中圖分類號：TP393.08 文獻標(biāo)志碼：A 文章編碼：1672-7274（2025）05-0097-03

Abstract： With the continuous upgrading of network attack methods，the defense measures against known risks intraditional network security protection modelsareno longerable to meet the security needs of various felds.It is urgent to build a defense strategy thatcan identify andresist various unknown risks based on the Internet operating environment inthenew era.Based onthis，this article comprehensivelyapplies technologies such as mimetic defense， IPDRR framework，ATTamp;CK classification，etc.，and proposes a dynamic network securitydefense strategy based on red blue confrontation，aiming to enhancethe abilityof network recognition and resistance tounknown risksthrough simulated networkatackanddefense exercises.Andcombined with experimentaloperations，the effectivenesof this network security defense mechanism has been verified，aiming to help various fields use network security.

Keywords：red blue confrontation; enterprise security capability framework; ATTamp;CK classification system; dynamic network security defense

與傳統(tǒng)防御策略相比，動態(tài)防御策略可以通過實時監(jiān)控、快速響應(yīng)和靈活調(diào)整防御措施，有效抵御已知和未知的各種風(fēng)險，從而構(gòu)建更加全面和立體的防護機制。因此，本研究提出了一套科學(xué)、有效的動態(tài)網(wǎng)絡(luò)安全防御方案，以應(yīng)對日益嚴峻的網(wǎng)絡(luò)威脅。

1 研究理論基礎(chǔ)

1.1構(gòu)建網(wǎng)絡(luò)安全防御策略的必要性

互聯(lián)網(wǎng)的安全隱患是其基本特性，目前，影響網(wǎng)絡(luò)安全的因素可分為自然因素和人為因素兩大類。自然因素包括用戶在上網(wǎng)過程中偶然遇到的電路故障、火災(zāi)等不可抗力事件，這類風(fēng)險可以通過強化基礎(chǔ)設(shè)施和完善備份來降低。人為因素則涵蓋了用戶的錯誤操作、系統(tǒng)設(shè)計漏洞、對硬件設(shè)施的破壞及黑客攻擊等。由于無法預(yù)測不法分子的攻擊手段、時間和途徑，用戶在使用互聯(lián)網(wǎng)時難以實施針對性的防御措施[1]。這導(dǎo)致當(dāng)前許多企業(yè)和機構(gòu)所采取的互聯(lián)網(wǎng)防御策略顯得相對無效，因此，需要采用動態(tài)化的防御措施，通過實時監(jiān)測、及時響應(yīng)和靈活防御來最大程度地降低網(wǎng)絡(luò)風(fēng)險，保障用戶的安全上網(wǎng)體驗。

1.2相關(guān)概念解析

1.2.1紅藍對抗

紅藍對抗又稱演習(xí)對抗，最早是誕生于軍事領(lǐng)域的一種實兵演練模式，具體實踐過程中通常會將參與演練的人員分為紅方與藍方。其中，藍方主要負責(zé)模擬真實情況向紅方發(fā)起攻擊，而紅方則主要負責(zé)識別藍方的攻擊模式，并在及時反應(yīng)后做出相應(yīng)的應(yīng)對措施。將其應(yīng)用于網(wǎng)絡(luò)安全防御策略之中，則需要一方扮演黑客面向用戶發(fā)起攻擊，而另一方則根據(jù)“黑客”的攻擊做出相應(yīng)的安全防御措施。

1.2.2擬態(tài)防御

擬態(tài)防御是指防守方通過動態(tài)異構(gòu)冗余構(gòu)造和擬態(tài)偽裝的策略構(gòu)建一種似是而非的網(wǎng)絡(luò)環(huán)境與系統(tǒng)，從而使攻擊方無法精準(zhǔn)識別真實目標(biāo)、無法落實攻擊對策，以此提升網(wǎng)絡(luò)防御能力的策略。

1.2.3IPDRR框架

IPDRR框架是指一種能夠根據(jù)企業(yè)自身需求靈活調(diào)整、完善的網(wǎng)絡(luò)安全防御框架，其運行機制（見圖1）可分為5個階段。

