網(wǎng)絡(luò)空間攻防對(duì)抗技術(shù)及其系統(tǒng)實(shí)現(xiàn)方案*

雷 璟

(中國電子科學(xué)研究院,北京100041)

網(wǎng)絡(luò)空間攻防對(duì)抗技術(shù)及其系統(tǒng)實(shí)現(xiàn)方案*

雷 璟**

(中國電子科學(xué)研究院,北京100041)

在分析網(wǎng)絡(luò)空間及對(duì)抗特點(diǎn)的基礎(chǔ)上,討論了網(wǎng)絡(luò)空間攻防對(duì)抗的主要技術(shù),即攻防博弈理論、網(wǎng)絡(luò)攻擊行為分析、網(wǎng)絡(luò)攻擊追蹤和網(wǎng)絡(luò)主動(dòng)防御技術(shù)。提出了網(wǎng)絡(luò)空間攻防對(duì)抗系統(tǒng)的實(shí)現(xiàn)方案,并分析了其可行性。此技術(shù)和系統(tǒng)能夠?yàn)槲覈W(wǎng)絡(luò)空間安全技術(shù)體系發(fā)展提供技術(shù)支撐,保障我國網(wǎng)絡(luò)空間安全,推動(dòng)我國網(wǎng)絡(luò)空間安全產(chǎn)業(yè)的發(fā)展,對(duì)加快我國自主可控安全產(chǎn)品研發(fā)和核心技術(shù)發(fā)展具有重要作用和意義。

網(wǎng)絡(luò)空間;攻防對(duì)抗;攻擊追蹤;主動(dòng)防御

1 引 言

網(wǎng)絡(luò)空間是繼陸、海、空、天領(lǐng)域之后的第五維空間,它是“以自然存在的電磁能為載體,人工網(wǎng)絡(luò)為平臺(tái),信息控制為目的的空間”[1]。網(wǎng)絡(luò)空間包括電子系統(tǒng)、計(jì)算機(jī)、通信網(wǎng)絡(luò)和其他信息基礎(chǔ)設(shè)施,通過對(duì)“信息”的產(chǎn)生、存儲(chǔ)、修改、交換和利用,實(shí)現(xiàn)對(duì)物理實(shí)體的實(shí)時(shí)控制,以及影響人的認(rèn)知活動(dòng)和社會(huì)行為。

網(wǎng)絡(luò)空間已經(jīng)成為國家最重要的基礎(chǔ)設(shè)施,網(wǎng)絡(luò)空間對(duì)抗就成為保衛(wèi)國家安全的重要使命[2]。美國正在利用其信息優(yōu)勢(shì)發(fā)展全球信息霸權(quán)地位,尤其在網(wǎng)絡(luò)空間安全的“攻擊”態(tài)勢(shì)明顯,推出了震網(wǎng)、火焰、舒特等典型的網(wǎng)絡(luò)攻擊武器。俄羅斯、日本、英國、以色列等國家也紛紛制定了各自的網(wǎng)絡(luò)空間安全戰(zhàn)略,組建了網(wǎng)絡(luò)戰(zhàn)隊(duì)伍,研發(fā)各類網(wǎng)絡(luò)攻擊武器,加快籌備隨時(shí)可能會(huì)來臨的“網(wǎng)絡(luò)空間戰(zhàn)”。

我國在網(wǎng)絡(luò)空間安全領(lǐng)域已經(jīng)建立了分級(jí)保護(hù)體系和信息安全等級(jí)保護(hù)體系。在網(wǎng)絡(luò)空間對(duì)抗方面,也形成了一些軍用和民用的攻防對(duì)抗試驗(yàn)床和試驗(yàn)環(huán)境。但是由于我國自主可控的基礎(chǔ)產(chǎn)品、核心信息技術(shù)、各種基礎(chǔ)軟件和應(yīng)用軟件都比較缺乏,從應(yīng)對(duì)威脅能力的角度來說,還不足以應(yīng)對(duì)大型跨國集團(tuán)、國家之間的對(duì)抗,對(duì)比網(wǎng)絡(luò)空間霸權(quán)國家,基本處于“非對(duì)稱”的狀態(tài)。中國要想長久地保證國家安全、社會(huì)穩(wěn)定與經(jīng)濟(jì)發(fā)展,就必然要能確保自己的網(wǎng)絡(luò)空間安全,否則其他事情一切免談[3]。

