◆车路 夏亚东 马鸿健 刘瑾

（山东农业大学网络信息技术中心 山东 271018）

战术是一门古老科学，由于认识角度不同，各国对战术的认知概念也不完全相同。《中国军事百科全书·战术学分册》关于战术的定义具有科学性和权威性，战术是“进行战斗的方法，主要内容包括：基本原则，兵力部署、协同动作、战斗指挥、战斗行动的方法和各种保障措施”[1]。战术本身是对战斗的一种思维方法，其通过对战斗领域中所进行的独到思维，形成赢得胜利的方法。战术亦是一种决策艺术，即对战斗因素的平衡与组合艺术，战术是赢得战斗胜利的科学和艺术统一，是一种具有思想性，创造性的指挥与控制方式[2]。目前，网络已经成为继陆、海、空、天之后的“第五空间”，维护网络空间主权与安全已上升到各国国家战略层面。“网络安全的本质在对抗，对抗的本质在攻防两端能力的较量[3]。” 战术是对抗过程中实践经验积累和运用，战术存在于网络安全攻击和防御双方。

1 研究网络防御战术意义

对比来看，我们构建的网络防御体系与军事斗争领域中“城堡”十分类似[4]，但网络防御面临更复杂情况：

（1）攻击时间不明确，统计数据呈指数级上升。信息化环境下各种组件交互关系复杂，覆盖面极广，“去伪存真”的信息在数量上急剧增加，对攻击行为判断、甄别、分类工作难度增大。

（2）对抗区域不明确，网络攻击面越来越多。防御者要抵御OSI模型4-7 层中所有可能的攻击，而应用数据传输链越来越长，数字终端环境越来越复杂。攻击者只需找到一个可利用的安全弱点，就能突破防御体系，逐步获得核心数据。

（3）攻击人员不明确，攻击成本越来越低。网络攻击工具呈武器化扩散势头，自动化攻击工具可以轻易获得，防御方要在有限时间范围内快速、高效、准确地采取有效措施，防御的成本越来越高。

（4）攻击方式不明确，手段正趋向精确和智能。随着计算机技术的不断发展，以数据科学、机器学习和人工智能为代表的互联网新理念，提供了新的思维认识方式和技术。新一代网络攻击开始逐步融合新兴技术，“人工智能黑客”正逐步成为现实，人工智能将打破攻击与防御现状，而用户很难发现自己已经被AI 攻击[5]。

如此看来，网络安全双方的不对称性导致攻击方存在巨大优势，其可以随时从互联网任何地点发起攻击，防御方无法识别和定位跳板主机后的攻击人员身份，也无法分辨攻击方背景和目的。随着应用数据链不断扩大，对抗区域也变得越来越模糊，防御方只能在具有一定权限的网络空间内开展防护措施，这成为了一种“敌强我弱”的包围形态。但自古以来，任何对抗中的形势往往都是瞬息万变。“攻击者经常占有最初优势，但当战斗拖延到延时，防御方会变得更加强大”[6]。

2 研究网络防御战术目的

网络防御性行动是通过计算机网络来保护、监视、分析、检测和响应信息系统和计算机中未经授权的活动[7]。网络防御的目的是保护自身核心信息资源，运用战术实现不确定性[8]，通过综合运用网络安全攻防中各组成因素，遏制对方战术和攻击能力，震慑和阻绝网络攻击。

3 网络防御战术因素分析

网络安全对抗要做到“知彼知己”，认知对手、认知自己。美国洛克希德.马丁公司提出网络攻击“网络杀伤链”模型，包括网络攻击所需的七个阶段：侦察跟踪、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、目标达成[9]，网络防御则要熟悉己方信息资产，了解安全威胁，识别安全攻击，修复安全弱点，控制安全风险，落实安全措施，消除安全影响，达到安全需求，过程可简单表述为保护、检测、响应、恢复4 个阶段[10]。战术运用中不但要考虑防御人员、数据资产、防护装备、防御体系等主要因素，更要考虑时间（时机）、情报、心理等辅助因素，见表1。

