基于蜜罐技術的移動終端未知威脅智能防御方法

楊杰

(廣州供電局有限公司， 廣東 廣州 510620)

0 引言

移動終端是互聯網內容的主要呈現設備。近年來，移動終端的快速發展使人們的生活與移動終端的聯系越來越緊密[1]。但是，由于移動終端存在存儲能力差、網絡資源來源廣且復雜等弊端，使得其對未知威脅的防御能力較弱[2]。因此，研究一種適用于移動終端的未知威脅防御方法已經成為目前亟需解決的問題之一，相關專家學者也對此進行了大量研究。

文獻[3]中設計了一種大數據移動終端網絡信息安全防御方法，將自回歸模型與變異算子結合起來，構建移動終端信息自回歸模型，并利用最小二乘法估算回歸系數，再通過滑動窗口檢測移動終端信息的統計量，計算其取值范圍，對于范圍外的信息進行防御。但是該方法對移動終端外來信息的檢查范圍較小，導致信息查全率較低。文獻[4]中設計了一種基于機器學習的移動終端高級持續性威脅檢測防御方法，利用靜態檢測方法提取出移動終端運行的靜態特征，借助于滑動窗口迭代算法對延遲攻擊特征進行捕捉，使用Boost技術將融合多種分類算法，對延遲攻擊進行檢測，根據檢測結果實現安全防御。但是該方法對未知威脅的捕獲能力較差，導致未知威脅漏報率較高。

蜜罐技術是一種高欺騙性的安全防護技術，可運行于多種網絡和故意留有特征漏洞的終端系統中。蜜罐技術能夠誘導入侵者發動攻擊行為，在此基礎上捕捉攻擊源繼而實現安全防御，保護重要系統終端免受侵害。通過誘導入侵者攻擊蜜罐終端，不僅能夠拖延攻擊真正目標的時間，還能夠及時對攻擊行為監視、采集和分析，為處理未知威脅提供支持。因此，為解決傳統方法存在的問題，將蜜罐技術應用到移動終端未知威脅防御過程中，本研究提出基于蜜罐技術的移動終端未知威脅智能防御方法。通過對比實驗結果證明了本研究所提方法對未知威脅的漏報量較少，且能對來源信息進行全面檢測，能夠滿足移動終端對未知威脅有效防御的需求。

1 入侵檢測規則的設定

在對移動終端未知威脅進行智能防御之前，需提取移動終端未知威脅的入侵規則。

首先利用蜜罐技術采集移動終端未知威脅信息。由于現有的蜜罐技術難以對提取數據的類別進行細致區分，因此，采用無監督聚類算法對采集的數據進行分類。若蜜罐記錄的入侵行為與正常行為存在明顯差異，則計算該數據屬性[5]，并將其與其它數據區分開，計算過程，如式(1)。

(1)

式中，D表示移動終端未知威脅的基本數據;F表示數據特征信息;?表示數據屬性區分因子；b表示蜜罐技術的誘惑信標。

在此過程中利用蜜罐技術目的是吸引威脅信息進入系統，以便記錄入侵過程。當入侵行為數據大于正常行為數目時，按照所有的類包含數據多少排序[6]，并設定比例數，對數據進行標記，比例數設定依據，如式(2)。

(2)

式中，G表示移動終端數據的比例數；n表示入侵數據數目；g表示惡意信息攻擊潛力，A為數據排序因子。

根據上述過程完成比例數的設定。當G≥1時，標記該數據為正常類；反之，當G≤1時，將其標記為入侵類。

通過上述計算，完成移動終端未知威脅入侵檢測規則的設定，為移動終端未知威脅智能防御提供基礎。

2 威脅入侵路徑的繪制

在上述入侵檢測規則設定的基礎上，繪制威脅路徑。在移動終端的未知威脅中，威脅信息一般會對具有弱點的對象發動攻擊，且威脅行為的發生具有一定的持續性[7]，基于這一特點，將威脅信息聚合，形成新的威脅報告信息，根據威脅報告信息繪制威脅路徑。威脅路徑繪制步驟如下所示。

