吳　軍，張向麗，張軼君，白光偉

（南京工業(yè)大學(xué) 電子與信息工程學(xué)院，江蘇 南京211816）

一種基于xenVMI機(jī)制下的蜜網(wǎng)流量異常檢測(cè)方法*

吳軍，張向麗，張軼君，白光偉

（南京工業(yè)大學(xué) 電子與信息工程學(xué)院，江蘇 南京211816）

針對(duì)目前私有云網(wǎng)絡(luò)存在的安全隱患，提出了一種基于xenVMI機(jī)制下的蜜網(wǎng)流量異常檢測(cè)模型。首先通過數(shù)據(jù)捕獲模塊截獲蜜網(wǎng)流量；然后利用BP神經(jīng)網(wǎng)絡(luò)自主性、交互性和主動(dòng)性的特征，對(duì)捕獲的流量特征進(jìn)行訓(xùn)練，得到五元組特征；再計(jì)算五元組特征的信息熵，從而判定蜜網(wǎng)中異常行為。實(shí)驗(yàn)結(jié)果表明，模型可以有效地檢測(cè)蜜網(wǎng)中的異常，并通過對(duì)異常的分析增強(qiáng)私有云網(wǎng)絡(luò)的防御能力。

xen；信息熵；BP神經(jīng)網(wǎng)絡(luò)；蜜網(wǎng)

0　引言

目前私有云網(wǎng)絡(luò)中大量采用了xen虛擬化技術(shù)，將虛擬機(jī)部署在物理硬件上并共享硬件資源，而應(yīng)用程序和操作系統(tǒng)則運(yùn)行在虛擬機(jī)中，從而大大提供了資源的使用率。虛擬機(jī)間的強(qiáng)隔離性[1]保證了虛擬機(jī)之間進(jìn)程的信息安全，此外虛擬機(jī)管理器對(duì)虛擬機(jī)的管理過程是透明的，攻擊者無法確認(rèn)自己攻擊的是否為真正的主機(jī)。xen虛擬機(jī)的結(jié)構(gòu)如圖1，VMM可以創(chuàng)建的多個(gè)虛擬機(jī)，可以運(yùn)行不同的操作系統(tǒng)和應(yīng)用程序。xen包括服務(wù)域Domain0和虛擬域DomainU，Domain0具有最高特權(quán)級(jí)，可以管理其他的虛擬域。虛擬機(jī)的VMI技術(shù)將虛擬機(jī)與安全監(jiān)測(cè)工具相互隔離，增強(qiáng)了監(jiān)測(cè)工具的安全性。

虛擬化技術(shù)中存在的大量惡意行為給網(wǎng)絡(luò)信息安全[2]帶來了隱患，本文通過部署蜜網(wǎng)可以有效地檢測(cè)到網(wǎng)絡(luò)上的惡意攻擊，分析這些惡意行為的攻擊方式，以便進(jìn)行有效的防范。蜜網(wǎng)由一系列蜜罐組成，蜜網(wǎng)的內(nèi)容包括：數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析，它的主要功能是標(biāo)記所有進(jìn)出系統(tǒng)的可疑流量[3]。虛擬機(jī)的引入對(duì)虛擬蜜網(wǎng)有兩方面的影響：一方面，由于虛擬機(jī)的特性，可以構(gòu)建基于虛擬機(jī)的數(shù)據(jù)捕獲和采集裝置（xebek），使得現(xiàn)有的反蜜網(wǎng)技術(shù)無效化；另一方面,由于系統(tǒng)規(guī)模更加龐大，虛擬機(jī)會(huì)給攻擊者更多的提示，而采用VMI技術(shù)從蜜網(wǎng)外部進(jìn)行監(jiān)控，提高蜜網(wǎng)的安全性。

圖1　xen虛擬機(jī)結(jié)構(gòu)

