵檢測系統、反病毒軟件等，以確定是否須要進一步改進安全策略。

2.2.4 提供培訓和意識教育

攻擊模擬還可以用于培訓員工如何識別和應對網絡攻擊，提高員工的網絡安全意識和技能。

2.2.5 滿足合規性要求

許多行業標準和法規要求組織對其信息系統進行定期的安全評估和測試，攻擊模擬能滿足這些要求。

攻擊模擬技術在幫助組織提高網絡安全水平方面起著關鍵作用，但使用時須要確保在合法和道德的框架內進行，以避免對他人造成損害。

2.3 入侵與攻擊模擬技術定義

入侵與攻擊模擬（Breach and Attack Simulation， BAS）技術通過自動化模擬外部和內部、橫向移動和數據泄露等威脅向量，使組織機構更好地了解其安全薄弱點。自動化入侵和攻擊模擬工具是人工滲透測試演習的有效替代方案，通過持續對IT基礎設施實行滲透測試幫助組織機構改善安全狀況。針對特定類型的法規和環境，BAS技術范圍涵蓋多種形式、測試方法和部署方式。

2.4 入侵與攻擊模擬技術實現原理

步驟1，外部入侵攻擊模擬：外網攻擊者探針向隔離區（Demilitarized Zone， DMZ）評估探針發送攻擊模擬，評估網絡邊界安全風險。

步驟2，內網橫移攻擊模擬：DMZ評估探針向內網評估探針發送攻擊模擬，評估內網區域安全風險。

步驟3，主機端攻擊模擬：內網評估探針發送主機攻擊模擬，評估主機安全產品防護/檢測風險。

攻擊探針：內置多種攻擊工具、攻擊腳本及攻擊特征庫，可通過安全驗證平臺下發自動攻擊模擬任務。通常部署在需要網絡出口或測試評估的設備前端。

評估探針：內置攻擊特征庫。通常部署在網絡內部或需要測試評估的設備后端。

檢驗原理：攻擊探針向評估探針發送一個帶有攻擊特征的模擬攻擊數據包，評估探針接到數據包后會進行特定回包，如果攻擊探針接收到該回包，則認為攻擊探針與評估探針間的安全設備沒有進行攔截或阻斷。同時，模擬攻擊數據包還會預設相關識別特征，檢測設備采集到的對應數據包之后，將對應的告警日志發送至管理平臺，平臺通過比對報文中是否有預設識別特征，判斷旁路檢測類設備是否檢測到模擬攻擊數據包。安全驗證平臺利用BAS技術對當前網絡環境進行自動化的模擬攻擊，驗證當前網絡的安全防御能力、安全檢測能力并提供安全能力的可視化度量。以防御者的視角，通過高級威脅情報及最新攻擊用例輸入，采用攻擊模擬的方式，配合一定的實戰手段，對安全防護設備逐項進行細顆粒度安全能力評估與優化，打通事件流程，完善相應防護措施。

3 入侵與攻擊模擬技術場景應用

3.1 自動攻擊模擬場景

自動攻擊模擬場景利用BAS技術，通過指定攻擊模擬的起點和目標，自動計算攻擊模擬可行路徑，依據攻擊模板進行路徑攻擊模擬演練。針對攻擊模擬路徑失陷情況，借助Cyber Kill Chain模型［2］，結合ATTamp;CK的威脅分析框架，動態調整攻擊模擬路徑和相鄰目標，記錄攻擊模擬狀態，完整呈現自動攻擊模擬場景，為安全加固提供詳細技術依據。

3.2 攻擊有效性分析場景

攻擊有效性分析場景是指針對終端或網絡場景下的攻擊模擬過程是否能完成，形成有效評估。攻擊有效性分析側重于攻擊過程的分析，從側面驗證防御系統是否能防御相應的攻擊工具或手段。攻擊有效性分析支持對攻擊過程的詳細展示和交互過程阻斷位置展示，方便對防御系統的阻斷有效性進行評估。

3.3 防御有效性分析場景

防御有效性分析場景是指針對終端或網絡場景下的防御模擬過程，相應的防護體系產品是否能真實有效地檢測或防護。防御有效性評估側重于對防護設備和運營體系的有效性分析評估，通過對防護體系的檢測和防御日志的對比分析，從正面驗證防護體系是否能檢測并防御相應的攻擊。防御有效性分析場景支持對MTTD和MTTR評估［3］，實現對攻擊首次入侵時間到發現時間的評估（潛伏時間）和檢測從相應攻擊事件到組織機構采取遏制措施的時間，從而全面量化評估安全防護體系的有效性。