（1）風(fēng)險識別（Identify）：對企業(yè)數(shù)據(jù)信息、資產(chǎn)以及整體網(wǎng)絡(luò)環(huán)境所面臨風(fēng)險的識別與確認。（2）安全防御（Protect）：針對具體的風(fēng)險隱患制定并落實相應(yīng)的防御措施，保障用戶用網(wǎng)安全。（3）安全檢測（Detect）：識別網(wǎng)絡(luò)攻擊，并在檢測到攻擊的同一時間達成監(jiān)測，制定并落實相應(yīng)的措施以保障網(wǎng)絡(luò)檢測與防御系統(tǒng)的有效性。（4）安全響應(yīng)（Response）：針對已經(jīng)發(fā)生的攻擊事件進行識別并落實具體的措施。具體如攻擊事件分析、負面影響程度評估、收集證據(jù)、數(shù)據(jù)報警、恢復(fù)系統(tǒng)等。（5）安全恢復(fù)（Recovery）：修復(fù)攻擊后造成的網(wǎng)絡(luò)系統(tǒng)損傷，并修復(fù)網(wǎng)絡(luò)系統(tǒng)既有的安全防護漏洞。

1.2.4ATTamp;CK框架

ATTamp;CK框架又稱MITREATTamp;CK框架，是指面向攻擊者生命周期的高級抽象模型，可以對攻擊者所用攻擊方法、渠道、技術(shù)等進行抽象提煉，為不同用戶所處網(wǎng)絡(luò)環(huán)境的安全防御需求構(gòu)建更便于理解攻擊者行為和技術(shù)的框架。以此為響應(yīng)用戶對企業(yè)、機構(gòu)網(wǎng)絡(luò)安全防御機制的優(yōu)化提供更明確的方向與策略。

2 基于紅藍對抗的動態(tài)網(wǎng)絡(luò)安全防御策略

2.1防御目標(biāo)

基于紅藍對抗理念的動態(tài)網(wǎng)絡(luò)安全防御策略，其核心聚焦于網(wǎng)絡(luò)環(huán)境面臨的各類網(wǎng)絡(luò)攻擊與具體安全問題。此策略依托IPDRR框架，精心構(gòu)建了一個面向網(wǎng)絡(luò)環(huán)境的自適應(yīng)安全防御體系。在運行過程中，該策略強調(diào)為關(guān)鍵網(wǎng)絡(luò)設(shè)施及核心信息裝備提供高度動態(tài)化的服務(wù)能力，以確保其安全性。

2.2實現(xiàn)方法

2.2.1基于紅藍對抗的攻擊模式分析

首先對現(xiàn)階段網(wǎng)絡(luò)攻擊中的常見手段進行分析，同時以ATTamp;CK框架作為本次分析的藍本將常見拆分為初始訪問、持久化攻擊、特權(quán)提升等12個分支（見表1）。通過對這些攻擊階段進行細致的解構(gòu)與分類，構(gòu)建了攻擊行為的詳細模型，將這些模型轉(zhuǎn)化為具體、可識別的攻擊特征集合，即攻擊特征庫。通過模擬真實攻擊場景，能夠更有效地評估防御措施的效能，確保安全防御體系能夠全面、精準(zhǔn)地應(yīng)對各類已知及未知的安全威脅。

2.2.2基于紅藍對抗的動態(tài)防御體系

（1）完全屏蔽：屬于本次所提出安全防護對策中最高等級的動態(tài)化防御機制，其在一定防御范圍內(nèi)，無論是面對源自外部的惡意侵擾或是內(nèi)部的攻擊，都能保證相關(guān)網(wǎng)絡(luò)系統(tǒng)不受任何影響。

（2）不可維持：是指安全防護對策在面對各類攻擊時會短暫調(diào)控其所保護的系統(tǒng)，促使該系統(tǒng)的各類信息出現(xiàn)時間、程度以及概率等都難以確認的“錯誤”。借助這種形式干擾攻擊者，使其難以識別正確信息、無法開展持續(xù)攻擊，在此之后防御對錯會開展“先錯后更正”自愈機制，保障網(wǎng)絡(luò)環(huán)境的穩(wěn)定運行。

（3）難以重現(xiàn)：是指安全防護對策在面對外界或內(nèi)部攻擊時會控制網(wǎng)絡(luò)環(huán)境中的各類系統(tǒng)在自身可承受的范圍內(nèi)呈現(xiàn)動態(tài)化、周期性的“失控”。對于攻擊方而言長時間重復(fù)相同的攻擊很難完全復(fù)現(xiàn)一致的場景，因此這一防御機制可以保障攻擊者在前置環(huán)節(jié)中所取得的攻擊經(jīng)驗不具備可參考性、可繼承性，難以對其整體的攻擊計劃或是后期的攻擊需求產(chǎn)生積極影響。

