一,、定義

主動防御是在入侵行為對計算機系統(tǒng)造成惡劣影響之前,，能夠及時精準預警，實時構建彈性防御體系，避免,、轉移,、降低信息系統(tǒng)面臨的風險的安全措施。

主動防御也是一種變相的攻擊型安全措施（offensive security）,。攻擊型安全措施的重點是尋找入侵者,，計算機系統(tǒng)在某些情況下會使他們喪失入侵能力或者破壞他們的入侵行動。

二,、主動防御和被動防御的比較

被動防御是計算機在受到攻擊后,，受到攻擊后，計算機系統(tǒng)采取的安全措施,。例如,，系統(tǒng)內(nèi)部的安全審計工具（防火墻或者殺毒軟件）掃描或監(jiān)測出計算機系統(tǒng)內(nèi)存在木馬或者病毒文件，再將它們殺死或者永久刪除,。修復系統(tǒng)漏洞或者bug也是被動防御。被動防御也是大部分人口中默認的網(wǎng)絡安全防御措施,。
被動防御技術主要有以下四種：

1. 防火墻技術（傳統(tǒng)防火墻）

2. 傳統(tǒng)入侵檢測技術（IDS）

3. 惡意代碼掃描技術

4. 網(wǎng)絡監(jiān)控技術

主動防御和被動防御的區(qū)別在于,，前者可以提前防范威脅，將潛在的威脅扼殺在搖籃里,，后者是計算機在被入侵后被動的采取安全措施,。舉個簡單的例子，對于大部分殺毒軟件（以下簡稱殺軟）而言,，只能被動的查殺已知病毒,。這里的被動的是指，先有新病毒,，然后殺軟安全廠商提取病毒的特征碼后錄入到自家的殺軟數(shù)據(jù)庫中,，最后用戶使用殺軟對計算機進行查殺病毒。而主動防御是主動捕獲流量的變化和程序行為,，并對此分析,，如果有疑似病毒行為的操作則立刻通知用戶進行處理，進而達到將威脅扼殺到搖籃里的目的,。

主動防御彌補了傳統(tǒng)“特征碼查殺”技術對新病毒滯后性的特點,。

三、主動防御的方法

主動防御主要是對整個計算機系統(tǒng)進行實時監(jiān)控,，能快速捕獲網(wǎng)絡流量的變化,，對程序行為進行分析，禁止一切可疑行為,，從而達到保護計算機系統(tǒng)安全的目的,。同時主動防御系統(tǒng)也會收集可疑行為的連接計算機的方式（潛在入侵行為）以及其它有用信息（了解入侵者的信息等）。用戶可以通過該信息利用一些“攻擊”手段來對抗入侵者，使其入侵難以進行,。
主動防御技術主要有以下8種：

1. 數(shù)據(jù)加密

2. 訪問控制

3. 權限設置

4. 漏洞掃描技術(網(wǎng)絡安全掃描技術)

5. 蜜罐技術

6. 審計追蹤技術

7. 入侵防護技術（布防的新型入侵檢測技術）（IPS）

8. 防火墻與入侵檢測聯(lián)動技術

四,、主動防御的作用

• 讓入侵者的入侵速度變慢或入侵脫軌，使其無法繼續(xù)入侵或者完成入侵行動,，從而增加入侵者犯錯的概率并暴露其存在（IP地址）或暴露他們的入侵媒介[3],。

• 增加入侵成本。主動防御也可能意味著'非對稱防御',，通過增加入侵者攻擊的成本和時間,。

• 可以檢測和阻止內(nèi)外威脅。不僅能檢測和阻止互聯(lián)網(wǎng)中（外部威脅）的入侵者對局域網(wǎng)的入侵行為,，還能檢測局域網(wǎng)中（內(nèi)部威脅）的攻擊行為,，包括勒索軟件，勒索和加密劫持等,。

• 收集取證入侵者犯罪行為,。主動防御使系統(tǒng)能夠提前主動檢測和破壞入侵行動，收集和了解了入侵手法和威脅情報并記錄到主動防御系統(tǒng)的數(shù)據(jù)庫中,，主動防御系統(tǒng)會做出對應防范策略,，以防止類似事件再次發(fā)生。