3.4 網絡防護體系評估場景

網絡防護體系評估場景是利用BAS技術通過評估節點部署，對網絡內的網絡防護/檢測系統（如：網絡入侵檢測系統、網絡入侵防御系統、Web應用防護系統、網絡防火墻、全流量安全分析系統、端點檢測與響應系統等）進行檢測和防御的有效性評估［4］。通過評估節點間的攻擊模擬演練評估節點通信間的網絡檢測和防御設備是否能檢測或防御相應的攻擊手段。

3.5 邊界安全防御評估場景

邊界安全防御評估場景主要針對從互聯網發起的，組織機構外網Web應用程序的北南向攻擊，例如SQL注入、XSS、Webshell上傳等［5］。邊界網絡常見的安全場景包括網站模擬攻擊、網絡遠程漏洞模擬攻擊、黑客工具模擬攻擊等［6］，基于不同攻擊方法與攻擊級別，評測邊界網絡安全設備的安全能力。網絡防御體系安全評估場景通過對節點部署設計不同位置，可以評估包含網絡邊界安全、內網安全、隔離交換安全、無線網絡安全等場景。

3.6 終端安全防御評估場景

終端安全防御評估場景是指利用BAS技術，對終端類防護軟件的防護能力進行評估。具體原理是通過終端Agent部署到終端節點上，模擬攻擊終端設備，包括對本地操作、攻擊的防御有效性。模擬操作、攻擊手段包括程序執行、權限提升、進程操作、憑證訪問、信息收集、文件操作、病毒下載、挖礦模擬、郵件發送等［7］，檢查終端的檢測防護軟件是否可以防御和檢測惡意軟件和基于行為的攻擊。模擬測試終端對本地操作、攻擊的防御有效性。

3.7 網絡防御綜合安全評估場景

通過端到端的高級威脅模擬，可靈活構建從外到內的完整攻擊鏈，從而檢測整個安全防御體系能力，同時網絡防御體系安全評估通過對節點的部署位置不同，可以達到逐層遞進的攻擊模擬效果。

3.8 容器安全評估場景

具備針對容器環境可利用漏洞驗證能力，包括編排工具自身漏洞、編排組件配置漏洞、在運行容器最新漏洞、鏡像倉庫漏洞、微服務治理框架漏洞、宿主機漏洞的驗證能力。同時具備運行時容器安全監控能力驗證功能，包括容器內反彈shell、容器內惡意行為、容器逃逸行為、宿主機敏感命令等運行時容器安全風險驗證［8］。

3.9 漏洞利用驗證評估場景

利用概念驗證（Proof of Concept， POC）方式來驗證漏洞的可利用性，相對傳統漏洞掃描提高了檢測準確性，著重驗證漏洞的可利用性，對漏洞修復優先級更具有指導意義。

該方式提供了多個漏洞利用的驗證場景，每個驗證場景下都包含相應的漏洞POC。這些漏洞POC覆蓋了安全設備、Web應用、操作系統、編程語言框架、Web中間件、數據庫和其他軟件等的漏洞利用，還支持重大保障和最新熱點漏洞的檢測。

通過內置內容完整的漏洞庫，基于國內外主流的漏洞庫（CVE、CWE、NVD、CNVD、CNNVD）而構建。漏洞庫提供了可利用漏洞的詳細信息，包括漏洞描述、漏洞利用的連接、修復建議和相關的參考鏈接。

3.10 安全意識評估場景

企業員工防釣魚行為的安全意識評估能力，通過發送包含惡意鏈接和惡意附件的釣魚郵件給目標員工郵箱，監測并記錄員工的響應動作，評估員工安全意識。

其中，內置多種釣魚評估模板，包括企業OA類、護網主題、員工福利、商城福利、系統通知、第三方通知、熱點事件、其他行業等主題場景，保持持續更新。通過頁面展示與下載報告直觀展示安全意識評估結果，對員工安全意識風險進行量化打分，發現員工安全意識及防范中存在的問題。

4 入侵與攻擊模擬技術應用價值

4.1 全面梳理安全防御體系化建設成果

BAS技術有效結合自動化工具及服務流程，幫助組織機構全面梳理安全防御體系化建設。通過“工具+服務”的安全驗證方式，幫助組織機構全面、系統地梳理現有安全設備的防護能力圖譜，摸清自身真實安全能力底數。通過自動化路徑，高效實現對安全防御體系所有組件的策略驗證。