3 動態(tài)防御效果分析

研究以某公司局域網(wǎng)為核心，綜合參考該公司的業(yè)務(wù)場景、用網(wǎng)環(huán)境等，構(gòu)建了如圖2所示的動態(tài)化防御體系。該防御體系首先對案例公司局域網(wǎng)內(nèi)部署各類組件的服務(wù)器進行系統(tǒng)差異化處理，分別采用了Windows、UNIX等操作系統(tǒng)服務(wù)器進行混淆。

其次，通過在中間件層精心部署多樣化的中間件軟件框架，實現(xiàn)了系統(tǒng)冗余設(shè)置的全面落地。隨后，對局域網(wǎng)內(nèi)的各類業(yè)務(wù)模塊進行了細致的拆分，并依據(jù)不同業(yè)務(wù)模塊的特性，靈活運用Java、Python等多種編程語言進行同構(gòu)化設(shè)計，確保各模塊在編程后均能無縫對接系統(tǒng)功能需求。

當(dāng)組件遭遇外部或內(nèi)部攻擊時，表決器將迅速介入，否決異常組件，并將此信息即時反饋給系統(tǒng)服務(wù)治理模塊，從而確保存在輸出異常的組件能夠自動下線，并觸發(fā)相應(yīng)的維護與調(diào)整流程，保障系統(tǒng)的穩(wěn)定運行。

測試過程中，精心挑選了ATTamp;CK框架中常見的攻擊手法，由紅隊實施，而藍隊則依據(jù)既定的防御策略，靈活應(yīng)對紅隊的攻勢，進行動態(tài)防御與轉(zhuǎn)化處理。

首先，紅隊啟動了情報搜集行動，旨在利用各類工具滲透目標(biāo)網(wǎng)絡(luò)，竊取核心數(shù)據(jù)。由于所提出的安全防御策略具備動態(tài)調(diào)整系統(tǒng)數(shù)據(jù)以應(yīng)對外界攻擊的能力，紅隊每次獲取的端口與指紋數(shù)據(jù)均大相徑庭，導(dǎo)致所收集的數(shù)據(jù)無法有效利用。

隨后，紅隊轉(zhuǎn)而利用Fofa等多個工具，對目標(biāo)系統(tǒng)展開漏洞探測。但遺憾的是，在安全防御策略中，應(yīng)用網(wǎng)關(guān)的設(shè)置能夠有效地將外界攻擊流量進行轉(zhuǎn)發(fā)與靜態(tài)化處理，使得紅隊難以在目標(biāo)系統(tǒng)中捕捉到有效的漏洞信息。

紅隊進一步嘗試利用反序列化漏洞對目標(biāo)系統(tǒng)發(fā)起攻擊，并特別鎖定了Python環(huán)境下的反序列化漏洞作為突破口，精心構(gòu)造攻擊載荷。然而，在執(zhí)行過程中，攻擊載荷在Python模塊中被成功反序列化，并嘗試執(zhí)行Windows命令，但返回的結(jié)果僅為“root”。此外，紅隊在持續(xù)攻擊中還發(fā)現(xiàn)，他們難以在目標(biāo)系統(tǒng)的服務(wù)器目錄中找到其他編程語言編寫的模塊，所有攻擊嘗試均統(tǒng)一返回“輸入錯誤”的提示，這充分驗證了的防御策略在抵御反序列化攻擊方面的有效性。

4 結(jié)束語

基于紅藍對抗的動態(tài)網(wǎng)絡(luò)安全防御策略能夠有效解決既有網(wǎng)絡(luò)環(huán)境運行過程中無法自主識別、防御未知攻擊的問題。在后續(xù)的研究中可以通過引入大數(shù)據(jù)分析技術(shù)、增加鑒權(quán)處理等方式，進一步強化安全防護對策的權(quán)限控制能力。

參考文獻

[1]秦緒豪.擬態(tài)Web服務(wù)輸出裁決算法研究[D].北京：中國電子科技集團公司電子科學(xué)研究院，2023.