文 / 杜跃进，本文来源于人民网和《中国信息安全》联合推出的网络空间战略论坛

　　树立总体国家安全观，我们必须战略清晰，重点从国家间网络安全对抗的视角，适应网络安全的“大时代”，瞄准网络空间的“大事件”，抓住顶层设计的新机遇，形成时空维度的新战略，推出实现网络强国的“大思路”。尤其要基于“多维度”的知识体系、相互关联的“深度分析”，培养异常发现的新能力，逐步探索形成支撑总体国家安全的网络空间“博大精深”之路。

　　一、我们正处于网络安全的“大时代”

　　我们目前似乎正处于一个“大时代”：

　　去年有一个持续超级火热的“大事件”，就是斯诺登曝光的“棱镜门”事件。这个事件让“网络安全”这件原来技术圈部分人讨论的事情，变成全世界人的谈话热点了。对我们来说，棱镜门事件最直接的意义在于，过去我们很多关于网络安全的猜测，如今得到证实了。2010年的“震网”（Stuxnet）和2012年的“火焰”（Flame）之后，我在很多报告中介绍过几个“自问”，例如：会不会有类似的高级威胁是针对中国的、正潜伏在中国的网络中？我认为有，但我们目前不了解，没有证据；一些国家宣称其“网络武器库”中有好几千种网络武器，因此是不是还有很多不同于“震网”或者“火焰”的网络武器？我认为一定有，但是我们谁也不知道是什么什么样的。或许有一天这些武器被用在我们身上并给我们造成重大损失之后我们才会知道，可是那时候知道了还有什么用呢。如今，棱镜门事件之后，我的那些“自问”的问号，已经可以拉直了；

　　棱镜门事件反映的是“老大哥”（BigBrother）的事情。这个“大哥”可不仅是“照看”本国公民的，而是把触角伸到了全世界，把“照看”的对象扩大到了其他国家。对本国的事情可以在国内立法，可把手伸到全球，依据的是什么法呢？而且，联系到之前其他的事情的话，不难发现这个“大哥”可不仅仅是在“看”，还会动手的；

　　相比过去威胁网络安全的对手来说，如今我们面对的是“大玩家”。过去我们的网络安全对手，主要是纯粹技术性的黑客或“脚本小子”、以非法获利为目的的计算机犯罪分子或组织、各种各样的网络窃密者等等。可是如今的这个“大玩家”，代表的是国家力量，服务的是国家间的综合对抗和博弈，会综合考虑政治、外交、经济、社会、军事等各种因素。“大玩家”的网络安全攻击动机与过去的对手相比可能十分不同，因此他们可能选择不同的目标（对他们来说，对“有价值目标”的定义可能很不一样）、他们掌握不同的资源（用于实施网络攻击。尤其是拥有网络空间战略优势的国家）、他们可能采用不同的方法（包括利用产业优势的方法，甚至网络空间之外的方法）、具备不同的能力（整合多方面的顶级专家构建武器级的攻击能力）等。这一切会导致我们需要关注的保护对象发生很大变化、我们过去的安全对抗经验开始过时、我们认为不可能的一些事情变成可能、我们认为很安全的一些措施不再安全；

　　棱镜门事件透露了美国通过其信息巨头的“大数据”构建监控能力的事实。“大数据”本身目前就是一个最热的概念，而从安全的角度来看，“大数据”带来的是“大问题、大头疼”。“大数据”热，在催生大量新兴的应用，也在引导所有的行业注重收集尽量多的各种各样、各行各业的数据。和过去相比，数据本身的丰富性给个人隐私带来的威胁、数据信息大量集中甚至集中在其他国家给国家安全带来的严重威胁，都变成一个异常严峻的问题。

　　这么多带“大”的热词，实际上反映的都是一个问题：今天的网络安全已经进入到一个全新的时代。在这个新时代里，我们面临的网络安全威胁、我们的应对思路和能力要求等，都和过去不一样了。

　　二、原来的网络安全思路和能力不适应新的时代

　　斯诺登事件以及之前的“震网”、“火焰”等一系列事件，都用事实证明了我们原来的网络安全思路和能力不适应“大玩家”带来的安全挑战。具体地说，新的安全形势下给我们带来巨大挑战的是APT，即高级持续性威胁，尤其是“大玩家”即国家势力发起的APT。

　　APT是什么？这个定义十分混乱。但是实际工作中我们或许不需要纠结于究竟应该怎么定义它，而是抓住其本质特点就行了。APT的本质并不在于它所使用的技术手段，所以按照传统的技术分类的角度根本定义不清楚：APT不是僵尸网络、木马，也不是蠕虫，但APT攻击中这些又都可能包含。APT的本质是“非常有目标攻击”，换句话说，APT在选定目标上不是随机的。这个目标可能是一个特定的网络或系统、一份特定的文件、某个特定的机构或个人等。这是APT和其他威胁的最大区别。