step1：聚合威脅行為報告集，時間間隔設置為閾值T；

step2：形成初始臨時隊列，存放聚合過程中的威脅行為報告[8]；

step3：檢查服務器收到的威脅行為報告，是否滿足生成威脅路徑；

step4：若在T時間內沒有收到新的可歸并的威脅報告，則輸出聚合后的威脅行為報告。

按照上述過程完成威脅路徑的繪制，根據威脅路徑挖掘惡意節點，如式(3)。

(3)

根據上述過程分辨惡意節點，排除這類報告的干擾，使移動終端未知威脅防御優先處理有價值的威脅行為，以此完成威脅路徑的繪制。

3 移動終端未知威脅的防御

在上述設定入侵檢測規則和繪制威脅路徑的基礎上，對移動終端未知威脅智能防御。結合蜜罐技術，建立未知威脅智能防御模型。模型的邏輯結構圖，如圖1所示。

圖1 未知威脅智能防御模型邏輯結構圖

為了融合蜜罐技術的預警效果，利用威脅特征信息同入侵規則的匹配度規劃威脅程度的檢測算法。首先輸入捕獲信息特征模式的屬性字串，利用下述公式輸出預警判決結果[9-10]，如式(4)。

(4)

式中，F表示信息特征模式；k表示匹配計數變量；l表示每個屬性字串；H表示區間邊界閾值；x表示控制中心報警信息。

根據上述公式提高移動終端未知威脅智能防御模型的預警效果，在此基礎上為提高模型的安全性能，引入時間概念[11]，模型更新，如式(5)。

F′=(rr+m)Ft

(5)

式中，t表示保護安全目標設置的防護時間；r表示檢測到攻擊行為所花費的時間；m表示發現攻擊后模型的響應時間。

在該時間概念核心模塊的指導下，通過防護、檢測以及相應構建一個安全防御模型。利用蜜罐技術捕獲攻擊源，捕獲過程，如式(6)。

(6)

式中，I表示有限狀態集；q表示有限輸入；j表示轉換函數；s表示模型的初始狀態；α表示威脅信息捕獲因子。

根據移動終端對未知威脅的智能防御需求，構建基于蜜罐技術的智能防御模型狀態，如式(7)。

W=(d1+d2+d3+d4+d5)N

(7)

式中，d1表示未知威脅智能防御模型的初始狀態，若監測到移動終端受到攻擊時，防御模型轉換為d2狀態；對未知威脅模型定向和重定向狀態，若定向完成，轉為d3；若未完成則重新定向，維持當前狀態并報告狀態；d3表示模型日志記錄狀態，記錄完成后，轉為d4，若未記錄完成，則繼續記錄；d4表示上述的提取入侵規則過程，若提取完成，轉為d5，若未完成，則維持原狀態；d5表示上述威脅路徑繪制狀態，若識別到攻擊信息，則在d1狀態中加入未知攻擊信息，若未識別到攻擊信息，則重復該過程。基于蜜罐技術的移動終端未知威脅智能防御模型的轉換關系，如圖2所示。

圖2 未知威脅智能防御模型的轉換關系示意圖

N表示基于蜜罐技術的移動終端未知威脅智能防御模型的技術狀態[12]。

在實際使用該模型時，利用蜜罐技術在d2狀態時追擊攻擊源，同時在d3狀態時利用蜜罐技術捕獲攻擊源并記錄攻擊工具以及攻擊方法等信息，以此完成基于蜜罐技術的移動終端未知威脅智能防御。該模型不僅能夠對移動終端有效保護、轉移攻擊源目標，還能有效獲取到攻擊信息。