本文分析了網(wǎng)絡(luò)空間以及網(wǎng)絡(luò)空間對(duì)抗的特點(diǎn),對(duì)網(wǎng)絡(luò)空間攻防對(duì)抗主要技術(shù)進(jìn)行了分析研究,提出了網(wǎng)絡(luò)空間攻防對(duì)抗系統(tǒng)的具體實(shí)現(xiàn),為我國網(wǎng)絡(luò)空間安全體系建設(shè)提供技術(shù)支撐,保障我們國家的網(wǎng)絡(luò)空間安全,保衛(wèi)國家核心利益。

2 網(wǎng)絡(luò)空間及對(duì)抗特點(diǎn)

2.1 網(wǎng)絡(luò)空間特點(diǎn)

網(wǎng)絡(luò)空間是第五維作戰(zhàn)空間和事關(guān)國家利益的重要領(lǐng)域,受到世界各國的重視,推動(dòng)了信息戰(zhàn)新思想、新概念、新戰(zhàn)法、新技術(shù)的不斷涌現(xiàn),網(wǎng)絡(luò)空間具有融合性、隱蔽性、無界性、高速性等特點(diǎn)。

(1)融合性

網(wǎng)絡(luò)空間強(qiáng)調(diào)信息系統(tǒng)和物理系統(tǒng)的深度融合,需要實(shí)現(xiàn)計(jì)算過程、信息過程和物理過程的高度集成。

(2)隱蔽性

網(wǎng)絡(luò)空間是變化莫測(cè)的,無論是進(jìn)攻還是防御都可在對(duì)方毫無預(yù)兆的情況下進(jìn)行,達(dá)到網(wǎng)絡(luò)空間作戰(zhàn)效果。

(3)無界性

網(wǎng)絡(luò)空間沒有地理界限和自然界限,網(wǎng)絡(luò)空間作戰(zhàn)能夠在任何地方發(fā)生,超越規(guī)定的組織和地理界限,可以跨越陸、海、空、天領(lǐng)域,進(jìn)行全域作戰(zhàn)。

(4)高速性

信息在網(wǎng)絡(luò)空間的移動(dòng)速度接近光速,利用這種高質(zhì)量的信息移動(dòng)速度能夠使作戰(zhàn)效能倍增。

2.2 網(wǎng)絡(luò)空間對(duì)抗特點(diǎn)

基于以上網(wǎng)絡(luò)空間具備的特點(diǎn),網(wǎng)絡(luò)空間主流的對(duì)抗方式具備廣維度、多目標(biāo)、高烈度、短猝發(fā)等特點(diǎn),為信息安全防護(hù)帶來了極大的復(fù)雜性和不確定性。我們面臨的挑戰(zhàn)是如何提高網(wǎng)絡(luò)的健壯性來防止那些蓄謀已久的攻擊[4]。具體網(wǎng)絡(luò)空間對(duì)抗特點(diǎn)如下所述。

(1)廣維度

網(wǎng)絡(luò)空間對(duì)抗結(jié)合網(wǎng)絡(luò)戰(zhàn)與心理戰(zhàn),可以在物理域、邏輯域、認(rèn)知域?qū)嵤?形成監(jiān)控網(wǎng)絡(luò)、欺騙網(wǎng)絡(luò)、癱瘓網(wǎng)絡(luò)和控制網(wǎng)絡(luò)的巨大威力。

(2)多目標(biāo)

網(wǎng)絡(luò)空間對(duì)抗的目標(biāo)不僅包括軍事領(lǐng)域,還涵蓋政治、經(jīng)濟(jì)、社會(huì)等領(lǐng)域,甚至囊括了敵方的軍用信息網(wǎng)絡(luò)、關(guān)系到國計(jì)民生的信息基礎(chǔ)設(shè)施。

(3)高烈度

網(wǎng)絡(luò)空間對(duì)抗帶來的后果可能直接引發(fā)嚴(yán)重的現(xiàn)實(shí)空間損害,同時(shí)網(wǎng)絡(luò)空間與人認(rèn)知交互的復(fù)雜性,使得網(wǎng)絡(luò)空間對(duì)抗對(duì)社會(huì)活動(dòng)的影響面更大,影響更快速,影響途徑更加復(fù)雜,引發(fā)的后果更加嚴(yán)重,甚至直接威脅國家安全和社會(huì)穩(wěn)定。

(4)短猝發(fā)

網(wǎng)絡(luò)攻擊效果不受時(shí)間和距離的影響,并具有瞬間到達(dá)的特性。當(dāng)一方成功地對(duì)另一方的網(wǎng)絡(luò)實(shí)施攻擊后,就會(huì)對(duì)其社會(huì)、政治、經(jīng)濟(jì)、科技、軍事等系統(tǒng)造成極大的破壞,使整個(gè)網(wǎng)絡(luò)作戰(zhàn)態(tài)勢(shì)發(fā)生急劇的變化。但整個(gè)網(wǎng)絡(luò)作戰(zhàn)過程卻往往會(huì)在很短的時(shí)間內(nèi)完成。

