網(wǎng)絡(luò)安全防御戰(zhàn)術(shù)研究

◆車路 夏亞東 馬鴻健 劉瑾

（山東農(nóng)業(yè)大學網(wǎng)絡(luò)信息技術(shù)中心 山東 271018）

戰(zhàn)術(shù)是一門古老科學，由于認識角度不同，各國對戰(zhàn)術(shù)的認知概念也不完全相同?！吨袊娛掳倏迫珪?zhàn)術(shù)學分冊》關(guān)于戰(zhàn)術(shù)的定義具有科學性和權(quán)威性，戰(zhàn)術(shù)是“進行戰(zhàn)斗的方法，主要內(nèi)容包括：基本原則，兵力部署、協(xié)同動作、戰(zhàn)斗指揮、戰(zhàn)斗行動的方法和各種保障措施”[1]。戰(zhàn)術(shù)本身是對戰(zhàn)斗的一種思維方法，其通過對戰(zhàn)斗領(lǐng)域中所進行的獨到思維，形成贏得勝利的方法。戰(zhàn)術(shù)亦是一種決策藝術(shù)，即對戰(zhàn)斗因素的平衡與組合藝術(shù)，戰(zhàn)術(shù)是贏得戰(zhàn)斗勝利的科學和藝術(shù)統(tǒng)一，是一種具有思想性，創(chuàng)造性的指揮與控制方式[2]。目前，網(wǎng)絡(luò)已經(jīng)成為繼陸、海、空、天之后的“第五空間”，維護網(wǎng)絡(luò)空間主權(quán)與安全已上升到各國國家戰(zhàn)略層面?！熬W(wǎng)絡(luò)安全的本質(zhì)在對抗，對抗的本質(zhì)在攻防兩端能力的較量[3]。” 戰(zhàn)術(shù)是對抗過程中實踐經(jīng)驗積累和運用，戰(zhàn)術(shù)存在于網(wǎng)絡(luò)安全攻擊和防御雙方。

1 研究網(wǎng)絡(luò)防御戰(zhàn)術(shù)意義

對比來看，我們構(gòu)建的網(wǎng)絡(luò)防御體系與軍事斗爭領(lǐng)域中“城堡”十分類似[4]，但網(wǎng)絡(luò)防御面臨更復雜情況：

（1）攻擊時間不明確，統(tǒng)計數(shù)據(jù)呈指數(shù)級上升。信息化環(huán)境下各種組件交互關(guān)系復雜，覆蓋面極廣，“去偽存真”的信息在數(shù)量上急劇增加，對攻擊行為判斷、甄別、分類工作難度增大。

（2）對抗區(qū)域不明確，網(wǎng)絡(luò)攻擊面越來越多。防御者要抵御OSI模型4-7 層中所有可能的攻擊，而應用數(shù)據(jù)傳輸鏈越來越長，數(shù)字終端環(huán)境越來越復雜。攻擊者只需找到一個可利用的安全弱點，就能突破防御體系，逐步獲得核心數(shù)據(jù)。

（3）攻擊人員不明確，攻擊成本越來越低。網(wǎng)絡(luò)攻擊工具呈武器化擴散勢頭，自動化攻擊工具可以輕易獲得，防御方要在有限時間范圍內(nèi)快速、高效、準確地采取有效措施，防御的成本越來越高。

（4）攻擊方式不明確，手段正趨向精確和智能。隨著計算機技術(shù)的不斷發(fā)展，以數(shù)據(jù)科學、機器學習和人工智能為代表的互聯(lián)網(wǎng)新理念，提供了新的思維認識方式和技術(shù)。新一代網(wǎng)絡(luò)攻擊開始逐步融合新興技術(shù)，“人工智能黑客”正逐步成為現(xiàn)實，人工智能將打破攻擊與防御現(xiàn)狀，而用戶很難發(fā)現(xiàn)自己已經(jīng)被AI 攻擊[5]。

