•  以動態(tài)化、實時化、主動化為特點的網絡安全防御是解決網絡系統(tǒng)中未知威脅與入侵攻擊的新途徑。在動態(tài)的網絡安全技術體系架構中，可根據全局網絡安全狀態(tài)、實戰(zhàn)化安全運營要求等不同，構建“持續(xù)監(jiān)測、情報預警”的主動防御模式，組合優(yōu)秀的安全感知所需元素來應對已知攻擊、未知威脅，達到實戰(zhàn)化協(xié)同處置。
• 網絡安全防御技術的演變和動態(tài)重構需依據對系統(tǒng)安全態(tài)勢、可能遭受的安全威脅來考慮，如何有效感知網絡系統(tǒng)的威脅態(tài)勢，提前洞悉研判、響應處置及動態(tài)防御策略的調整，是當前數字化轉型時期網絡安全技術創(chuàng)新研究領域的重要任務。

一、引言

[[333882]]

近年來，網絡空間已快速上升到大國間博弈的新戰(zhàn)場，以政企、科研機構為代表的APT攻擊、DDoS、工業(yè)互聯網攻擊等日益嚴峻，導致政企機構重要情報數據被竊取、工業(yè)互聯系統(tǒng)被破壞、金融基礎設施遭受到重大經濟損失，嚴重危害到了我國國家安全和社會經濟利益。

面對定向的APT攻擊、勒索病毒、挖礦病毒等新型攻擊手段，基于特征檢測的傳統(tǒng)技術手段在應對動態(tài)、多變、高強度等方面存在了較大的局限性。

在這種情況下，基于智能的數據挖掘分析、溯源定位、策略動態(tài)下發(fā)、事件自動化響應處置顯得尤為重要。動態(tài)防御以高效率、彈性資源利用等優(yōu)勢，成為近年來網絡安全防御技術研究領域的重要方向。

二、網絡動態(tài)防御技術

網絡安全動態(tài)防御旨在基于主動防御架構，根據網絡環(huán)境的變化動態(tài)，持續(xù)調整威脅安全檢測策略，協(xié)同大數據情報展開對未知安全威脅、異常活動行為等高效率、準確性的檢測，在預警事件觸發(fā)后，及時采取措施并加以反制，保證關鍵應用服務的持續(xù)運轉，整體上降低威脅攻擊的影響及損失，提高彈性收縮的安全防御能力。

2011年，美國國家技術委員會提出了“移動目標防御”(MTD)的概念;也有學者將MTD技術稱為“動態(tài)防御技術”、“動態(tài)彈性安全防御技術”或者“動態(tài)賦能網絡防御技術”。

動態(tài)防御可以主動欺騙攻擊者,擾亂攻擊者的視線。通過設置偽目標/誘餌，誘騙攻擊者實施攻擊,從而觸發(fā)攻擊告警。動態(tài)防御改變了網絡防御的被動態(tài)勢，改變了攻防雙方的“游戲規(guī)則”，真正實現了“主動”防御。

目前，動態(tài)防御技術已成為網絡安全理論研究的熱點和技術制高點。國際上，很多網絡安全研究機構聚焦在動態(tài)防御的理論和技術方面。我國對動態(tài)防御技術也進行了重點技術研究，其中，鄔江興院士提出了網絡空間擬態(tài)防御(CMD)思想。CMD理論在可靠性領域非相似余度架構基礎上導入異構冗余動態(tài)重構機制，實現在功能不變的條件下，目標對象內部的非相似余度構造元素始終在作數量或類型、時間或空間維度上的策略性變化或變換，用不確定防御原理來對抗網絡空間的確定或不確定威脅。

完整的動態(tài)防御體系，應基于足夠完善的安全防御架構基礎，構建動態(tài)的防御體系，同時建立系統(tǒng)防御效能的安全評估，以及評估分析的結果動態(tài)反饋及調節(jié)的智能決策能力，形成完整的閉環(huán)控制機制，實現安全態(tài)勢下對策略的動態(tài)調整及優(yōu)化。

2.1 動態(tài)防御效能評估

實體的動態(tài)防御技術能否達到預期效果、能否提升防御能力，需要進行綜合分析評價。防御與效能評估可以從定性分析和定量評估兩個角度出發(fā)，結合形式化分析方法加以描述和量化。評估準則的選取，既可以考慮多指標的全面評估，也可以選取如漏洞這樣單一但直觀的評估標準。