3 網(wǎng)絡(luò)空間攻防對(duì)抗主要技術(shù)

網(wǎng)絡(luò)空間攻防對(duì)抗通過配置網(wǎng)絡(luò)攻防對(duì)抗的虛擬試驗(yàn)環(huán)境,在虛擬的、高實(shí)時(shí)、強(qiáng)交互、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)處于高度不穩(wěn)定狀態(tài)的網(wǎng)絡(luò)環(huán)境中,對(duì)攻防博弈理論、基于過程的網(wǎng)絡(luò)攻擊行為分析技術(shù)、網(wǎng)絡(luò)攻擊追蹤技術(shù)、網(wǎng)絡(luò)主動(dòng)防御技術(shù)進(jìn)行研究,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御的模擬,再現(xiàn)攻擊者與防御者的博弈過程,最終用于評(píng)估被測(cè)網(wǎng)絡(luò)的可恢復(fù)性、靈活性和安全性。

美國在網(wǎng)絡(luò)空間安全的“攻擊”態(tài)勢(shì)明顯,經(jīng)常進(jìn)行網(wǎng)電空間戰(zhàn)演習(xí),即“網(wǎng)電風(fēng)暴”,以試驗(yàn)計(jì)算機(jī)網(wǎng)絡(luò)的防御能力[5]。俄羅斯、日本、英國、以色列等國網(wǎng)絡(luò)空間安全戰(zhàn)略明確。

3.1 攻防博弈理論

博弈論是一套策略選擇理論,為應(yīng)用數(shù)學(xué)的一個(gè)分支[6]。博弈論是研究智能的理性決策者之間沖突與合作的理論,而攻防本身就是一種沖突,攻擊與防御在方法和技術(shù)上的較量歸根到底是攻防雙方在決策上的博弈。通過建立和分析博弈模型能夠評(píng)價(jià)攻防雙方的既定策略,使得仿真平臺(tái)的評(píng)估不局限于有限次的仿真結(jié)果,而是基于攻防雙方的驅(qū)動(dòng)與能力,獲得縱深的策略集合甚至攻防均衡點(diǎn),使防御方能夠基于最小的代價(jià)獲得最大的安全收益,為網(wǎng)絡(luò)空間對(duì)抗驗(yàn)證提供理論依據(jù)。

美國在長期的網(wǎng)絡(luò)戰(zhàn)理論研究和實(shí)踐方面已經(jīng)初步形成了網(wǎng)絡(luò)戰(zhàn)攻防戰(zhàn)略理論,并出臺(tái)了一系列的網(wǎng)絡(luò)空間行動(dòng)戰(zhàn)略,統(tǒng)籌謀劃網(wǎng)絡(luò)空間攻防對(duì)抗策略。網(wǎng)絡(luò)已經(jīng)成為美國必不可少的用于擴(kuò)展美國價(jià)值和思想的工具,正如美國尋求政權(quán)擴(kuò)張一樣[7]。俄羅斯、日本、英國、以色列等國也制定了相應(yīng)的“國家網(wǎng)絡(luò)空間安全戰(zhàn)略”。

3.2 網(wǎng)絡(luò)攻擊行為分析技術(shù)

攻擊行為是測(cè)試系統(tǒng)脆弱性和風(fēng)險(xiǎn)的重要手段。從網(wǎng)絡(luò)攻擊操作流程來看,一次網(wǎng)絡(luò)攻擊行為主要由目標(biāo)分析和攻擊實(shí)施兩部分組成。此外,由于攻擊者和攻擊目的與網(wǎng)絡(luò)攻擊有著緊密的關(guān)聯(lián),在對(duì)目標(biāo)分析和攻擊實(shí)施進(jìn)行分析的同時(shí),也需要對(duì)攻擊者與攻擊目的分析。

網(wǎng)絡(luò)攻擊具有一系列的行為特征。攻擊者事先經(jīng)長期的準(zhǔn)備,然后在對(duì)目標(biāo)有了清楚的了解之后,再通過各種方法隱藏自己的訪問路徑、所訪問內(nèi)容,盡力潛藏于目標(biāo)系統(tǒng)中。網(wǎng)絡(luò)入侵首先明確攻擊的目的,然后尋找漏洞作為突破點(diǎn),進(jìn)而逐步擴(kuò)大訪問權(quán)限,直至獲得最高控制權(quán)限。圖1描述了一種漸進(jìn)式攻擊行為。