如此看來，網(wǎng)絡(luò)安全雙方的不對稱性導致攻擊方存在巨大優(yōu)勢，其可以隨時從互聯(lián)網(wǎng)任何地點發(fā)起攻擊，防御方無法識別和定位跳板主機后的攻擊人員身份，也無法分辨攻擊方背景和目的。隨著應用數(shù)據(jù)鏈不斷擴大，對抗區(qū)域也變得越來越模糊，防御方只能在具有一定權(quán)限的網(wǎng)絡(luò)空間內(nèi)開展防護措施，這成為了一種“敵強我弱”的包圍形態(tài)。但自古以來，任何對抗中的形勢往往都是瞬息萬變?！肮粽呓?jīng)常占有最初優(yōu)勢，但當戰(zhàn)斗拖延到延時，防御方會變得更加強大”[6]。

2 研究網(wǎng)絡(luò)防御戰(zhàn)術(shù)目的

網(wǎng)絡(luò)防御性行動是通過計算機網(wǎng)絡(luò)來保護、監(jiān)視、分析、檢測和響應信息系統(tǒng)和計算機中未經(jīng)授權(quán)的活動[7]。網(wǎng)絡(luò)防御的目的是保護自身核心信息資源，運用戰(zhàn)術(shù)實現(xiàn)不確定性[8]，通過綜合運用網(wǎng)絡(luò)安全攻防中各組成因素，遏制對方戰(zhàn)術(shù)和攻擊能力，震懾和阻絕網(wǎng)絡(luò)攻擊。

3 網(wǎng)絡(luò)防御戰(zhàn)術(shù)因素分析

網(wǎng)絡(luò)安全對抗要做到“知彼知己”，認知對手、認知自己。美國洛克希德.馬丁公司提出網(wǎng)絡(luò)攻擊“網(wǎng)絡(luò)殺傷鏈”模型，包括網(wǎng)絡(luò)攻擊所需的七個階段：偵察跟蹤、武器構(gòu)建、載荷投遞、漏洞利用、安裝植入、命令與控制、目標達成[9]，網(wǎng)絡(luò)防御則要熟悉己方信息資產(chǎn)，了解安全威脅，識別安全攻擊，修復安全弱點，控制安全風險，落實安全措施，消除安全影響，達到安全需求，過程可簡單表述為保護、檢測、響應、恢復4 個階段[10]。戰(zhàn)術(shù)運用中不但要考慮防御人員、數(shù)據(jù)資產(chǎn)、防護裝備、防御體系等主要因素，更要考慮時間（時機）、情報、心理等輔助因素，見表1。

表1 網(wǎng)絡(luò)防御戰(zhàn)術(shù)組成要素

注：R=人員、T1=數(shù)據(jù)資產(chǎn)、T2=防護裝備、T3=防御體系、O=時間（時機）、P=心理、I=情報

3.1 人是戰(zhàn)術(shù)中最大變量

網(wǎng)絡(luò)防御中所有因素都涉及對人員綜合能力的思考，人員應具備開闊的視野和靈敏的洞察力，扎實的計算機全域技術(shù)知識，熟悉安全防護設(shè)備功能與性能，具備發(fā)散性思維和數(shù)據(jù)、情報、心理綜合知識，具備不斷接納新知識并轉(zhuǎn)化為自我實踐水平的能力，具備良好的團隊合作和溝通能力。防御人員必須編制為基本小組，保證在網(wǎng)絡(luò)防御中可以輪訓替換。每個小組應具備三種角色：操作者角色，熟悉己方資產(chǎn)，定期檢查和修補資產(chǎn)漏洞，負責配置網(wǎng)絡(luò)安全設(shè)備規(guī)則制定，分析和查找網(wǎng)絡(luò)、系統(tǒng)、應用的攻擊弱點，審查和修復應用代碼，識別攻擊行為，實施攻擊阻斷等工作。觀察分析者角色，通過個人知識分析和機器數(shù)據(jù)分析相結(jié)合的方式，分析攻擊目標和攻擊目的，查找和判斷未知威脅，對攻防態(tài)勢提供感知分析和決策支撐。指揮者角色，匯總所有信息，進行認知判斷和指揮，決定防御戰(zhàn)術(shù)，控制有效攻擊時間、有效攻擊范圍和有效攻擊傷害，標簽化攻擊者并評估攻擊者心理模型，決定反制戰(zhàn)術(shù)和措施。評估己方團隊和裝備，保證防御人員和防御體系均處于最佳狀態(tài)。

