◆杨元瑾

（中电长城网际系统应用有限公司 北京 102209）

1 网络攻防对抗平台总体技术设计思路

高安全等级的网络威胁，尤其是美国等网络安全强国对其他国家的攻击，往往是利用软硬件后门，结合未公布（或预制）的系统漏洞，利用网络战工具实施攻击。此类攻击具有入侵后长期潜伏的特点，而且目前基于安全风险识别的普通安全防护无力应对。对抗这种高安全等级的网络安全威胁，是基于未知系统安全风险的安全防护，必须启用主动发现识别系统漏洞和安全防护漏洞。

主动发现就需要引入网络攻防对抗。通过专业攻防团队使用网络攻击工具对目标系统进行持续模拟攻击，安全防护团队不断对攻击进行防御。从防御的角度来说，可以提高系统健壮性和防护策略有效性，提高安全防护服务团队的实战能力；从攻击的角度来说，可以不断提高网络攻击团队对类似目标系统的攻击能力，进而形成网络威慑能力。网络攻防对抗的成果，将会反馈到主动安全服务中，形成两类服务的良性互动。

2 网络攻防对抗平台功能

网络攻防对抗平台（简称“平台”）主要实现以下功能：

2.1 网络攻防对抗

网络攻防对抗是由安全攻防对抗团队组织的对关键信息基础设施的持续性的模拟攻防，目的在利用最新安全技术、工具和情报，寻找防护对象的安全弱点，演练攻防策略，锻炼攻防队伍，进而提高被保护对象的网络防护能力。

2.2 主动安全服务

主动安全服务是持续性的日常安全服务，为关键信息基础设施提供安全咨询、安全监测、保护防御、应急响应、安全运维、工控安全等服务。

2.3 安全威胁预警服务

安全威胁预警服务提供以下三类服务：

①基于威胁情报的预警服务

通过网络情报搜索，预警通报，或国内类似系统已经受到的攻击等威胁情报，判断潜在的被攻击对象，向其发出预警信息，为其提供预警时间，并对如何应对威胁提供技术支持。

②基于技术情报的预警服务

通过对网络安全技术情报进行分析，结合对各被保护对象的系统技术状态和网络安全技术状态进行分析，判断被保护对象可能面临同类技术风险，向其发出预警信息，并对如何应对威胁提供技术支持。

③基于攻防对抗的预警服务

通过对各被保护对象进行攻防对抗演练，发现系统漏洞、防护策略和安全管理等方面的风险，结合对各被保护对象的整体安全防护进行分析和匹配，判断被保护对象可能面临的潜在防护风险，向其发出预警信息，并对如何应对威胁提供各方面支持。

2.4 安全态势感知服务

安全态势感知服务是由服务团队根据用户的不同需求，对安全态势数据进行融合和重构，以直观的可视化方式向用户呈现所需安全信息，并通过移动终端、固定终端、专用显示系统等途径向用户推送。安全态势感知[4]服务帮助用户透过繁杂的安全数据和安全技术，简单、直观、高效地获取所需安全信息为用户提供多角度、多维度、可视化的安全态势感知和决策支持。

3 网络攻防对抗平台总体架构

网络攻防对抗平台分为项目服务层、服务支持层、数据分析层、数据层、安全产品层和核心技术层。项目服务层对关键信息基础设施提供各项安全服务，其它各层为其提供能力支撑，各层从下至上对上层提供支持。用户通过项目服务层与平台交互，与其余各层无交互。如图1所示。

图1 网络攻防对抗平台总体架构图

3.1 项目服务层

项目服务层是用户与平台的结合点，用户通过项目服务获得平台的保护。项目服务层将平台其余各层的能力形成安全服务，提供给用户。

3.2 服务支持层

服务支持层为项目服务层提供技术支持。服务团队通过服务支持层获取所需服务资源，为用户提供服务。

3.3 数据分析层

数据分析层由安全分析团队依据安全数据和分析系统执行安全分析，提供网络攻击分析和安全情报分析两类服务。

3.4 数据层

数据层为分析层提供数据支持，包括：

①网络与主机安全数据

网络数据包括：网络边界元数据（五元组至十三元组），原始流数据（短期存储），风险预识别数据，内网标识数据，网络安全设备日志数据。

主机安全数据包括：云运维与安全数据，主机操作系统日志，安全防护软件日志，业务软件日志，系统运维数据，安全审计数据等。

②网络对抗数据

网络对抗数据包括：从战略、战术、技术等角度，描述网络攻防对抗双方的相关信息，包括对抗主体、对抗时间、战略策略、对抗方式、工具及手段、持续时间、过程描述、对抗效果等。

③行业安全情报

行业安全数据包括：行业基础设施及信息系统相关的用户访问日志、安全检测日志、运行状态日志、业务运行日志、运维管理记录、操作记录等。

④网络威胁情报

网络威胁情报包括：网络威胁情报包括：黑白名单数据、安全攻击事件、恶意代码活动及其特征信息、僵尸网络活动信息、漏洞信息、黑客及其组织信息等。

⑤安全产品层

安全产品层为平台提供技术装备支持，安全产品层在防护上强调防护底线（重点在数据保护和加密），以及产业生态圈聚合能力，实现开放，弹性，可扩展。主要包括以下产品：网络及主机防护产品、网络攻防工具软件、网络安全大数据分析系统、网络威胁情报库。

⑥核心技术层

核心技术层为平台提供技术支撑包括：自主可控网络及主机防护技术。网络边界控制，主机控制把控着网络安全关键节点，一旦留有后门会造成严重网络安全风险，应确保绝对可控。因此应采用自主可控软硬件技术的国产化装备。

网络攻防对抗技术。网络攻防对抗技术本质是一个体系工程。网络攻防对抗技术不仅仅局限于传统的网络安全技术领域，大量社会科学进入了网络攻防对抗的范畴，包括：社会网络分析、媒体传播、统计分析等。通过这些技术的融合，形成了一个全新的网络攻防对抗技术体系。

网络安全大数据分析技术。网络安全大数据分析，核心技术包括网络流元数据采集技术，双向可扩展安全数据交换总线，多分析引擎效能融合技术，大流量分析结果智能判别技术，攻击特征分析技术，攻击过程追踪溯源技术等。

网络威胁情报分析技术。网络威胁情报分析类技术包括：多源异构情报智能搜索技术，海量异构情报数据智能管理与检索技术，多源异构情报深度挖掘技术，攻击特征提取技术，攻击对象智能预测技术等。

4 结语

网络攻防对抗平台的技术总体设计以“进攻就是最好的防御，主动安全防护与攻防对抗相结合”的原则，对接国家级威胁情报库，聚合网络防护专用和通用网络安全技术和产品，在总体可控可信赖与技术先进和开放中寻求最佳平衡，汇聚国家各层面网络安全产业能力，共享、共建、共御，共同构筑服务于关键基础设施的网络安全长城。

[1]沈雪石，吴集，邓启文.美军网络空间武器系统发展趋势分析[J].装备学院学报，2015.

[2]于明，周希元.信息网络对抗机制的攻防分析.网络安全技术与应用 , 2004.

[3]顾巧云，孙玉龙，高丰.基于博弈论的网络攻防对抗模型及应用研究，2013.

[4]袁斌，邹德清，金海.网络安全可视化综述.信息安全学报，2016.

[5]倪光南.信息安全“本质”是自主可控.中国经济和信息化， 2013.

[6]管磊，胡光俊，王专.基于大数据的网络安全态势感知技术研究.信息网络安全，2016.