楊杰

(廣州供電局有限公司， 廣東 廣州 510620)

0 引言

移動(dòng)終端是互聯(lián)網(wǎng)內(nèi)容的主要呈現(xiàn)設(shè)備。近年來，移動(dòng)終端的快速發(fā)展使人們的生活與移動(dòng)終端的聯(lián)系越來越緊密[1]。但是，由于移動(dòng)終端存在存儲能力差、網(wǎng)絡(luò)資源來源廣且復(fù)雜等弊端，使得其對未知威脅的防御能力較弱[2]。因此，研究一種適用于移動(dòng)終端的未知威脅防御方法已經(jīng)成為目前亟需解決的問題之一，相關(guān)專家學(xué)者也對此進(jìn)行了大量研究。

文獻(xiàn)[3]中設(shè)計(jì)了一種大數(shù)據(jù)移動(dòng)終端網(wǎng)絡(luò)信息安全防御方法，將自回歸模型與變異算子結(jié)合起來，構(gòu)建移動(dòng)終端信息自回歸模型，并利用最小二乘法估算回歸系數(shù)，再通過滑動(dòng)窗口檢測移動(dòng)終端信息的統(tǒng)計(jì)量，計(jì)算其取值范圍，對于范圍外的信息進(jìn)行防御。但是該方法對移動(dòng)終端外來信息的檢查范圍較小，導(dǎo)致信息查全率較低。文獻(xiàn)[4]中設(shè)計(jì)了一種基于機(jī)器學(xué)習(xí)的移動(dòng)終端高級持續(xù)性威脅檢測防御方法，利用靜態(tài)檢測方法提取出移動(dòng)終端運(yùn)行的靜態(tài)特征，借助于滑動(dòng)窗口迭代算法對延遲攻擊特征進(jìn)行捕捉，使用Boost技術(shù)將融合多種分類算法，對延遲攻擊進(jìn)行檢測，根據(jù)檢測結(jié)果實(shí)現(xiàn)安全防御。但是該方法對未知威脅的捕獲能力較差，導(dǎo)致未知威脅漏報(bào)率較高。

蜜罐技術(shù)是一種高欺騙性的安全防護(hù)技術(shù)，可運(yùn)行于多種網(wǎng)絡(luò)和故意留有特征漏洞的終端系統(tǒng)中。蜜罐技術(shù)能夠誘導(dǎo)入侵者發(fā)動(dòng)攻擊行為，在此基礎(chǔ)上捕捉攻擊源繼而實(shí)現(xiàn)安全防御，保護(hù)重要系統(tǒng)終端免受侵害。通過誘導(dǎo)入侵者攻擊蜜罐終端，不僅能夠拖延攻擊真正目標(biāo)的時(shí)間，還能夠及時(shí)對攻擊行為監(jiān)視、采集和分析，為處理未知威脅提供支持。因此，為解決傳統(tǒng)方法存在的問題，將蜜罐技術(shù)應(yīng)用到移動(dòng)終端未知威脅防御過程中，本研究提出基于蜜罐技術(shù)的移動(dòng)終端未知威脅智能防御方法。通過對比實(shí)驗(yàn)結(jié)果證明了本研究所提方法對未知威脅的漏報(bào)量較少，且能對來源信息進(jìn)行全面檢測，能夠滿足移動(dòng)終端對未知威脅有效防御的需求。

1 入侵檢測規(guī)則的設(shè)定

在對移動(dòng)終端未知威脅進(jìn)行智能防御之前，需提取移動(dòng)終端未知威脅的入侵規(guī)則。

首先利用蜜罐技術(shù)采集移動(dòng)終端未知威脅信息。由于現(xiàn)有的蜜罐技術(shù)難以對提取數(shù)據(jù)的類別進(jìn)行細(xì)致區(qū)分，因此，采用無監(jiān)督聚類算法對采集的數(shù)據(jù)進(jìn)行分類。若蜜罐記錄的入侵行為與正常行為存在明顯差異，則計(jì)算該數(shù)據(jù)屬性[5]，并將其與其它數(shù)據(jù)區(qū)分開，計(jì)算過程，如式(1)。

(1)

式中，D表示移動(dòng)終端未知威脅的基本數(shù)據(jù);F表示數(shù)據(jù)特征信息;?表示數(shù)據(jù)屬性區(qū)分因子；b表示蜜罐技術(shù)的誘惑信標(biāo)。

