学位论文简介

网络安全作为国家安全战略的核心组成部分，其治理体系通过技术防护、法律规制与管理协同的三维融合，构建了覆盖基础设施、信息系统、数据要素及用户行为的立体化防御框架，旨在保障机密性、完整性与可用性三大核心安全属性。面对网络攻防态势的持续演进，关键基础设施正面临全天候、跨地域的复合型安全威胁，传统被动防御模式已难以有效应对复杂多变的网络威胁。本研究以“零信任”架构的“持续验证、永不信任”安全范式为理论基点，针对其防御成本激增的实践困境，构建了低成本高效主动防御体系，创新性地实现了攻击成本消耗、攻击流量转移与纵深防御构建的协同优化机制，最终达成“适度安全”的防御效能目标。本研究的核心创新点体现在：

1. 提出一种基于网络态势感知和防火墙联动的主动防御模型。

2. 设计一种基于VLAN-VxLAN(Virtual Local Area Network - Virtual eXtensible Local Area Network)映射的微隔离方法。

3. 构建一种基于随机博弈和蜜罐的移动目标防御(Moving Target Defense Based on Stochastic Games and Honeypots, GH-MTD)架构。

4.  创新网络安全防护实证研究方法。突破传统实验室模拟验证的局限性，构建基于真实网络环境的动态评估体系，在高校网络边界开展为期 6个月的实网对抗验证。

本研究在理论与实践层面均取得突破性进展：理论层面，通过动态策略优化、威胁行为建模等核心问题的深入解析，完善了网络防御体系的理论框架；实践层面，基于实证研究方法构建的防护体系具备实时威胁感知与智能响应能力，为网络安全防御领域提供了可复用的技术范式。研究成果兼具理论创新价值与工程实践意义，为关键信息基础设施防护提供了新的解决方案。

主要学术成果

[1] Di Li, Yukun Hu, Gguoqing Xiao, Mingxing Duan, Kenli Li. An active defense model based on situational awareness and firewalls [J]. Concurrency and Computation Pracitce and Experience, 2023, 35(6). (SCI, 第一作者)

[2] Di Li, Zhibang Yang, Siyang Yu, Mingxing Duan, Shenghong Yang. A Micro-Segmentation  Method Based on VLAN-VxLAN Mapping Technology [J]. Future Internet, 2024, 16(9). (ESCI, 第一作者)

[3] Di Li, Shirui Tian, Wenqiang Jin, Jiwu Peng, Mingxing Duan. Towards a Moving Target Defense Based on Stochastic Games and Honeypots [J] INFORMATION SCIENCES, 2025, 720(122488). (SCI，第一作者)

[4] 李肯立，李頔，蔡宇辉，段明星，杨圣洪，周旭，余思洋，吴帆，秦云川, 基于蜜网的异常流量处理方法、装置、计算机设备和存储介质. CN202410080192.5.（中国发明专利，已公开，指导老师第一作者）

[5] 李肯立，李頔，周旭，杨圣洪，蔡宇辉，余思洋，段明星，吴帆，秦云川. 终端行为检测模型构建方法、装置、设备和存储介质. CN202310624689.4. （中国发明专利，已公开，指导老师第一作者）