韓寶卿，李文娟，楊生婧

（國(guó)網(wǎng)青海省電力公司 信息通信公司，青海 西寧 810000）

0 引 言

在傳統(tǒng)電力系統(tǒng)中，系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)一般遵循被動(dòng)防御機(jī)制，鮮有主動(dòng)防御機(jī)制。而現(xiàn)如今，隨著電力信息化行業(yè)的快速發(fā)展和人們對(duì)技術(shù)的迫切需要，網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)應(yīng)運(yùn)而生。這其中就包括了基于蜜網(wǎng)和蜜罐的主動(dòng)防御系統(tǒng)，它在提高網(wǎng)絡(luò)系統(tǒng)安全防護(hù)方面有獨(dú)到見(jiàn)解，主要是通過(guò)蜜罐建立主動(dòng)誘捕機(jī)制，使攻擊者主動(dòng)攻擊蜜罐，以求獲得攻擊者的攻擊信息。如此一來(lái)，電力信息化行業(yè)網(wǎng)絡(luò)系統(tǒng)就能預(yù)先了解未知攻擊行為并加以分析研究，提出主動(dòng)防御策略，保證網(wǎng)絡(luò)系統(tǒng)安全[1]。

1 蜜罐主動(dòng)防御技術(shù)的基本理論分析

1.1 蜜罐主動(dòng)防御技術(shù)的基本特征

蜜罐可實(shí)現(xiàn)對(duì)攻擊者信息的主動(dòng)收集，了解攻擊者的攻擊機(jī)制，維護(hù)網(wǎng)絡(luò)系統(tǒng)安全，抵御來(lái)自攻擊者的二次攻擊。另外，它也建立了檢測(cè)攻擊機(jī)制，可通過(guò)蜜罐采集到的信息進(jìn)行反饋?lái)憫?yīng)，這一過(guò)程的誤報(bào)率相對(duì)偏低，且具有極高可信度[2]。實(shí)際上，蜜罐主動(dòng)防御技術(shù)的核心是蜜網(wǎng)，通過(guò)蜜網(wǎng)系統(tǒng)收集攻擊者信息，雖然數(shù)據(jù)數(shù)量不多但準(zhǔn)確率極高。在收集信息過(guò)程中，它也會(huì)使黑客將更多精力花費(fèi)在破解蜜網(wǎng)上，同時(shí)提供研究素材。深入了解黑客的攻擊方法，不斷改善防御系統(tǒng)漏洞，如此可提高網(wǎng)絡(luò)系統(tǒng)的防御能力。整體看來(lái)，蜜罐主動(dòng)防御系統(tǒng)的占用資源更少，它不運(yùn)用高級(jí)算法，僅需要操作系統(tǒng)連接網(wǎng)絡(luò)即可，這也造就了蜜罐的不唯一性。蜜罐主動(dòng)防御技術(shù)可與其他網(wǎng)絡(luò)安全防御技術(shù)共同搭配使用，主動(dòng)防御效果顯著[3]。

1.2 蜜罐主動(dòng)防御技術(shù)的實(shí)現(xiàn)條件

蜜罐主動(dòng)防御技術(shù)必須做到對(duì)蜜網(wǎng)的合理設(shè)計(jì)，如此才能引誘攻擊者，獲取有價(jià)值信息。在蜜網(wǎng)設(shè)計(jì)過(guò)程中必須滿足3個(gè)實(shí)現(xiàn)條件。一是要提高數(shù)據(jù)控制的限制能力，將黑客攻擊限制在可控范圍內(nèi)[4]。二是要提高數(shù)據(jù)捕獲能力，確保通過(guò)數(shù)據(jù)捕獲來(lái)獲取蜜網(wǎng)上的攻擊者信息且不被察覺(jué)。三是要提高數(shù)據(jù)收集能力，在數(shù)據(jù)收集過(guò)程中為研究人員提供信息對(duì)黑客攻擊行為加以準(zhǔn)確分析。在上述3大條件中，數(shù)據(jù)控制條件是關(guān)鍵，優(yōu)先級(jí)也最高[5]。

