主动防御简述

主动防御可以指军事或网络安全领域中的防御战略。在网络安全领域，主动防御也称为Active Cyber Defense,主动防御是与被动防御相对应的概念。

一、定义

主动防御是在入侵行为对计算机系统造成恶劣影响之前，能够及时精准预警，实时构建弹性防御体系，避免、转移、降低信息系统面临的风险的安全措施。

主动防御也是一种变相的攻击型安全措施（offensive security）。攻击型安全措施的重点是寻找入侵者，计算机系统在某些情况下会使他们丧失入侵能力或者破坏他们的入侵行动。

二、主动防御和被动防御的比较

被动防御是计算机在受到攻击后，受到攻击后，计算机系统采取的安全措施。例如，系统内部的安全审计工具（防火墙或者杀毒软件）扫描或监测出计算机系统内存在木马或者病毒文件，再将它们杀死或者永久删除。修复系统漏洞或者bug也是被动防御。被动防御也是大部分人口中默认的网络安全防御措施。

被动防御技术主要有以下四种：

1. 防火墙技术（传统防火墙）
2. 传统入侵检测技术（IDS）
3. 恶意代码扫描技术
4. 网络监控技术

主动防御和被动防御的区别在于，前者可以提前防范威胁，将潜在的威胁扼杀在摇篮里，后者是计算机在被入侵后被动的采取安全措施。举个简单的例子，对于大部分杀毒软件（以下简称杀软）而言，只能被动的查杀已知病毒。这里的被动的是指，先有新病毒，然后杀软安全厂商提取病毒的特征码后录入到自家的杀软数据库中，最后用户使用杀软对计算机进行查杀病毒。而主动防御是主动捕获流量的变化和程序行为，并对此分析，如果有疑似病毒行为的操作则立刻通知用户进行处理，进而达到将威胁扼杀到摇篮里的目的。

主动防御弥补了传统“特征码查杀”技术对新病毒滞后性的特点。

三、主动防御的方法

主动防御主要是对整个计算机系统进行实时监控，能快速捕获网络流量的变化，对程序行为进行分析，禁止一切可疑行为，从而达到保护计算机系统安全的目的。同时主动防御系统也会收集可疑行为的连接计算机的方式（潜在入侵行为）以及其它有用信息（了解入侵者的信息等）。用户可以通过该信息利用一些“攻击”手段来对抗入侵者，使其入侵难以进行。

主动防御技术主要有以下8种：

1. 数据加密
2. 访问控制
3. 权限设置
4. 漏洞扫描技术(网络安全扫描技术)
5. 蜜罐技术
6. 审计追踪技术
7. 入侵防护技术（布防的新型入侵检测技术）（IPS）
8. 防火墙与入侵检测联动技术

四、主动防御的作用

• 让入侵者的入侵速度变慢或入侵脱轨，使其无法继续入侵或者完成入侵行动，从而增加入侵者犯错的概率并暴露其存在（IP地址）或暴露他们的入侵媒介[3]。
• 增加入侵成本。主动防御也可能意味着"非对称防御"，通过增加入侵者攻击的成本和时间。
• 可以检测和阻止内外威胁。不仅能检测和阻止互联网中（外部威胁）的入侵者对局域网的入侵行为，还能检测局域网中（内部威胁）的攻击行为，包括勒索软件，勒索和加密劫持等。
• 收集取证入侵者犯罪行为。主动防御使系统能够提前主动检测和破坏入侵行动，收集和了解了入侵手法和威胁情报并记录到主动防御系统的数据库中，主动防御系统会做出对应防范策略，以防止类似事件再次发生。
• 向入侵者发动反击。某些特殊场合，主动防御系统会向入侵者发动反击行为。这通常是为军事和执法部门保留的权利，这些部门有资源也有权限确认攻击来源并采取适当的行动。
  备注：个人的反击行为可能会触犯当地法律。建议不要私自采取反击行动。

五、主动防御带来的隐患

主要隐患在于主动防御的目的中的第5点——向入侵者发动反击。主动防御的特点之一是通过主动防御系统，被入侵者可以获得入侵者的大部分信息，包括入侵者的地址，入侵的媒介等。主动防御在破环入侵行为的同时，也可以根据收集的有效信息，对入侵者进行反击，从而击退入侵者。当主动防御系统对入侵者进行反击时，虽然是出于安全目的，但是本质上也等同于网络攻击。

也就是说，这些防御方法是否合法，是否达成了社会性的共识是一个问题。换言之，作为安全策略（即反击行为），对入侵者反击的程度的底线在哪里，如果安全策略不合法，则被入侵者可能会被起诉为攻击者，有被认定为犯罪的风险。此外通过防御系统反击入侵行为，也可能会激怒入侵者，从而引发报复行为。