為保證評估的客觀性，應從防御整體、系統(tǒng)漏洞、攻擊面、防御成本等多角度，借鑒已有防御評估標準，實現動態(tài)賦能效能評估技術路線。

• 動態(tài)防御效能評估，是基于層次的分析方法，分析系統(tǒng)的要素及相互關系，將各要素歸并為不同層次，計算各層次權重并加以比較。
• 在對系統(tǒng)評估效能等級進行劃分時，可考慮利用模糊綜合評估方法，構造系統(tǒng)在動態(tài)變化中多個時段觀測產生的模糊關系矩陣，進而得出綜合評估結果。當系統(tǒng)觀測的數據達到一定規(guī)模時，就可以用已經積累的數據，對下一時刻的綜合評級等級進行預測和評估。
• 基于漏洞發(fā)現的動態(tài)效能評估，可在一定程度上有效提升動態(tài)檢測效果。
• 因系統(tǒng)在動態(tài)變化的時間間隔內仍為靜態(tài)的，基本思想是將系統(tǒng)漏洞進行分級評價，考慮多種要素，如: 攻擊途徑、攻擊復雜度、認證、機密性影響、可用性影響、完整性影響、偏向因子、漏洞的可利用性、修復程度和報告以及潛在間接危害、主機分布等因素，通過計算產生響應的度量值并加以評估。
• 基于攻擊面的度量防御效能評估，需要從兩大方面考慮。

一方面對攻擊者的攻擊特征進行建模，對其攻擊能力進行特征化，并將其同防御系統(tǒng)隨機變化狀態(tài)相結合，每個系統(tǒng)狀態(tài)對應不同的攻擊面，進而產生攻擊者視角的系統(tǒng)狀態(tài)模型，借助Petri網絡模型進行安全性分析及測試。

另一方面，應考慮攻防雙方對系統(tǒng)攻擊面的掌握情況，對系統(tǒng)攻擊面的狀態(tài)遷移進行建模，分別對攻防雙方對攻擊面的了解情況及采取的供方策略進行預判，進而對攻擊面下一狀態(tài)進行預測，借此對系統(tǒng)的防御能力變化進行量化分析，可借助馬爾可夫鏈對攻擊面的狀態(tài)變遷進行建模度量。

• 動態(tài)防御系統(tǒng)可用性評估，要綜合考慮成本與收益。

對攻擊者的攻擊策略變化、防御者采取的應對策略以及產生的回報等，進行更細化的建模描述，以期為防御者選用優(yōu)秀防御策略提供依據。同時，相對于傳統(tǒng)技術而言，動態(tài)防御策略部署考慮對系統(tǒng)在軟件開發(fā)、運行性能、軟件部署、運維管理等方面的影響。

2.2 動態(tài)防御智能決策

動態(tài)智能防御，是通過智能分析、載荷生成、載荷編排三大引擎，來賦予系統(tǒng)中所參與的主體、通信協(xié)議、信息數據等實現特征變換的能力。

引擎工作過程需要性能計算強大的硬件支持，同時借助配合響應的智能決策技術，使系統(tǒng)能夠跟隨網絡環(huán)境、安全需求變化實現按需動態(tài)防護目標，針對不同的安全威脅對載荷模塊進行自適應調整，合理分配虛擬節(jié)點的網絡資源。

• 智能分析引擎需具備對威脅情報、未知威脅、網絡突發(fā)事件、以及原始數據分析后的任務載荷提取、策略特征值匹配的綜合分析能力。

針對當前急劇變化的網絡安全威脅形勢，重點關注對網絡中已知攻擊特征、復雜的0Day漏洞攻擊、未知威脅APT攻擊等抓取分析，并如何快速地在海量數據中提取出有價值的威脅情報數據用于決策處置輔助。

安全分析一方面對網絡中的數據量、會話、文件、元數據、網絡日志、網絡行為等原始數據進行梳理匯總，另一方面，對前端各類網絡安全設備采集的安全事件、流量數據及上層威脅情報進行充分分析。

通過對已有威脅數據的學習及提取比對，機器學習模型能夠檢測到未知或之前未檢測到的攻擊模式。另外，機器學習模型可以從新的數據中獲取信息，進行實時、批量的檢索，通過前期學習訓練以及聚類算法，對當前網絡中可能存在的安全威脅進行判斷，提高對未知威脅檢測的準確度。