　　APT中关键的是“P”（持续），攻击者选定了目标之后会持续尝试，而是不是“A”（高级）则只是一个相对的概念。用个比方来说，APT就是“贼惦记”，而不是过去的被贼“顺手牵羊”。如果贼惦记你，他会怎么做？如果是bigbrother惦记你，他会怎么做？这样想就很容易理解了：如果贼惦记上你的话，除非你是彻底不设防的，否则一定是一个持续的过程（P）。攻击者会持续研究了解你的安全防范，寻找弱点，研制专门针对你的攻击方法，或等待你疏忽打盹的时候下手。信息化社会、大数据、社交网络、移动智能终端等热点，则是今天攻击者更加容易针对性地研究其目标，获取其社交关系、发动高级的社会工程学攻击等的条件。这会让今天的被攻击者防不胜防。

　　有人总结APT说有几个典型的技术特点，例如未知恶意代码、零日漏洞、加密通信等。国际上也有很多人拿不少APT案例进行分析，总结这些案例的技术特点。但我认为这些总结都不构成APT的充分必要条件，因此不能依此作为APT的定义，而只能作为参考。举个例子，如果说攻击者盯上某个目标，然后通过其亲戚朋友关系，或者通过酒桌上的刺探最终找到目标的口令然后直接进入系统，算不算APT呢？这个当然算，可是没有出现上面提到的技术特点。类似地，通过在现实世界中设饵诱骗被攻击目标使用特定设备（即Baiting攻击），从而使攻击程序进入特定网络系统，也不属于传统的那些技术手段。我们还可以回想一下那些国际上著名的安全企业被黑客用社会工程学方法攻破的案例，也会发现类似情况。因此，不应该仅仅从当前案例总结出来的技术细节研究APT的应对，而应该设法抓住APT的本质，才有可能找到更加有效的策略。

　　理解了APT，实际上就自然能理解为什么传统的方法无法应对新时代的安全威胁了。

　　基于特征（Signature）的安全是过去几十年来的一个基本安全理念。这一理念本来就已经受到各种自动变化的海量恶意软件的冲击了，在APT中这一方法的缺陷更加致命：攻击者会研制使用专门针对特定目标的攻击方法，防护者并没有机会提前在别的地方见识过这种攻击方法，因此根本无法提前提取出特征。而且很多专门的攻击程序，使用一次以后也不会再用了，这也是网络战中网络武器的特点。

　　基于信誉的安全是另外一个很多产品都在使用的方法。这种方法试图对用户的网络交互对象（包括使用的软件）进行“黑名单”或者“白名单”类型的筛选，以减少用户风险。但是一方面对用户网络之外的整个世界进行描述本身就是一个不可能完善的事情（哪怕是掌握巨大数据的国际互联网公司），另一方面，高水平的APT攻击也会十分“低调”和隐蔽，难以提前或者从其他案例中获得足够的针对性信息。

　　基于“云”的安全也是近年来流行的理念，指的是大量用户的安全检测工作实质上被放到“云端”进行，从而达到理论上任何用户遇到的安全事件，在云端分析后能够很快形成策略分发给其他的用户，提升其他用户的防范能力。但是在具体实践过程中，攻击者已经想出了很多针对性的方法来规避这种机制，在很多材料中有过介绍。

　　三、网络安全的未来之路：“博大精深”

　　和过去相比，我们的对手不同了，传统的方法也不灵了。应对新的安全形势，需要跳出传统的思维惯性，建立新的思路。网络安全攻防对抗如同一个不断“进化”的过程，不同的传统方法也是根据安全威胁的变化而不断进化的。既然这些方法已经不适应新的形势，那么未来的进化方向是什么呢？“异常发现”是一个基本方向，“博大精深”是核心要求。

　　（一）“大思路”和“大视野”的异常发现

　　APT给传统安全方法带来挑战的本质原因是针对特定目标的专门定制化的攻击过程，导致从各种角度都很难提前获得特定攻击的具体特点。于是，如果防御方对自己的了解足够充分详细，就能够感知到由于攻击导致的某种异常，之后就有可能进一步通过针对性的调查分析发现具体的攻击行为。一个通俗的比方就是，我可能不知道怎么了，但是能感觉到不对劲。这就如同医学领域中人类经常能够先确定甚至治疗某些疾病，但是很多年之后才找到导致这些疾病的病毒或原因一样。随着人类不断完善对自身的了解，也就能够不断提升对新的疾病的了解和治愈能力。

