引言

為應對常見的安全風險（如非法訪問、網絡惡意攻擊、網絡數據泄露、網絡病毒、非法外聯、違規外設接入、勒索軟件、終端非授權使用等），往往會針對性部署防火墻、主機入侵檢測/入侵防御系統、終端檢測和響應［1］(Endpoint Detection and Response，EDR)、惡意代碼查殺、主機安全管理系統、主機外設管控系統、基于電子鑰匙的身份認證等安全措施。

當前安全防護措施的處置過程，以網絡數據泄露為例，如圖1所示，主要包括：

（1）針對安全風險（已知漏洞）；

（2）部署安全措施（特征匹配、主動檢測）；

（3）檢測發現安全事件；

（4）安全響應處置。

現有安全防護機制是典型的以現象和結果作為切入點，其存在如下問題：一是始終無法有效防范APT［2］攻擊，特別是對基于0day漏洞［3］的未知攻擊往往無法實現有效防護；二是多重安全機制導致防護性能低下，已影響當前安全產品廣泛應用推廣；三是多維度安全檢測數據難以融合分析，異構安全數據的關聯分析一直是困擾安全檢測有效性與準確性的核心理論問題；四是安全檢測與攻擊規避對立問題［4］，當前安全檢測未充分考慮攻擊規避對抗，導致檢測措施可被攻擊方規避繞過［5］，從而造成檢測失效。

從目前攻防對抗發展趨勢來看，安全風險的“日新月異”導致安全防護的“無邊擴展”，而這種應對式無序發展，造成的結果就是終端上安全軟件堆砌、安全防護系統整體運行效能低下，終端安全對抗一直處于“道高一寸，魔高一尺”的追趕局面。

圖1以數據泄露為例當前攻防檢測與反制措施分析

其產生的原因在于：目前安全防護機制是“以現象為切入、以工程思維進行分析、亡羊補牢式的”安全防護。本文針對當前安全防護“頭痛醫頭，腳痛醫腳”、治標不治本、未從安全防護本質上來解決問題的不足，從安全攻防內在機理上進行溯源分析，從根本上分析安全威脅的成因。即要克服現有終端安全機制的弊端，需要轉變方法思路，從清本溯源角度來解決終端安全防護問題。

本文詳細內容請下載：

http://m.rjjo.cn/resource/share/2000006263

作者信息：

祝林，鄔江，劉克斌，鐘杰

（中電長城網際安全技術研究院（北京）有限公司，北京100097）