引言

为应对常见的安全风险（如非法访问、网络恶意攻击、网络数据泄露、网络病毒、非法外联、违规外设接入、勒索软件、终端非授权使用等），往往会针对性部署防火墙、主机入侵检测/入侵防御系统、终端检测和响应［1］(Endpoint Detection and Response，EDR)、恶意代码查杀、主机安全管理系统、主机外设管控系统、基于电子钥匙的身份认证等安全措施。

当前安全防护措施的处置过程，以网络数据泄露为例，如图1所示，主要包括：

（1）针对安全风险（已知漏洞）；

（2）部署安全措施（特征匹配、主动检测）；

（3）检测发现安全事件；

（4）安全响应处置。

现有安全防护机制是典型的以现象和结果作为切入点，其存在如下问题：一是始终无法有效防范APT［2］攻击，特别是对基于0day漏洞［3］的未知攻击往往无法实现有效防护；二是多重安全机制导致防护性能低下，已影响当前安全产品广泛应用推广；三是多维度安全检测数据难以融合分析，异构安全数据的关联分析一直是困扰安全检测有效性与准确性的核心理论问题；四是安全检测与攻击规避对立问题［4］，当前安全检测未充分考虑攻击规避对抗，导致检测措施可被攻击方规避绕过［5］，从而造成检测失效。

从目前攻防对抗发展趋势来看，安全风险的“日新月异”导致安全防护的“无边扩展”，而这种应对式无序发展，造成的结果就是终端上安全软件堆砌、安全防护系统整体运行效能低下，终端安全对抗一直处于“道高一寸，魔高一尺”的追赶局面。

图1以数据泄露为例当前攻防检测与反制措施分析

其产生的原因在于：目前安全防护机制是“以现象为切入、以工程思维进行分析、亡羊补牢式的”安全防护。本文针对当前安全防护“头痛医头，脚痛医脚”、治标不治本、未从安全防护本质上来解决问题的不足，从安全攻防内在机理上进行溯源分析，从根本上分析安全威胁的成因。即要克服现有终端安全机制的弊端，需要转变方法思路，从清本溯源角度来解决终端安全防护问题。

本文详细内容请下载：

https://www.chinaaet.com/resource/share/2000006263

作者信息：

祝林，邬江，刘克斌，钟杰

（中电长城网际安全技术研究院（北京）有限公司，北京100097）