在此過程中利用蜜罐技術(shù)目的是吸引威脅信息進(jìn)入系統(tǒng)，以便記錄入侵過程。當(dāng)入侵行為數(shù)據(jù)大于正常行為數(shù)目時(shí)，按照所有的類包含數(shù)據(jù)多少排序[6]，并設(shè)定比例數(shù)，對數(shù)據(jù)進(jìn)行標(biāo)記，比例數(shù)設(shè)定依據(jù)，如式(2)。

(2)

式中，G表示移動(dòng)終端數(shù)據(jù)的比例數(shù)；n表示入侵?jǐn)?shù)據(jù)數(shù)目；g表示惡意信息攻擊潛力，A為數(shù)據(jù)排序因子。

根據(jù)上述過程完成比例數(shù)的設(shè)定。當(dāng)G≥1時(shí)，標(biāo)記該數(shù)據(jù)為正常類；反之，當(dāng)G≤1時(shí)，將其標(biāo)記為入侵類。

通過上述計(jì)算，完成移動(dòng)終端未知威脅入侵檢測規(guī)則的設(shè)定，為移動(dòng)終端未知威脅智能防御提供基礎(chǔ)。

2 威脅入侵路徑的繪制

在上述入侵檢測規(guī)則設(shè)定的基礎(chǔ)上，繪制威脅路徑。在移動(dòng)終端的未知威脅中，威脅信息一般會對具有弱點(diǎn)的對象發(fā)動(dòng)攻擊，且威脅行為的發(fā)生具有一定的持續(xù)性[7]，基于這一特點(diǎn)，將威脅信息聚合，形成新的威脅報(bào)告信息，根據(jù)威脅報(bào)告信息繪制威脅路徑。威脅路徑繪制步驟如下所示。

step1：聚合威脅行為報(bào)告集，時(shí)間間隔設(shè)置為閾值T；

step2：形成初始臨時(shí)隊(duì)列，存放聚合過程中的威脅行為報(bào)告[8]；

step3：檢查服務(wù)器收到的威脅行為報(bào)告，是否滿足生成威脅路徑；

step4：若在T時(shí)間內(nèi)沒有收到新的可歸并的威脅報(bào)告，則輸出聚合后的威脅行為報(bào)告。

按照上述過程完成威脅路徑的繪制，根據(jù)威脅路徑挖掘惡意節(jié)點(diǎn)，如式(3)。

(3)

根據(jù)上述過程分辨惡意節(jié)點(diǎn)，排除這類報(bào)告的干擾，使移動(dòng)終端未知威脅防御優(yōu)先處理有價(jià)值的威脅行為，以此完成威脅路徑的繪制。

3 移動(dòng)終端未知威脅的防御

在上述設(shè)定入侵檢測規(guī)則和繪制威脅路徑的基礎(chǔ)上，對移動(dòng)終端未知威脅智能防御。結(jié)合蜜罐技術(shù)，建立未知威脅智能防御模型。模型的邏輯結(jié)構(gòu)圖，如圖1所示。

圖1 未知威脅智能防御模型邏輯結(jié)構(gòu)圖

為了融合蜜罐技術(shù)的預(yù)警效果，利用威脅特征信息同入侵規(guī)則的匹配度規(guī)劃威脅程度的檢測算法。首先輸入捕獲信息特征模式的屬性字串，利用下述公式輸出預(yù)警判決結(jié)果[9-10]，如式(4)。

(4)

式中，F(xiàn)表示信息特征模式；k表示匹配計(jì)數(shù)變量；l表示每個(gè)屬性字串；H表示區(qū)間邊界閾值；x表示控制中心報(bào)警信息。

根據(jù)上述公式提高移動(dòng)終端未知威脅智能防御模型的預(yù)警效果，在此基礎(chǔ)上為提高模型的安全性能，引入時(shí)間概念[11]，模型更新，如式(5)。

F′=(rr+m)Ft

(5)

式中，t表示保護(hù)安全目標(biāo)設(shè)置的防護(hù)時(shí)間；r表示檢測到攻擊行為所花費(fèi)的時(shí)間；m表示發(fā)現(xiàn)攻擊后模型的響應(yīng)時(shí)間。

在該時(shí)間概念核心模塊的指導(dǎo)下，通過防護(hù)、檢測以及相應(yīng)構(gòu)建一個(gè)安全防御模型。利用蜜罐技術(shù)捕獲攻擊源，捕獲過程，如式(6)。