表1 网络防御战术组成要素

注：R=人员、T1=数据资产、T2=防护装备、T3=防御体系、O=时间（时机）、P=心理、I=情报

3.1 人是战术中最大变量

网络防御中所有因素都涉及对人员综合能力的思考，人员应具备开阔的视野和灵敏的洞察力，扎实的计算机全域技术知识，熟悉安全防护设备功能与性能，具备发散性思维和数据、情报、心理综合知识，具备不断接纳新知识并转化为自我实践水平的能力，具备良好的团队合作和沟通能力。防御人员必须编制为基本小组，保证在网络防御中可以轮训替换。每个小组应具备三种角色：操作者角色，熟悉己方资产，定期检查和修补资产漏洞，负责配置网络安全设备规则制定，分析和查找网络、系统、应用的攻击弱点，审查和修复应用代码，识别攻击行为，实施攻击阻断等工作。观察分析者角色，通过个人知识分析和机器数据分析相结合的方式，分析攻击目标和攻击目的，查找和判断未知威胁，对攻防态势提供感知分析和决策支撑。指挥者角色，汇总所有信息，进行认知判断和指挥，决定防御战术，控制有效攻击时间、有效攻击范围和有效攻击伤害，标签化攻击者并评估攻击者心理模型，决定反制战术和措施。评估己方团队和装备，保证防御人员和防御体系均处于最佳状态。

3.2 技术是网络防御战术的基本因素

3.2.1 数据资产要素是技术因素中的基础要素

数据资产包含资产识别、资产赋值、弱点管理等[11]。资产识别要完整、准确对要保护的IT 资源整理和识别，包括：物理资产、软件资产、员工客户等。资产赋值量化资产间相互关系与依赖程度，资产构建关系和核心价值，确定核心资产，即防御的重点。弱点管理对资产弱点进行评估、建立标准基线，进行弱点根除，保持监视与响应等。

3.2.2 装备是技术因素中的重要因素。

装备包括网络防御中使用的防护、检测、分析产品与设备，例如：防火墙、WEB 应用防火墙、入侵检测、感知探针、分析平台等。防护设备要具备高可用数据吞吐性能和与之匹配的网络安全业务处理能力，具备广泛的攻击识别种类和数量，具备威胁快速识别防范能力，具备与感知设备联动功能和分析平台对接功能。检测设备要具备分布式部署能力，可采集不同协议网络流量，具备呈现完整、详细会话能力与和存储空间。分析平台则通过防护设备和检测设备联动实现机器数据采集与整合，在此基础上通过数据预处理、特征提取、态势预测实现数据噪声过滤，具备完整的网络地形和网络态势感知呈现能力和存储空间，具备敏捷快速的威胁识别、分析、告警功能。

3.2.3 网络防御体系是技术因素中的核心要素。

网络防御体系涉及数据资产、防护装备、管理策略、人员的组合应用。网络防御体系要考虑网络资产核心和战术措施，围绕资产核心建立多层交叉防护机制。保证防御核心在遭到全面网络攻击时可用性，以及在同时面临多个区域被突破时部分核心功能的可用性。防御体系的重心是明确防护、检测、分析设备部署位置、规则策略、威胁处理、数据分析方式。进行风险评估、风险预测，确定组织和人员运作、管理方式和应急响应流程，并在实践中不断补充、修改和完善。

3.3 时间（时机）是战术运用的基准点。

时间是网络防御中的“胜负衡量标尺”，也是攻击者实施网络攻击时预期成本中重要因素。对于理性的网络攻击者，当且仅当预期收益超过预期成本时，才被视为有价值[12]。所以时间在网络防御中一是表达行为的初始时间戳，例如：攻击发现时间、攻击识别时间、防御响应时间等。二是表达动作的持续时间间隔，例如：内网攻击时长、系统复原时长等。三是某项措施的介入时机，例如：识别持续攻击后立即开始对源地址的诱导战术等。其中，攻击方主观因素大的是不可控时间，只能通过技术、情报等手段努力缩短过程时长，而防御方的优势在于结合其他因素对可控时间和可控时长的灵活把握。

3.4 心理是战术运用的必要因素。

医学研究表明网络行为会对人类心理产生不同作用，而网络攻击会对人员心理健康产生影响[13]。网络安全中考虑心理因素具有两面性，不仅需要测量和评估攻击者心理状态，建立攻击者心理学特征，例如：性格、情感、状态等。根据技术特征和轨迹判断攻击者心理和目的，不断阻滞攻击者行为、分割其战术目标，使其不断面临新的信息和困难，产生剧烈的心理波动和高强度心理压力，同时也要检测和分析己方防御人员和员工心理情况，及时干预，避免心理影响。

3.5 情报是战术运用的风向标。

网络安全中情报与信息不同，信息经过针对性分析、价值转换后才能称为情报，主要表现在网络防御中预警和溯源等方面。预警是根据1DAY 等网络威胁信息，网络防御方紧急快速收缩攻击面，有效缩短应急响应时间。再者根据攻击来源信息，加强信息收集与分析频率，改善防御方法和措施。溯源是主动地追踪网络攻击发起者、定位攻击源，结合网络取证和情报分析，有针对性地减缓或反制网络攻击。