　　异常发现的思路实际上已经有很多实践了，传统网络安全方法中也有基于行为描述的安全，这种方法试图发现软件或用户在主机或网络中的“异常”行为（如流量变化），进而判定是否受到攻击。例如2003年1月，突然发现所有的网络中都出现UDP1434/1435流量的大幅增长，这是不符合常规的，于是可以启动分析进而判定是发生了大规模网络蠕虫，经过的采样调查可以确认是SQLSLAMMER。还有一些技术，可以对特定用户的打字速度进行记录，如果发现这个人突然打字速度是平时的两倍，那可能是被别人冒用了。在金融领域，通过用户登录银行账户之后的行为轨迹，可以明显看出正常用户和非法用户的不同。这种比对是不依赖于对恶意代码、漏洞、非法登录等传统安全特征的识别的。

　　但是显然这种模式的效果取决于对“正常”行为模式描述的准确性和完备性，而过去仅仅通过局部环境、简单维度以及基于采样数据积累的知识所建立的“正常”模型，显然是容易被计划周密的高级攻击行为所模仿从而失去效果的。“盲人摸象”其实说的也是类似的道理：用于分析的数据不够大，可能看到的是一块皮肤，而如果退后几步综合更大的数据看，才会发现实际上是一头大象。

　　因此，未来需要的是大视野下的异常发现，其所感知的“异常”不仅仅定义在主机行为或者网络流量行为上，而是更加综合全面、范围更大。在金融领域，基于大量用户的正常金融交易关系数据进行分析，就能够发现很多金融犯罪活动甚至犯罪团伙，就是一个例子。“火焰”病毒可以绕过所有的安全机制，但是如果对所有获得签名的程序的大小有过积累，会发现忽然出现一个十分巨大的“合法程序”，也会触发异常。随着医学的进步，我们的健康指标进一步细化，就会发现更多的未知疾病。

　　大视野并不仅仅指的是简单地扩大分析数据的规模，还包括要强调整体性，要有大思路。

　　大视野的角度如何看风险分析？我们都知道如今的互联网以及其上的各种应用有很强的相互关联性。在传统通信行业我们说基础通信网络有“全程全网”的特性。新一代信息技术至少包括融合、泛在、移动、宽带、智能等七个基本属性，等等。其实这一切都意味着，我们如今面临的是一个高度复杂的、相互关联的系统，任何侧面的任何一点小问题，都可能在网络空间中产生蝴蝶效应。2009年的暴风影音事件，就是非常典型的案例。软件设计的问题、DDoS应对的问题、域名业务量估计和服务能力配备的问题等等，全都交织在一起。可是我们目前对通信网络、对互联网很多重要应用的风险评估，依然是拆分成网络单元来开展的，因此我们至今无法对整体网络的风险给出科学的分析评估，类似暴风影音的事件随时还可能发生，只不过下一次的动机不见得和上次一样，可能是“大玩家”了。

　　大视野的角度如何看移动互联网安全？移动互联网安全现在十分火热，人人都在做智能终端和应用软件的安全检测。但是对应用软件的安全检测，只是移动互联网安全的一个环节，只有把移动应用商店的“源头”、恶意程序运行的网络“路径”、以及特定用户终端的“末端”相互结合起来，真正实现相互配合，才有可能对更高效地遏制猖獗的移动互联网恶意攻击行为。具体的方法我们也发表过，但目前看到的依然是各自为战。

　　（二）“多维度”的知识体系

　　异常发现不仅需要“大视野”，还需要“多维度”。多维度是指多层次、多来源的知识积累和异常分析，具体地说，就是对安全威胁的分析不能仅仅基于安全系统或者服务系统日志等数据，还需要建立和其他维度知识数据的结合。

　　例如APT中经常使用的社会工程学攻击，尤其是前期搜集跟踪攻击对象的各种信息，这些行为都很难用传统的安全系统检测到。那么是不是对社会工程学攻击的应对就彻底放弃了呢？2007年的时候就开始出现针对工业控制系统安全的研究，并有人预言五年之内工业控制系统可以通过互联网实现攻击。2010年“震网”被发现，那么几年前的这些信息能否提前就应该引起重视呢？2001年的所谓“中美黑客大战”，起因是南海撞机事件，现实世界中的事件和网络空间中的攻击有没有可能建立关联呢？

　　这些年国际上比较流行的一些说法，比如“基于智能/情报的安全”（intelligencebasedsecurity）或者“知识驱动的安全”（knowledgedrivensecurity），什么是“知识”或者“情报”？不应该被仅仅理解为原来我们熟知的漏洞库、恶意代码库、事件库等等，而必须是更多维度的信息整合。这个特点，可以称之为“博”：和“大”不同，指的是更宽的范围和领域。

