基于蜜罐技术的虚拟交易网络安全防御系统

王彩玲

（河南警察学院 网络安全系，郑州 450046）

随着网络技术的不断发展与创新，网络犯罪活动也日益猖獗，黑客往往利用计算机技术漏洞和系统漏洞、网络病毒等多种方式来攻击网络或窃取数据信息［1］。因此，必须要对攻击行为进行准确溯源、实时追踪和智能化主动防御，以实现对各类网络威胁和犯罪活动有效防御的目的。目前网络安全防御系统仍处于初期开发阶段，在实践中也有诸多问题，在信息攻击强度不断提升的背景下，网络安全也再次受到威胁。为提高虚拟交易网络安全性，本文开展基于蜜罐技术的虚拟交易网络安全防御系统设计。具体研究路线如下：

（1）设计虚拟交易网络安全防御系统功能模块，包括网络扫描模块、决策模块、判断模块、蜜网网关模块、低交互蜜罐模块、高交互蜜罐模块；

（2）在系统功能模块设计的基础上，通过蜜罐技术监控攻击者行为，构建攻击数据集合，划分虚拟交易过程中的安全风险等级，根据等级划分结果，构建虚拟交易网络安全防御决策模型，获取防御决策方案。

虚拟交易网络安全防御系统由扫描模块、决策模块、判断模块、蜜网网关模块、低交互蜜罐模块、高交互蜜罐模块等模块组成。

网络扫描模块按照判断模块的要求，定期扫描周围的网络；
决策模块根据需求，从数据库中提取扫描信息，并对低级交互模块的结构进行调整；
判断模块对扫描结果进行处理，并将数据保存在数据库中；
蜜网网关模块的主要功能是管理高互动式的蜜罐，以确保高互动式的蜜罐不会对本局域网构成任何的威胁。

系统利用两种蜜罐作为诱饵，允许攻击者进入。在攻击端存取低交互式的虚拟蜜罐主机时，若该蜜罐主机能回应该请求，在记录网路资料的同时，将资料直接传回；
当目标主机上的端口和服务没有被打开时，低级互动的蜜罐会利用转发技术向高互动的蜜罐发送访问请求。高互动蜜罐提供了一个真正的虚拟交易网络服务，能够对网络的要求做出反应，并且对攻击行为的细节进行详细的记录。

基于防御系统各项功能，设计虚拟交易网络安全防御系统模块框架结构，如图1 所示。

图1 虚拟交易网络安全防御系统模块框架结构Fig.1 Structure of the virtual transaction network security defense system module framework

按照不同的应用场景设计若干个模块，每一个模块可独立使用。

2.1 基于蜜罐技术的攻击者行为监控

蜜罐技术作为一种自动化和分布式文件传输机制，能够使用户在不影响业务正常运行的情况下，快速恢复已发布内容并将交易发送给用户。蜜罐的安全性主要体现在对未知内容的检测上［2］。在用户已发布内容被利用、窃取之前，系统会通过蜜罐对未知内容进行检测处理，如文件中是否有未加密传输到用户手机、服务器上的信息，因此蜜罐能够在业务系统遭受到攻击时快速地检测并采取措施，防止风险蔓延，从而为业务系统恢复提供可靠地保障机制。基于蜜罐技术实现对攻击者虚假服务的提供，并与攻击者交互，防止攻击者对虚拟交易主体产生影响。为实现这一目的，基于低交互蜜罐模块和蜜网网关模块，对攻击者行为监控。

低交互式蜜罐模型基于持久的信息，对目标主机虚拟化处理，并通过与攻击者仿真。如果攻击者的存取要求蜜罐语义响应，蜜罐就会和攻击者互动；
若存取要求蜜罐自身无法响应，则蜜罐应采取适当的措施，以避免直接回传回应码。在蜜罐和攻击者互动的过程中，能够对攻击者行为进行监控，实时地记录用户的日志信息，以便管理人员进行分析，通过分析所获取到的数据，系统可以推测出攻击者的行为意图，系统通过对攻击者行为监控，实现对攻击者与防御者的动态信息获取。攻击者与防御者的动态如式（1）、式（2）：