3.2 技術(shù)是網(wǎng)絡(luò)防御戰(zhàn)術(shù)的基本因素

3.2.1 數(shù)據(jù)資產(chǎn)要素是技術(shù)因素中的基礎(chǔ)要素

數(shù)據(jù)資產(chǎn)包含資產(chǎn)識別、資產(chǎn)賦值、弱點管理等[11]。資產(chǎn)識別要完整、準確對要保護的IT 資源整理和識別，包括：物理資產(chǎn)、軟件資產(chǎn)、員工客戶等。資產(chǎn)賦值量化資產(chǎn)間相互關(guān)系與依賴程度，資產(chǎn)構(gòu)建關(guān)系和核心價值，確定核心資產(chǎn)，即防御的重點。弱點管理對資產(chǎn)弱點進行評估、建立標準基線，進行弱點根除，保持監(jiān)視與響應等。

3.2.2 裝備是技術(shù)因素中的重要因素。

裝備包括網(wǎng)絡(luò)防御中使用的防護、檢測、分析產(chǎn)品與設(shè)備，例如：防火墻、WEB 應用防火墻、入侵檢測、感知探針、分析平臺等。防護設(shè)備要具備高可用數(shù)據(jù)吞吐性能和與之匹配的網(wǎng)絡(luò)安全業(yè)務處理能力，具備廣泛的攻擊識別種類和數(shù)量，具備威脅快速識別防范能力，具備與感知設(shè)備聯(lián)動功能和分析平臺對接功能。檢測設(shè)備要具備分布式部署能力，可采集不同協(xié)議網(wǎng)絡(luò)流量，具備呈現(xiàn)完整、詳細會話能力與和存儲空間。分析平臺則通過防護設(shè)備和檢測設(shè)備聯(lián)動實現(xiàn)機器數(shù)據(jù)采集與整合，在此基礎(chǔ)上通過數(shù)據(jù)預處理、特征提取、態(tài)勢預測實現(xiàn)數(shù)據(jù)噪聲過濾，具備完整的網(wǎng)絡(luò)地形和網(wǎng)絡(luò)態(tài)勢感知呈現(xiàn)能力和存儲空間，具備敏捷快速的威脅識別、分析、告警功能。

3.2.3 網(wǎng)絡(luò)防御體系是技術(shù)因素中的核心要素。

網(wǎng)絡(luò)防御體系涉及數(shù)據(jù)資產(chǎn)、防護裝備、管理策略、人員的組合應用。網(wǎng)絡(luò)防御體系要考慮網(wǎng)絡(luò)資產(chǎn)核心和戰(zhàn)術(shù)措施，圍繞資產(chǎn)核心建立多層交叉防護機制。保證防御核心在遭到全面網(wǎng)絡(luò)攻擊時可用性，以及在同時面臨多個區(qū)域被突破時部分核心功能的可用性。防御體系的重心是明確防護、檢測、分析設(shè)備部署位置、規(guī)則策略、威脅處理、數(shù)據(jù)分析方式。進行風險評估、風險預測，確定組織和人員運作、管理方式和應急響應流程，并在實踐中不斷補充、修改和完善。

3.3 時間（時機）是戰(zhàn)術(shù)運用的基準點。

時間是網(wǎng)絡(luò)防御中的“勝負衡量標尺”，也是攻擊者實施網(wǎng)絡(luò)攻擊時預期成本中重要因素。對于理性的網(wǎng)絡(luò)攻擊者，當且僅當預期收益超過預期成本時，才被視為有價值[12]。所以時間在網(wǎng)絡(luò)防御中一是表達行為的初始時間戳，例如：攻擊發(fā)現(xiàn)時間、攻擊識別時間、防御響應時間等。二是表達動作的持續(xù)時間間隔，例如：內(nèi)網(wǎng)攻擊時長、系統(tǒng)復原時長等。三是某項措施的介入時機，例如：識別持續(xù)攻擊后立即開始對源地址的誘導戰(zhàn)術(shù)等。其中，攻擊方主觀因素大的是不可控時間，只能通過技術(shù)、情報等手段努力縮短過程時長，而防御方的優(yōu)勢在于結(jié)合其他因素對可控時間和可控時長的靈活把握。

