基于蜜罐技術(shù)的虛擬交易網(wǎng)絡(luò)安全防御系統(tǒng)

王彩玲

（河南警察學(xué)院 網(wǎng)絡(luò)安全系，鄭州 450046）

0 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與創(chuàng)新，網(wǎng)絡(luò)犯罪活動(dòng)也日益猖獗，黑客往往利用計(jì)算機(jī)技術(shù)漏洞和系統(tǒng)漏洞、網(wǎng)絡(luò)病毒等多種方式來(lái)攻擊網(wǎng)絡(luò)或竊取數(shù)據(jù)信息［1］。因此，必須要對(duì)攻擊行為進(jìn)行準(zhǔn)確溯源、實(shí)時(shí)追蹤和智能化主動(dòng)防御，以實(shí)現(xiàn)對(duì)各類(lèi)網(wǎng)絡(luò)威脅和犯罪活動(dòng)有效防御的目的。目前網(wǎng)絡(luò)安全防御系統(tǒng)仍處于初期開(kāi)發(fā)階段，在實(shí)踐中也有諸多問(wèn)題，在信息攻擊強(qiáng)度不斷提升的背景下，網(wǎng)絡(luò)安全也再次受到威脅。為提高虛擬交易網(wǎng)絡(luò)安全性，本文開(kāi)展基于蜜罐技術(shù)的虛擬交易網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)。具體研究路線(xiàn)如下：

（1）設(shè)計(jì)虛擬交易網(wǎng)絡(luò)安全防御系統(tǒng)功能模塊，包括網(wǎng)絡(luò)掃描模塊、決策模塊、判斷模塊、蜜網(wǎng)網(wǎng)關(guān)模塊、低交互蜜罐模塊、高交互蜜罐模塊；

（2）在系統(tǒng)功能模塊設(shè)計(jì)的基礎(chǔ)上，通過(guò)蜜罐技術(shù)監(jiān)控攻擊者行為，構(gòu)建攻擊數(shù)據(jù)集合，劃分虛擬交易過(guò)程中的安全風(fēng)險(xiǎn)等級(jí)，根據(jù)等級(jí)劃分結(jié)果，構(gòu)建虛擬交易網(wǎng)絡(luò)安全防御決策模型，獲取防御決策方案。

1 虛擬交易網(wǎng)絡(luò)安全防御系統(tǒng)功能模塊設(shè)計(jì)

虛擬交易網(wǎng)絡(luò)安全防御系統(tǒng)由掃描模塊、決策模塊、判斷模塊、蜜網(wǎng)網(wǎng)關(guān)模塊、低交互蜜罐模塊、高交互蜜罐模塊等模塊組成。

網(wǎng)絡(luò)掃描模塊按照判斷模塊的要求，定期掃描周?chē)木W(wǎng)絡(luò)；決策模塊根據(jù)需求，從數(shù)據(jù)庫(kù)中提取掃描信息，并對(duì)低級(jí)交互模塊的結(jié)構(gòu)進(jìn)行調(diào)整；判斷模塊對(duì)掃描結(jié)果進(jìn)行處理，并將數(shù)據(jù)保存在數(shù)據(jù)庫(kù)中；蜜網(wǎng)網(wǎng)關(guān)模塊的主要功能是管理高互動(dòng)式的蜜罐，以確保高互動(dòng)式的蜜罐不會(huì)對(duì)本局域網(wǎng)構(gòu)成任何的威脅。

系統(tǒng)利用兩種蜜罐作為誘餌，允許攻擊者進(jìn)入。在攻擊端存取低交互式的虛擬蜜罐主機(jī)時(shí)，若該蜜罐主機(jī)能回應(yīng)該請(qǐng)求，在記錄網(wǎng)路資料的同時(shí)，將資料直接傳回；當(dāng)目標(biāo)主機(jī)上的端口和服務(wù)沒(méi)有被打開(kāi)時(shí)，低級(jí)互動(dòng)的蜜罐會(huì)利用轉(zhuǎn)發(fā)技術(shù)向高互動(dòng)的蜜罐發(fā)送訪問(wèn)請(qǐng)求。高互動(dòng)蜜罐提供了一個(gè)真正的虛擬交易網(wǎng)絡(luò)服務(wù)，能夠?qū)W(wǎng)絡(luò)的要求做出反應(yīng)，并且對(duì)攻擊行為的細(xì)節(jié)進(jìn)行詳細(xì)的記錄。

基于防御系統(tǒng)各項(xiàng)功能，設(shè)計(jì)虛擬交易網(wǎng)絡(luò)安全防御系統(tǒng)模塊框架結(jié)構(gòu)，如圖1 所示。

