网络安全主动防御技术:策略、方法和挑战 扈红超, 隋嘉祺, 张帅, 仝玉 引用本文 扈红超, 隋嘉祺, 张帅, 仝玉. 网络安全主动防御技术:策略、方法和挑战[J]. 计算机科学, 2024, 51(11A): 231100132-13. HU Hongchao, SUI Jiaqi, ZHANG Shuai, TONG Yu. Proactive Defense Technology in rScienceandTechnologyProjectofHenanProvinceinChina(２２１１００２１１２００)． 通信作者:隋嘉祺(bearsui５＠１６３．com) 网络安全主动防御技术:策略、方法和挑战 扈红超 隋嘉祺 张 帅 仝 玉 信息工程大学信息技术研究所 郑州４５０００１ (hhc＠ndsc．com．cn) 摘 要 随着人工智能、云计算、大数据和物联网等新兴技术的迅速发展 学术界积极推动研发主动防御技术.其中,移动目标防御、欺 骗防御和拟态防御３种技术发展迅速并日趋成熟.然而,目前很少有相关文献系统地归纳３种主流主动防御技术,也没有对３ 种技术进行横向对比和优劣分析.为了弥补这一空缺,对３种主动防御技术的研究成果进行了全面而系统的调查.首先,分别 介绍了３种主动防御技术的概念、策略和方法,并根据研究内容的不同,对已有的研究成果进行分类.然后,对３种主动防御技 术进行横向对比

监事信息流 主动攻击 修改和创建数据流 物理临近攻击 物理接近网络、系统和设备 内部人员攻击 被授权人员攻击 分发攻击 加入恶意程序代码或硬件 防护技 术 特点 可防护的攻击技 术 按攻击目的划分 按攻击技 术 划 分 数据加密 防止第三方获得加密数据 网络 被动攻击 数字签名 验证数据或程序完整性 网络 被动、主动攻击 身份认证 鉴别一个用户的合法性 系统、网络 主动攻击 防火墙 防火墙 防止未授权的通信 网络 主动攻击 病毒查杀 对设备和网络进行防护病毒攻击， 对病毒进行查杀 系统、网络 主动攻击 入侵检测 手机并分析信息，发现网络攻击 系统、网络 主动攻击 政策 标准 内网外网隔离 4 、运营管理 运营管理 财务管理 预算管理 物流管理 资产管理 绩效与人力 资源管理 医院综合经营分析与决策支持 人 财 物 H—ERP 基础平台 投融资管理  学生、家长、教师间互动 深入交流  受教育信息完整归档  所有成绩完成记录  查询作业、通知、成绩等  下载学习资料、复习资料  个人展示  同学、师生、亲子互动 主动参与  查询孩子作业完成、考试及平时 成绩、出勤及在校情况、学校通知等  下载学习资料、复习资料  教师、孩子、家长间互动 更多关注 学校领导 教育管理者 家长 教师 学生

使得能够在少量实验数据的基础上，快速学习到如何调整配方和条件以提高反应效率。比如 Wen 等在 Al-Co-Cr-Cu-Fe-Ni 系统中搜索高硬度的 HEAs 时，仅用 155 个初始样本，经 7 轮 主动学习迭代，就获得了硬度提升显著的合金。 4.高通量机器人验证：传统化工材料的研发，科学家需要从成千上万种化合物的效果进行筛 选，可能需要研究人员手动对每个化合物进行测试，这不仅耗时耗力，而且可能会因为人为 本学习策略的研究进展，包括集成学习、无监督学习、主动学习和迁移学习，并提出 了未来研究的方向，如少样本学习和虚拟样本生成。此外，还强调了将材料领域知识 嵌入机器学习的重要性。 小样本学习能从多方面推动材料研发的发展，具体而言，数据利用效率能显著提升， 比如 Wen 等在 Al-Co-Cr-Cu-Fe-Ni 系统中搜索高硬度的 HEAs 时，仅用 155 个初始样 本，经 7 轮主动学习迭代，就获得了硬度提升显著的合金；Yuan 轮主动学习迭代，就获得了硬度提升显著的合金；Yuan 等运用主动学习策 略，在寻找新型无铅 BaTiO₃基压电材料时，通过 5 轮迭代就筛选出性能优异的材料， 使研发进程大大加快。小样本学习使研究人员突破数据限制，探索更多材料可能性。 少样本学习和虚拟样本生成技术可在少量数据基础上拓展研究边界，挖掘新的材料 性能和应用。随着技术发展，这些方法将为材料领域带来更多创新成果，促进材料科 学的进步。 图表9：材料科学中机器学习的发展趋势和小数据集

