基于蜜罐技術(shù)的移動終端未知威脅智能防御方法

楊杰

(廣州供電局有限公司， 廣東 廣州 510620)

0 引言

移動終端是互聯(lián)網(wǎng)內(nèi)容的主要呈現(xiàn)設(shè)備。近年來，移動終端的快速發(fā)展使人們的生活與移動終端的聯(lián)系越來越緊密[1]。但是，由于移動終端存在存儲能力差、網(wǎng)絡(luò)資源來源廣且復(fù)雜等弊端，使得其對未知威脅的防御能力較弱[2]。因此，研究一種適用于移動終端的未知威脅防御方法已經(jīng)成為目前亟需解決的問題之一，相關(guān)專家學(xué)者也對此進行了大量研究。

文獻[3]中設(shè)計了一種大數(shù)據(jù)移動終端網(wǎng)絡(luò)信息安全防御方法，將自回歸模型與變異算子結(jié)合起來，構(gòu)建移動終端信息自回歸模型，并利用最小二乘法估算回歸系數(shù)，再通過滑動窗口檢測移動終端信息的統(tǒng)計量，計算其取值范圍，對于范圍外的信息進行防御。但是該方法對移動終端外來信息的檢查范圍較小，導(dǎo)致信息查全率較低。文獻[4]中設(shè)計了一種基于機器學(xué)習的移動終端高級持續(xù)性威脅檢測防御方法，利用靜態(tài)檢測方法提取出移動終端運行的靜態(tài)特征，借助于滑動窗口迭代算法對延遲攻擊特征進行捕捉，使用Boost技術(shù)將融合多種分類算法，對延遲攻擊進行檢測，根據(jù)檢測結(jié)果實現(xiàn)安全防御。但是該方法對未知威脅的捕獲能力較差，導(dǎo)致未知威脅漏報率較高。

蜜罐技術(shù)是一種高欺騙性的安全防護技術(shù)，可運行于多種網(wǎng)絡(luò)和故意留有特征漏洞的終端系統(tǒng)中。蜜罐技術(shù)能夠誘導(dǎo)入侵者發(fā)動攻擊行為，在此基礎(chǔ)上捕捉攻擊源繼而實現(xiàn)安全防御，保護重要系統(tǒng)終端免受侵害。通過誘導(dǎo)入侵者攻擊蜜罐終端，不僅能夠拖延攻擊真正目標的時間，還能夠及時對攻擊行為監(jiān)視、采集和分析，為處理未知威脅提供支持。因此，為解決傳統(tǒng)方法存在的問題，將蜜罐技術(shù)應(yīng)用到移動終端未知威脅防御過程中，本研究提出基于蜜罐技術(shù)的移動終端未知威脅智能防御方法。通過對比實驗結(jié)果證明了本研究所提方法對未知威脅的漏報量較少，且能對來源信息進行全面檢測，能夠滿足移動終端對未知威脅有效防御的需求。

1 入侵檢測規(guī)則的設(shè)定

在對移動終端未知威脅進行智能防御之前，需提取移動終端未知威脅的入侵規(guī)則。

首先利用蜜罐技術(shù)采集移動終端未知威脅信息。由于現(xiàn)有的蜜罐技術(shù)難以對提取數(shù)據(jù)的類別進行細致區(qū)分，因此，采用無監(jiān)督聚類算法對采集的數(shù)據(jù)進行分類。若蜜罐記錄的入侵行為與正常行為存在明顯差異，則計算該數(shù)據(jù)屬性[5]，并將其與其它數(shù)據(jù)區(qū)分開，計算過程，如式(1)。

(1)

式中，D表示移動終端未知威脅的基本數(shù)據(jù);F表示數(shù)據(jù)特征信息;?表示數(shù)據(jù)屬性區(qū)分因子；b表示蜜罐技術(shù)的誘惑信標。

在此過程中利用蜜罐技術(shù)目的是吸引威脅信息進入系統(tǒng)，以便記錄入侵過程。當入侵行為數(shù)據(jù)大于正常行為數(shù)目時，按照所有的類包含數(shù)據(jù)多少排序[6]，并設(shè)定比例數(shù)，對數(shù)據(jù)進行標記，比例數(shù)設(shè)定依據(jù)，如式(2)。

(2)

式中，G表示移動終端數(shù)據(jù)的比例數(shù)；n表示入侵數(shù)據(jù)數(shù)目；g表示惡意信息攻擊潛力，A為數(shù)據(jù)排序因子。