目前没有法律明确定义了防守反击的度量是什么。什么样的情况下可以被认为是正当的安全策略。大家目前只能在模糊的边界来回徘徊。

六、关于主动防御中防守反击的建议

普通用户，包括个人，企业等在应用主动防御系统时，主要使用了主动防御作用中1-4点。在发现计算机系统被入侵的时候，主动防御系统会收集取证入侵者留下来的痕迹，这些痕迹可以作为法律关键证据，用来起诉入侵者。最典型的案例是，1994年，米特尼克向圣地牙哥超级电脑中心入侵，戏弄在此工作的日裔美籍电脑安全专家下村努，并盗走他电脑的文件，还使用会话劫持技术盗走他网站的流量。后来下村努设立“蜜罐”让米特尼克中计引诱他上钩，用“电子隐形化”技术进行跟踪，结果1995年米特尼克再次被逮捕。类似的像蜜罐技术和欺骗技术这些是主动防御中的合法行为。很多杀软安全厂商们会在互联网上设置各种类型的蜜罐，用来捕获互联网中的黑客入侵手法，新的病毒和木马。以此来完善他们的防病毒数据库。

特殊用户，包括军方，政府安全部门等启用主动防御系统时，在使用主动防御作用中的1-4点的同时，也会利用主动防御的防守反击。以此来查找入侵者，并对其进行反入侵，破坏黑客们的入侵攻势，甚至通过技术手段反入侵到黑客的电脑中。对于这些特殊用户，他们的这种行为是合法的，军方和政府安全部门是以维护国家安全为目的，因此在法律中他们享有一些权限。或者说有特殊的法律支持他们的反击行为。

七、主动防御在国内外的发展

国内比较著名的主动防御厂商是一个名叫微点的反病毒软件公司。北京东方微点信息技术有限责任公司，简称东方微点，英文名Micropoint。据东方微点在其官网上的介绍，刘旭（东方微点创始人）与其团队“采用‘程序行为自主分析判定’技术，于2005年3月，研制成功微点主动防御软件”。微点主动防御软件是北京奥运会开闭幕式运营中心唯一使用的反病毒软件。微点官方声称其“主动防御”技术通过分析程序行为判断病毒，一改过去反病毒软件依据“特征码”判断病毒因而具有的“滞后性”，在防范病毒变种及未知病毒方面具有革命性优势。微点是国际上唯一一款不经升级即能防范“熊猫烧香”病毒的杀毒软件。东方微点的主防在国内称得上屈指可数，但是杀毒能力却一般。

国外知名网络设备供应商思科公司的新一代安全产品中均加入了主动防御系统。根据思科在2019年2月发布的《2019年思科网络安全报告系列 • 威胁报告》[5]，下面三种工具中均含有主动防御的功能。

1. 恶意软件检测和保护技术（例如思科高级恶意软件防护 [AMP]）可以跟踪未知的文件，阻止已知的恶意文件，并防止在终端和网络设备上执行恶意软件。
2. 高级恶意软件检测和防护技术（例如面向终端的思科 AMP）可以防止在终端上执行恶意软件。它还可以帮助隔离、调查和修复受感染的终端，处理绕过最强防御措施的 1% 的攻击
3. 思科下一代防火墙 (NGFW) 和思科下一代入侵防御系统 (NGIPS) 等网络安全解决方案可以检测试图通过互联网进入网络或在网络中移动的恶意文件。网络可视性和安全分析平台（例如思科 Stealthwatch）可以检测出可能表示恶意软件正在激活其负载的内部网络异常情况。最后，网络分段可以防止威胁在网络中横向移动，并遏制攻击的传播。

其中AMP的构建基于无与伦比的安全情报和动态恶意软件分析。思科 Talos 安全情报和研究团队以及 AMP Threat Grid 威胁情报源代表了行业领先的实时威胁情报和大数据分析集合。此数据将从云推送至 AMP 客户端，以便您通过最新的威胁情报，主动防御各种威胁。用户将从以下优势中获益：

• 每天150万个传入恶意软件样本；
• 全球有160万个传感器；
• 每天100TB的数据；
• 130亿Web请求；
• 工程师、技术人员和研究人员组成的全球团队；
• 24小时运行；

八、总结

主动防御一词最早出现在军事用语，后来因为互联网的兴起，互联网安全也愈发受到关注。因为受到技术的原因，早期的互联网安全策略均为被动防御。21世纪初期，国内外防病毒软件厂商们纷纷在自家的杀毒软件中加入主动防御技术。随着大数据分析技术、云计算技术、SDN技术、安全情报收集的发展，信息系统安全检测技术对安全态势的分析越来越准确，对安全事件预警越来越及时精准，安全防御逐渐由被动防御向主动防御转变。

一般的，主动防御技术不是单独存在的，它应用于现有的安全系统中。主动防御技术和传统被动防御技术相结合，形成了新一代的安全系统。例如思科公司的下一代防火墙NGFW——Firepower。

与以往的被动安全策略相比，主动防御虽然被认为是有效的安全策略，但法律上或技术上仍存在问题。如果以主动防御的防守反击作用为突破口，用户承认采取过度的安全策略的话，反而有可能有被入侵者倒打一耙的风险。为了今后能有效地利用主动防御技术，不仅需要从技术角度出发，还需要慎重讨论，制定相关的法律规定。