监事信息流 主动攻击 修改和创建数据流 物理临近攻击 物理接近网络、系统和设备 内部人员攻击 被授权人员攻击 分发攻击 加入恶意程序代码或硬件 防 护 技术 特点 可防 护 的攻击技术 按攻击目的划分 按攻击技术划分 数据加密 防止第三方获得加密数据 网络 被动攻击 数字签名 验证数据或程序完整性 网络 被动、主动攻击 身份认证 鉴别一个用户的合法性 系统、网络 主动攻击 防火墙 防火墙 防止未授权的通信 网络 主动攻击 病毒查杀 对设备和网络进行防 护 病毒攻击， 对病毒进行查杀 系统、网络 主动攻击 入侵检测 手机并分析信息，发现网络攻击 系统、网络 主动攻击 政策 标 准 内网外网隔离 4 、运营管理 医疗管理 财务管理 预算管理 物流管理 资产管理 绩效与人力 资源管理 医院综合经营分析与决策支持 人 财 物 H—ERP 基础平台 投融资管理

KPI 库为核心，以阈值管理来区别设备正常或者故障，以通用标准为诉求 点的旧运维管理系统已经越来越难以适应用户管理要求。具备自动学习功能，可以完整学习各类 设备日常运行状况，根据基线数据自动运维，主动汇报设备异常，可以根据用户真实管理要求进 行定制策略智慧运维管理平台将成为用户选择的主流。 1.2. 智慧运维给用户的价值 1.2.1.落实等级化管理 管理上划分优先级是被普遍认可的方式，优 中一种。 智慧运维平台能根据历史记录自动生成基线，并可按照业务变化规律，形成以日基线、周基 线的数据对比，一旦实时数据大于基线比对点一定范围，即生成智维事件，便于分析；当出现多 次越界后，系统主动通知用户，提示运维风险。 ഀ� 基线方式的引入，降低了用户对于“警戒值”的识别难度，使设置符合用户业务实际的阈值成为 简单、可执行的事情；同时基线的方式，符合用户周期性业务稳定的实际情况，真正落实用户对 自动智慧运维平台的上线可带来如下运维管理效应：  透明化管理：通过对信息资源的透明化实现对信息资源的统一监控和智能管理，实现自 动化的信息资源监控和管理能力。  主动运维：即时的故障告警帮助管理人员即时了解安全和运行隐患，实现真正的事前管 理，变被动为主动。  全面降低误操作可能：运维管理和安全手段都从手动的方式转变为系统自动、安全、可 以跟踪的行为，手动的方式大量减少将极大降低误操作的可能性，极大增加信息化设施

与策略规则的被动 式防御技术，可对已知和未知的自动化攻击，各种利用自动化工具发起的恶意行为做到更及时、 更高效地拦截。结合“动态安全”与“AI 人工智能”两大核心技术的协同效力，让安全能力从 主动防御，提升到可持续安全对抗的新台阶，高效防护各类数字化时代的新兴威胁。 瑞数信息自主研发的项目和产品得到了科技部门及业界的认可并荣获高新技术企业证书， 其中 28 款软件产品获得软件著作权证书并取得 应用防护系统，从用户自身的网站安全出发，通过对网站关键业务进行安全加 固、对网站业务数据进行动态变化封装、对网站代码增加反调试保护、对客户端环境实施主动 网络安全专用产品指南 第二版（上册） 22 22 探测，以我为主对客户网站进行主动防护；并采用综合、多维度、主动与被动相结合的客户端 类型识别技术，能有效地识别机器人客户端，并通过透明的脚本挑战和验证码人机识别技术， 大大提升对机器人客户端识别的准确度。 针对日益进化、完善的自动化工具攻击技术，产品通过对用户资源动态封装和混淆，不断 对用户的线上资源进行变形，使得自动化工具难以锁定攻击目标、无法实施自动化攻击。该技 术一改传统安全产品针对自动化攻击的被动防护思路，主动出击、积极防御，从根本上遏制自 动化工具攻击行为。 ◎面向 WEB 客户端的环境识别与安全加固技术 产品通过客户端多因素指纹识别技术，结合客户端运行环境实时探测能力，精准识别客户 端类型和风险级别。