1　相關(guān)研究

Abe[4]提出一種基于 DoS檢測(cè) IP數(shù)據(jù)包的熵的方法，IP數(shù)據(jù)包熵的改變用來檢測(cè)可能存在的 DoS攻擊，攻擊產(chǎn)生時(shí)，數(shù)據(jù)包的大小與從受害者獲得的響應(yīng)是相同的，缺點(diǎn)是沒有對(duì)其他數(shù)據(jù)特征的熵進(jìn)行分析。Thonnard和 dacier[5]提出一種基于集群的方法來分析蜜網(wǎng)數(shù)據(jù)的攻擊模式，采用時(shí)間簽名來收集蜜網(wǎng)的數(shù)據(jù)，對(duì)從世界各地的蜜罐收集的大型數(shù)據(jù)集進(jìn)行研究，但這種數(shù)據(jù)采集規(guī)模太大，實(shí)際執(zhí)行過程有一定的難度。吳文潔、葛昕[6]等人使用低交互蜜罐在 VMware中構(gòu)建分布式蜜網(wǎng)體系，采用了XMPP技術(shù)進(jìn)行數(shù)據(jù)共享，使用carniwwhore框架實(shí)現(xiàn)了數(shù)據(jù)統(tǒng)計(jì)和可視化輸出，但是這種低交互蜜罐對(duì)手工攻擊行為識(shí)別率較低；王海峰、陳慶奎等人[7]在建立蜜網(wǎng)欺騙量化模型的基礎(chǔ)上提出兩種智能算法，通過仿真實(shí)驗(yàn)證明其具有提高蜜網(wǎng)偽裝的能力，但缺乏對(duì)新攻擊行為的適應(yīng)能力。

目前的私有云網(wǎng)絡(luò)安全產(chǎn)品雖然能檢測(cè)一定的網(wǎng)絡(luò)隱患，但僅僅是檢測(cè)單一的網(wǎng)絡(luò)特征并進(jìn)行處理。與以往蜜網(wǎng)監(jiān)控系統(tǒng)不同，本系統(tǒng)采用BP神經(jīng)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行訓(xùn)練，確定數(shù)據(jù)的五元組特征，然后分析流量數(shù)據(jù)的五元組特征熵值，判定蜜網(wǎng)中的異常行為，當(dāng)網(wǎng)絡(luò)再出現(xiàn)類似的異常行為時(shí)，可立即進(jìn)行處理。通過實(shí)驗(yàn)表明，模型可以有效地檢測(cè)私有云網(wǎng)絡(luò)中蜜網(wǎng)的多種異常，提高云環(huán)境的安全性。

2　相關(guān)技術(shù)

2.1BP神經(jīng)網(wǎng)絡(luò)算法

BP神經(jīng)網(wǎng)絡(luò)[8]是通過輸入和輸出的樣本集（即網(wǎng)絡(luò)的閾值和權(quán)值）對(duì)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，從而使網(wǎng)絡(luò)完成給定的輸入/輸出映射關(guān)系。本文設(shè)計(jì)的BP網(wǎng)絡(luò)算法模型是以網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行訓(xùn)練的，而這些數(shù)據(jù)已經(jīng)根據(jù)原始數(shù)據(jù)流量進(jìn)行了三級(jí)處理。第一級(jí)是根據(jù)原始數(shù)據(jù)提取數(shù)據(jù)包的特征：如目標(biāo)ip地址、目標(biāo)端口、源端口、總載荷字節(jié)TB、標(biāo)志位和總數(shù)據(jù)包數(shù) PC等；第二級(jí)是量化數(shù)據(jù)，如各種協(xié)議以及沒有實(shí)質(zhì)作用的數(shù)據(jù)，依據(jù)網(wǎng)絡(luò)異常的類型量化為二值向量；第三級(jí)是對(duì)數(shù)據(jù)進(jìn)行整理計(jì)算，對(duì)持續(xù)時(shí)期的惡意行為數(shù)據(jù)進(jìn)行實(shí)時(shí)分析。

網(wǎng)絡(luò)由3層組成，如圖2，第一層是隱含層,隱含層的節(jié)點(diǎn)函數(shù)為Sigmoid函數(shù)(f(x)=1/(1+e-x))，節(jié)點(diǎn)模式包括正常模式和惡意模式，惡意模式可以檢測(cè)現(xiàn)有的惡意攻擊和新型的攻擊。第一層的作用是計(jì)算輸入向量X= {X1，X2，…，Xl}與模式層的模式(例如第j個(gè)模式 p=(p1j，p2j，…，pij))的匹配度,匹配函數(shù)(Match(x))為：