圖1 漸進(jìn)式攻擊行為示意圖Fig.1 The sketch map of asymptotic expression attack action

美國在網(wǎng)絡(luò)攻擊技術(shù)與武器發(fā)展方面,除了大力發(fā)展惡意代碼、網(wǎng)絡(luò)欺騙以及分布式拒絕服務(wù)攻擊等常規(guī)網(wǎng)絡(luò)攻擊武器以外,具有綜合性和定向性的新型網(wǎng)絡(luò)攻擊武器成為其發(fā)展的重點(diǎn)。以色列也開始加大對(duì)網(wǎng)絡(luò)作戰(zhàn)的研究力度。

3.3 網(wǎng)絡(luò)攻擊追蹤技術(shù)

攻擊追蹤的最終目標(biāo)是能夠定位攻擊源的位置,推斷出攻擊報(bào)文在網(wǎng)絡(luò)中的穿行路線,從而為入侵檢測(cè)系統(tǒng)的事件處理、入侵響應(yīng)決策提供有價(jià)值的信息,協(xié)助找到攻擊者。同時(shí)也為網(wǎng)絡(luò)安全管理員提供情報(bào),指導(dǎo)他們關(guān)注入侵行為頻繁發(fā)生的網(wǎng)段,采取必要的預(yù)防措施,以及及時(shí)發(fā)現(xiàn)成為入侵者“跳板”的主機(jī)或路由器。對(duì)于網(wǎng)絡(luò)黑客而言,成熟有效的追蹤技術(shù)對(duì)他們也有威懾作用,迫使他們?yōu)榱朔乐贡蛔粉櫟蕉鴾p少甚至停止攻擊行為。

攻擊追蹤按照?qǐng)D1描述的漸進(jìn)式攻擊層次來進(jìn)行監(jiān)測(cè),通過入侵檢測(cè)系統(tǒng)和在網(wǎng)絡(luò)中布設(shè)的信號(hào)采集、分析節(jié)點(diǎn)如網(wǎng)絡(luò)協(xié)議分析儀、網(wǎng)絡(luò)信道檢測(cè)等設(shè)備,結(jié)合操作系統(tǒng)、防火墻的日志記錄,對(duì)攻擊者進(jìn)行識(shí)別、鎖定,分析攻擊者采取了哪個(gè)層次的攻擊,進(jìn)一步判斷其下一步可能采取的攻擊行為,以便在其可能發(fā)起攻擊的目標(biāo)上事先做好安全防范和更細(xì)致的監(jiān)測(cè)記錄,如記錄系統(tǒng)所有進(jìn)程、文件的創(chuàng)建、訪問和網(wǎng)絡(luò)通信數(shù)據(jù)。系統(tǒng)通過監(jiān)視網(wǎng)絡(luò)中的報(bào)文,實(shí)時(shí)發(fā)現(xiàn)攻擊和非法攻擊行為,提供報(bào)警信息,與防火墻系統(tǒng)聯(lián)動(dòng),對(duì)攻擊和非法攻擊行為進(jìn)行及時(shí)的阻斷。

俄羅斯已經(jīng)擁有了眾多的網(wǎng)絡(luò)精英,在追蹤網(wǎng)絡(luò)攻擊行為與反病毒技術(shù)方面更是走在了世界的前列。英國也提出了針對(duì)性及操作性都很強(qiáng)的應(yīng)對(duì)網(wǎng)絡(luò)空間攻擊和破壞的有效措施。

3.4 網(wǎng)絡(luò)主動(dòng)防御技術(shù)

主動(dòng)防御技術(shù)是一種新的對(duì)抗網(wǎng)絡(luò)攻擊的技術(shù),也是當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域新興的一個(gè)熱點(diǎn)技術(shù)[8]。主動(dòng)防御是指能夠?qū)暨M(jìn)行控制和反擊,動(dòng)態(tài)地對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行操作;其特點(diǎn)是能夠采取有效的措施避免攻擊對(duì)系統(tǒng)的破壞,拖住攻擊者,偵測(cè)或反擊攻擊行為;它的中心思想是控制和反擊。網(wǎng)絡(luò)主動(dòng)防御不但對(duì)信息系統(tǒng)網(wǎng)絡(luò)進(jìn)行保護(hù),同時(shí)對(duì)惡意進(jìn)攻進(jìn)行記錄,為必要時(shí)進(jìn)行反擊提供信息。

