史建中， 边杏宾， 胡志勇

（中国电子科技集团公司33研究所， 山西 太原 030032）

引言

当前，网络和信息技术已经深刻地融入了社会生活。随着移动终端的普及、云计算模式的推广，以及“互联网+”战略的实施，人们的生活和工作方式不断改变。在目前的信息时代，人们生活在物理世界、人类社会和信息空间组成的三维世界中[1]。

网络空间（国际上使用Cyberspace一词）是所有信息系统的集合，是人类所处的信息环境，人在其中与信息相互作用相互影响。网络空间安全问题随着网络在社会生活的渗透日趋复杂化、多样化，网络空间的安全形势日趋严峻[2]。

习近平主席指出：“没有网络安全，就没有国家安全。没有信息化，就没有现代化”。可见，保障网络空间安全已经被提升到国家战略的高度。本文从网络威胁动机的角度，综合分析国际网络空间安全威胁的现状、未来发展趋势及应对措施。

1 国内外网络空间安全威胁现状

1.1 基本安全形势

当前，信息化机构或个人对互联网的依赖性越来越强。然而，大多数流行软件本身遗留有漏洞或错误，对这些软件的修复存在技术和资金投入的双重困难。应用最广泛的系统同时也是最易遭受攻击的系统，甲骨文公司、苹果公司和微软公司位列最易受攻击系统供应商的前三名。

造成网络安全事件发生的原因既包括攻击者的主观恶意，也包括网络使用者的安全意识淡薄。Check Point的调查报告表明，75%的在用主机没有使用最新版本的软件（例如：Acrobat Reader，Flash Player，Internet Explorer，Java运行时环境等），意味着这些主机暴露着许多可以被黑客利用的漏洞[7]。当前，网络攻击的手段越来越多样化，从技术角度讲，内存崩溃、缓冲区溢出和拒绝服务攻击是排在前三位的攻击技术。

1.2 当前主要的网络安全威胁及动机分析

当前的网络攻击手段更先进、复杂，一次攻击过程可能由多种攻击技术组成。因此，从用户角度出发，更具意义的网络威胁类别划分依据是发起攻击的动机。目前主要的网络威胁动机有以下六种。

1.2.1 APT攻击

APT攻击（Advanced persistent threats）也称为定向攻击，是针对既定目标开展的长时间持续攻击，且不能通过常规的安全检测系统监测到。研究表明，83%的安全管理人员确认他们的系统遭受过APT攻击。比较著名的两种APT攻击是极光行动（Operation Aurora）和黑幕操作远程木马（Operation Shady remote access Trojan（RAT））。APT背后的动机包括：出于间谍目的、战争情报目的，或者商业竞争目的窃取商业、政府或军事信息；渗透网络并控制关键系统；通过分布式拒绝服务攻击或信息窃取的黑客行为，达到某种政治声明的目的；进行未经授权的银行和信用卡交易处理；以网络恐吓或诱惑的手段进行网络销售等。

1.2.2 内部攻击

内部攻击来源于一个组织内部。统计表明，48%的攻击事件的发生和内部人员的故意，甚至是恶意的行为有关。攻击者通常有一个可信的组织内部人员为其提供访问组织内部网络的途径[3]。发起内部攻击的方式是多样的，但其动机往往是为了盗取有价值的信息进行个人牟利。

1.2.3 全自动攻击

传统的病毒、蠕虫近年一直呈下降趋势。全自动攻击载体（病毒、蠕虫）由攻击者发送并传播出去，需要很少或者不需要制作者的人工管控，就能在网络中复制传播。全自动攻击的后果主要是降低系统效能。

1.2.4 社交网络带来的威胁

不断增长的社交媒介应用给公司或机构的网络空间安全带来了威胁，难以保障内部人员不会在大众化的社交媒体上发布公司或机构内部信息。近期的攻击事件表明，黑客已经将恶意软件的传播渠道从Email转移到社交网络。