(6)

式中，I表示有限狀態(tài)集；q表示有限輸入；j表示轉(zhuǎn)換函數(shù)；s表示模型的初始狀態(tài)；α表示威脅信息捕獲因子。

根據(jù)移動(dòng)終端對未知威脅的智能防御需求，構(gòu)建基于蜜罐技術(shù)的智能防御模型狀態(tài)，如式(7)。

W=(d1+d2+d3+d4+d5)N

(7)

式中，d1表示未知威脅智能防御模型的初始狀態(tài)，若監(jiān)測到移動(dòng)終端受到攻擊時(shí)，防御模型轉(zhuǎn)換為d2狀態(tài)；對未知威脅模型定向和重定向狀態(tài)，若定向完成，轉(zhuǎn)為d3；若未完成則重新定向，維持當(dāng)前狀態(tài)并報(bào)告狀態(tài)；d3表示模型日志記錄狀態(tài)，記錄完成后，轉(zhuǎn)為d4，若未記錄完成，則繼續(xù)記錄；d4表示上述的提取入侵規(guī)則過程，若提取完成，轉(zhuǎn)為d5，若未完成，則維持原狀態(tài)；d5表示上述威脅路徑繪制狀態(tài)，若識別到攻擊信息，則在d1狀態(tài)中加入未知攻擊信息，若未識別到攻擊信息，則重復(fù)該過程?；诿酃藜夹g(shù)的移動(dòng)終端未知威脅智能防御模型的轉(zhuǎn)換關(guān)系，如圖2所示。

圖2 未知威脅智能防御模型的轉(zhuǎn)換關(guān)系示意圖

N表示基于蜜罐技術(shù)的移動(dòng)終端未知威脅智能防御模型的技術(shù)狀態(tài)[12]。

在實(shí)際使用該模型時(shí)，利用蜜罐技術(shù)在d2狀態(tài)時(shí)追擊攻擊源，同時(shí)在d3狀態(tài)時(shí)利用蜜罐技術(shù)捕獲攻擊源并記錄攻擊工具以及攻擊方法等信息，以此完成基于蜜罐技術(shù)的移動(dòng)終端未知威脅智能防御。該模型不僅能夠?qū)σ苿?dòng)終端有效保護(hù)、轉(zhuǎn)移攻擊源目標(biāo)，還能有效獲取到攻擊信息。

4 實(shí)驗(yàn)對比與分析

4.1 實(shí)驗(yàn)方法設(shè)計(jì)

為了驗(yàn)證基于蜜罐技術(shù)的移動(dòng)終端未知威脅智能防御方法的有效性，進(jìn)行實(shí)驗(yàn)對比，將文獻(xiàn)[3]中的大數(shù)據(jù)移動(dòng)終端網(wǎng)絡(luò)信息安全防御方法和文獻(xiàn)[4]中的基于機(jī)器學(xué)習(xí)的移動(dòng)終端高級持續(xù)性威脅檢測防御方法與本研究所提方法進(jìn)行性能對比，主要對比3種終端未知威脅防御方法對未知威脅的漏報(bào)數(shù)量和對外來信息的查全率。其中，未知威脅的漏報(bào)數(shù)量可以判斷不同方法對未知威脅的檢測能力，對外來信息的查全率可以判斷不同方法對外來信息進(jìn)行檢測的全面性，其計(jì)算過程，如式(8)。

(8)

4.2 實(shí)驗(yàn)環(huán)境準(zhǔn)備

采用雷區(qū)模式部署實(shí)驗(yàn)環(huán)境，通過若干虛擬主機(jī)，布設(shè)雷區(qū)，測試環(huán)境，如圖3所示。

圖3 實(shí)驗(yàn)環(huán)境構(gòu)成示意圖

實(shí)驗(yàn)操作系統(tǒng)為Windows Server 2003，WEB服務(wù)器支持為Internet Information Server 6.0，后臺數(shù)據(jù)庫支持Microsoft SQL Server 2005。在此基礎(chǔ)上，模擬網(wǎng)絡(luò)誘騙環(huán)境，因此需要模擬網(wǎng)絡(luò)服務(wù)，使誘騙環(huán)境中的主機(jī)相似于真實(shí)環(huán)境中的主機(jī)，采用虛擬現(xiàn)實(shí)技術(shù)來實(shí)現(xiàn)。利用虛擬機(jī)技術(shù)構(gòu)建虛擬硬件平臺，并通過該平臺提供應(yīng)用運(yùn)行環(huán)境的技術(shù)，使實(shí)驗(yàn)更具真實(shí)性。

