基于欺骗防御技术的事前预警系统与效益分析｜证券行业专刊·安全村

一、当前国内网络空间攻击情况分析

随着社会及各行业不断的网络化、数字化建设，各行各业的办公、业务、服务环境不断向网络空间转移，进而在网络空间安装了纷繁复杂的协作系统，存储了比以往任何时候都要巨大的数字财富。网络空间攻击也就应运而生，全球几十万黑客在不断更新迭代他们的攻击武器，对各类依托互联网运转的社会组织产生了巨大的威胁及严峻的挑战。

从传统的木马、蠕虫到勒索与挖矿（Bitcoin Mining），从传统的漏洞利用（Exploit Kit）到供应链攻击，从传统的反检测到无文件攻击，攻击者的工具和手法愈发复杂多变、难以检测。现有的杀毒软件、IDS、防火墙、网络防火墙（Web Application Firewall，WAF）等传统防护手段多为“被动防御”，仅根据已有知识库及策略库对攻击进行拦截，阻止已知攻击，对于未知的攻击方式及手段缺乏有力的检测和抵御手段。

有人用五个象限来限定当前所有依托网络空间运转的各类组织：

一是，他们被黑了，大家都知道；

二是，他们被黑了，他们自己知道，公众不知道；

三是，他们被黑了，没人知道；

四是，他们即将被黑；

五是，他们不值得被黑。

根据信通院2021年的报告，2020年大金融行业仍然是黑客黑产组织攻击欲望最高的对象，金融、银行、支付三项总和在观察到的受攻击网络环境总数中占比 38.2%，政府与公安受攻击占比 17.7%，科技类公司受攻击占比 16.7%，能源、信息中心、交通、医疗、教育等行业也受到不同程度的网络攻击。

2020 年失陷主机最多的五个省份分别为江苏、浙江、安徽、广东和台湾，分别为 149,899 台、123,690 台、82,756 台、81,614 台和 44,440 台，失陷主机最多的五个城市分别是苏州、杭州、湖州、深圳和泰州。

从综合危害程度的维度，僵尸网络、木马、蠕虫、远控/后门等仍然是影响较大的高级威胁，挖矿、勒索、数据窃取、资源消耗、远程控制是其造成的主要危害。在抽样调查中，排行前三位的 Nitol 僵尸网络、CoinMiner 挖矿木马和 XMRCoinMiner 挖矿木马感染了 1/3 的网络环境，Bladabindi 后门虽然感染的网络环境较少，却是目前监测环境中命中次数最多的高级威胁，总命中数达到 8.8 亿次。

二、基于欺骗防御技术的“事前预警”系统

面对网络空间入侵的巨大的挑战和网络攻击方的技术优势。防守方如何保护核心数据不被窃取，防护各类网络设备不被盗用以及全面防治网络勒索行为，成为网络空间安全所要考虑的重中之重。在以往的网络安全防御中往往需分析大量客户数据或系统，来比对识别恶意程序或加固漏洞。这种“被动防御”随着信息化建设的快速，网络中的各类威胁日新月异，发现和处理威胁的能力也变的相对滞后，而且在没有先验知识库的情况下，对新型的攻击束手无策。有没有一种能够既不分析客户数据、又无需升级知识库，还可对现有网络终端及随时接入的新型智能终端起威胁监控作用的“主动”网络安全防御手段呢？

“网络终端威胁定位系统”就是这样一套系统，它将军事战争理论中的“欺骗防御”思想融合于网络空间的攻防之中，利用网络空间中空闲的IP地址，高效部署出百倍于真实设备的虚拟终端——“哨兵”。这样网络空间中的真实设备就会被大量的虚假设备隐藏，如果有人在网络空间中寻找目标就会无意中访问到“哨兵”，从而暴露其侦察、攻击的目的。正所谓：藏天下于天下，此恒物之大情也，一滴水藏在哪里最安全？藏在大海里最安全！通过这样的系统，更好的保护客户隐私，降低了信息外泄的可能，同时也降低了监控系统所要分析的数据量。该系统还没有知识库更新的烦恼，且能够监控各种异构的网络终端设备。在巡检、服务过程中曾发现外交部门重点区域信创设备、军方研究部门的办公设备、大型金融机构的哑终端设备、医疗系统的智能终端设备出现不同程度的失陷迹象。从每隔几天一两次的低频渗透到每秒钟几万次的高频渗透都能够被该系统监控到。