• 載荷生成與編排智能決策引擎，根據載荷需求特征，生成滿足需求的任務載荷，編排管理生成優(yōu)秀的部署方案。

載荷生成與編排智能決策引擎需要根據網絡環(huán)境以及安全需求的變化進行自適應調整，通過智能匹配規(guī)則和最優(yōu)處理規(guī)則填補安全策略模板，在元載荷中自動進行自合調用，實現按需分配服務，不需要人工干預。

一方面，對安全策略載荷方式進行快速分析得到安全策略模板，自動優(yōu)化功能載荷的性能，提高功能載荷的生成速度。綜合考慮資源分配與實例選擇，通過智能優(yōu)化算法對安全載荷進行合理編排，有效提高安全資源的利用率。

同時，動態(tài)優(yōu)化元素功能的組合，降低安全防護成本，實現動態(tài)防御的按需載荷功能實效。

2.3 動態(tài)防御的架構模型

動態(tài)防御架構體系以可隨機變化、隨機適配的思路構建動態(tài)防御的“邏輯任務模型”(如圖1所示)。該邏輯模型應是基于不同的網絡場景或異構化安全需求，實現實時捕獲及傳遞態(tài)勢數據概貌。核心驅動是“抓取、適配、檢測、聯動”，它以隨機時間間隔，定制網絡策略配置的隨機變化，各類變化由“編排配置管理中心”負責，控制“全局”動態(tài)調整配置。

圖1 動態(tài)防御系統(tǒng)模型圖

“適配引擎”對基礎設施網絡抓取隨機變化參數，使安全狀態(tài)進行隨機變化，“分析平臺”能夠獲取實時威脅數據、從“編排配置管理中心”獲取當前的策略配置，確定可能的脆弱性、正在進行的攻擊、以及未知威脅的研判。“適配引擎”是監(jiān)測全局網絡狀態(tài)以及安全態(tài)勢,和“邏輯安全模型”捕獲的一樣。“行為分析模型”由2個邏輯模型組成:戰(zhàn)術模型和系統(tǒng)技術模型。

通過“對抗戰(zhàn)術、技術”框架的構建，可深入了解應監(jiān)控哪些系統(tǒng)以及需要從中收集哪些內容，降低因檢測入侵技術濫用所造成的影響，實現對每種技術都有具體場景示例，推演出攻擊者是如何通過某一惡意軟件或行動方案來利用該技術的。通過行為分析模型，建立對當前覆蓋范圍的全局化分析，評估被攻擊目標面臨的風險，以為采用有意義措施來彌合差距提供參考。

在動態(tài)防御體系的有效性分析中，更多采用了攻擊面理論來驗證動態(tài)防御能力的有效性。攻擊面理論不僅可以定性分析安全技術能力，還可以嚴謹地定量測量安全技術的防御能力，以快速提高動態(tài)防御體系的完善性及能力。

大多數針對系統(tǒng)的攻擊(如基于緩沖區(qū)溢出漏洞的攻擊)發(fā)生在從其操作環(huán)境向系統(tǒng)發(fā)送數據的過程中。同理，針對系統(tǒng)許多的其他攻擊(如符號鏈接攻擊)的出現，是因為系統(tǒng)向其發(fā)送數據。在這兩類攻擊中，攻擊者利用系統(tǒng)通道(如套接字)連接至系統(tǒng)，調用系統(tǒng)程序API，并向系統(tǒng)發(fā)送數據項(如輸入字符串)或從系統(tǒng)接收數據項。攻擊者還能使用永久數據項(如文件)間接向系統(tǒng)發(fā)送數據。攻擊者可以在系統(tǒng)即將讀取的文件中寫入數據。通過這種方式向系統(tǒng)發(fā)送數據。類似地，攻擊者可利用共享的持久數據項間接地從系統(tǒng)接收數據，因此，攻擊者可以間接地使用系統(tǒng)程序、通道和系統(tǒng)環(huán)境中出現的數據項攻擊系統(tǒng)。

通過對系統(tǒng)程序、通道和數據項統(tǒng)一作為系統(tǒng)資源，可以以此來定義系統(tǒng)攻擊面。

圖2 攻擊面示意圖

結合圖2，并不是所有的攻擊源都是攻擊面的一部分，只有攻擊者利用某種資源攻擊系統(tǒng)時，該資源才作為圖中攻擊面的一部分。

針對威脅動態(tài)的安全防御思想，主要從系統(tǒng)攻擊面和行為攻擊生存期來進行考慮，通過改變自身各種策略配置、安全屬性，向攻擊者呈現不斷變化攻擊面,使攻擊者更難發(fā)起有效攻擊。攻擊者可能制定攻擊方案所需的時間可能會變長，一旦模型建立完畢，在這段時間已發(fā)生足夠變化，足以破壞攻擊模型的有效性。