3.4 心理是戰(zhàn)術(shù)運用的必要因素。

醫(yī)學研究表明網(wǎng)絡(luò)行為會對人類心理產(chǎn)生不同作用，而網(wǎng)絡(luò)攻擊會對人員心理健康產(chǎn)生影響[13]。網(wǎng)絡(luò)安全中考慮心理因素具有兩面性，不僅需要測量和評估攻擊者心理狀態(tài)，建立攻擊者心理學特征，例如：性格、情感、狀態(tài)等。根據(jù)技術(shù)特征和軌跡判斷攻擊者心理和目的，不斷阻滯攻擊者行為、分割其戰(zhàn)術(shù)目標，使其不斷面臨新的信息和困難，產(chǎn)生劇烈的心理波動和高強度心理壓力，同時也要檢測和分析己方防御人員和員工心理情況，及時干預，避免心理影響。

3.5 情報是戰(zhàn)術(shù)運用的風向標。

網(wǎng)絡(luò)安全中情報與信息不同，信息經(jīng)過針對性分析、價值轉(zhuǎn)換后才能稱為情報，主要表現(xiàn)在網(wǎng)絡(luò)防御中預警和溯源等方面。預警是根據(jù)1DAY 等網(wǎng)絡(luò)威脅信息，網(wǎng)絡(luò)防御方緊急快速收縮攻擊面，有效縮短應急響應時間。再者根據(jù)攻擊來源信息，加強信息收集與分析頻率，改善防御方法和措施。溯源是主動地追蹤網(wǎng)絡(luò)攻擊發(fā)起者、定位攻擊源，結(jié)合網(wǎng)絡(luò)取證和情報分析，有針對性地減緩或反制網(wǎng)絡(luò)攻擊。

4 網(wǎng)絡(luò)防御戰(zhàn)術(shù)運用

目前，許多優(yōu)秀的軍事戰(zhàn)術(shù)思想被廣泛運用在網(wǎng)絡(luò)防御中。例如：縱深防御戰(zhàn)術(shù)，是以多層結(jié)構(gòu)來阻滯攻擊破壞力，使攻擊流失能，當部分防御節(jié)點被入侵時，使攻擊方在特定的網(wǎng)絡(luò)區(qū)域內(nèi)失去攻擊能力和攻擊效果[14]。主動防御戰(zhàn)術(shù)。采用主動的、前置的防御措施，利用受約束的輔助行為，阻滯攻擊者進入一個敏感網(wǎng)絡(luò)區(qū)域，提高信息系統(tǒng)安全性和可用性[15]。從本質(zhì)上看，目前的網(wǎng)絡(luò)防御依然是“觸發(fā)后響應”的事中、事后反應性模型?！凹词箲?zhàn)爭是防御性的，它仍然經(jīng)常包含進攻性的成分”[6]，進攻性防御戰(zhàn)術(shù)依然可以運用到網(wǎng)絡(luò)安全的事前階段，網(wǎng)絡(luò)防御需要從純粹的反應型模型過渡到誘導型模型，見圖1。

圖1 誘導型網(wǎng)絡(luò)防御模型示意圖

4.1 運用虛實結(jié)合信息，混淆攻擊偵查

網(wǎng)絡(luò)攻擊首要階段是偵查并獲取有價值信息，防御戰(zhàn)術(shù)要從攻擊者角度思考，從攻擊面入手。攻擊面是指信息環(huán)境中可以被攻擊者輸入或提取數(shù)據(jù)而受到攻擊點位[16]。利用信息隱匿和信息偽裝混淆攻擊方偵查，不斷無規(guī)律替換和更迭，保證吸引力和誘導效果，保持攻擊面的不確定性。