4 网络防御战术运用

目前，许多优秀的军事战术思想被广泛运用在网络防御中。例如：纵深防御战术，是以多层结构来阻滞攻击破坏力，使攻击流失能，当部分防御节点被入侵时，使攻击方在特定的网络区域内失去攻击能力和攻击效果[14]。主动防御战术。采用主动的、前置的防御措施，利用受约束的辅助行为，阻滞攻击者进入一个敏感网络区域，提高信息系统安全性和可用性[15]。从本质上看，目前的网络防御依然是“触发后响应”的事中、事后反应性模型。“即使战争是防御性的，它仍然经常包含进攻性的成分”[6]，进攻性防御战术依然可以运用到网络安全的事前阶段，网络防御需要从纯粹的反应型模型过渡到诱导型模型，见图1。

图1 诱导型网络防御模型示意图

4.1 运用虚实结合信息，混淆攻击侦查

网络攻击首要阶段是侦查并获取有价值信息，防御战术要从攻击者角度思考，从攻击面入手。攻击面是指信息环境中可以被攻击者输入或提取数据而受到攻击点位[16]。利用信息隐匿和信息伪装混淆攻击方侦查，不断无规律替换和更迭，保证吸引力和诱导效果，保持攻击面的不确定性。

（1）真实资产信息隐匿，缩小真实环境攻击面。例如：隐藏网络路径，网络层设置PING 无响应，TRACERT 信息丢弃；隐匿资产版本信息、WEB 应答，供应链信息；隐匿管理接口、API 接口；隐匿人员社会工程学信息等。

（2）实施信息伪装，扩大虚拟攻击面。利用假目标信息伪装。例如：安全防护设备伪装端口应答、伪装应用程序应答、伪装WEB网站和API 接口、对抗主机伪装数据文件等。

（3）主动投放伪装信息，混淆攻击面。例如：在互联网环境或真实资产中投放不同语境的伪装文档和伪装账号，主动暴露伪装弱点信息，使攻击者更有可能多的收集虚假情报，并在对抗中标记位置与路径，当有用户、IP 或进程与这些伪装资源进行互动时，记录攻击者攻击时间、攻击跳板IP 和其大概语言习惯。

4.2 构建多样化网络地形，削弱攻击效果

网络地形指网络或计算机系统结构及其接口构成的网络环境，构建复杂的网络地形目的是诱导攻击目标、明确对抗区域、分析攻击方法、削弱攻击效果。目前广泛采用的渗透测试只能模拟部分攻击行为和方法，网络攻击方仍有大量未纰漏的战术和方法，合理的做法是把诱导战术与真实环境深度融合，快速变化网络地形，敏捷指挥与控制，更深入的理解网络攻击。

4.2.1 分段设置对抗区域，诱导攻击者行动

在网络边界规划“缓冲区域”，通过边界防护设备，阻断自动化探测和常见攻击威胁，通过检测、分析识别真正具有威胁的攻击者。利用SDN 技术实现可控网络[17]，为攻击者和正常用户无感知分配不同的网络环境，努力呈现给攻击者一个看似简单的防御结构，创建第一层对抗主机或蜜罐，通过路由协议保持攻击者进出路径一致，阻断任何横向网络连接。测量和观察攻击者行为，为防御人员和分析设备感知、理解争取更多数据和时间。在核心业务网络之前规划“对抗区域”，镜像业务系统，伪装数据，利用牵引、阻滞等方式为攻击者提供有价值伪装目标，并在对抗网络或密网中进行分隔和阻断，时刻准备备用方案，防止攻击者突破权限，一旦发现要迅速遏制防御裂口。在核心业务区域内部划分多个子域，严格控制进出每个子域交互数据，过滤用户输入，筛选DNS、网关等外发数据，防止隧道通讯行为，部署终端防护，关注所有用户单次获取的网络权限和应用权限。多个区域间构建网络安全“交叉火力”，即合理配置不同类型、不同厂家的防护设备，灵活运用安全策略，实现同一种网络威胁时在多个网络区域内可以不断过滤。

4.2.2 快速变化网络地形，使攻击程序失效

网络攻击的关键在于攻击程序对漏洞准确识别并成功利用，即攻击方法的工具化和投送利用。利用移动目标防御（MTD），旨在创建动态且不断变化的信息系统[18]，将生产环境架构转变为触发防御架构，依据攻防模型，将所有数据资产看成可轮换元素，依据攻击威胁类型和攻击识别时间不断替换，实现不断变化的系统、中间件以及接口。在网络层面，小型信息应用通过CDN 不断更改设备和系统IP地址，大型信息应用通过分布式架构不断变化关键节点。在应用层面，在应用系统中引入轮训多样性中间件。在接口层面，使用不断变化的应用接口使特定攻击脚本失效等。实现网络地形快速改变，当攻击侦查后，系统情况已经改变，针对原有漏洞的攻击程序失效，攻击者无法实现漏洞利用和安装植入，逼迫攻击者不得不重新侦查，延长对抗时间，使攻击变得困难。