圖3 動態(tài)防御攻擊面轉移模型示意圖

根據上述的直觀上分析，攻擊面是指攻擊系統(tǒng)時使用的各類資源(包括不限于：程序、通道和數據)的子集。動態(tài)防御的目標是防御者根據實際情況不斷轉移系統(tǒng)攻擊面的防護方法，防御者根據攻擊者的戰(zhàn)術、技術能力進行挖掘、機器學習計算、矩陣化部署，防御者可不斷轉移或減少攻擊面，增加攻擊者利用系統(tǒng)漏洞難度及時間。若防御者轉移系統(tǒng)的攻擊面，則原本有效的攻擊可能將不復存在(如圖3所示攻擊1)，籍此攻擊者需要花費更多資源進行戰(zhàn)術和技術手段的調整，來使攻擊重新有效或尋求新的攻擊途徑。

圖4 攻擊行為生存周期示意圖

圖4顯示了攻擊行為生存期，在時間t0,已有的網絡防御措施將生成防御方案k0，并啟動多樣化服務STk0。te定義為攻擊者從開始發(fā)動攻擊到系統(tǒng)受損之間的時間，也可以認為攻擊者從目標獲得賬戶信息所需要的時間。

從圖中可以看出，對于一次成功的入侵攻擊,從探測到攻擊完成總用時t1+te

通過上述模型，可以得出：動態(tài)防御機制可以使防御者提前研判、預知的方式隨機、準確地改變系統(tǒng)的安全配置及應對資源組成結構，通過“蜜罐”牽引等技術快速增加安全防御的不確定性和未知性,進而增加攻擊者的攻擊復雜度和攻擊成本，大大規(guī)避系統(tǒng)漏洞的暴露點和位置漏洞被廣泛利用的概率，增加系統(tǒng)的安全防御彈性。

上述分析得出動態(tài)防御技術帶來的攻擊面轉移并不能總是降低攻擊面度量指標、快速提供系統(tǒng)安全性，因此需要啟用合適的特征和禁用安全隱患更大的措施協(xié)同聯動，將攻擊難度變大，損失影響受到最大化限制。

網絡動態(tài)化防御通過逆轉對攻擊者不對稱方式，隨機適配最小化攻擊對關鍵任務能力的影響，綜合運用防御、偵察、自適應技術、操作響應設計策略和技術來動態(tài)響應當前及未知威脅攻擊。

網絡動態(tài)化防御基于即時感知機制，對攻擊事件快速做出響應更安全、更具抵抗性的體系結構調整，抵抗無意和目標明確的攻擊，實現足夠的彈性，能夠承受初始及隨之而來的破壞。同時，基于分割、隔離、封閉機制，如從可信系統(tǒng)中分割出不確定部分，減少攻擊面，限制攻擊者的利用和破壞。

網絡動態(tài)防御因基于自身多樣性和隨機性適配，可在不同的時間內使用不同操作系統(tǒng)和應用程序進行匹配檢測，或協(xié)同處置時調用這些組件應對攻擊實現復雜度的目的，減少敵方識別和攻擊脆弱性的機會，維持系統(tǒng)原狀。采用非持續(xù)性技術，可以保護系統(tǒng)免遭危險行動帶來的長期影響。

三、動態(tài)網絡安全威脅感知技術

動態(tài)防御技術是以保護網絡信息系統(tǒng)中某種實體的數據安全、業(yè)務穩(wěn)定運行為目的。一般來說,網絡信息系統(tǒng)中的實體包括軟件、網絡、計算平臺與數據等。

網絡動態(tài)防御基于網絡側的海量多樣化數據的自動化采集、機器學習、挖掘分析，協(xié)同云端情報數據，以動態(tài)化、虛擬化和隨機化的方式提前對安全威脅攻擊進行快速發(fā)現、源頭精準定位、入侵途徑及行為背景的研判與溯源，同時基于SOAR技術自動化編排，實現聯動響應處置。

網絡動態(tài)防御打破了原有對網絡安全配置的靜態(tài)性、確定性和相似性，提升了對未知威脅和攻擊的定位、溯源和針對性阻斷能力，使得安全防御體系具備足夠的能力彈性擴展，承受隨之而來的潛在破壞。