主動(dòng)防御技術(shù)根據(jù)使用技術(shù)的不同分為初級(jí)方式的主動(dòng)防御、中級(jí)方式的主動(dòng)防御和高級(jí)方式的主動(dòng)防御技術(shù)三類。初級(jí)方式的主動(dòng)防御技術(shù)可以采用隱患掃描等技術(shù)。中級(jí)方式的主動(dòng)防御技術(shù)可以采用聯(lián)動(dòng)防火墻等技術(shù),如與防病毒、入侵檢測(cè)、日志處理實(shí)現(xiàn)聯(lián)動(dòng)。高級(jí)方式的主動(dòng)防御技術(shù)可以采用取證、入侵誘騙、自動(dòng)恢復(fù)、主動(dòng)響應(yīng)等技術(shù)。

美國在安全防護(hù)體系方面形成了縱深防御信息安全保障框架、PDRR動(dòng)態(tài)防御模型,以及國防核心安全服務(wù)框架等典型成果。日本設(shè)置了專門的“網(wǎng)絡(luò)空間安全衛(wèi)隊(duì)”,以應(yīng)對(duì)網(wǎng)絡(luò)攻擊。

4 網(wǎng)絡(luò)空間攻防對(duì)抗系統(tǒng)實(shí)現(xiàn)

網(wǎng)絡(luò)空間攻防對(duì)抗系統(tǒng)由網(wǎng)絡(luò)防御模塊、網(wǎng)絡(luò)攻擊模塊、攻擊追蹤與主動(dòng)防御模塊3個(gè)部分組成。網(wǎng)絡(luò)防御模塊實(shí)現(xiàn)對(duì)系統(tǒng)進(jìn)行保護(hù),同時(shí)對(duì)惡意進(jìn)攻進(jìn)行記錄,為必要時(shí)進(jìn)行反擊提供信息。網(wǎng)絡(luò)攻擊模塊通過對(duì)網(wǎng)絡(luò)防御模塊進(jìn)行探測(cè)、掃描的信息進(jìn)行分析,利用對(duì)方系統(tǒng)開放的相關(guān)服務(wù)及存在的漏洞,根據(jù)攻擊庫相應(yīng)攻擊策略進(jìn)行有針對(duì)性的攻擊并報(bào)告攻擊進(jìn)展情況。攻擊追蹤與主動(dòng)防御模塊依托網(wǎng)絡(luò)防御模塊和網(wǎng)絡(luò)攻擊模塊對(duì)實(shí)施的各種攻擊行為進(jìn)行追蹤,通過追蹤攻擊來源、推測(cè)攻擊目的來建立攻擊行為規(guī)則,從而識(shí)別出所采取的攻擊手段,在入侵網(wǎng)絡(luò)進(jìn)入系統(tǒng)內(nèi)部時(shí)進(jìn)行主動(dòng)防衛(wèi),阻止入侵?jǐn)?shù)據(jù)的傳輸,從而抵制入侵者的入侵,這種機(jī)制就稱為主動(dòng)防御[9]。

4.1 網(wǎng)絡(luò)防御模塊

防御子系統(tǒng)從網(wǎng)絡(luò)結(jié)構(gòu)、操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)、人員5個(gè)方面進(jìn)行全面防御,并利用網(wǎng)絡(luò)入侵檢測(cè)和網(wǎng)絡(luò)入侵欺騙進(jìn)行積極防御。

防御子系統(tǒng)的功能框圖如圖2所示。

圖2 防御子系統(tǒng)功能框圖Fig.2 The functional framework of defense subsystem

4.2 網(wǎng)絡(luò)攻擊模塊

攻擊子系統(tǒng)從信息收集、網(wǎng)絡(luò)偵察、實(shí)施攻擊、攻擊后處理到攻擊效果評(píng)估來實(shí)現(xiàn)整個(gè)攻擊過程,具體攻擊過程如下所述。

(1)信息收集:信息收集是一個(gè)綜合過程,包括使用者信息、網(wǎng)絡(luò)開放時(shí)間等信息采集功能。

(2)網(wǎng)絡(luò)偵察:網(wǎng)絡(luò)偵查是指在對(duì)目標(biāo)進(jìn)行全面了解的基礎(chǔ)上,使用一定的技術(shù)手段和策略,依托智能攻擊庫支持,確定攻擊目標(biāo)的攻擊點(diǎn),生成網(wǎng)絡(luò)攻擊方案,為攻擊做好準(zhǔn)備。

(3)實(shí)施攻擊:使用系統(tǒng)集成的工具包,按照生成攻擊方案實(shí)施網(wǎng)絡(luò)攻擊,攻擊目標(biāo)包括使目標(biāo)不能有效工作、獲取目標(biāo)有價(jià)值數(shù)據(jù)、破壞目標(biāo)有價(jià)值數(shù)據(jù)、控制目標(biāo)部分或全部功能等多種效果。

