基于蜜罐技術的攻防對抗場景下網絡攻擊誘捕溯源方法

摘要：由于傳統日志分析、入侵檢測等溯源方法主要通過事后分析來追溯攻擊源頭，難以滿足攻防對抗場景對溯源工作的快速、準確的要求，文章提出基于蜜罐技術的攻防對抗場景下網絡攻擊誘捕溯源方法。在攻防對抗場景中部署蜜罐誘捕攻擊者實施網絡攻擊，并收集攻擊流量數據，把每一個攻擊端和防護端的流量數據歸為多個簇，對簇進行匹配判斷攻擊流量的發送源，實現攻防對抗場景下網絡攻擊誘捕溯源。實驗結果表明，該方法在攻防對抗場景下可以準確提供網絡攻擊端的IP地址信息，具有較高的可靠性。

關鍵詞：蜜罐技術；攻防對抗場景；網絡攻擊；誘捕溯源

中圖分類號：TP393

文獻標志碼：A

0 引言

隨著網絡技術的不斷發展和普及，網絡安全問題日益凸顯。當下，傳統的網絡攻擊溯源方法主要依賴于日志分析、流量監控、入侵檢測等技術手段，面臨數據收集不全、分析準確性不足、溯源效率低下等問題。因此，研究和開發高效的網絡攻擊溯源方法，對于提高網絡安全防御能力、維護網絡空間安全具有重要意義。黃克振等^［1］通過構建網絡攻擊事件溯源本體模型，完成網絡攻擊者的挖掘溯源，可以解決人工溯源方法效率低下等問題；張曉寧等^［2］在信號博弈模型描述攻防過程中，引入漏洞評分系統進行網絡攻擊歸因溯源，具有較高的準確性。在攻防對抗的復雜場景下，網絡攻擊溯源是一項極具挑戰性的任務。攻擊者常常運用各種復雜的技術手段和隱蔽的攻擊路徑來掩蓋其真實身份和攻擊意圖，這給溯源工作帶來了巨大的困難。為滿足現代攻防對抗場景對溯源工作的快速、準確和高效要求，本文深入探討基于蜜罐技術的攻防對抗場景下的網絡攻擊誘捕溯源方法，以期為網絡安全防御提供更加有力的支持。

1 部署蜜罐獲取網絡攻擊流量數據

在攻防對抗場景中，常規的事后分析溯源方法已無法滿足網絡攻擊溯源準確且及時的需求。因此，本文引入蜜罐技術，設計一種誘捕溯源方法。蜜罐是一種主動防御策略，通過模擬易受攻擊的目標來引誘攻擊者，從而捕獲和分析其攻擊行為。

本文的首要步驟是在攻防對抗場景中部署蜜罐。具體部署包括使用虛擬專用服務器作為蜜罐環境，傳輸蜜罐程序文件，登錄服務器執行部署腳本，配置蜜罐功能，并啟動蜜罐服務進行網絡攻擊模擬。

一旦攻擊者被蜜罐吸引并發起攻擊，蜜罐便能捕獲并記錄攻擊流量數據，包括攻擊源IP、攻擊時間、攻擊類型等關鍵信息^［4］。為更準確地分析這些數據，需提取并量化攻擊特征，以便深入了解攻擊者的行為和意圖，從而有效應對網絡攻擊威脅。

式中，P表示網絡攻擊流量的頻率；ω_i表示第i個時間窗口內的網絡攻擊流量權值；Q_i表示第i個時間窗口內的網絡攻擊流量數量；n表示窗口總數；T表示網絡攻擊事件的持續時間；t_j1、t_j2分別表示第j個網絡攻擊事件的起始時間和終止時間；m表示網絡攻擊事件的總數。通過式（1）與式（2）的計算，可以評估攻防對抗場景下網絡攻擊端的活躍程度與攻擊強度?？傊?，本文引入蜜罐技術誘捕攻防對抗場景下網絡攻擊端的流量數據，并量化提取了流量數據特征，為后續的攻擊溯源提供重要依據。

2 數據簇匹配判斷網絡攻擊流量源

本文引入KHM聚類算法進行數據簇匹配，進而識別出網絡攻擊流量的發送源^［5］。KHM聚類算法結合了K-means算法的高效性、層次聚類算法的結構性以及基于密度的聚類算法對噪聲和異常值的魯棒性，從而能夠在復雜的網絡環境中準確地識別出攻擊流量的特征。首先，在數據簇匹配之前，先對每個攻擊端和防護端的流量數據做預處理，以提取關鍵的數據包字段。其次，采用K-means算法將數據包劃分為初始的簇集合，其中K的值根據實際的網絡流量情況而定。在形成多個數據簇之后，假設對攻防對抗場景下網絡防護端流量數據中的某個數據簇X進行溯源，通過度量防護端流量數據簇X和攻擊端流量數據簇Y之間的相似度來判斷數據簇的發送源，本文采用歐幾里得距離作為度量數據包之間相似性的指標，公式如下：