4.2.3 敏捷指挥与控制，认知攻击目的

指挥和控制关系着网络防御体系的整体效能，要在网络地形全面感知的基础上实现快速、高效的行动流程：

（1）感知，在每个区域关键节点部署感知探针，保证探针能获取全面、详细的信息，各探针侦测区域不重叠，将防护、检测、分析等网络安全设备状态与主机、应用等真实环境数据汇聚起来，形成完整的网络地形感知能力，提供威胁来源、时间、位置，实现威胁信息的知识化。

（2）分析，根据威胁任务需求，人工方式与自动化工具相结合，依据情报、信息和特征，判断威胁根本目的和数据资产间相互关系。不断训练和演练，提高分析准确性和实效性。

（3）评估，在计划、准备、实施的各阶段，提炼出有价值信息，评估成功的可能性，快速决策行动措施。

（4）输送，将决策措施及时分发给必要人员，分头实施，持续监视任务状况、对抗进度，及时反馈并继续感知。

4.3 综合利用各种情报，溯源攻击信息

情报的本质是研究对手，战术运用中可分为显性情报和隐性情报。显性情报，例如：攻击方留存的数字ID 信息、恶意程序样本、攻击者社交网络信息等。这些信息可能非常有价值，但也可能混杂了噪声和错误，使用中需要辨别信息真伪，防止攻击方信息伪装，故意释放混淆信息，转移防御方注意力。尽管如此，越来越多网络分析人员还是倾向于选用这类数据进行开源情报OSINT 分析，这类数据能够洞察到某些情报。但这类显性情报不能与现实情报割裂，需要与可信任的安全企业、政府机构、分析专家一起信息共享，合并多种情报数据，利用已知信息片段，检查是否存在相似信息，结合人类情报，社会情报、地理空间情报等其他学科知识，全面了解攻击威胁、攻击人员和背景。然而，隐性情报不会自动出现，要在一定战术方法和环境下才能显现。例如：在防御方不断诱导、阻断战术作用下，攻击方承受巨大心理压力时，无意中暴露的特征或个性化信息。网络攻防双方是“不见面的对抗”，攻击方往往隐藏在跳板主机或网络之后，直接从技术角度溯源难度很大，且要符合法律、法规和道德规范的要求。利用战术实施心理压制，目的是使攻击方泄漏更多隐性情报，这些信息价值往往是显性情报无法提供的。所以，结合技术、心理等手段综合利用各种情报溯源攻击来源、攻击组织和攻击背景才是最佳选择。

4.4 合理利用最佳时机，阻断攻击行为

很多情况下网络防御中不适合武断的执行威胁发现-阻断攻击-隔离业务-系统复原工作流程，这中断了攻击者与防御者联系，攻击方可以通过更换代理IP 等方法重新发起攻击，防御方则需要重新收集、分析、评估，导致消耗大量防御成本，不断重复的过程和防御的本质相矛盾。需要根据防御区域、风险级别、时间等因素选择处置手段，核算防御成本和行动价值，评估发现威胁的数据资产对整体防护影响，根据威胁向前推断攻击时间、攻击入口和攻击路径，向后推演攻击影响。当在“缓冲区”、“对抗区”内发现有攻击痕迹，需要保持一定接触时间，与攻击者维持交互并不断监视，通过跟踪来查找防御体系是否存在安全漏洞、安全设备策略是否有缺陷等，针对性实施诱导方案和数据伪装措施。在“核心区”内发现攻击者痕迹，则立即阻断攻击并评估系统整体防护效能，准备启用备用方案，快速迁移防御核心，确定防御核心不会遭受二次攻击。

5 结束语

总之，网络攻击的方式和方法在不断发展变化，这对网络防御提出了更高要求。“兵无常势，水无常形”，人员、技术、时间（时机）、心理、情报等因素都为网络防御提供了更广阔的思考空间。“战术不是割裂的，而是融合的”，把战术思维融合到网络防御中，运用战术手段应对网络攻击，不断改进网络防御体系，才能提升网络防御效果。“因变而变”，混淆攻击面、变换网络地形、诱导攻击路径，综合情报溯源等技战术融合方式帮助我们在网络安全对抗中占据主动权。