(4)攻擊后處理:實(shí)現(xiàn)消除痕跡、再次攻擊、間接攻擊等。

(5)效果評(píng)估:實(shí)現(xiàn)系統(tǒng)攻擊效果自動(dòng)評(píng)估功能。

攻擊子系統(tǒng)的功能框圖如圖3所示。

圖3 攻擊子系統(tǒng)功能框圖Fig.3 The functional framework of attack subsystem

4.3 攻擊追蹤與主動(dòng)防御模塊

攻擊追蹤與主動(dòng)防御模塊以攻防對(duì)抗網(wǎng)絡(luò)為依托,對(duì)網(wǎng)絡(luò)攻擊數(shù)據(jù)進(jìn)行采集,提取攻擊行為規(guī)則和相應(yīng)的特征碼為攻擊樣本庫提供數(shù)據(jù)源,采集到的攻擊數(shù)據(jù)將提交給攻擊行為識(shí)別子模塊,攻擊行為識(shí)別子模塊也將利用攻擊樣本庫對(duì)攻擊進(jìn)行識(shí)別,同時(shí)提交結(jié)果由攻擊行為預(yù)測(cè)子模塊來對(duì)下一步攻擊進(jìn)行預(yù)測(cè),以便為攻擊主動(dòng)防御提供支持,在攻擊的下一節(jié)點(diǎn)和方向進(jìn)行有目的地防范。攻擊追蹤與主動(dòng)防御模塊組成結(jié)構(gòu)圖如圖4所示。

圖4 攻擊追蹤與主動(dòng)防御模塊組成結(jié)構(gòu)圖Fig.4 The composition of attack tracing and active defense module

4.4 攻防對(duì)抗系統(tǒng)實(shí)現(xiàn)

攻防對(duì)抗系統(tǒng)實(shí)現(xiàn)集成各種網(wǎng)絡(luò)攻擊技術(shù)為一體的網(wǎng)絡(luò)攻擊系統(tǒng)和集成各類網(wǎng)絡(luò)防護(hù)技術(shù)為一體的網(wǎng)絡(luò)防御系統(tǒng)之間的對(duì)抗[10]。在虛擬的、動(dòng)態(tài)變化的網(wǎng)絡(luò)空間環(huán)境中的攻防對(duì)抗系統(tǒng)包括網(wǎng)絡(luò)防御模塊、網(wǎng)絡(luò)攻擊模塊和攻擊追蹤與主動(dòng)防御模塊。防御模塊提供各類網(wǎng)絡(luò)安全防護(hù)手段,對(duì)被保護(hù)的系統(tǒng)進(jìn)行防護(hù)。攻擊模塊提供多種攻擊工具,針對(duì)被攻擊的系統(tǒng)存在的漏洞和缺陷進(jìn)行攻擊。攻擊追蹤與主動(dòng)防御模塊在網(wǎng)絡(luò)防御模塊和網(wǎng)絡(luò)攻擊模塊的基礎(chǔ)上,監(jiān)測(cè)、記錄、分析網(wǎng)絡(luò)、主機(jī)、網(wǎng)絡(luò)設(shè)備狀態(tài)和日志,實(shí)現(xiàn)對(duì)入侵識(shí)別、追蹤,并確定適當(dāng)時(shí)機(jī)進(jìn)行反擊。

網(wǎng)絡(luò)空間環(huán)境中的攻防對(duì)抗系統(tǒng)實(shí)現(xiàn)示意圖如圖5所示。

圖5 網(wǎng)絡(luò)空間攻防對(duì)抗系統(tǒng)實(shí)現(xiàn)示意圖Fig.5 The sketch map of cyberspace attack and defense confrontation system realization

4.5 系統(tǒng)可行性例證

攻防對(duì)抗系統(tǒng)實(shí)現(xiàn)的關(guān)鍵是需要對(duì)網(wǎng)絡(luò)攻防博弈理論、攻擊建模、主動(dòng)防御等理論和技術(shù)進(jìn)行研究,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御的模擬,再現(xiàn)攻擊者與防御者的博弈過程。其中,網(wǎng)絡(luò)攻擊模塊需要實(shí)現(xiàn)對(duì)典型網(wǎng)絡(luò)攻擊手段和攻擊效果的模擬,可提供模擬入侵攻擊、流量攻擊、病毒攻擊等攻擊手段的工具集。網(wǎng)絡(luò)防御模塊需要實(shí)現(xiàn)對(duì)典型網(wǎng)絡(luò)防御手段和防護(hù)效果的模擬,可提供模擬網(wǎng)絡(luò)入侵檢測(cè)、防病毒網(wǎng)關(guān)等防御手段的工具集。