1.3 蜜罐主動(dòng)防御系統(tǒng)中的虛擬蜜網(wǎng)技術(shù)

虛擬蜜網(wǎng)技術(shù)是蜜罐主動(dòng)防御系統(tǒng)中的核心技術(shù)，它可在計(jì)算機(jī)系統(tǒng)中獨(dú)立運(yùn)行多個(gè)應(yīng)用程序，且可匹配多種操作系統(tǒng)與多種網(wǎng)絡(luò)服務(wù)，同步運(yùn)行于虛擬網(wǎng)絡(luò)環(huán)境中。所以說(shuō)，蜜網(wǎng)能夠與虛擬機(jī)相互結(jié)合并運(yùn)行于獨(dú)立計(jì)算機(jī)系統(tǒng)中，且這些技術(shù)內(nèi)容都可實(shí)現(xiàn)統(tǒng)一管理，維護(hù)管理相當(dāng)便利，管理成本較低[6]。

在應(yīng)用虛擬蜜網(wǎng)技術(shù)過(guò)程中，虛擬機(jī)是關(guān)鍵，其中包括了VMware、Virtual PC以及UML等技術(shù)，這里以VMware技術(shù)為例展開(kāi)分析。VMware技術(shù)的應(yīng)用范圍最廣泛，它的功能強(qiáng)大，可在Windows、OS等多種操作系統(tǒng)上建立。另外，它擁有Ghost文件，有利于蜜罐備份，而且在升級(jí)服務(wù)方面也相當(dāng)?shù)轿唬山?種截然不同的聯(lián)網(wǎng)方式，分別為NAT模式、橋接模式以及主機(jī)模式，可以滿足不同用戶的不同技術(shù)應(yīng)用需求。目前可利用虛擬蜜網(wǎng)技術(shù)創(chuàng)建蜜網(wǎng)模型，它在引誘黑客主動(dòng)攻擊方面能力更強(qiáng)，可聯(lián)合多臺(tái)計(jì)算機(jī)組成管理端實(shí)現(xiàn)對(duì)主動(dòng)攻擊行為數(shù)據(jù)的管控，建立入侵檢測(cè)系統(tǒng)，實(shí)現(xiàn)主動(dòng)防御過(guò)程。整體看來(lái)，它的網(wǎng)絡(luò)安全維護(hù)能力強(qiáng)，可信度也相對(duì)較高[7]。

2 蜜罐主動(dòng)防御技術(shù)支持下的電力信息化行業(yè)主動(dòng)防御網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)

在蜜罐主動(dòng)防御技術(shù)支持下，電力信息化行業(yè)的主動(dòng)防御網(wǎng)絡(luò)系統(tǒng)可創(chuàng)建數(shù)據(jù)控制模塊與數(shù)據(jù)捕獲模塊。

2.1 數(shù)據(jù)控制模塊的設(shè)計(jì)與功能實(shí)現(xiàn)

在蜜罐主動(dòng)防御技術(shù)體系中，為電力信息化行業(yè)主動(dòng)防御網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)數(shù)據(jù)控制模塊意義重大，它在防止黑客利用蜜網(wǎng)主動(dòng)攻擊其他系統(tǒng)方面的作用明顯。大體來(lái)講，它所采用的是NIPS與IPtables兩大模塊來(lái)實(shí)現(xiàn)數(shù)據(jù)控制，下文以IPtables防火墻為例展開(kāi)分析[8]。

IPtables防火墻主要用于控制蜜網(wǎng)數(shù)據(jù)，創(chuàng)建蜜墻，對(duì)所有進(jìn)出行業(yè)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢查。防火墻中所采用的統(tǒng)計(jì)方法可在一定時(shí)間范圍內(nèi)合理計(jì)數(shù)，設(shè)置合理防御時(shí)間。IPtables防火墻所采用的是Snort inline特征檢測(cè)機(jī)制，它主要結(jié)合具體檢測(cè)規(guī)則來(lái)檢測(cè)數(shù)據(jù)包，建立了獨(dú)立規(guī)則檢測(cè)分析某些來(lái)自于黑客的非善意數(shù)據(jù)。另外蜜網(wǎng)也會(huì)限制數(shù)據(jù)包的輸入數(shù)量，建立IPtables與Snort inline之間的功能連帶關(guān)系?；谝惶鬃灾饕?guī)則對(duì)數(shù)據(jù)包進(jìn)行監(jiān)測(cè)，并通過(guò)蜜網(wǎng)Snort inline檢測(cè)結(jié)果，整合形成數(shù)據(jù)包。在這里，蜜網(wǎng)也可實(shí)現(xiàn)對(duì)數(shù)據(jù)包數(shù)量的限制[9]。Snort inline與IPtables的關(guān)系示意如圖1所示。