同時(shí)，在實(shí)驗(yàn)中還需要部署虛擬蜜罐對當(dāng)前的實(shí)驗(yàn)環(huán)境掃描探測，并對預(yù)設(shè)的目標(biāo)主機(jī)進(jìn)行攻擊。在實(shí)驗(yàn)主機(jī)中選取10個(gè)木馬、10個(gè)蠕蟲、10個(gè)病毒和10個(gè)正常程序作為樣本程序，并利用多態(tài)工具對樣本程序處理，從而得到130個(gè)程序，其中包括30個(gè)惡意程序、60個(gè)攻擊數(shù)據(jù)和40個(gè)病毒數(shù)據(jù)。將這些攻擊數(shù)據(jù)導(dǎo)入上述攻擊主機(jī)中，導(dǎo)入成功后，實(shí)時(shí)記錄不同防御方法的防御情況。

4.3 實(shí)驗(yàn)結(jié)果分析

統(tǒng)計(jì)分析不同防御方法未知威脅的漏報(bào)數(shù)量，如表1所示。

表1 不同方法未知威脅的漏報(bào)數(shù)量對比(個(gè))

分析表1結(jié)果可知，在惡意程序防御、攻擊數(shù)據(jù)防御和病毒數(shù)據(jù)防御3個(gè)方面，文獻(xiàn)[3]方法和文獻(xiàn)[4]方法對未知威脅的漏報(bào)數(shù)量均要高于本研究所提方法，證明基于蜜罐技術(shù)的移動(dòng)終端未知威脅智能防御方法對未知威脅的檢測能力較強(qiáng)，能夠有效實(shí)現(xiàn)對未知威脅的識別。

進(jìn)一步驗(yàn)證不同方法在對外來進(jìn)行檢測的全面性方面的能力，如圖4所示。

圖4 不同方法外來信息查全率對比

分析圖4可知，在不斷的迭代中，僅本文提出的基于蜜罐技術(shù)的移動(dòng)終端未知威脅智能防御方法對外來信息的查全率在緩步上升，而文獻(xiàn)[3]方法和文獻(xiàn)[4]方法對外來信息的查全率變化無規(guī)律性，但均低于本研究所提方法，因此可以說明基于蜜罐技術(shù)的移動(dòng)終端未知威脅智能防御方法能實(shí)現(xiàn)對外來信息的全面檢測。

因此，通過上述實(shí)驗(yàn)?zāi)軌蜃C明，此次設(shè)計(jì)的基于蜜罐技術(shù)的移動(dòng)終端未知威脅智能防御方法比傳統(tǒng)防御方法具有更好的防御效果，能夠有效保證移動(dòng)智能終端的安全性。

5 總結(jié)

隨著互聯(lián)網(wǎng)規(guī)模的擴(kuò)大以及終端用戶數(shù)量的增多，導(dǎo)致移動(dòng)終端容易遭到黑客、計(jì)算機(jī)病毒和其他的危險(xiǎn)攻擊。傳統(tǒng)的移動(dòng)終端未知威脅防御方法常出現(xiàn)漏報(bào)等情況，因此設(shè)計(jì)一種基于蜜罐技術(shù)的移動(dòng)終端未知威脅智能防御方法，以提高移動(dòng)終端未知威脅智能防御的防御能力。首先利用蜜罐技術(shù)采集移動(dòng)終端未知威脅信息，并設(shè)定未知威脅入侵檢測規(guī)則，在此基礎(chǔ)上，繪制威脅路徑，最后結(jié)合蜜罐技術(shù)建立移動(dòng)終端未知威脅智能防御模型。實(shí)驗(yàn)對比結(jié)果表明，本研究所提方法比傳統(tǒng)方法對未知威脅的漏報(bào)數(shù)量少，且對外來信息的檢測較為全面。

然而，在利用本研究所提方法進(jìn)行移動(dòng)終端未知威脅智能防御時(shí)，信息查全過程的耗時(shí)較久，在一定程度上降低了本研究所提方法的防御效率。因此，在未來的研究階段，將進(jìn)一步對本研究所提方法進(jìn)行優(yōu)化，進(jìn)一步提高對未知威脅的防御效率。