（1）真實資產(chǎn)信息隱匿，縮小真實環(huán)境攻擊面。例如：隱藏網(wǎng)絡(luò)路徑，網(wǎng)絡(luò)層設(shè)置PING 無響應，TRACERT 信息丟棄；隱匿資產(chǎn)版本信息、WEB 應答，供應鏈信息；隱匿管理接口、API 接口；隱匿人員社會工程學信息等。

（2）實施信息偽裝，擴大虛擬攻擊面。利用假目標信息偽裝。例如：安全防護設(shè)備偽裝端口應答、偽裝應用程序應答、偽裝WEB網(wǎng)站和API 接口、對抗主機偽裝數(shù)據(jù)文件等。

（3）主動投放偽裝信息，混淆攻擊面。例如：在互聯(lián)網(wǎng)環(huán)境或真實資產(chǎn)中投放不同語境的偽裝文檔和偽裝賬號，主動暴露偽裝弱點信息，使攻擊者更有可能多的收集虛假情報，并在對抗中標記位置與路徑，當有用戶、IP 或進程與這些偽裝資源進行互動時，記錄攻擊者攻擊時間、攻擊跳板IP 和其大概語言習慣。

4.2 構(gòu)建多樣化網(wǎng)絡(luò)地形，削弱攻擊效果

網(wǎng)絡(luò)地形指網(wǎng)絡(luò)或計算機系統(tǒng)結(jié)構(gòu)及其接口構(gòu)成的網(wǎng)絡(luò)環(huán)境，構(gòu)建復雜的網(wǎng)絡(luò)地形目的是誘導攻擊目標、明確對抗區(qū)域、分析攻擊方法、削弱攻擊效果。目前廣泛采用的滲透測試只能模擬部分攻擊行為和方法，網(wǎng)絡(luò)攻擊方仍有大量未紕漏的戰(zhàn)術(shù)和方法，合理的做法是把誘導戰(zhàn)術(shù)與真實環(huán)境深度融合，快速變化網(wǎng)絡(luò)地形，敏捷指揮與控制，更深入的理解網(wǎng)絡(luò)攻擊。

4.2.1 分段設(shè)置對抗區(qū)域，誘導攻擊者行動

在網(wǎng)絡(luò)邊界規(guī)劃“緩沖區(qū)域”，通過邊界防護設(shè)備，阻斷自動化探測和常見攻擊威脅，通過檢測、分析識別真正具有威脅的攻擊者。利用SDN 技術(shù)實現(xiàn)可控網(wǎng)絡(luò)[17]，為攻擊者和正常用戶無感知分配不同的網(wǎng)絡(luò)環(huán)境，努力呈現(xiàn)給攻擊者一個看似簡單的防御結(jié)構(gòu)，創(chuàng)建第一層對抗主機或蜜罐，通過路由協(xié)議保持攻擊者進出路徑一致，阻斷任何橫向網(wǎng)絡(luò)連接。測量和觀察攻擊者行為，為防御人員和分析設(shè)備感知、理解爭取更多數(shù)據(jù)和時間。在核心業(yè)務網(wǎng)絡(luò)之前規(guī)劃“對抗區(qū)域”，鏡像業(yè)務系統(tǒng)，偽裝數(shù)據(jù)，利用牽引、阻滯等方式為攻擊者提供有價值偽裝目標，并在對抗網(wǎng)絡(luò)或密網(wǎng)中進行分隔和阻斷，時刻準備備用方案，防止攻擊者突破權(quán)限，一旦發(fā)現(xiàn)要迅速遏制防御裂口。在核心業(yè)務區(qū)域內(nèi)部劃分多個子域，嚴格控制進出每個子域交互數(shù)據(jù)，過濾用戶輸入，篩選DNS、網(wǎng)關(guān)等外發(fā)數(shù)據(jù)，防止隧道通訊行為，部署終端防護，關(guān)注所有用戶單次獲取的網(wǎng)絡(luò)權(quán)限和應用權(quán)限。多個區(qū)域間構(gòu)建網(wǎng)絡(luò)安全“交叉火力”，即合理配置不同類型、不同廠家的防護設(shè)備，靈活運用安全策略，實現(xiàn)同一種網(wǎng)絡(luò)威脅時在多個網(wǎng)絡(luò)區(qū)域內(nèi)可以不斷過濾。