圖1 Snort inline與IPtables的關(guān)系示意圖

在蜜網(wǎng)數(shù)據(jù)控制實(shí)現(xiàn)過(guò)程中，它主要利用到Honeywall數(shù)據(jù)控制機(jī)制來(lái)調(diào)整控制數(shù)據(jù)包，誘惑黑客攻擊者主動(dòng)進(jìn)攻蜜墻，提出諸多數(shù)據(jù)控制方法。在攻擊包抑制與連接限制過(guò)程中，可建立數(shù)據(jù)控制流程圖，形成警報(bào)報(bào)送給管理人員，如此可提醒技術(shù)人員。蜜罐主動(dòng)防御系統(tǒng)數(shù)據(jù)控制流程示意如圖2所示[10]。

圖2 蜜罐主動(dòng)防御系統(tǒng)數(shù)據(jù)控制流程示意圖

2.2 數(shù)據(jù)捕獲模塊的設(shè)計(jì)與功能實(shí)現(xiàn)

在建立系統(tǒng)數(shù)據(jù)捕獲模塊過(guò)程中，需要建立蜜網(wǎng)分析機(jī)制，快速捕獲數(shù)據(jù)獲取進(jìn)攻者信息?？紤]到蜜罐技術(shù)獲取數(shù)據(jù)數(shù)量較少，但其獲取數(shù)據(jù)價(jià)值極高，要建立蜜網(wǎng)建立防火墻日志與Sebek客戶端。其中，防火墻日志形成了蜜網(wǎng)中的數(shù)據(jù)包，確保防火墻可獲取全面信息內(nèi)容，記載大量數(shù)據(jù)包內(nèi)容。就防火墻而言，它僅僅記載不同數(shù)據(jù)包通過(guò)狀況，不會(huì)對(duì)數(shù)據(jù)包內(nèi)部數(shù)據(jù)內(nèi)容進(jìn)行記錄[11]。

而Sebek客戶端在記錄相關(guān)攻擊過(guò)程全部信息時(shí)主要通過(guò)獲取攻擊者所殘留下的痕跡內(nèi)容，將黑客對(duì)蜜罐的攻擊過(guò)程再現(xiàn)出來(lái)，分析是哪些命令和操作導(dǎo)致系統(tǒng)被攻擊。Sebek客戶端的工作原理如下，它主要向外傳輸數(shù)據(jù)，直接傳送到網(wǎng)絡(luò)接口驅(qū)動(dòng)程序中，確保驅(qū)動(dòng)程序運(yùn)行到位。這一過(guò)程并非通過(guò)控制網(wǎng)絡(luò)接口，而是通過(guò)Sebek客戶端，同時(shí)有效規(guī)避黑客。通過(guò)監(jiān)視網(wǎng)絡(luò)獲取Sebek重要數(shù)據(jù)信息內(nèi)容，如此可有效避免信息被泄漏。