目前,攻防對(duì)抗系統(tǒng)已經(jīng)在實(shí)驗(yàn)室通過現(xiàn)實(shí)、仿真相結(jié)合的方式,搭建了一個(gè)網(wǎng)絡(luò)攻防對(duì)抗演練平臺(tái),包括攻防軟件和攻防演練網(wǎng)站兩部分,實(shí)現(xiàn)了對(duì)各種網(wǎng)絡(luò)攻防手段進(jìn)行演練、測(cè)試與驗(yàn)證的功能。在網(wǎng)絡(luò)攻防對(duì)抗演練平臺(tái)中集成、開發(fā)了大量的網(wǎng)絡(luò)攻防工具,實(shí)現(xiàn)了多種特殊的攻擊方法,包括網(wǎng)絡(luò)掃描類、監(jiān)聽嗅探類、口令破解類和網(wǎng)絡(luò)攻擊類攻擊手段。攻防演練網(wǎng)站為網(wǎng)絡(luò)攻防演練搭建所需的網(wǎng)站環(huán)境,提供郵箱破解、論壇漏洞入侵、網(wǎng)頁木馬傳播和腳本破解等測(cè)試環(huán)境。攻擊方通過奪取網(wǎng)站的控制權(quán),并利用網(wǎng)站擴(kuò)散病毒、木馬來對(duì)被攻擊方實(shí)施攻擊。防御方則要對(duì)入侵進(jìn)行告警,追蹤其來源,并分析其后續(xù)破壞目標(biāo),從而啟動(dòng)防護(hù)系統(tǒng)。攻擊追蹤與主動(dòng)防御模塊通過追蹤攻擊來源、推測(cè)攻擊目的來建立攻擊行為規(guī)則,從而為防御設(shè)備對(duì)特殊攻擊的識(shí)別提供參數(shù)以便識(shí)別出所采取的攻擊手段。

5 結(jié)束語

本文針對(duì)網(wǎng)絡(luò)空間對(duì)抗的特點(diǎn),在攻防博弈理論研究的基礎(chǔ)上,通過網(wǎng)絡(luò)攻擊行為分析技術(shù)、網(wǎng)絡(luò)攻擊追蹤技術(shù)和網(wǎng)絡(luò)主動(dòng)防御技術(shù)而實(shí)現(xiàn)的網(wǎng)絡(luò)空間攻防對(duì)抗系統(tǒng),已經(jīng)列入我國網(wǎng)絡(luò)空間安全技術(shù)體系發(fā)展建議。同時(shí),該系統(tǒng)能夠模擬真實(shí)的網(wǎng)絡(luò)作戰(zhàn)環(huán)境,針對(duì)各種作戰(zhàn)手段進(jìn)行試驗(yàn),以實(shí)現(xiàn)網(wǎng)絡(luò)戰(zhàn)能力的重大變革,打贏網(wǎng)絡(luò)戰(zhàn)爭(zhēng),最終為保護(hù)國家網(wǎng)絡(luò)空間安全、保衛(wèi)國家核心利益提供有效的技術(shù)保障手段。下一步的工作重點(diǎn)是深入網(wǎng)絡(luò)空間安全技術(shù)體系研究和網(wǎng)絡(luò)攻擊、主動(dòng)防御等關(guān)鍵技術(shù)攻關(guān),研發(fā)攻防兼?zhèn)涞木W(wǎng)絡(luò)空間攻防對(duì)抗工具和系統(tǒng)。同時(shí)提高系統(tǒng)的攻防對(duì)抗試驗(yàn)與驗(yàn)證能力,提升對(duì)網(wǎng)絡(luò)空間攻防對(duì)抗機(jī)理與技術(shù)發(fā)展方向的認(rèn)知,支撐網(wǎng)絡(luò)空間對(duì)抗策略制定、技術(shù)驗(yàn)證和自主安全研發(fā),促進(jìn)我國由信息安全產(chǎn)業(yè)大國向信息安全產(chǎn)業(yè)強(qiáng)國轉(zhuǎn)型。

[1] 孫柏林.網(wǎng)絡(luò)空間病毒猖獗,工業(yè)安全形勢(shì)嚴(yán)峻[J].自動(dòng)化技術(shù)與應(yīng)用,2012,31(10):1-2. SUN Bo-lin.Cyberspace virus rampancy,industry security situation grimness[J].Techniques of Automation&Applications,2012,31(10):1-2.(in Chinese)