式中，D（X，Y）表示數據簇X和數據簇Y之間的歐幾里得距離；X_i、Y_i分別表示數據簇X和數據簇Y在第i個字段上的值；N表示字段總數。如式（3）所示，采用基于距離的相似度度量方法進行數據簇匹配，即計算攻擊流量簇和防護流量簇中心之間的距離，距離越近表示相似度越高。完成數據簇的初始聚類后，通過下式求出輪廓系數評估其初始聚類效果：

式中，η（X）表示防護端流量數據簇X的輪廓系數，取值范圍為［-1，1］，其值越接近于1表示聚類效果越好；b（X）表示數據簇X到其所在簇內其他數據點之間的平均距離；d（X）表示數據簇X到其他簇之間的平均距離。當數據X的聚類效果達到最佳后，選擇相似度最高的數據簇作為最終匹配結果，即將該攻擊端流量數據簇所在攻擊端作為攻擊流量數據的發送源^［6］。綜上所述，本文利用蜜罐技術誘捕攻防對抗場景下的網絡攻擊，捕獲攻擊流量數據。

3 實驗分析3.1 實驗環境

本章模擬某真實應用場景進行組網，搭建一個較為真實的網絡運行環境，進行網絡攻擊溯源實驗。首先，運用OSPF協議、BGP協議等進行網段之間互通，進而搭建本次攻防對抗場景下網絡攻擊溯源實驗環境，如圖1所示。

如圖1所示，PC0為防護端主機，PC1～PC5為攻擊端主機，形成一個多攻擊者的攻防對抗網絡場景。實驗中，在各攻擊端主機上部署不同的漏洞環境，并搭建SQL注入、DDoS攻擊等攻擊測試站點，以模擬真實攻防對抗場景下不同網絡攻擊事件，內容如表1所示。

3.2 實驗結果

在上述實驗環境下，分別啟動PC1～PC5主機，一一對PC0主機進行網絡攻擊，記錄各溯源方法獲取的攻擊者IP信息，以測試不同溯源方法的實際應用效果。具體實驗結果如表2所示。

上表顯示，在多攻擊者場景中，蜜罐技術在網絡攻擊溯源中展現更高的準確性。傳統日志和入侵檢測方法存在誤報，而本文設計的基于蜜罐的溯源方法能準確提供攻擊端IP，凸顯其在攻防對抗場景下的優越性。實際應用中，此方法可提升溯源結果的準確性。

4 結語

本文圍繞基于蜜罐技術的網絡攻擊誘捕溯源方法，探討其在實際攻防對抗場景中的應用。文中成功構建一套有效的網絡攻擊誘捕溯源體系，并在實際環境中驗證了其可行性和準確性。然而，本研究也存在一定不足之處，如蜜罐的隱蔽性有待加強，溯源算法的泛化能力仍需提升。未來，本文將致力于進一步優化蜜罐部署策略，提升溯源算法的性能，并探索與其他安全技術的融合應用。隨著研究的深入和技術的創新，設計方法將能夠更有效地應對網絡攻擊，維護網絡空間的安全穩定。

參考文獻

［1］黃克振，連一峰，馮登國，等.一種基于圖模型的網絡攻擊溯源方法［J］.軟件學報，2022（2）：683-698.

［2］張曉寧，張恒巍，馬軍強，等.基于信號博弈模型的網絡攻擊歸因方法［J］.計算機工程與設計，2023（6）：1616-1621.

［3］周琰，馬強.欺騙誘捕技術在氣象網絡安全攻防對抗場景下的應用［J］.氣象科技，2023（2）：208-214.

［4］原浩宇，郭軍利，許明洋.基于內生安全體系結構的蜜罐技術研究［J］.計算機應用研究，2023（4）：1194-1202.

［5］梁若舟，高躍，趙曦濱.基于序列特征提取的溯源圖上APT攻擊檢測方法［J］.中國科學：信息科學，2022（8）：1463-1480.

［6］陳志華，黃志宏.基于知識圖譜的激光通信網絡入侵攻擊源定位方法［J］.應用激光，2022（7）：118-124.

（編輯 王雪芬）

Traceability method of network attack and trapping based on honeypot technology

Gao" Qi¹， Gong" Xiaojing²， Huang" Rui³， Huang" Chenglin⁴， Zhou" Shenyong⁴

（1.Guangxi Financial Information Management Center， Nanning 530021， China; 2.Guangxi Police College， Nanning 530028， China; 3.Guangxi Sifang Huitong Talent Service Co.， Ltd.， Nanning 530021， China; 4.Guangxi Haohua Technology Co.， Ltd.， Nanning 530022， China）

Abstract： Since the traditional traceability methods such as log analysis， intrusion detection and so on mainly trace the source of attack through post-hoc analysis， it is difficult to meet the requirements of rapid and accurate traceability of attack and defense confrontation scenes， and the network attack trapping tracing method based on honeypot technology is proposed. In the attack and defense confrontation scenario， honey tanks are deployed to trap attackers to carry out network attacks， and collect attack traffic data， classify the traffic data of each attack end and protection end into multiple clusters， matching the clusters to judge the sending source of attack traffic， so as to realize the traceability of network attack trapping in the attack and defense confrontation scenario. The experimental results show that the design method can provide the IP address information of the network attack end accurately in the attack and defense confrontation scenarios， with high reliability.

Key words：honeypot technology; attack and defense confrontation scenarios; network attack