1.6 网络攻防的发展趋势

在互联网环境中，网络攻击与防御是一个长期存在且不断发展变化的正义与邪恶、矛与盾之间的较量。结合互联网技术的发展，尤其是各类新技术的应用，本节对网络攻防发展趋势进行必要的分析。

1.6.1 新应用产生新攻击

应用需要建立在硬件资源、信息资源和服务上，而这些资源和服务都存在被攻击的可能。在网络空间中，一个新时代的到来需要一批新技术的推动，而新技术的应用必然导致新攻击的产生。应用与攻击之间互为条件，相伴而生。

1. 云计算及面临的攻击威胁

在网络应用越来越普及的情况下，人们希望实现像用水、用电一样使用网络资源，于是就产生了云计算（Cloud Computing）这一技术和运营模式。公有云、私有云和混合云在全球各地广泛应用，向用户提供IaaS（Infrastructure as a Service，基础设施即服务）、PaaS（Platform as a Service，平台即服务）和SaaS（Software as a Service，软件即服务）。普通用户不再需要自己构建信息基础设施和应用平台，只需要向云服务提供者租用就可以获得计算、存储等资源。

虚拟化技术是云计算的基础。虚拟化应用主要包括服务器虚拟化、存储虚拟化和网络虚拟化。虚拟化技术大大增加了资源调度的弹性，使得计算、存储和网络资源能够得到更合理的分配和更高效率的使用，并减少空置率和电能消耗。虚拟化技术在云计算领域已经得到了广泛应用。

然而，在云计算的推广应用中，存在的一个重要障碍就是对安全问题的担心。当数据从硬盘、光盘、移动存储这些可以看得见的介质转移到看不见的云空间时，人们担心数据放在云里不安全，普遍认为数据在云端被泄密的风险要比本地存储大得多。同时，还担心数据的安全性和服务的可用性得不到保障。

2. 移动互联网面临的攻击威胁

从个人计算机诞生到计算机网络的应用，从传统以固定接入为主的互联网到现在以固定和移动智能终端接入方式并存的移动互联网应用，从早期的人机对话到今天的以机器对机器（Machine to Machine）、人对机器（Man to Machine）、机器对人（Machine to Man）、移动网络对机器（Mobile to Machine）为代表的M2M通信，通过互联网实现了人、机器、系统之间的互联。

近年来，移动技术得到了快速发展，3G/4G技术快速演进，有线、无线网络覆盖越来越广，Wi-Fi应用随着智慧城市、智慧校园的建设得到广泛部署，智能手机应用得到普及。有了无处不在的移动网络，以及功能类似于传统计算机的智能手机，使得移动通信应用不再受传统固网通信的约束，各种移动应用层出不穷。

从个人计算机时代到网络时代，再到移动互联网时代，人们经历了技术的快速跨越和应用的不断更迭，人们获取和交换信息的速度、广度和便捷性都得到了质的提升。然而，伴随着各类新应用的快速发展，针对移动智能终端的安全攻击也越来越多，这类攻击已经突破了时间和空间的限制，在任何时间、任何地点和任何应用上，都有可能发生。例如，当智能手机用于存放数据时安全问题如何解决，当通过智能手机进行GPS（Global Positioning System，全球定位系统）导航时个人隐私如何得到保护。诸如此类的问题，在移动互联网环境中需要提出解决的方法。

3. 大数据应用面临的攻击威胁

移动互联网、物联网、云计算等技术的广泛应用催生了大数据时代的到来。在今天的信息环境中，每个人都成为了信息的制造者和发布者，网络上存储和实时传输着文本、图像、视频、音频等不同格式的数据。大数据成为近几年讨论的热点话题，如何从海量的数据里挖掘出有价值的信息，也是人们在不断研究的新技术。在大数据应用过程中出现了“数据大集中”现象，即为了便于数据管理，将原来相互隔离、不同应用、不同格式的数据整合在一起，再通过构建应用模型进行大数据分析。

然而，大数据及其相关的数据挖掘技术，也带来了安全问题。例如，在大数据分析中挖掘到更多的关联信息是否会导致隐私泄露？另外，数据集中了，风险同样也集中了。大数据系统一旦被攻击，安全问题将更加严重。

4. 网络空间面临的攻击威胁

网络空间已经成为继陆、海、空、天之后的第五大空间，网络空间安全已经上升到国家安全的层面。与传统的空间概念相比，网络空间超越了国界，其边界更加模糊。网络空间是一个虚拟的世界，人的身份更加难以确定，人的位置更加难以定位。黑客、网络使用者、信息发布者、信息阅读者、网络警察等不同的人群都在这个虚拟的网络空间里从事各自的活动，这里有道德、信任和友善，也有虚假、造谣和攻击。

近年来频繁发生的各类网络攻击事件告诉人们，网络空间的安全不可小觑。在这一虚拟的世界中，主导权掌握在谁的手中，自主、可信、可控能做到哪一步，如何有效地对网络空间进行划界，对于出现的相关攻击如何进行溯源，诸如此类的问题，需要从理论和实践上同时找到答案，只有这样才能更好地保护自己的网络空间。