• 向入侵者發(fā)動反擊,。某些特殊場合,，主動防御系統(tǒng)會向入侵者發(fā)動反擊行為。這通常是為軍事和執(zhí)法部門保留的權利,，這些部門有資源也有權限確認攻擊來源并采取適當?shù)男袆印?br> 備注：個人的反擊行為可能會觸犯當?shù)胤?。建議不要私自采取反擊行動。

五,、主動防御帶來的隱患

主要隱患在于主動防御的目的中的第5點——向入侵者發(fā)動反擊,。主動防御的特點之一是通過主動防御系統(tǒng)，被入侵者可以獲得入侵者的大部分信息,，包括入侵者的地址,，入侵的媒介等。主動防御在破環(huán)入侵行為的同時,，也可以根據(jù)收集的有效信息,，對入侵者進行反擊，從而擊退入侵者,。當主動防御系統(tǒng)對入侵者進行反擊時,，雖然是出于安全目的，但是本質(zhì)上也等同于網(wǎng)絡攻擊,。

也就是說,，這些防御方法是否合法，是否達成了社會性的共識是一個問題。換言之,，作為安全策略（即反擊行為）,，對入侵者反擊的程度的底線在哪里，如果安全策略不合法,，則被入侵者可能會被起訴為攻擊者,，有被認定為犯罪的風險。此外通過防御系統(tǒng)反擊入侵行為,，也可能會激怒入侵者,，從而引發(fā)報復行為。

目前沒有法律明確定義了防守反擊的度量是什么,。什么樣的情況下可以被認為是正當?shù)陌踩呗?。大家目前只能在模糊的邊界來回徘徊?/p>

六、關于主動防御中防守反擊的建議

普通用戶,，包括個人,，企業(yè)等在應用主動防御系統(tǒng)時，主要使用了主動防御作用中1-4點,。在發(fā)現(xiàn)計算機系統(tǒng)被入侵的時候,，主動防御系統(tǒng)會收集取證入侵者留下來的痕跡，這些痕跡可以作為法律關鍵證據(jù),，用來起訴入侵者,。最典型的案例是,，1994年,，米特尼克向圣地牙哥超級電腦中心入侵，戲弄在此工作的日裔美籍電腦安全專家下村努,，并盜走他電腦的文件,，還使用會話劫持技術盜走他網(wǎng)站的流量。后來下村努設立“蜜罐”讓米特尼克中計引誘他上鉤,，用“電子隱形化”技術進行跟蹤,，結果1995年米特尼克再次被逮捕。類似的像蜜罐技術和欺騙技術這些是主動防御中的合法行為,。很多殺軟安全廠商們會在互聯(lián)網(wǎng)上設置各種類型的蜜罐,，用來捕獲互聯(lián)網(wǎng)中的黑客入侵手法，新的病毒和木馬,。以此來完善他們的防病毒數(shù)據(jù)庫,。

特殊用戶，包括軍方,，政府安全部門等啟用主動防御系統(tǒng)時,，在使用主動防御作用中的1-4點的同時，也會利用主動防御的防守反擊。以此來查找入侵者,，并對其進行反入侵,，破壞黑客們的入侵攻勢，甚至通過技術手段反入侵到黑客的電腦中,。對于這些特殊用戶,，他們的這種行為是合法的，軍方和政府安全部門是以維護國家安全為目的,，因此在法律中他們享有一些權限,。或者說有特殊的法律支持他們的反擊行為,。

七,、主動防御在國內(nèi)外的發(fā)展

國內(nèi)比較著名的主動防御廠商是一個名叫微點的反病毒軟件公司。北京東方微點信息技術有限責任公司,，簡稱東方微點,，英文名Micropoint。據(jù)東方微點在其官網(wǎng)上的介紹,，劉旭（東方微點創(chuàng)始人）與其團隊“采用'程序行為自主分析判定’技術,，于2005年3月，研制成功微點主動防御軟件”,。微點主動防御軟件是北京奧運會開閉幕式運營中心唯一使用的反病毒軟件,。微點官方聲稱其“主動防御”技術通過分析程序行為判斷病毒，一改過去反病毒軟件依據(jù)“特征碼”判斷病毒因而具有的“滯后性”,，在防范病毒變種及未知病毒方面具有革命性優(yōu)勢,。微點是國際上唯一一款不經(jīng)升級即能防范“熊貓燒香”病毒的殺毒軟件。東方微點的主防在國內(nèi)稱得上屈指可數(shù),，但是殺毒能力卻一般,。