圖2　BP神經(jīng)網(wǎng)絡(luò)的三層結(jié)構(gòu)

BP神經(jīng)網(wǎng)絡(luò)的正常模式與異常模式的輸出不能同為1，正常模式的輸出為1表明輸入了正常序列，異常模式輸出為1時(shí)表明有惡意行為產(chǎn)生。當(dāng)兩種模式輸出都為0時(shí)表明輸入的序列與正常模式和異常模式都不匹配，該序列定義為異常序列。

2.2信息熵

為了評(píng)估上述的異常特征，本文采用熵來具體分析。在信息論中，熵被定義為一種不確定性的度量或是與隨機(jī)變量相關(guān)的隨機(jī)性。一個(gè)大小為n的樣本的熵的閾值范圍是[0，logn]。數(shù)據(jù)項(xiàng)沒有變化時(shí)值為0，當(dāng)所有的數(shù)據(jù)項(xiàng)都不相同或變化最大時(shí)值為logn。基于熵的檢測(cè)技術(shù)，隨機(jī)變量 X的熵的值有{X1，X2，X3，…，Xn},計(jì)算公式如下：

其中H(x)=熵，如果要計(jì)算所觀察到的流量特征值發(fā)生的概率，計(jì)算公式：

其中總數(shù)據(jù)包數(shù)是時(shí)間T內(nèi)看到的數(shù)據(jù)包總數(shù)。熵值的規(guī)律是：流量特征值的微小變化產(chǎn)生低熵值，而流量特征值的顯著變化則導(dǎo)致較高的熵值。

圖3　基于VMI的虛擬蜜網(wǎng)系統(tǒng)設(shè)計(jì)

3　VMI的虛擬蜜網(wǎng)系統(tǒng)架構(gòu)

基于 VMI的虛擬蜜網(wǎng)流量檢測(cè)系統(tǒng)是部署在 xen平臺(tái)上的，如圖3所示，該系統(tǒng)中數(shù)據(jù)捕獲模塊的主要功能是在不被攻擊者發(fā)現(xiàn)的前提下捕獲所有輸入和輸出蜜網(wǎng)系統(tǒng)的數(shù)據(jù)。蜜網(wǎng)流量不同于其他類型的網(wǎng)絡(luò)流量，因?yàn)榱魅牖蛄鞒雒劬W(wǎng)的每個(gè)數(shù)據(jù)包都被認(rèn)為是惡意的；語義重構(gòu)模塊的作用是對(duì)捕獲到的數(shù)據(jù)進(jìn)行語義重構(gòu)，由于VMM處于客戶虛擬機(jī)的底層，只能識(shí)別低級(jí)語義，兩種之間存在語義鴻溝；BP神經(jīng)網(wǎng)絡(luò)的處理速度可以快速響應(yīng)系統(tǒng)出現(xiàn)的變化，有效識(shí)別惡意行為，其固有的自主性、交互性和主動(dòng)性對(duì)數(shù)據(jù)進(jìn)行訓(xùn)練，確定其五元組特征，降低了數(shù)據(jù)處理的復(fù)雜性；數(shù)據(jù)分析模塊是通過分析流量數(shù)據(jù)的五元組特征的熵值，判定蜜網(wǎng)中異常行為，從而對(duì)蜜網(wǎng)系統(tǒng)做出相應(yīng)的控制；數(shù)據(jù)控制模塊是對(duì)流進(jìn)和流出蜜網(wǎng)系統(tǒng)的數(shù)據(jù)進(jìn)行控制，防止蜜網(wǎng)被黑客攻破后對(duì)其他系統(tǒng)進(jìn)行大規(guī)模的攻擊。

