现状分析

在攻防演练中，如何能够对攻击行为进行快速拦截反制，避免攻击进一步扩散，是防守方需面对的首要问题。通常情况下，防守人员会投入大量人力、物力进行防守，部署安全产品、做严格/精细策略，但从近几年攻防演练情况来看，仍有许多薄弱点亟待解决。

真实资产情况容易被渗透获取

攻击方通常利用多种测绘平台获取目标网络节点情况，此时，用户相对静态的网络情况便为攻击者提供了极大便利，致使其可以轻易获取一些资产信息，进而根据测绘结果进行定向攻击。

“未知威胁”无法解决

基于指纹特征进行安全防护的传统设备存在防守“滞后性”问题，对于网络中新型病毒等未知威胁攻击不能有效处置。

攻击行为横向扩散

攻击者若获取到内网节点权限，必然会对该区域进行横向扫描，以便更进一步地试探和渗透，甚至为追求效率只扫描个别重点端口来迅速获取内网信息。

系统老旧，大量漏洞无法解决

用户内网存在的因系统老旧或涉及核心业务导致无法整改的大量漏洞，成为攻防演练的重点“关注对象”，如何在不影响正常业务的情况下，避免这些风险点被攻击者利用是用户面临的主要问题。

案例分析

基于目前“重边界轻内网”的防护现状，网御星云同步结合上述薄弱点，重磅推出主动防御产品-拟相防御系统，不仅能够保障二层网络安全，同时能够加强边界防护能力，全面提升内网安全。以下为产品在某单位攻防演练中的实战案例分析。

攻防演练拓扑图

如图所示，该方案分为两部分，首先在出口串行高性能拟相设备，对网络边界南北向流量进行智能分析、过滤、拦截，避免外网测绘等攻击行为进入内网；其次在内网旁挂拟相设备，主要用于构建动态变幻的网络结构，检测拦截内网横向移动攻击。

东西向安全防护

为避免因钓鱼邮件、U盘植入病毒等方式导致主机失陷，以及病毒在内网横向扩散等问题，拟相设备通过在内网部署海量哨兵节点，采用微隔离管理，时刻监听东西向流量。在攻防演练开始之前，拟相便检测到了内网10个节点存在异常，经过上报排查确认检测出的10个节点均存在安全问题，图形化的攻击连接状态可详细展示攻击方式、次数、目标主机等攻击链信息，以便客户及时进行修复处理，避免被攻击者探测利用。

资产混淆/隐藏

针对攻防演练前期的网络空间渗透、测绘等攻击行为，网御星云拟相防御系统利用内网空闲地址资源生成了上百个虚拟哨兵节点以及虚拟子网，使内网真实节点与虚拟节点的比例达到1：10，且虚拟资产能够与异常流量进行一定程度的交互式响应，确保能够有效误导攻击者对内网情况的判断，进而实现隐藏真实网络结构/业务、混淆攻击的效果。

未知威胁检测拦截

在攻防演练期间，网御星云出口拟相防御系统累计检测到上千条来自互联网的攻击行为，包括服务探测、主机扫描、主机探测、暴力破解、弱口令、病毒等，95%以上的外网攻击均做到了告警、封堵。

拟相设备作为主动防御安全产品，不再依赖指纹特征进行安全防护，通过构造动态“网络迷宫”、高密度诱捕陷阱，实现对“已知威胁”和“未知威胁”的实时定位拦截，同时，拟态防御理念独有的裁决机制能够极大降低对攻击行为的误判，避免在攻防演练期间浪费大量人力、物力。

随着攻防演练趋向常态化，网络安全防护体系也逐渐从被动防御转向主动防御。网御星云拟相防御系统已成功在政府、交通、医疗、公安、运营商、港口等多个重点行业部署应用，获得了行业用户的一致好评。无论是攻防演练还是日常的网络安全防护，网御星云拟相防御系统均能帮助用户尽早发现网络威胁，避免出现防守“滞后性”的问题，有利于从根源上扭转“攻防地位不对称”的局面。