[2] 曲成義.網(wǎng)絡(luò)空間安全保密對(duì)抗態(tài)勢(shì)和應(yīng)對(duì)策略[J].保密科學(xué)技術(shù),2012(4):6-7. QU Cheng-yi.Cyberspace securityrivalry situation and reply policy[J].Secrecy Science and Technology,2012 (4):6-7.(in Chinese)

[3] 董淑英,林克成,鄭雨昊.物聯(lián)網(wǎng)與網(wǎng)絡(luò)空間安全[J].河北省科學(xué)院學(xué)報(bào),2011,28(3):81-82. DONG Shu-ying,LIN Ke-cheng,ZHENG Yu-hao.Internet of Things and cyberspace safety[J].Journal of the Hebei Academy of Sciences,2011,28(3):81-82. (in Chinese)

[4] Qu Zehui,Wang Pu,Song Chaoming,et al.Enhancement of scale-free network attack tolerance[J].Chinese Physics B,2010,19(11):110504-1.

[5] Clarke R A,Knake R K.網(wǎng)電空間戰(zhàn)[M].劉曉雯,陳茂賢,李博愷,等,譯.北京:國防工業(yè)出版社,2012:26-27. Clarke R A,Knake R K.Cyber War[M].Translated by LIU Xiao-wen,CHEN Mao-xian,LI Bo-kai,et al.Beijing:National Defense Industry Press,2012:26-27.(in Chinese)

[6] 牛通,田志宏.基于博弈論和網(wǎng)絡(luò)弱點(diǎn)分析的網(wǎng)絡(luò)主動(dòng)防御技術(shù)研究[J].智能計(jì)算機(jī)與應(yīng)用,2012,2(3): 57-58. NIU Tong,TIAN Zhi-hong.The Network Active Defense Research based on the Game Theory and the Analysis of Network Vulnerabilities[J].Intelligent Computer and Applications,2012,2(3):57-58.(in Chinese)

[7] Yi Wenli,Xing Haibing.Divergence and Co-operation between China and the U.S.on the Cyberspace Issue[J].Contemporary International Relations,2012,22(4):124-141.

[8] 王朝陽.基于主動(dòng)防御的網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺(tái)設(shè)計(jì)[J].電腦知識(shí)與技術(shù),2010,20(6):5442-5443. WANG Chao-yang.Design of Network Safety Attack and Defense Test Platform based on Active Defense[J].Computer Knowledge and Technology,2010,20(6):5442-5443.(in Chinese)

[9] 劉彥玲.基于主動(dòng)防御的網(wǎng)絡(luò)安全防范技術(shù)研究[J].無線互聯(lián)科技,2013(3):15-16. LIU Yan-ling.The network security keep watch technology research based on Active Defense[J].Wireless Internet technology,2013(3):15-16.(in Chinese)

[10] ZHANG Xian,YAO Shupin,TANG Chenghua.Assessing the Risk Situation of Network Security for Active Defense [J].Wuhan University Journal of Natural Sciences, 2006,11(6):1718-1719.

LEI Jing was born in Wuhan,Hubei Province,in 1977.She received the M.S.degree form Huazhong University of Science and Technology in 2003. She is now a senior engineer.Her research interests include information security,information network security construction, network security simulation and evaluation.

Email:leijanet@163.com

Cyberspace Attack and Defense Confrontation Technology and System Realization Scheme

LEI Jing
(China Academy of Electronics and Information Technology,Beijing 100041,China)

With the analysis of features of cyberspace and confrontation,the cyberspace attack and defense confrontation technology is discussed,including attack and defense fight theory,network attack action analysis,network attack tracing and network active defense technology.The cyberspace attack and defense confrontation system scheme is proposed.The technology and system can provide technology support for China′s cyberspace security technology system development,protect China′s cyberspace security,promote China′s cyberspace security industry development,and also have important effect and meaning on accelerating China′s independent,controllable security product exploitation and kernel technology development.

cyberspace;attack and defense confrontation;attack tracing;active defense

date:2013-08-07;Revised date:2013-10-22

**通訊作者:leijanet@163.com Corresponding author:leijanet@163.com

TN918;TP393.08

A

1001-893X(2013)11-1494-06

雷 璟(1977—),女,湖北武漢人,2003年于華中科技大學(xué)獲計(jì)算機(jī)應(yīng)用技術(shù)專業(yè)工學(xué)碩士學(xué)位,現(xiàn)為高級(jí)工程師,主要研究方向?yàn)樾畔踩?、信息網(wǎng)絡(luò)安全建設(shè)、網(wǎng)絡(luò)安全仿真評(píng)估。

10.3969/j.issn.1001-893x.2013.11.017

2013-08-07;

2013-10-22