3.1 威脅情報大數據

威脅情報大數據的使用，基于云端計算資源、通過數據清洗與驗證子模塊對來自多數據源的數據進行清洗和驗證，結合專業(yè)的網絡安全研究人員的經驗值分析，生成原始的威脅情報。然后，通過威脅情報規(guī)則將原始威脅進行處理，生成威脅場景的各類規(guī)則，來發(fā)現隱藏的安全威脅，并有能力對安全威脅采取相應處理手段及行為溯源。

圖5 威脅情報數據流程示意圖

威脅情報數據應包含大量的APT攻擊行為數據、全球的IP、DNS、URL、文件黑白名單信譽數據庫，這些數據通過人工智能結合大數據知識以及攻擊者的多個維度特征還原出攻擊者的全貌，包括程序形態(tài)，不同編碼風格和不同攻擊原理的同源木馬程序，惡意服務器(C&C)等，通過全貌特征‘跟蹤’攻擊者，持續(xù)地發(fā)現未知威脅。

3.2 傳感容器組件

流量傳感容器是對網中流量的鏡像文件的在線實時采集及全量還原，還原后的流量日志以安全的傳輸給后端的安全分析引擎，流量抓取應具備對網絡層、傳輸層和應用層的頭部信息，甚至是重要負載信息、PE和非PE文件檢測與送檢能力。

圖6 傳感器組件架構示意圖

流量傳感容器應可端口匹配、流量特征檢測、自動連接關聯和行為特征分析能力，自身具備對入侵攻擊和WEB攻擊的樣本特征，檢測流量中的遠控木馬行為、Web應用攻擊等Webshell、命令執(zhí)行、文件包含機制。

3.3 沙箱檢測

面對當期網絡環(huán)境下惡意代碼的復雜性和多樣性，傳統(tǒng)靜態(tài)檢測技術體現出特征庫匹配的局限性，已無法完全檢測新出現的惡意代碼，而如基于沙箱動態(tài)檢測技術通過動態(tài)執(zhí)行，可對文件進行細粒度的行為檢測，從行為層面進行細致分析，是對傳統(tǒng)靜態(tài)檢測技術的有效補充。靜態(tài)分析查其“形”，動態(tài)分析查其“行”，精準全面分析文件屬性，對文件的惡意風險進行多維度的風險判斷，直接了解潛在夾雜威脅帶來的危害程度，從而采取快讀的應急處置。

動態(tài)防御中對沙箱技術的使用，可充分考慮到虛擬環(huán)境模擬技術的使用，模擬虛擬環(huán)境中各種軟硬件、Windows，Linux，Android等多種主流操作系統(tǒng)，構造純凈、透明虛擬化動態(tài)分析環(huán)境，借助支持ATT&CK技術來全景化展示、分析惡意代碼行為，細粒度檢測漏洞利用和惡意行為的可能性。

3.4 原始數據全包存儲

動態(tài)網絡防御，需要對網絡中海量的原始數據全流量的完整保存，實現秒級的提取發(fā)現，并還原網絡事件發(fā)生時的全部網絡通訊內容，快速實現數據包級的數據取證和責任判定，并為后續(xù)及時響應處置提供數據支撐。

在動態(tài)防御體系框架中的流量傳感容器組件，將實時抓取網絡中海量流量數據包，這些捕獲數據包流量在存儲性能、分析粒度都提出了十分高的要求，對傳感容器組件本身的性能帶來更大考驗，如果設計不足將大大降低動態(tài)處置效率及目標。

因此，應充分加強威脅檢測能力的分析及后續(xù)處置效率，全景化展現威脅，應采用分布式存儲技術，實現對文件系統(tǒng)、對象存儲的集中化管理，將這些分散存儲資源構成虛擬的存儲設備，并基于豐富存儲接口，滿足多種檢測數據類型需求。

3.5 威脅感知與研判處置

威脅感知及研判處置應對威脅事件態(tài)勢、資產安全態(tài)勢、異常行為態(tài)勢等進行綜合關聯分析展現，結合威脅情報數據周期性進行碰撞原始日志、異常行為的場景智能化分析，發(fā)現未知威脅攻擊，并從攻擊鏈維度將攻擊行為劃分、深度調查分析，以告警中受攻擊迫害資產為線索還原整個攻擊過程(偵察-入侵-命令控制-橫向滲透-數據外泄-痕跡清理)，給出協(xié)同化的應急處置方案。