該系統(tǒng)中 xen虛擬機(jī)[9-10]直接運(yùn)行于硬件系統(tǒng)之上，domain0和多個(gè)蜜罐構(gòu)成虛擬蜜網(wǎng)系統(tǒng)，虛擬機(jī)的強(qiáng)隔離性保證了各個(gè)蜜罐可以獨(dú)立運(yùn)行且互不干擾。系統(tǒng)采用VMI反省機(jī)制[11]，將數(shù)據(jù)捕獲模塊部署在虛擬機(jī)監(jiān)控器VMM內(nèi)，實(shí)現(xiàn)了檢測(cè)工具和蜜網(wǎng)系統(tǒng)的隔離，增強(qiáng)了數(shù)據(jù)捕獲模塊的安全性,提高了數(shù)據(jù)的可信度；通過語義重構(gòu)模塊對(duì) Xebek數(shù)據(jù)捕獲模塊收集到的信息進(jìn)行語義重構(gòu)后，采用BP神經(jīng)網(wǎng)絡(luò)確定數(shù)據(jù)的五元組特征；數(shù)據(jù)分析模塊通過數(shù)據(jù)特征的熵值大小，判定蜜網(wǎng)中是否存在異常行為。

4　實(shí)驗(yàn)結(jié)果

系統(tǒng)的蜜網(wǎng)系統(tǒng)可以采用Linux或 Windows操作系統(tǒng)，這兩種系統(tǒng)的檢測(cè)結(jié)果基本相同，因?yàn)?Linux是多用戶的操作系統(tǒng)，當(dāng)攻擊者破壞了某個(gè)程序后底層的系統(tǒng)依然完好無損，所以Linux的檢測(cè)效果相對(duì)更好。由于篇幅有限，文章以Linux系統(tǒng)為例進(jìn)行研究。

基于VMI的蜜網(wǎng)流量檢測(cè)機(jī)制，通過五類特征的熵DIP、DP、SP、TB和PC來檢測(cè)異常的存在。如表1所示，從不同源收集到的蜜網(wǎng)數(shù)據(jù)的樣例表明，正常行為的熵值很少發(fā)生變化。如表2所示，當(dāng)惡意活動(dòng)存在時(shí)，熵值會(huì)發(fā)生很大變化。經(jīng)過分析發(fā)現(xiàn)，正常流量的熵值變化范圍在0～3之間，大于3時(shí)就認(rèn)為是異常流量。

表1　正常流量的熵值

表2　異常流量的熵值

通過比較本文方案的異常事件（包括掃描、系統(tǒng)如期、惡意軟件、rootkits下載等）的數(shù)目和跟蹤的異常事件的數(shù)目，可以得出該系統(tǒng)的檢測(cè)率。圖4展示了3種特征熵值的三維圖，熵值大于3的點(diǎn)代表掃描蜜網(wǎng)中的惡意活動(dòng)。

圖4　源端口、目的端口和目的IP熵值的三維圖

如圖5，縱坐標(biāo)為總數(shù)據(jù)包數(shù)，橫坐標(biāo)為天數(shù)，圖中第3天末的峰值表明出現(xiàn)了惡意活動(dòng)。

圖5　5天內(nèi)記錄的總數(shù)據(jù)包數(shù)

圖6中的時(shí)間視圖曲線展示事件在5天內(nèi)的狀態(tài)，不同的顏色代表不同的時(shí)間(?表示第1天，>表示第2天，x表示第3天，＊表示第4天，☆表示第5天)。曲線內(nèi)同一顏色的事件表明它們發(fā)生同一時(shí)間段，以便根據(jù)發(fā)生的時(shí)間了解黑客攻擊蜜網(wǎng)的策略，從而在虛擬機(jī)控制端對(duì)蜜網(wǎng)做出一定的響應(yīng)。

圖6　5天內(nèi)源端口、目的端口和目的IP熵值的三維圖

表3列出了5天內(nèi)蜜網(wǎng)的檢測(cè)結(jié)果。蜜網(wǎng)共捕獲了13個(gè)數(shù)據(jù)包，但由于某些數(shù)據(jù)包的時(shí)間間隔較大，不能對(duì)熵值產(chǎn)生明顯的變化，以致無法檢測(cè)到這些數(shù)據(jù)，故系統(tǒng)的檢測(cè)率只有91.67%。