1.2.5 网络用户被卷入的攻击

大多数攻击都卷入了无辜网络用户，常见的方式包括：以电子邮件附件的方式传播恶意可执行软件、通过用户访问被感染的网站而在客户端执行恶意软件、即时通信软件在传递可执行程序和Web链接的同时提供感染计算机和泄漏信息的通道、通过感染软件供应商提供的软件更新软件达到传播攻击工具的目的等。

1.2.6 DOS/DDOS攻击

DOS/DDOS攻击是最早使用的削弱IP网络的攻击方式，现在仍然是用于降低IP网络和服务性能的最有效攻击方式，主要的攻击方式是通过一群攻击主机向目标主机发送压倒性数量的数据包，使网络处理饱和，无法正常响应自身的服务请求。

2 网络空间安全威胁的未来趋势

通过分析网络攻击背后的动机，可以将网络威胁的未来发展趋势归结为四个方向：

2.1 以犯罪为动机的网络威胁

目前，网络犯罪时常发生，而且会随着网络犯罪工具的改进和巨大的利益诱惑而长期存在[4]。广义的讲，网络犯罪是指恶意的阻塞、干扰网络服务或盗取信息的行为。网络犯罪动机包括获取利益和破坏网络基础设施。

2.2 以间谍活动为动机的网络威胁

随着企业间的经济竞争、国际间的多方竞争的加剧，网络间谍活动在未来会长期存在。还有，中美间在网络空间安全方面的缺乏互信[5]，也会导致网络间谍及其它形式的跨国网络攻击。

2.3 以网络战为动机的网络威胁

网络战的目标是使敌方的网络信息系统失效或被摧毁。网络战往往发生在不同政治和军事团体之间或国际间，会破坏网络系统的可用性或完整性。和以往的犯罪方法类似，软件漏洞仍将是网络战的首要利用目标。

2.5 以网络煽动为动机的网络威胁

网络煽动是最新的网络犯罪形式，源于社交网站平台的巨大影响力。网络煽动者通过有影响力的社交网站（如 Twitter、Facebook、LinkedIn、YouTube、微信、微博、QQ、大型论坛等）发布自己的言论，通过网络共享和传播，并通过社交平台与网友互动，增强煽动效果。

3 安全防护改进策略

3.1 根据网络威胁的动机来采取防御措施

当前，以各种网络威胁为目的的恶意软件仍呈上升趋势，人们不能再期望通过部署不同的网络安全工具，仅从技术角度应对各种威胁，而要考虑各种网络威胁背后的动机，根据动机的不同来制定最适宜的防护策略。

3.2 通过多层次网络建立综合防御体系

当前形势下，不能通过单一的系统来保障网络资源的安全。通过集成多层次网络安全保障体系，能够在网络威胁传播之前进行识别。然后做到集成入侵检测、协议行为分析、应用管控、漏洞管理等步骤，能够大大降低复合网络攻击的风险。

3.3 通过人工智能辅助来提高防御效能

当前的反病毒系统和入侵检测系统缺乏对APT攻击的检测防御能力，利用人工智能的机器学习算法，可以自动识别网络攻击特征，快速进行特征数据筛选，降低计算开销，在改进对APT检测能力的同时，保证系统的反应速度。

4 结语

面对当前复杂的网络空间安全形势，单纯技术或管理都无法确保网络空间安全，技术防御和管理防御变得同等重要。在防御中，根据网络威胁背后的动机采取相应的措施保护网络设施及资源安全更具现实意义。

[1]沈昌祥，张焕国，冯登国，等.信息安全综述[J].中国科学，2007，37（2）：129-150.

[2]Cui H,Mu Y,Au M H.Proof of retrievability with public verifiability resilient against related-key attacks[J].Information Security let,2014（9）：43-49.

[3]VirvilisN,GritzalisD.The big four-whatwe did wrong in advanced persistent threat detection[C].Proceedings of the 2013 International Conference on Availability,Reliability and Security.Washington,DC:IEEE Computer Society,2013.

[4]Hilbert E.Living with cybercrime[J].Network Security,2013（11）：15-17.

[5]Potts M.The state of information security[J].Network Security,2012（7）：9-11.