4.2.2 快速變化網(wǎng)絡(luò)地形，使攻擊程序失效

網(wǎng)絡(luò)攻擊的關(guān)鍵在于攻擊程序?qū)β┒礈蚀_識別并成功利用，即攻擊方法的工具化和投送利用。利用移動目標防御（MTD），旨在創(chuàng)建動態(tài)且不斷變化的信息系統(tǒng)[18]，將生產(chǎn)環(huán)境架構(gòu)轉(zhuǎn)變?yōu)橛|發(fā)防御架構(gòu)，依據(jù)攻防模型，將所有數(shù)據(jù)資產(chǎn)看成可輪換元素，依據(jù)攻擊威脅類型和攻擊識別時間不斷替換，實現(xiàn)不斷變化的系統(tǒng)、中間件以及接口。在網(wǎng)絡(luò)層面，小型信息應用通過CDN 不斷更改設(shè)備和系統(tǒng)IP地址，大型信息應用通過分布式架構(gòu)不斷變化關(guān)鍵節(jié)點。在應用層面，在應用系統(tǒng)中引入輪訓多樣性中間件。在接口層面，使用不斷變化的應用接口使特定攻擊腳本失效等。實現(xiàn)網(wǎng)絡(luò)地形快速改變，當攻擊偵查后，系統(tǒng)情況已經(jīng)改變，針對原有漏洞的攻擊程序失效，攻擊者無法實現(xiàn)漏洞利用和安裝植入，逼迫攻擊者不得不重新偵查，延長對抗時間，使攻擊變得困難。

4.2.3 敏捷指揮與控制，認知攻擊目的

指揮和控制關(guān)系著網(wǎng)絡(luò)防御體系的整體效能，要在網(wǎng)絡(luò)地形全面感知的基礎(chǔ)上實現(xiàn)快速、高效的行動流程：

（1）感知，在每個區(qū)域關(guān)鍵節(jié)點部署感知探針，保證探針能獲取全面、詳細的信息，各探針偵測區(qū)域不重疊，將防護、檢測、分析等網(wǎng)絡(luò)安全設(shè)備狀態(tài)與主機、應用等真實環(huán)境數(shù)據(jù)匯聚起來，形成完整的網(wǎng)絡(luò)地形感知能力，提供威脅來源、時間、位置，實現(xiàn)威脅信息的知識化。

（2）分析，根據(jù)威脅任務需求，人工方式與自動化工具相結(jié)合，依據(jù)情報、信息和特征，判斷威脅根本目的和數(shù)據(jù)資產(chǎn)間相互關(guān)系。不斷訓練和演練，提高分析準確性和實效性。