新客服特征 2 全链路数据 （用户声音与产品 / 业务场景的结合） 助力企业 转型互联网 + （用户洞察，产品 决策，风险防控） 渠道覆盖从传 统到多样化渠 道，从被动到 主动触达，从 5% 到 100% 用户投入低 （使用成本，理解 障碍，解决难度） 企业投入低 （平台成本，运营 成本，人员升级） 普惠性 个性化 全链路 低投入 用户画像 & 自 助） AI 助力的 服务能力 • 机器人智能（学习成长型的 小码答） • 语音智能（ 95188 语音导 航） • 主动服务智能（问题防范 ， 障碍排除，贴心提醒） • 定制服务智能（ VIP ） 全链路的 服务运营能力 • 服务预测 • 实时智能调度 • DT 全球覆盖， 24x7 在 线 焦点之二： AI 助力的服务能力 案例：学习成长型的客服机器人 深度神经网络 算法加工 猜你问题 主动接触 未问先答 （实时 / 延时） 用户点击数据 用户后续咨询数据 数据 闭环 精准因子 （人工設計） 注：数据为 18 財年與 15

rights reserved 现状需求 • 新资产快速识别的要求 • 实战化攻防水平的要求 • 风险自查能力的要求 • 应急响应能力的要求 • 从静态到动 态检测的需求 • 从被动 到主动 防御的需求 • 从堆叠到有机结合的需求 • 从技术到技管并重的需求 短期能合规 长期保障有挑战 方案好实现 安全实效难发挥 产品好搭建 安全管理难落地 （ —— 网络资产安全治理方案【第一步】 镜像流量识别 主被动 结合 对外提供服务的业务系统 对内提供服务的业务系统 内网用户设备资产 网络与 IoT 设备资产 废弃与未知资产 主动探测识别 清晰的资产台账 © Copyright 2021 WebRAY Tech （ BeiJing ） Co., Ltd. All rights reserved 应用指纹画像 应用开发框架 已梳理重点资产进行 实时监测，提供持续威胁监控，并提供应急处置手段 闭 环 处 置 建立规范、统一的网站及业务系统审核备案机制和流程，实现对资产 全生命周期的安全管控 盛邦资产安全治理平台基于主动探测摸底、流量识别摸底等方式梳理 信息资产，对网站、业务系统等资产运行情况进行动 态梳理， 形成资 产台账。累计帮助清华大学梳理了 2000+Web 资产 资 产 梳 理 © Copyright

交互获 取信息、理解问题、做出决策并实现行动，从而产生智能行为和适应性 具身 智能 传统智能 具身智能 只可远观，被动接受 别人告诉我这就是盒子 可以打开，可以装东西 我主动体验什么是盒子 被动抽象接受 主动具体体验 重要 意义 具身智能因其能自主产生智能行为和适应性，是通用人工智能的可能起点 3 具身智能的关键任务 导航 问答 操作 4 具身智能的核心目标 5 具身智能的核心要素 n How to increase the success rate? à Reduce the rate of failure… n Reactive（反应式） + Proactive（主动式）failure detections 3D perception capability + Real-time efficiency VLM ❌ 26 真实交互：实时监控提升具身任务执行的成功率

管理策略。网御安全网关系统对应用的识别基于应用行为和数据特征，而不是基于端口号，有 效地提升了应用的识别率，避免了误判。尤其对 P2P 应用中的加密传输，网御安全网关系统产 品基于应用行为识别与主动探测相结合的方式，有效地克服了加密后无法识别的业内难题。通 过精确的识别，网御安全网关系统对 IM 软件实现了细粒度的控制，不但可以控制登陆，而且对 文字聊天，文件传输，音频、视频都可以实现分类控制。 级威胁防护、异常行为分析、DLP、威胁情报等多个安全模块于一身，既能处理传统安全业务， 又能检测未知威胁，还能够联动云管端多个网元，最终为用户提供融入 AI 单点防御、多元智慧 协同、云检测赋能的智能、主动、安全“零”死角的综合防护方案。 天融信应用安全网关系统采用自主研发的 64 位高性能多核并行安全操作系统 NGTOS。 NGTOS 操作系统能为每个 CPU 核分配一套独立的 TCP/IP 协议栈，通过多 和服务 的全域协同防护安全解决方案。 天融信应用安全网关提供全面的资产管理功能。一键资产扫描发现、资产导入导出、资产 手工录入、资产联动上报，资产分组。可根据指定的网络范围，通过被动资产发现和主动资产 发现等多种方式，识别出资产及其不同类型。 天融信应用安全网关内置多种高级威胁攻击防御解决手段，包括基于 AI 的高级威胁检测、 基于行为分析的异常威胁检测和基于联动的未知威胁检测，多方位对高级威胁进行深度检测