圖1 虛擬交易網(wǎng)絡(luò)安全防御系統(tǒng)模塊框架結(jié)構(gòu)Fig.1 Structure of the virtual transaction network security defense system module framework

按照不同的應(yīng)用場(chǎng)景設(shè)計(jì)若干個(gè)模塊，每一個(gè)模塊可獨(dú)立使用。

2 系統(tǒng)軟件設(shè)計(jì)

2.1 基于蜜罐技術(shù)的攻擊者行為監(jiān)控

蜜罐技術(shù)作為一種自動(dòng)化和分布式文件傳輸機(jī)制，能夠使用戶(hù)在不影響業(yè)務(wù)正常運(yùn)行的情況下，快速恢復(fù)已發(fā)布內(nèi)容并將交易發(fā)送給用戶(hù)。蜜罐的安全性主要體現(xiàn)在對(duì)未知內(nèi)容的檢測(cè)上［2］。在用戶(hù)已發(fā)布內(nèi)容被利用、竊取之前，系統(tǒng)會(huì)通過(guò)蜜罐對(duì)未知內(nèi)容進(jìn)行檢測(cè)處理，如文件中是否有未加密傳輸?shù)接脩?hù)手機(jī)、服務(wù)器上的信息，因此蜜罐能夠在業(yè)務(wù)系統(tǒng)遭受到攻擊時(shí)快速地檢測(cè)并采取措施，防止風(fēng)險(xiǎn)蔓延，從而為業(yè)務(wù)系統(tǒng)恢復(fù)提供可靠地保障機(jī)制?；诿酃藜夹g(shù)實(shí)現(xiàn)對(duì)攻擊者虛假服務(wù)的提供，并與攻擊者交互，防止攻擊者對(duì)虛擬交易主體產(chǎn)生影響。為實(shí)現(xiàn)這一目的，基于低交互蜜罐模塊和蜜網(wǎng)網(wǎng)關(guān)模塊，對(duì)攻擊者行為監(jiān)控。

低交互式蜜罐模型基于持久的信息，對(duì)目標(biāo)主機(jī)虛擬化處理，并通過(guò)與攻擊者仿真。如果攻擊者的存取要求蜜罐語(yǔ)義響應(yīng)，蜜罐就會(huì)和攻擊者互動(dòng)；若存取要求蜜罐自身無(wú)法響應(yīng)，則蜜罐應(yīng)采取適當(dāng)?shù)拇胧员苊庵苯踊貍骰貞?yīng)碼。在蜜罐和攻擊者互動(dòng)的過(guò)程中，能夠?qū)粽咝袨檫M(jìn)行監(jiān)控，實(shí)時(shí)地記錄用戶(hù)的日志信息，以便管理人員進(jìn)行分析，通過(guò)分析所獲取到的數(shù)據(jù)，系統(tǒng)可以推測(cè)出攻擊者的行為意圖，系統(tǒng)通過(guò)對(duì)攻擊者行為監(jiān)控，實(shí)現(xiàn)對(duì)攻擊者與防御者的動(dòng)態(tài)信息獲取。攻擊者與防御者的動(dòng)態(tài)如式（1）、式（2）：

2.2 虛擬交易安全風(fēng)險(xiǎn)等級(jí)劃分

根據(jù)虛擬交易對(duì)信息的保密性、可用性、完整性和不可否認(rèn)性以及對(duì)網(wǎng)絡(luò)資源的安全性需求，以基于蜜罐技術(shù)的攻擊者行為監(jiān)控結(jié)果為基礎(chǔ)，構(gòu)建攻擊數(shù)據(jù)集合，劃分虛擬交易過(guò)程中的安全風(fēng)險(xiǎn)等級(jí)。虛擬交易過(guò)程中的各類(lèi)攻擊數(shù)據(jù)集合，如式（3）：

其中，t1表示未授權(quán)訪問(wèn)數(shù)據(jù)；t2表示病毒數(shù)據(jù)；t3表示木馬攻擊數(shù)據(jù)；t4表示欺騙攻擊數(shù)據(jù)；t5表示操作攻擊數(shù)據(jù)。

在確定攻擊數(shù)據(jù)集后，對(duì)各個(gè)攻擊環(huán)境下虛擬交易過(guò)程中產(chǎn)生的安全風(fēng)險(xiǎn)進(jìn)行分類(lèi)，分為低級(jí)、中級(jí)和高級(jí)。根據(jù)攻擊類(lèi)型和攻擊次數(shù)確定具體等級(jí)，并為后續(xù)安全防御決策提供方向。