根據(jù)上述過程完成比例數(shù)的設(shè)定。當G≥1時，標記該數(shù)據(jù)為正常類；反之，當G≤1時，將其標記為入侵類。

通過上述計算，完成移動終端未知威脅入侵檢測規(guī)則的設(shè)定，為移動終端未知威脅智能防御提供基礎(chǔ)。

2 威脅入侵路徑的繪制

在上述入侵檢測規(guī)則設(shè)定的基礎(chǔ)上，繪制威脅路徑。在移動終端的未知威脅中，威脅信息一般會對具有弱點的對象發(fā)動攻擊，且威脅行為的發(fā)生具有一定的持續(xù)性[7]，基于這一特點，將威脅信息聚合，形成新的威脅報告信息，根據(jù)威脅報告信息繪制威脅路徑。威脅路徑繪制步驟如下所示。

step1：聚合威脅行為報告集，時間間隔設(shè)置為閾值T；

step2：形成初始臨時隊列，存放聚合過程中的威脅行為報告[8]；

step3：檢查服務(wù)器收到的威脅行為報告，是否滿足生成威脅路徑；

step4：若在T時間內(nèi)沒有收到新的可歸并的威脅報告，則輸出聚合后的威脅行為報告。

按照上述過程完成威脅路徑的繪制，根據(jù)威脅路徑挖掘惡意節(jié)點，如式(3)。

(3)

根據(jù)上述過程分辨惡意節(jié)點，排除這類報告的干擾，使移動終端未知威脅防御優(yōu)先處理有價值的威脅行為，以此完成威脅路徑的繪制。

3 移動終端未知威脅的防御

在上述設(shè)定入侵檢測規(guī)則和繪制威脅路徑的基礎(chǔ)上，對移動終端未知威脅智能防御。結(jié)合蜜罐技術(shù)，建立未知威脅智能防御模型。模型的邏輯結(jié)構(gòu)圖，如圖1所示。

圖1 未知威脅智能防御模型邏輯結(jié)構(gòu)圖

為了融合蜜罐技術(shù)的預(yù)警效果，利用威脅特征信息同入侵規(guī)則的匹配度規(guī)劃威脅程度的檢測算法。首先輸入捕獲信息特征模式的屬性字串，利用下述公式輸出預(yù)警判決結(jié)果[9-10]，如式(4)。

(4)

式中，F(xiàn)表示信息特征模式；k表示匹配計數(shù)變量；l表示每個屬性字串；H表示區(qū)間邊界閾值；x表示控制中心報警信息。

根據(jù)上述公式提高移動終端未知威脅智能防御模型的預(yù)警效果，在此基礎(chǔ)上為提高模型的安全性能，引入時間概念[11]，模型更新，如式(5)。

F′=(rr+m)Ft

(5)

式中，t表示保護安全目標設(shè)置的防護時間；r表示檢測到攻擊行為所花費的時間；m表示發(fā)現(xiàn)攻擊后模型的響應(yīng)時間。

在該時間概念核心模塊的指導(dǎo)下，通過防護、檢測以及相應(yīng)構(gòu)建一個安全防御模型。利用蜜罐技術(shù)捕獲攻擊源，捕獲過程，如式(6)。

(6)

式中，I表示有限狀態(tài)集；q表示有限輸入；j表示轉(zhuǎn)換函數(shù)；s表示模型的初始狀態(tài)；α表示威脅信息捕獲因子。

根據(jù)移動終端對未知威脅的智能防御需求，構(gòu)建基于蜜罐技術(shù)的智能防御模型狀態(tài)，如式(7)。

W=(d1+d2+d3+d4+d5)N

(7)

式中，d1表示未知威脅智能防御模型的初始狀態(tài)，若監(jiān)測到移動終端受到攻擊時，防御模型轉(zhuǎn)換為d2狀態(tài)；對未知威脅模型定向和重定向狀態(tài)，若定向完成，轉(zhuǎn)為d3；若未完成則重新定向，維持當前狀態(tài)并報告狀態(tài)；d3表示模型日志記錄狀態(tài)，記錄完成后，轉(zhuǎn)為d4，若未記錄完成，則繼續(xù)記錄；d4表示上述的提取入侵規(guī)則過程，若提取完成，轉(zhuǎn)為d5，若未完成，則維持原狀態(tài)；d5表示上述威脅路徑繪制狀態(tài)，若識別到攻擊信息，則在d1狀態(tài)中加入未知攻擊信息，若未識別到攻擊信息，則重復(fù)該過程?；诿酃藜夹g(shù)的移動終端未知威脅智能防御模型的轉(zhuǎn)換關(guān)系，如圖2所示。

圖2 未知威脅智能防御模型的轉(zhuǎn)換關(guān)系示意圖

N表示基于蜜罐技術(shù)的移動終端未知威脅智能防御模型的技術(shù)狀態(tài)[12]。

在實際使用該模型時，利用蜜罐技術(shù)在d2狀態(tài)時追擊攻擊源，同時在d3狀態(tài)時利用蜜罐技術(shù)捕獲攻擊源并記錄攻擊工具以及攻擊方法等信息，以此完成基于蜜罐技術(shù)的移動終端未知威脅智能防御。該模型不僅能夠?qū)σ苿咏K端有效保護、轉(zhuǎn)移攻擊源目標，還能有效獲取到攻擊信息。