4 實驗對比與分析

4.1 實驗方法設計

為了驗證基于蜜罐技術的移動終端未知威脅智能防御方法的有效性，進行實驗對比，將文獻[3]中的大數據移動終端網絡信息安全防御方法和文獻[4]中的基于機器學習的移動終端高級持續性威脅檢測防御方法與本研究所提方法進行性能對比，主要對比3種終端未知威脅防御方法對未知威脅的漏報數量和對外來信息的查全率。其中，未知威脅的漏報數量可以判斷不同方法對未知威脅的檢測能力，對外來信息的查全率可以判斷不同方法對外來信息進行檢測的全面性，其計算過程，如式(8)。

(8)

4.2 實驗環境準備

采用雷區模式部署實驗環境，通過若干虛擬主機，布設雷區，測試環境，如圖3所示。

圖3 實驗環境構成示意圖

實驗操作系統為Windows Server 2003，WEB服務器支持為Internet Information Server 6.0，后臺數據庫支持Microsoft SQL Server 2005。在此基礎上，模擬網絡誘騙環境，因此需要模擬網絡服務，使誘騙環境中的主機相似于真實環境中的主機，采用虛擬現實技術來實現。利用虛擬機技術構建虛擬硬件平臺，并通過該平臺提供應用運行環境的技術，使實驗更具真實性。

同時，在實驗中還需要部署虛擬蜜罐對當前的實驗環境掃描探測，并對預設的目標主機進行攻擊。在實驗主機中選取10個木馬、10個蠕蟲、10個病毒和10個正常程序作為樣本程序，并利用多態工具對樣本程序處理，從而得到130個程序，其中包括30個惡意程序、60個攻擊數據和40個病毒數據。將這些攻擊數據導入上述攻擊主機中，導入成功后，實時記錄不同防御方法的防御情況。

4.3 實驗結果分析

統計分析不同防御方法未知威脅的漏報數量，如表1所示。

表1 不同方法未知威脅的漏報數量對比(個)

分析表1結果可知，在惡意程序防御、攻擊數據防御和病毒數據防御3個方面，文獻[3]方法和文獻[4]方法對未知威脅的漏報數量均要高于本研究所提方法，證明基于蜜罐技術的移動終端未知威脅智能防御方法對未知威脅的檢測能力較強，能夠有效實現對未知威脅的識別。

進一步驗證不同方法在對外來進行檢測的全面性方面的能力，如圖4所示。

圖4 不同方法外來信息查全率對比

分析圖4可知，在不斷的迭代中，僅本文提出的基于蜜罐技術的移動終端未知威脅智能防御方法對外來信息的查全率在緩步上升，而文獻[3]方法和文獻[4]方法對外來信息的查全率變化無規律性，但均低于本研究所提方法，因此可以說明基于蜜罐技術的移動終端未知威脅智能防御方法能實現對外來信息的全面檢測。

因此，通過上述實驗能夠證明，此次設計的基于蜜罐技術的移動終端未知威脅智能防御方法比傳統防御方法具有更好的防御效果，能夠有效保證移動智能終端的安全性。

5 總結

隨著互聯網規模的擴大以及終端用戶數量的增多，導致移動終端容易遭到黑客、計算機病毒和其他的危險攻擊。傳統的移動終端未知威脅防御方法常出現漏報等情況，因此設計一種基于蜜罐技術的移動終端未知威脅智能防御方法，以提高移動終端未知威脅智能防御的防御能力。首先利用蜜罐技術采集移動終端未知威脅信息，并設定未知威脅入侵檢測規則，在此基礎上，繪制威脅路徑，最后結合蜜罐技術建立移動終端未知威脅智能防御模型。實驗對比結果表明，本研究所提方法比傳統方法對未知威脅的漏報數量少，且對外來信息的檢測較為全面。

然而，在利用本研究所提方法進行移動終端未知威脅智能防御時，信息查全過程的耗時較久，在一定程度上降低了本研究所提方法的防御效率。因此，在未來的研究階段，將進一步對本研究所提方法進行優化，進一步提高對未知威脅的防御效率。