在Sebek客戶端建立Sebek Web存儲(chǔ)數(shù)據(jù)庫(kù)，主要存儲(chǔ)來(lái)自于黑客攻擊者的各種信息。在數(shù)據(jù)捕獲模塊方面利用Honeypot建立數(shù)據(jù)獲取機(jī)制，為數(shù)據(jù)分析提供重要保障，快速有效還原攻擊者的攻擊過(guò)程。例如，要滿足數(shù)據(jù)捕獲過(guò)程中的所有技術(shù)流程，詳細(xì)分析在建立Sebek客戶端過(guò)程中黑客攻擊行為的信息內(nèi)容，確保記錄系統(tǒng)行為，結(jié)合隱匿通道將數(shù)據(jù)傳送到Sebek服務(wù)器中。在這一過(guò)程中，也會(huì)查詢與瀏覽所捕獲的一切數(shù)據(jù)內(nèi)容。在蜜網(wǎng)結(jié)構(gòu)中，主要基于各種蜜罐安裝Sebek，捕獲黑客攻擊者在蜜網(wǎng)上的所有攻擊操作行為，然后傳送數(shù)據(jù)到Sebek客戶端服務(wù)器中，深度了解攻擊者思想，結(jié)合數(shù)據(jù)捕獲過(guò)程有效優(yōu)化。

總體來(lái)說(shuō)，數(shù)據(jù)控制模塊與數(shù)據(jù)捕獲模塊二者建立了基于蜜罐的電力信息化行業(yè)網(wǎng)絡(luò)系統(tǒng)的主動(dòng)防御設(shè)計(jì)體系，基本實(shí)現(xiàn)了對(duì)蜜罐電力系統(tǒng)網(wǎng)絡(luò)的主動(dòng)防御與優(yōu)化，確保在蜜罐網(wǎng)絡(luò)體系結(jié)構(gòu)基礎(chǔ)之上重點(diǎn)分析主動(dòng)防御系統(tǒng)中的數(shù)據(jù)控制模塊內(nèi)容。此外，也設(shè)置了自動(dòng)報(bào)警與數(shù)據(jù)分析模塊[12]。

3 蜜罐主動(dòng)防御技術(shù)支持下的電力信息化行業(yè)主動(dòng)防御網(wǎng)絡(luò)系統(tǒng)攻擊測(cè)試

在電力信息化行業(yè)主動(dòng)防御網(wǎng)絡(luò)系統(tǒng)建立以后，需要基于蜜罐主動(dòng)防御技術(shù)展開(kāi)黑客攻擊測(cè)試，如蜜罐掃描攻擊測(cè)試。首先在宿主主機(jī)上運(yùn)行Zenmap，對(duì)虛擬機(jī)蜜罐進(jìn)行全面掃描，并對(duì)端口部分進(jìn)行掃描，生成蜜罐掃描圖，提取蜜罐獲取的掃描攻擊數(shù)據(jù)。在這一過(guò)程中，提出拒絕服務(wù)攻擊測(cè)試內(nèi)容，深度檢測(cè)面向電力系統(tǒng)的拒絕服務(wù)攻擊過(guò)程，識(shí)別存在于系統(tǒng)中的不同訪問(wèn)行為，建立拒絕服務(wù)攻擊測(cè)試體系，形成實(shí)驗(yàn)測(cè)試參數(shù)結(jié)果。其中應(yīng)該包括了固定DDOS、遍歷DDOS、Flash Crowd以及合法訪問(wèn)機(jī)制。在實(shí)驗(yàn)結(jié)果中，可建立X/Y軸優(yōu)化坐標(biāo)平面，滿足不同攻擊類(lèi)向量點(diǎn)分布內(nèi)容，形成坐標(biāo)平面不同區(qū)域，客觀反映來(lái)自于黑客攻擊者所反映出的攻擊特點(diǎn)內(nèi)容[13]。

4 結(jié) 論

在電力信息化行業(yè)網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)體系建立與研究過(guò)程中，應(yīng)該有效應(yīng)用蜜罐技術(shù)，基于其主動(dòng)防御技術(shù)體系建立數(shù)據(jù)控制模塊與數(shù)據(jù)捕獲模塊，有效優(yōu)化網(wǎng)絡(luò)安全主動(dòng)防御能力，增加網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量，復(fù)雜化主動(dòng)防御技術(shù)內(nèi)容，實(shí)現(xiàn)對(duì)系統(tǒng)檢測(cè)能力的規(guī)劃擴(kuò)展，持續(xù)改善系統(tǒng)防御機(jī)制，保證電力信息化行業(yè)網(wǎng)絡(luò)長(zhǎng)期安全運(yùn)行。