國外知名網(wǎng)絡設備供應商思科公司的新一代安全產(chǎn)品中均加入了主動防御系統(tǒng)。根據(jù)思科在2019年2月發(fā)布的《2019年思科網(wǎng)絡安全報告系列 · 威脅報告》[5],，下面三種工具中均含有主動防御的功能,。

1. 惡意軟件檢測和保護技術（例如思科高級惡意軟件防護 [AMP]）可以跟蹤未知的文件，阻止已知的惡意文件,，并防止在終端和網(wǎng)絡設備上執(zhí)行惡意軟件,。

2. 高級惡意軟件檢測和防護技術（例如面向終端的思科 AMP）可以防止在終端上執(zhí)行惡意軟件。它還可以幫助隔離,、調(diào)查和修復受感染的終端,，處理繞過最強防御措施的 1% 的攻擊

3. 思科下一代防火墻 (NGFW) 和思科下一代入侵防御系統(tǒng) (NGIPS) 等網(wǎng)絡安全解決方案可以檢測試圖通過互聯(lián)網(wǎng)進入網(wǎng)絡或在網(wǎng)絡中移動的惡意文件。網(wǎng)絡可視性和安全分析平臺（例如思科 Stealthwatch）可以檢測出可能表示惡意軟件正在激活其負載的內(nèi)部網(wǎng)絡異常情況,。最后,，網(wǎng)絡分段可以防止威脅在網(wǎng)絡中橫向移動,，并遏制攻擊的傳播。

其中AMP的構建基于無與倫比的安全情報和動態(tài)惡意軟件分析,。思科 Talos 安全情報和研究團隊以及 AMP Threat Grid 威脅情報源代表了行業(yè)領先的實時威脅情報和大數(shù)據(jù)分析集合,。此數(shù)據(jù)將從云推送至 AMP 客戶端，以便您通過最新的威脅情報,，主動防御各種威脅,。用戶將從以下優(yōu)勢中獲益：

• 每天150萬個傳入惡意軟件樣本；

• 全球有160萬個傳感器,；

• 每天100TB的數(shù)據(jù),；

• 130億Web請求；

• 工程師,、技術人員和研究人員組成的全球團隊,；

• 24小時運行；

八,、總結

主動防御一詞最早出現(xiàn)在軍事用語,，后來因為互聯(lián)網(wǎng)的興起，互聯(lián)網(wǎng)安全也愈發(fā)受到關注,。因為受到技術的原因,，早期的互聯(lián)網(wǎng)安全策略均為被動防御。21世紀初期,，國內(nèi)外防病毒軟件廠商們紛紛在自家的殺毒軟件中加入主動防御技術,。隨著大數(shù)據(jù)分析技術、云計算技術,、SDN技術,、安全情報收集的發(fā)展，信息系統(tǒng)安全檢測技術對安全態(tài)勢的分析越來越準確,，對安全事件預警越來越及時精準,，安全防御逐漸由被動防御向主動防御轉變,。

一般的,，主動防御技術不是單獨存在的，它應用于現(xiàn)有的安全系統(tǒng)中,。主動防御技術和傳統(tǒng)被動防御技術相結合,，形成了新一代的安全系統(tǒng)。例如思科公司的下一代防火墻NGFW——Firepower,。

與以往的被動安全策略相比,，主動防御雖然被認為是有效的安全策略，但法律上或技術上仍存在問題,。如果以主動防御的防守反擊作用為突破口,，用戶承認采取過度的安全策略的話,，反而有可能有被入侵者倒打一耙的風險。為了今后能有效地利用主動防御技術,，不僅需要從技術角度出發(fā),，還需要慎重討論，制定相關的法律規(guī)定,。 

參考文獻：
[1]: 主動防御.
[2]: 信息安全工程師筆記關于主動防御與被動防御,、主動攻擊與被動攻擊的分析, 披著文科的技工.
[3]: active defense.
[4]: 2019 年思科網(wǎng)絡安全報告系列 · 威脅報告.
[5]: 思科高級惡意軟件防護.
[6]: アクティブディフェンスとは？メリットデメリットや今後の展望について徹底解説.