Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 013

主动防御

审核人Cybersecurity entrepreneur & security researcher

主动防御 是什么?

主动防御一种超越被动监控的防御策略,在防御者自己的网络和资产范围内主动与对手交锋、误导并干扰其行动。


主动防御指的是在不越过非法 hack-back 红线的前提下,提高攻击者成本与风险的一系列技术,包括欺骗(蜜罐、蜜罐文件、诱饵账户)、威胁狩猎、网内交互、tarpit、带有信标的诱饵文档以及情报得失运作。MITRE Engage 框架取代了早期的 Shield 项目,将该学科正式化,并将其方法归类为收集、检测、干扰、安抚和动机塑造等技术。所有活动都在防御者所拥有或控制的资产之内进行。主动防御通过塑造攻击者行为、产生高质量遥测和可操作威胁情报,与传统的检测响应能力形成互补。

界定这一学科范围的一个实用方法,是与 SANS 相关的 Active Defense Harbinger Distribution(ADHD)所推广的"骚扰、归因与攻击"(annoyance, attribution, and attack)谱系:对大多数组织而言,只有前两者是合法的,而"攻击"——即入侵对手自己的基础设施——通常违反美国《计算机欺诈与滥用法》(CFAA)及境外的同类法律。实用且经得起辩护的工具包括金丝雀令牌(Thinkst Canarytokens)、诸如 Endlessh 的 SSH tarpit、历史悠久的 LaBrea tarpit,以及植入 LSASS 或浏览器中、用以诱使凭据窃取工具上钩的诱饵凭据。每一项都会触发高保真告警,因为合法用户根本没有理由去碰它们,这相比基于特征签名的告警大幅降低了误报率。

交锋同样能产出情报:蜜罐文件的信标可以揭示数据外泄的端点,而一个突然发起认证的 Active Directory 诱饵账户则暴露出正在进行的横向移动。防御者必须权衡"情报得失"——即与对手交互可能打草惊蛇、令欺骗手段暴露失效的风险——并将每一步操作都保持在自有基础设施之内,以站在法律正确的一边。

flowchart LR
  A[网络内的对手] --> B{触碰诱饵?}
  B -- 是 --> C[高保真告警]
  B -- 否 --> D[常规监控]
  C --> E[交锋:tarpit / 观察]
  E --> F[收集 TTPs 与 IOCs]
  F --> G[干扰并清除]
  G --> H[输出威胁情报]

示例

  1. 01

    tarpit 使扫描器的 TCP 连接保持数分钟不释放。

  2. 02

    在蜜罐文件中植入信标,以识别数据外泄的目的地。

常见问题

主动防御 是什么?

一种超越被动监控的防御策略,在防御者自己的网络和资产范围内主动与对手交锋、误导并干扰其行动。 它属于网络安全的 防御与运营 分类。

主动防御 是什么意思?

一种超越被动监控的防御策略,在防御者自己的网络和资产范围内主动与对手交锋、误导并干扰其行动。

如何防御 主动防御?

针对 主动防御 的防御通常结合技术控制与运营实践,详见上方完整定义。

主动防御 还有哪些其他名称?

常见的别称包括: 防御性网络行动, 对手交锋。

相关术语

另见