由于该系统的防御理念中结合了军事对抗思想，所以不会迷失在对单个网络安全问题的处理上。而是在战略上，通过打断网络攻击链的源头来解决网络攻击问题。最好的防御就是不让攻击方侦察到防守方有价值的目标。当攻击方无法锁定攻击目标时，即使有再好的武器也无法投放。同时能够在攻击方对网络进行侦察的阶段发现其行动，做出防御应对，从而实现真正的网络空间监控与威胁预警。

三、该系统的效益分析

“网络终端威胁监控系统”通过全息伪装、动态哨兵、端口虚开等技术为各类网络空间提供“欺骗防御”模式下的虚拟化网络拓扑。在一些监控场景中，单台设备布设的网络哨兵数可达到上千万、上亿个，有效的迷惑攻击者，降低内网遭受网络攻击的打击面，快速获取网络中“间谍设备”的横向渗透数据，通过云端的智能化分析，为客户提供精准的高危名单，协助客户实现“失陷设备”的精准处理，防止其进一步感染更多设备或向核心区渗透。网络攻击的防治如果能够在其最初阶段完成，实现威胁监控，并处理掉隐患，其产生的危害将是最小的，投入的运维成本也是最少的。下面分类浅析一下该系统的效益：

一从处理的数据角度考虑，因为其不镜像、分析应用层数据，所以其处理的数据量不到传统设备万分之一，进而资源消耗更少，系统也更安全；

二从可监控的威胁种类考虑，因为不需要知识库的加持，只针对内网的非授权侦察行为进行识别，所以能够监控更多的网络威胁；

三从可监控的网络终端考虑，因为只对网络层的数据进行统计，所以该系统的适用性更强，可以说，过去10年至未来5年接入网络的设备都可以监控；

四从资源消耗角度考虑，单套系统可并行监控上千台异构终端，平均单个设备监控所消耗的资源更少；

五从安装、部署角度考虑，该系统只需在内网配置一个智能终端就可开始工作，不需对现有网络结构进行调整，不影响正常业务运行，配置安装更便捷；

六从使用维护角度考虑，在网络安全人员配置普遍不足的实际情况下，TOP20的名单很好的帮助运维人员定位威胁设备，保证网络安全运维的高效与精准，提升网络安全运维效率；

七从威胁预警的角度考虑，由于该系统是在攻击方侦察阶段起作用，所以能够更早发现网络攻击，预警能力更强。

综上所述：该系统将极大提升现代组织网络空间抗渗透、抗攻击的能力。在与传统的网络空间威胁预警系统的对比中，该系统表现出更高的效率、更宽的适用范围、更安全的防御能力、更低的使用和维护成本、更强的预警能力。希望该系统能够成为未来各类组织网络空间的“守护者”与“吹哨人”。

作者介绍

田野，上海景治智能科技创始人

曾在某研究所负责军用级人机交互系统建设，从事无线电、网络信息收集处理相关工作，曾参与多各科研项目的研发，获得多项军队科技进步奖，其中一等奖一项，2018 年创建景治智能科技，推广“网络终端威胁定位SaaS 服务”。

RECOMMEND

往期回顾

兼顾实战与合规的重要数据与个人信息防护探索｜科技创新型企业专刊·安全村

短信验证码总有要告诉别人的时候｜常识与安全·安全村

基于CDM技术的敏捷数据管理实践分享｜证券行业专刊·安全村

关于 安全村文集·证券行业专刊

证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案，为大家分享一线安全规划、运营、建设的心得和实践经验。

关于 安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：info@sec-un.org

原文始发于微信公众号（SecUN安全村）：基于欺骗防御技术的“事前预警”系统与效益分析｜证券行业专刊·安全村