1.6.2 网络攻击的演进

图1-11显示了网络攻击的演进过程和趋势，整个攻击的实施可以分为查找系统漏洞、确定攻击手法、展开攻击行动和达到攻击目的4个主要过程。

为了使攻击行为更加有效，网络攻击总是在技术上不断变化。网络攻击者在不同时期不同环境下有着不同的目的，早期的一些攻击者多以炫耀技术为主，后来发展到以谋取经济利益为主，而现在的有些攻击（如震网、火焰等病毒）已经上升到了政治或国家政权的层面。

如图1-12所示，早期攻击的目的主要是技术炫耀和恶作剧，通常是个人行为。而现在攻击的主要目的则是以获取经济利益或政治利益为目的。因此，今天的攻击行为更加有组织、有预谋、有目的，攻击手法越来越复杂，而攻击的实施却越来越简单。

从技术上来说，原来的攻击行为主要是利用软件漏洞进行的自我复制和传播，主要是破坏计算机软硬件和数据；现在病毒技术虽无太大突破，但0day漏洞不断增多，制作病毒的难度有所降低。

从攻击载体上看，以前主要是攻击各种最通用和最流行的软件，包括操作系统、办公软件及一些系统文件等。而现在除了以上攻击内容外，各种网页文件、数据库、应用软件等也成为被攻击的载体。

从传播途径上看，原来主要是通过磁盘、光盘、电子邮件、网络共享等方式传播。现在生产、传播、破坏的流程完全网络化，形成了黑色产业链，甚至是利用社会工程学的手段来传播。

1.6.3 网络攻击新特点

网络攻击的基础是对安全漏洞的利用，漏洞的发现需要一个过程，尤其对使用广泛且使用时间较长的系统来说发现的漏洞数量会逐渐减少，而一个新系统和新应用的出现，漏洞被发现和利用的可能性则会增大。从整体上看，网络攻击的发展趋势和特点主要体现在以下几个方面。

1. 形成黑色产业链

受经济利益的驱使，目前实施网络攻击行为的各个环节已经连接成为一个链条，形成了一个完整的产业链，即黑色产业链。例如，针对个人网上银行的攻击，其中有制作木马软件的，有负责植入木马的，有负责转账和异地取现的，等等。这就使得攻击行为由一种个人行为上升到“组织”行为。网络犯罪组织化、规模化、公开化，形成了一个非常完善的流水线作业程序，这就使得攻击能力大大加强。

2. 针对移动终端的攻击大大增加

随着移动互联网的应用，各类移动智能终端（智能手机、笔记本电脑、PAD等）成为互联网接入的重要组成部分。从本质上来说，一个移动终端就是一台计算机。以前在计算机上能够进行的操作，现在在智能手机等终端上基本都能实现。

近年来，移动智能终端快速得到普及，已经形成了一个巨大的用户群体。为了满足移动用户的需求，在各类移动智能终端功能不断丰富的同时，为用户提供软件下载的各类应用平台也应运而生。由于管理上存在的问题，这些应用平台已经成为攻击者的另一个目标。

3. APT攻击越来越多

APT（高级持续威胁）是近几年来出现的一种新型攻击。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。不同于以往传统的病毒，APT攻击者掌握高级漏洞和超强的网络攻击技术。APT攻击的原理相对于其他攻击形式更为复杂和先进，这主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的信息收集，并挖掘被攻击对象和应用程序的漏洞，在这些漏洞的基础上形成攻击者所需的工具。APT的这种攻击没有采取任何可能触发警报或者引起怀疑的行动，因此更易于融入被攻击者的系统或程序。

4. 攻击工具越来越复杂

攻击工具开发者正在利用更先进的技术来开发攻击工具。与以前的攻击工具相比，现在攻击者使用的攻击工具的特征更难发现，攻击手法更加隐蔽，更难利用特征进行检测。

为防止被攻击者发现，攻击者会采用一定的技术隐藏攻击工具，这为防御攻击及分析攻击工具的特征提高了难度。与早期的攻击工具不同，现在的攻击工具更加成熟，攻击工具可以通过自动升级或自我复制等方式产生新的工具，并迅速发动新的攻击。有时，在一次攻击中会出现多种不同形态的攻击工具。此外，攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。

5. 对基础设施的威胁增大

基础设施攻击会导致Internet上的关键服务出现大面积破坏直至瘫痪。目前，Internet已经成为人们生活中依赖的信息交换载体，基础设施一旦被攻击，轻则引起人们的担心，重则引起能源、交通、公共服务等瘫痪。目前，基础设施面临的攻击主要有DoS/DDoS攻击、蠕虫、域名系统（DNS）攻击、对路由器攻击或利用路由器的攻击等。

其中，拒绝服务攻击利用多个系统攻击一个或多个受害系统，使受攻击系统拒绝向其合法用户提供服务。由于Internet是由有限而可消耗的资源组成的，并且Internet的安全性是高度相互依赖的，因此拒绝服务攻击在Internet中非常有效。蠕虫是一种自我繁殖的恶意代码，蠕虫可以利用大量安全漏洞，使大量的系统在很短时间内受到攻击。另外，由于蠕虫传播时生成大量的扫描传输流，其传播实际上是对Internet进行拒绝服务攻击。

另外，网络攻击还呈现出了安全漏洞的发现越来越快，防火墙渗透率越来越高，自动化和攻击速度越来越快等特点。