BAS技術將攻擊鏈模型、ATTamp;CK模型、威脅知識圖融入攻擊模擬中，通過基于真實資產脆弱性的評估節點模擬，確保不會對業務系統造成影響，同時又能模擬出真實有效的攻擊行為以及持續化的攻擊場景測試和周期策略配置，持續驗證實戰中常見的安全問題、可視化度量安全防御效果，讓安全價值看得見，防御風險看得見。

4.2 全面提升安全運營檢測能力準確性

充分驗證安全設備策略的有效性，全面提升安全運營檢測的準確性。為組織機構的日常安全運營檢測掃清視野盲區，實現組織機構日常安全運營的降本增效。通過定期、常態化的安全驗證工作，結合攻防演練等攻防實戰經驗，幫助組織機構切實提升日常安全運營的檢測能力。

BAS技術可以做到攻擊模擬多維能力統一覆蓋、網絡安全體系下的防御統籌、管理端與評估節點統一化管理。系統能夠全時段自動化驗證并滿足所有安全防護建設需求，幫助組織機構以實戰化、自動化的方式持續驗證、評估量化防護能力并持續調優，真正做到方便運維，提升整體安全運營效率。適應威脅變化，為組織機構的安全投資建設、安全防御體系優化等提供技術決策支撐。

4.3 全面提升安全運營團隊攻防實戰能力

結合攻防演練等攻防對抗實踐、ATTamp;CK戰術，全面提升安全運營團隊攻防實戰能力。通過安全模擬驗證的用例及劇本，幫助組織機構安全運營團隊了解最新攻擊手法及實戰防御策略，大幅提升實戰能力。通過自動化進行安全驗證，可大幅提升安全驗證效率，降低安全驗證門檻。BAS技術基于對模擬攻擊的響應結果分析或者基于安全設備防護日志的分析，提供全面的安全防護能力量化與畫像，包含對模擬攻擊的檢出率、阻斷率、誤報率、失敗率、響應時間等，精準定位組織機構安全防御短板，幫助組織機構明確實戰改進方向，主動地、有針對性地做出合理改進，持續提升組織機構的安全防護能力。

5 結語

入侵和攻擊模擬技術使組織機構能夠持續不斷地模擬針對IT資產的多種攻擊載體，可以自動發現組織網絡防御中的漏洞，類似于連續、自動地滲透測試，是一種相對較新的IT安全技術，具有較高的市場應用價值。

參考文獻

［1］范淵.解密彩虹團隊非凡實戰能力：企業安全體系建設［M］.北京：電子工業出版社，2020.

［2］楊義先，鈕心忻.入侵檢測理論與技術［M］.北京：高等教育出版社，2006.

［3］楊東曉，熊瑛，車碧琛.入侵檢測與入侵防御［M］.北京：清華大學出版社，2020.

［4］顧健.高性能入侵檢測系統產品原理與應用［M］.北京：電子工業出版社，2017.

［5］苗春雨.網絡安全滲透測試［M］.杭州：電子工業出版社，2021.

［6］MS08067安全實驗室.Web安全攻防滲透測試實戰指南［M］.2版.北京：電子工業出版社，2020.

［7］李爽，張孟，嚴超，等.紅藍對抗-解密滲透測試與網絡安全建設［M］.上海：上海科學技術出版社，2022.

［8］石華耀，傅志紅.黑客攻防技術寶典-Web實戰篇［M］.2版.北京：人民郵電出版社，2012.

（編輯 沈 強編輯）

Research on application of network security defense breakthrough simulation technology

DU "Juan， WU "Xiaowei， LI "Jiayao

（Jiangsu Province High-tech Innovation Service Center， Nanjing 210008， China）

Abstract： With the continuous improvement of China’s network security protection measures， the level of network security protection has been further enhanced. However， security threats related to information technology innovation and development are intertwined with traditional security issues， making cyberspace security increasingly complex and covert. Greater cybersecurity risks are faced， and various types of cyber attacks are emerging one after another.In view of the problem that organizations of various industries in China are frequently breached by hackers， resulting in the failure of information security investment for many years， the article discusses the technical principle of intrusion and attack simulation technology， analyzes the technical application scenarios of the technology in the daily network security operation of organizations of various industries， and expounds the economic value of the technology in the daily network security operation， which has practical promotion significance.

Key words： intrusion and attack simulation technology; network information security; network security defense; solutions