　　对“博”的理解，还有另外一个十分关键的角度：什么是事件。从2006年开始，我一直试图说明，完整的“事件”所包括的不仅仅是“如何”（攻击者使用了什么方法、用了什么攻击程序或漏洞、什么时间等），还包括更加重要的“谁”（攻击者、攻击来源）以及“为什么”（攻击目标、攻击目的）等。如今看来，完整的“事件”概念，或许应该直接称之为“威胁”更为恰当。APT的“T”，也是威胁，对APT的应对，也应该从狭义的事件发现和处置，延伸到威胁预警、分析与应对。

　　过去对狭义事件的发现和处置，导致我们就算看到了“震网”的程序，也没有发现其实它的真正目标是工业控制系统，直到它完成了任务。过去对狭义事件的发现和处置，还使我们疲于处置成千上万的看似不相关的事件，却无法发现实际上它们有关系的、来自同一个攻击者、是一个威胁中的一部分。而对威胁的感知、分析和应对，则需要不同的思路，其中的关键之一是需要“博”的分析。

　　（三）相互关联的“深度分析”

　　知识体系建设和异常发现，都离不开“深度分析”，而且必须建立多个视角的相互关联的深度分析。

　　深度分析的核心至少包括恶意代码、安全事件与宏观数据三个方面。与传统的分析不同的是，恶意代码的深度分析不仅局限于提取其本机特征、网络特征、联络信息等（用于各种安全设备），还要包括所使用的算法、程序编写特点、程序编写时间、可能的编写者来源、与其他恶意程序之间的关系、哪些安全事件与之相关等；安全事件的深度分析不仅局限于确定攻击者所使用的攻击程序、攻击源地址和目的地址等，还要包括多跳回溯发现真正的控制者信息、攻击行为的动机分析等；宏观数据的深度分析不仅包括简单的关联和展示等，还包括恶意代码、漏洞、事件等的综合分析，包括多个不同事件的多角度关联等。

　　深度分析的核心目的是为了发现攻击动机，发现重大安全威胁。长期的深度分析形成的积累，则是知识体系中的一个组成部分。

　　（四）“大玩家”比的是“精”能力

　　“精”指的是精细化的分析和细节能力。这是受到在国外技术会议上所见所闻的启发。我们看到国外尤其是信息发达国家，网络安全方面的很多事情做得越来越精细。这些东西貌似很多年前我们就有了，但是今天我们用的和过去差别不大，而先进国家却在不断完善，精益求精。例如事件描述、事件信息共享等等，原来也有标准和实践，但是别人在根据情况的变化不断地完善和改进。

　　“大玩家”入场，意味着开始了国家间的安全对抗，意味着对抗双方比较的是各自最精尖的能力。这和过去我们与计算机犯罪分子以及各种黑客团伙的对抗是不同的。

　　“精”的另外一层含义是，要从众多的安全事件中精挑细选，找出真正严重的威胁；要从庞大的多维的数据进行持续的精深的分析，从中找出重大威胁的脉络来。

　　四、小结

　　传统的网络安全方法和能力无法应对未来的网络安全威胁，尤其国家级的威胁。未来的网络安全能力建设的一个关键是基于知识的异常发现。异常发现并不解决最终的问题，而是作为启动针对性调查分析的关键触发器。未来的网络安全能力建设，需要遵循“博大精深”的发展方向。

　　所谓“博”，指的是需要多维度的知识构建，需要“带外信息”的支持与整合；需要多维度的异常感知，不仅仅是一个简单的流量变化模型或简单的异常行为，而是综合到一起来感知，这种感知能力越丰富，越精确，越有可能高级安全威胁；需要多维度的威胁分析，包括攻击者及其动机，聚焦攻击源、攻击路径、攻击目标的不同角度的信息整合与关联分析；

　　所谓“大”，指的是大视野的分析和应对思路，强调整体的配合，强调使用更大规模相互关联的数据和信息进行分析。实际上“大视野”还包括技术以外的含义，例如通过发展解决一些被动问题，通过法律和政策建立更好的安全环境，基于国家利益和国际关系的视角进行安全威胁的分析等。

　　所谓“精”，指的是新阶段的网络安全对抗强调细节，每一个环节都要精益求精，通过这种方法来提高效率。需要持续不断的研究、建设和积累，构建应对国家级网络安全威胁的最精锐的能力和人员队伍。

　　所谓“深”，指的是深度分析，要对恶意代码、安全事件和宏观数据展开相关联的深度分析，识别与梳理安全威胁，发现重大威胁极其动机，积累相关知识。

　　欢迎大家加入科技杂谈菁英汇，交流思想、分享信息。仅限行业商端人士参与。参与方式：点击左下方“阅读原文”填写您的加入信息，科技杂谈通过审核后，会添加入群。

本文仅代表作者观点，科技杂谈授权刊登。

转载必须注明作者与科技杂谈，侵权必究。

科技杂谈文章，均同步发布于犀牛财经网。

已入驻搜狐新闻客户端，网易阅读客户端。