圖7威脅感知與研判處置流程示意圖

威脅感知應可對各類未知已知威脅的分布、攻擊源TOP(排名)、Web攻擊、威脅告警趨勢、威脅告警類型、威脅情報數據命中情況、被攻擊對象的橫縱向訪問等情況統(tǒng)一進行分析。在分析得出的重大未知安全威脅時，充分結合技術專家知識庫，對已運營的部署的安全資源進行邏輯上快速編排，實現快速精準的協(xié)同聯動防御。

通常來說，可利用傳統(tǒng)被動防御架構作為第一道防線，解決大部分目前已知的網絡攻擊手段的防御問題;利用主動防御架構作為第二道防線，解決未知漏洞和后門的防御問題。在主動防御發(fā)現入侵攻擊時，可通過所記錄的入侵攻擊軌跡進行學習，得到新入侵攻擊的特征，對被動防御的特征庫和檢測規(guī)則進行智能更新。被動防御可以利用現有的高效檢測機制在入侵到達第二道陣線前過濾掉大部分攻擊，如：應用防護系統(tǒng)防御大多數已知攻擊，利用欺騙偽裝技術實現指紋偽裝、統(tǒng)一資源定位器(URL)跳變、虛擬蜜罐欺騙、敏感信息過濾、頁面信息加擾和頭部字段混淆，再利用動態(tài)異構冗余機制實現異構冗余體的動態(tài)調度、攻擊入侵的主動感知和異常部件的有效清洗與恢復。

通過上述主被動聯合協(xié)作動態(tài)化防御，不僅實現了對已知威脅、漏洞防御，而且通過動態(tài)變化、欺騙與清洗，將多個復雜化未知服務應用結合，形成了一個動態(tài)隨機的安全防御技術機制。

3.6 蜜罐誘騙偽裝

利用偽裝、誘騙等手段，使入侵者無法獲取真實的系統(tǒng)信息等數據，誘騙入侵者攻擊一些預先設置的陷阱系統(tǒng)來發(fā)現入侵采用的戰(zhàn)術和技術手段。

網絡通信中攻擊與防御的問題可視為博弈問題，在傳統(tǒng)蜜罐基礎上通過使用模擬服務環(huán)境的保護色機制和模擬蜜罐特征的警戒色機制這些主動欺騙技術，使攻擊者無法區(qū)分蜜罐和實際生產系統(tǒng)，從而達到對攻擊者的有效迷惑和誘騙。蜜罐的保護色技術是指蜜罐通過模仿周邊運行環(huán)境和擬保護系統(tǒng)特征，使攻擊者無法識別蜜罐的存在。

蜜罐的警戒色機制則是指生產系統(tǒng)模仿蜜罐，使得攻擊者將系統(tǒng)識別為蜜罐而躲避攻擊。蜜罐防護是攻防雙方參與的理性、非合作的誘騙過程，雙方策略相互依存，都期望保護自身信息并獲得對方信息以達到收益最大化，是一種非合作不完全信息動態(tài)博弈。從攻擊者視角看，對手不只是提供真實服務的生產系統(tǒng)，而是“蜜罐”和“偽蜜罐”，從防御者視角看，對手則包含合法用戶和攻擊者。

結語

在新時期數字化轉型、新基建大環(huán)境下，如何在保障經濟快速發(fā)展的同時實現網絡安全的有效防護，這是當前網絡安全學術界與產業(yè)生態(tài)界亟需共同解決的重大課題。

基于傳統(tǒng)知識和精確識別的防護手段，因其靜態(tài)性和相似性，難以應對動態(tài)、智能、高強度的未知漏洞及未知威脅攻擊。

動態(tài)防御則是對網絡空間安全防御技術和體系的探索，其可將安全能力作為系統(tǒng)增強防御標準屬性的提升，通過動態(tài)防御技術，讓網絡系統(tǒng)的安全防御呈現不可預測的變化態(tài)勢，大大提高了攻擊者發(fā)現攻擊的難度和成本。

通過情報數據、欺騙等戰(zhàn)術戰(zhàn)法的有效結合，將攻擊者引入網絡攻擊邏輯黑洞，進而加強分析研判、觸發(fā)預警及實施阻斷攻擊，對于提升安全防御能力、實現從被動防御到積極防御的轉變具有重要的戰(zhàn)略意義和應用價值。