（3）評估，在計劃、準備、實施的各階段，提煉出有價值信息，評估成功的可能性，快速決策行動措施。

（4）輸送，將決策措施及時分發(fā)給必要人員，分頭實施，持續(xù)監(jiān)視任務狀況、對抗進度，及時反饋并繼續(xù)感知。

4.3 綜合利用各種情報，溯源攻擊信息

情報的本質(zhì)是研究對手，戰(zhàn)術(shù)運用中可分為顯性情報和隱性情報。顯性情報，例如：攻擊方留存的數(shù)字ID 信息、惡意程序樣本、攻擊者社交網(wǎng)絡(luò)信息等。這些信息可能非常有價值，但也可能混雜了噪聲和錯誤，使用中需要辨別信息真?zhèn)危乐构舴叫畔窝b，故意釋放混淆信息，轉(zhuǎn)移防御方注意力。盡管如此，越來越多網(wǎng)絡(luò)分析人員還是傾向于選用這類數(shù)據(jù)進行開源情報OSINT 分析，這類數(shù)據(jù)能夠洞察到某些情報。但這類顯性情報不能與現(xiàn)實情報割裂，需要與可信任的安全企業(yè)、政府機構(gòu)、分析專家一起信息共享，合并多種情報數(shù)據(jù)，利用已知信息片段，檢查是否存在相似信息，結(jié)合人類情報，社會情報、地理空間情報等其他學科知識，全面了解攻擊威脅、攻擊人員和背景。然而，隱性情報不會自動出現(xiàn)，要在一定戰(zhàn)術(shù)方法和環(huán)境下才能顯現(xiàn)。例如：在防御方不斷誘導、阻斷戰(zhàn)術(shù)作用下，攻擊方承受巨大心理壓力時，無意中暴露的特征或個性化信息。網(wǎng)絡(luò)攻防雙方是“不見面的對抗”，攻擊方往往隱藏在跳板主機或網(wǎng)絡(luò)之后，直接從技術(shù)角度溯源難度很大，且要符合法律、法規(guī)和道德規(guī)范的要求。利用戰(zhàn)術(shù)實施心理壓制，目的是使攻擊方泄漏更多隱性情報，這些信息價值往往是顯性情報無法提供的。所以，結(jié)合技術(shù)、心理等手段綜合利用各種情報溯源攻擊來源、攻擊組織和攻擊背景才是最佳選擇。

4.4 合理利用最佳時機，阻斷攻擊行為

很多情況下網(wǎng)絡(luò)防御中不適合武斷的執(zhí)行威脅發(fā)現(xiàn)-阻斷攻擊-隔離業(yè)務-系統(tǒng)復原工作流程，這中斷了攻擊者與防御者聯(lián)系，攻擊方可以通過更換代理IP 等方法重新發(fā)起攻擊，防御方則需要重新收集、分析、評估，導致消耗大量防御成本，不斷重復的過程和防御的本質(zhì)相矛盾。需要根據(jù)防御區(qū)域、風險級別、時間等因素選擇處置手段，核算防御成本和行動價值，評估發(fā)現(xiàn)威脅的數(shù)據(jù)資產(chǎn)對整體防護影響，根據(jù)威脅向前推斷攻擊時間、攻擊入口和攻擊路徑，向后推演攻擊影響。當在“緩沖區(qū)”、“對抗區(qū)”內(nèi)發(fā)現(xiàn)有攻擊痕跡，需要保持一定接觸時間，與攻擊者維持交互并不斷監(jiān)視，通過跟蹤來查找防御體系是否存在安全漏洞、安全設(shè)備策略是否有缺陷等，針對性實施誘導方案和數(shù)據(jù)偽裝措施。在“核心區(qū)”內(nèi)發(fā)現(xiàn)攻擊者痕跡，則立即阻斷攻擊并評估系統(tǒng)整體防護效能，準備啟用備用方案，快速遷移防御核心，確定防御核心不會遭受二次攻擊。

5 結(jié)束語

總之，網(wǎng)絡(luò)攻擊的方式和方法在不斷發(fā)展變化，這對網(wǎng)絡(luò)防御提出了更高要求?！氨鵁o常勢，水無常形”，人員、技術(shù)、時間（時機）、心理、情報等因素都為網(wǎng)絡(luò)防御提供了更廣闊的思考空間。“戰(zhàn)術(shù)不是割裂的，而是融合的”，把戰(zhàn)術(shù)思維融合到網(wǎng)絡(luò)防御中，運用戰(zhàn)術(shù)手段應對網(wǎng)絡(luò)攻擊，不斷改進網(wǎng)絡(luò)防御體系，才能提升網(wǎng)絡(luò)防御效果。“因變而變”，混淆攻擊面、變換網(wǎng)絡(luò)地形、誘導攻擊路徑，綜合情報溯源等技戰(zhàn)術(shù)融合方式幫助我們在網(wǎng)絡(luò)安全對抗中占據(jù)主動權(quán)。