4 實驗對比與分析

4.1 實驗方法設(shè)計

為了驗證基于蜜罐技術(shù)的移動終端未知威脅智能防御方法的有效性，進行實驗對比，將文獻[3]中的大數(shù)據(jù)移動終端網(wǎng)絡(luò)信息安全防御方法和文獻[4]中的基于機器學(xué)習的移動終端高級持續(xù)性威脅檢測防御方法與本研究所提方法進行性能對比，主要對比3種終端未知威脅防御方法對未知威脅的漏報數(shù)量和對外來信息的查全率。其中，未知威脅的漏報數(shù)量可以判斷不同方法對未知威脅的檢測能力，對外來信息的查全率可以判斷不同方法對外來信息進行檢測的全面性，其計算過程，如式(8)。

(8)

4.2 實驗環(huán)境準備

采用雷區(qū)模式部署實驗環(huán)境，通過若干虛擬主機，布設(shè)雷區(qū)，測試環(huán)境，如圖3所示。

圖3 實驗環(huán)境構(gòu)成示意圖

實驗操作系統(tǒng)為Windows Server 2003，WEB服務(wù)器支持為Internet Information Server 6.0，后臺數(shù)據(jù)庫支持Microsoft SQL Server 2005。在此基礎(chǔ)上，模擬網(wǎng)絡(luò)誘騙環(huán)境，因此需要模擬網(wǎng)絡(luò)服務(wù)，使誘騙環(huán)境中的主機相似于真實環(huán)境中的主機，采用虛擬現(xiàn)實技術(shù)來實現(xiàn)。利用虛擬機技術(shù)構(gòu)建虛擬硬件平臺，并通過該平臺提供應(yīng)用運行環(huán)境的技術(shù)，使實驗更具真實性。

同時，在實驗中還需要部署虛擬蜜罐對當前的實驗環(huán)境掃描探測，并對預(yù)設(shè)的目標主機進行攻擊。在實驗主機中選取10個木馬、10個蠕蟲、10個病毒和10個正常程序作為樣本程序，并利用多態(tài)工具對樣本程序處理，從而得到130個程序，其中包括30個惡意程序、60個攻擊數(shù)據(jù)和40個病毒數(shù)據(jù)。將這些攻擊數(shù)據(jù)導(dǎo)入上述攻擊主機中，導(dǎo)入成功后，實時記錄不同防御方法的防御情況。

4.3 實驗結(jié)果分析

統(tǒng)計分析不同防御方法未知威脅的漏報數(shù)量，如表1所示。

表1 不同方法未知威脅的漏報數(shù)量對比(個)

分析表1結(jié)果可知，在惡意程序防御、攻擊數(shù)據(jù)防御和病毒數(shù)據(jù)防御3個方面，文獻[3]方法和文獻[4]方法對未知威脅的漏報數(shù)量均要高于本研究所提方法，證明基于蜜罐技術(shù)的移動終端未知威脅智能防御方法對未知威脅的檢測能力較強，能夠有效實現(xiàn)對未知威脅的識別。

進一步驗證不同方法在對外來進行檢測的全面性方面的能力，如圖4所示。

圖4 不同方法外來信息查全率對比

分析圖4可知，在不斷的迭代中，僅本文提出的基于蜜罐技術(shù)的移動終端未知威脅智能防御方法對外來信息的查全率在緩步上升，而文獻[3]方法和文獻[4]方法對外來信息的查全率變化無規(guī)律性，但均低于本研究所提方法，因此可以說明基于蜜罐技術(shù)的移動終端未知威脅智能防御方法能實現(xiàn)對外來信息的全面檢測。

因此，通過上述實驗?zāi)軌蜃C明，此次設(shè)計的基于蜜罐技術(shù)的移動終端未知威脅智能防御方法比傳統(tǒng)防御方法具有更好的防御效果，能夠有效保證移動智能終端的安全性。

5 總結(jié)

隨著互聯(lián)網(wǎng)規(guī)模的擴大以及終端用戶數(shù)量的增多，導(dǎo)致移動終端容易遭到黑客、計算機病毒和其他的危險攻擊。傳統(tǒng)的移動終端未知威脅防御方法常出現(xiàn)漏報等情況，因此設(shè)計一種基于蜜罐技術(shù)的移動終端未知威脅智能防御方法，以提高移動終端未知威脅智能防御的防御能力。首先利用蜜罐技術(shù)采集移動終端未知威脅信息，并設(shè)定未知威脅入侵檢測規(guī)則，在此基礎(chǔ)上，繪制威脅路徑，最后結(jié)合蜜罐技術(shù)建立移動終端未知威脅智能防御模型。實驗對比結(jié)果表明，本研究所提方法比傳統(tǒng)方法對未知威脅的漏報數(shù)量少，且對外來信息的檢測較為全面。

然而，在利用本研究所提方法進行移動終端未知威脅智能防御時，信息查全過程的耗時較久，在一定程度上降低了本研究所提方法的防御效率。因此，在未來的研究階段，將進一步對本研究所提方法進行優(yōu)化，進一步提高對未知威脅的防御效率。