表3　5天內(nèi)蜜網(wǎng)異常檢測(cè)結(jié)果

5　結(jié)論

私有云網(wǎng)絡(luò)的安全取決于蜜網(wǎng)能否很好地檢測(cè)攻擊并分析攻擊行為，本文提出一種xen下基于VMI蜜網(wǎng)流量檢測(cè)機(jī)制，利用VMI機(jī)制將數(shù)據(jù)捕獲模塊與蜜網(wǎng)隔離，提高了數(shù)據(jù)的可靠性。采用BP神經(jīng)網(wǎng)絡(luò)算法得到的蜜網(wǎng)流量五元組特征，其流量特征值是與熵值一一對(duì)應(yīng)的，故通過五元組特征的熵值可以判定蜜網(wǎng)中異常行為。實(shí)驗(yàn)表明，模型可以快速識(shí)別蜜網(wǎng)中的多種異常，但這種機(jī)制無法檢測(cè)到潛伏的攻擊和緩慢的攻擊，這個(gè)缺陷可以通過增加檢測(cè)此類攻擊的能力進(jìn)行改善。

[1]項(xiàng)國富，金海，鄒德清，等.基于虛擬化的安全監(jiān)控[J].軟件學(xué)報(bào)，2012，23（8）：2173-2187.

[2]梁鋼，茅秋吟.云計(jì)算IaaS平臺(tái)的信息安全和運(yùn)維服務(wù)設(shè)計(jì)[J].電子技術(shù)應(yīng)用，2013，39（7）：63-64.

[3]SPITZNER L.The honeynet project：Trapping the hackers[J]. IEEE Computer Society，2003，1(2)：15-23.

[4]ABE S.Detecting DoS attacks using packet size distribution[C]. Proceedings of the 2ndBioInspired Models of Network Information and Computing Systems，2007：93-96.

[5]THONNARD O，DACIER M.A framework for attack patterns′ discoverty in honeynet data[C].Digital Investigation，2008：128-139.

[6]吳文潔，葛昕，胡德敏.基于虛擬化技術(shù)的分布式蜜網(wǎng)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2013，22(3)：69-72.

[7]王海峰，陳慶奎.蜜網(wǎng)智能動(dòng)態(tài)部署算法研究[J].計(jì)算機(jī)應(yīng)用研究，2011，28(3)：1119-1121.

[8]邢鈺嬌，孫昊，楊鵬，等.基于神經(jīng)網(wǎng)絡(luò)的四元球面陣空間聲源定向系統(tǒng)[J].電子技術(shù)應(yīng)用，2012，38(2)：124-126.

[9]SMITH J E，NAIR R.the architecture of virtual machines[J]. IEEE Computer，2005，38(5)：32-38.

[10]湯儒，李秦偉.Openstack云環(huán)境中 KVM虛擬機(jī)性能分析[J].微型機(jī)與應(yīng)用，2013，32（23）：94-96.

[11]GARFINKEL T，ROSENBLUM M.A virtual machine introspection based architecture for intrusion detection[C]. Proc.of the 10thNetwork and Distributed System Security Symp.Berkeley：USENIX Association，2003：191-206.

A honeynet traffic detection method based on xenVMI mechanisms

Wu Jun，Zhang Xiangli，Zhang Yijun，Bai Guangwei
(School of Electronics and Information Engineering，Nanjing University of Technology，Nanjing 211816，China)

This paper proposes a honeynet traffic anomaly detection mechanism based on the xenVMI mechanism aiming at the private cloud network security risks.Firstly,honeynet flow is intercepted by data capture module.Secondly,the autonomy，initiative and interactive features of BP netual networks are used to train the captured flow features.Lastly,quintuple features information entropy is gotten to determinate the abnormal behavior existing in honeynet.The proposed scheme proves to be effectively in discovery anomalies in honeynet,and enhance defense capabilities of private cloud network by the anomal of analysis.

xen；entropy；BP neural network；honeynet

TP393

A

0258-7998(2015)01-0122-03

10.16157/j.cnki.0258-7998.2014031700921

國家自然科學(xué)基金項(xiàng)目(60673185，61073197)

2014-08-11)

吳軍(1962-)，男，碩士，高級(jí)工程師，碩士生導(dǎo)師，主要研究方向：網(wǎng)絡(luò)安全、可信計(jì)算、信息安全等。

張向麗(1989-)，女，碩士，主要研究方向：虛擬化技術(shù)、網(wǎng)絡(luò)安全等。

張軼君(1990-)，女，碩士，主要研究方向：虛擬化技術(shù)、網(wǎng)絡(luò)安全等。