主动防御：将战争策略应用于网络安全领域

关于主动防御的定义，不同的人有不同的理解，甚至很多人每次使用主动防御的意思都不一样。毛主席曾说过，真正的防御是积极防御，即摧毁敌人进攻的能力。这和主动网络防御中积极策略的目标很相似。

美国网络安全名人堂首位入选者、美国计算机协会研究员、美国海军研究生院教授多罗西·邓宁（Dorothy Denning）在一篇主动防御领域的标志性论文中称：主动网络防御是一种直接的防御行动，目标是挫败或消除针对本方力量和资产的网络威胁，或使其效力降低。主动防御既不具攻击性，也不一定是危险的。

北约对主动防御的定义是：侦测或获取关于网络入侵、网络攻击或即将发生的网络行动信息的主动措施，或为确定网络行动的源头而实施的先发制人、预防性或反制行动。

虽然目前主动防御理念缺乏明确的定义，但是，从上述观点中可以得出的结论是：相对于被动防御侧重于保护网络资产免受各种可能的威胁，主动防御则是针对特定威胁采取的直接行动。

既然是主动防御，则肯定对应“被动防御”。被动防御的经典应用就是传统采用特征码技术的杀毒软件。传统的杀毒思路都是病毒先出现，甚至是大规模爆发后，安全厂商才提取特征码放入病毒库，终端用户通过升级将最新的病毒清除掉。这种做法显然不能在第一时间完成对最新病毒的防护。

主动防御理念的安全策略不再依赖于病毒的特征，而是根据行为做出预先判断并进行阻止。从技术角度来说，可分为四个方面：资源控制，通过对某些特定资源做严格的控制，让木马或恶意程序无法访问系统资源；访问控制，对特定文件或其他脚本做实际的访问检测；行为分析，对所有进程行为进行分析处理，判断进程本身是否恶意的来源；威胁情报，通过情报进行提前预警和防御部署。

从技术层面讲，许多网络安全技术可以归纳为主动防御技术，例如蜜罐、黑客反击等，都是有代表性的、常见的主动防御技术。

蜜罐技术本质上是一种对攻击方进行欺骗的技术。通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对其实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机。这种技术能够让防御方清晰地了解所面对的安全威胁，并通过技术和管理手段增强实际系统的安全防护能力。蜜罐好比是情报收集系统，可以获知攻击者入侵的途径，并随时了解针对服务器发动的最新攻击和漏洞，而且，还可以通过窃听黑客之间的联系，收集黑客所用的工具并掌握其社交网络。但是，蜜罐技术属于资源密集型的技术，设计、开发、部署和维护蜜罐需要大量的时间和专业知识。因此，在实施利用该技术之前，需要认真分析成本和保护目标。

黑客反击不是一种特定的工具，而是一种技术，主要是通过分析识别攻击者和攻击源，有时也被称为主动防御，涵盖一系列不同技术和工具。高级的黑客反击行为，包括远程侵入黑客的服务器并擦除任何被盗的数据，使黑客的恶意软件失效，甚至发动分布式拒绝服务（DDoS）攻击使罪犯的行动缓慢。但是，黑客反击也有缺点，即合法性。由于黑客反击的侵略性和潜在的法律后果，即使是合法的国家行为者，也必须考虑在先。