2.2 虚拟交易安全风险等级划分

根据虚拟交易对信息的保密性、可用性、完整性和不可否认性以及对网络资源的安全性需求，以基于蜜罐技术的攻击者行为监控结果为基础，构建攻击数据集合，划分虚拟交易过程中的安全风险等级。虚拟交易过程中的各类攻击数据集合，如式（3）：

其中，t1表示未授权访问数据；
t2表示病毒数据；
t3表示木马攻击数据；
t4表示欺骗攻击数据；
t5表示操作攻击数据。

在确定攻击数据集后，对各个攻击环境下虚拟交易过程中产生的安全风险进行分类，分为低级、中级和高级。根据攻击类型和攻击次数确定具体等级，并为后续安全防御决策提供方向。

2.3 安全防御决策模型构建

根据上述划分的虚拟交易安全风险等级，构建虚拟交易网络安全防御决策模型。本文防御系统的决策模块是用于对整个系统的操作速度进行控制的，其主要功能包括以下几个方面：

首先，根据网络的动态特性，判断网络的扫描周期，确保网络环境在未来一段时间内不会发生太大的变化；

其次，将处理的结果保存到数据库中，以便在后续设置蜜罐时使用。

根据功能要求，建立安全防御决策模型，式（4）：

其中，PC，i表示受到攻击后虚拟交易网络第i种节点的负荷损失，ND表示系统的总节点数量。

为了验证系统在实际应用中的安全防御性能，将该系统作为实验组，将基于大数据的防御系统和基于安全态势感知的防御系统作为对照A 组和对照B 组，将这3 种防御系统应用到相同的运行环境中，对比其安全防御效果，实现对3 种系统性能的比较。选择将5 名系统用户人为虚拟交易网络中的攻击者，分别采取不同的攻击手段，获取虚拟交易过程中产生的重要信息数据，5 名攻击者基本信息记录见表1。

表1 5 名攻击者基本信息记录Tab.1 5 Basic information records of the attackers

表1 中5 名攻击者对应5 种不同的攻击手段，其攻击强度从大到小依次为：用户E＞用户D＞用户C＞用户B＞用户A。已知在实验过程中虚拟交易产生的隐私数据量为1 000 Mbits，分别记录3 种防御系统应用，5 名攻击者非法获取隐私信息的数据量，记录结果见表2。

表2 三种系统防御结果记录Tab.2 Results of the three systems

表2 中W实表示实验组防御系统运行中攻击者非法获取虚拟交易隐私信息数据量；
W对A表示对照A 组防御系统运行中攻击者非法获取虚拟交易隐私信息数据量；
W对B表示对照B 组防御系统运行中攻击者非法获取虚拟交易隐私信息数据量。从表2 可以看出，5 名攻击者均无法获取到虚拟交易产生的隐私信息数据，而对照A 组和对照B 组均出现了虚拟交易隐私信息数据泄露的情况，并且随着攻击强度的增加，泄露的信息量也逐渐增加。

为提高虚拟交易网络的安全，本文在引入蜜罐技术的基础上，提出了一种新的防御系统，并实现了对这一系统应用可行性的验证。新的防御系统能够为用户在虚拟交易网络中开展各项交易业务提供更有利保障条件。

猜你喜欢蜜罐攻击者网络安全基于微分博弈的追逃问题最优策略设计自动化学报(2021年8期)2021-09-28蜜罐蚁中外文摘(2019年20期)2019-11-13被自己撑死的蜜罐蚁知识窗(2019年6期)2019-06-26网络安全中国生殖健康(2019年10期)2019-01-07网络安全人才培养应“实战化”信息安全研究(2018年12期)2018-12-29基于博弈的蜜罐和入侵检测系统最优配置策略系统管理学报(2018年3期)2018-08-13上网时如何注意网络安全？小学生必读(中年级版)(2018年4期)2018-07-05正面迎接批判爱你(2018年16期)2018-06-21哈密瓜：乡间蜜罐中国三峡(2017年4期)2017-06-06有限次重复博弈下的网络攻击行为研究指挥与控制学报(2015年4期)2015-11-01

推荐访问:蜜罐 网络安全 防御