2.3 安全防御決策模型構(gòu)建

根據(jù)上述劃分的虛擬交易安全風(fēng)險(xiǎn)等級(jí)，構(gòu)建虛擬交易網(wǎng)絡(luò)安全防御決策模型。本文防御系統(tǒng)的決策模塊是用于對(duì)整個(gè)系統(tǒng)的操作速度進(jìn)行控制的，其主要功能包括以下幾個(gè)方面：

首先，根據(jù)網(wǎng)絡(luò)的動(dòng)態(tài)特性，判斷網(wǎng)絡(luò)的掃描周期，確保網(wǎng)絡(luò)環(huán)境在未來(lái)一段時(shí)間內(nèi)不會(huì)發(fā)生太大的變化；

其次，將處理的結(jié)果保存到數(shù)據(jù)庫(kù)中，以便在后續(xù)設(shè)置蜜罐時(shí)使用。

根據(jù)功能要求，建立安全防御決策模型，式（4）：

其中，PC，i表示受到攻擊后虛擬交易網(wǎng)絡(luò)第i種節(jié)點(diǎn)的負(fù)荷損失，ND表示系統(tǒng)的總節(jié)點(diǎn)數(shù)量。

3 對(duì)比實(shí)驗(yàn)

為了驗(yàn)證系統(tǒng)在實(shí)際應(yīng)用中的安全防御性能，將該系統(tǒng)作為實(shí)驗(yàn)組，將基于大數(shù)據(jù)的防御系統(tǒng)和基于安全態(tài)勢(shì)感知的防御系統(tǒng)作為對(duì)照A 組和對(duì)照B 組，將這3 種防御系統(tǒng)應(yīng)用到相同的運(yùn)行環(huán)境中，對(duì)比其安全防御效果，實(shí)現(xiàn)對(duì)3 種系統(tǒng)性能的比較。選擇將5 名系統(tǒng)用戶(hù)人為虛擬交易網(wǎng)絡(luò)中的攻擊者，分別采取不同的攻擊手段，獲取虛擬交易過(guò)程中產(chǎn)生的重要信息數(shù)據(jù)，5 名攻擊者基本信息記錄見(jiàn)表1。

表1 5 名攻擊者基本信息記錄Tab.1 5 Basic information records of the attackers

表1 中5 名攻擊者對(duì)應(yīng)5 種不同的攻擊手段，其攻擊強(qiáng)度從大到小依次為：用戶(hù)E＞用戶(hù)D＞用戶(hù)C＞用戶(hù)B＞用戶(hù)A。已知在實(shí)驗(yàn)過(guò)程中虛擬交易產(chǎn)生的隱私數(shù)據(jù)量為1 000 Mbits，分別記錄3 種防御系統(tǒng)應(yīng)用，5 名攻擊者非法獲取隱私信息的數(shù)據(jù)量，記錄結(jié)果見(jiàn)表2。

表2 三種系統(tǒng)防御結(jié)果記錄Tab.2 Results of the three systems

表2 中W實(shí)表示實(shí)驗(yàn)組防御系統(tǒng)運(yùn)行中攻擊者非法獲取虛擬交易隱私信息數(shù)據(jù)量；W對(duì)A表示對(duì)照A 組防御系統(tǒng)運(yùn)行中攻擊者非法獲取虛擬交易隱私信息數(shù)據(jù)量；W對(duì)B表示對(duì)照B 組防御系統(tǒng)運(yùn)行中攻擊者非法獲取虛擬交易隱私信息數(shù)據(jù)量。從表2 可以看出，5 名攻擊者均無(wú)法獲取到虛擬交易產(chǎn)生的隱私信息數(shù)據(jù)，而對(duì)照A 組和對(duì)照B 組均出現(xiàn)了虛擬交易隱私信息數(shù)據(jù)泄露的情況，并且隨著攻擊強(qiáng)度的增加，泄露的信息量也逐漸增加。

4 結(jié)束語(yǔ)

為提高虛擬交易網(wǎng)絡(luò)的安全，本文在引入蜜罐技術(shù)的基礎(chǔ)上，提出了一種新的防御系統(tǒng)，并實(shí)現(xiàn)了對(duì)這一系統(tǒng)應(yīng)用可行性的驗(yàn)證。新的防御系統(tǒng)能夠?yàn)橛脩?hù)在虛擬交易網(wǎng)絡(luò)中開(kāi)展各項(xiàng)交易業(yè)務(wù)提供更有利保障條件。