基于云蜜網的云平臺內部安全能力建設

朱樂君　錢曉峰　周睿　龐曉偉　龐旸

[摘? ? ? ? ? ?要]? 近年來云計算技術革新速度逐漸加快，云計算應用正在以前所未有的速度發展，云計算面臨的安全問題也越來越復雜，攻擊手段不僅局限于網頁篡改、SQL注入攻擊、DDoS攻擊、惡意入侵等，新型的APT攻擊正愈演愈烈。安全是云計算發展的核心，云計算的安全體系和架構也一直隨著云計算的發展而演變，云計算安全防護理念既要符合云計算服務模式，也更注重新技術和新方法的應用。從云平臺內部主動欺騙防御、攻擊行為捕獲、攻擊溯源分析等角度出發，闡述如何在新的安全形勢下構建云平臺內部安全防御體系。

[關? ? 鍵? ?詞]? APT攻擊;主動欺騙防御;溯源分析;行為捕獲

[中圖分類號]? TN915.08? ? ? ? ? ? ? ?[文獻標志碼]? A? ? ? ? ? ? ? [文章編號]? 2096-0603（2019）36-0112-04

一、引言

2017年國家頒布并實施了《網絡安全法》，將通信行業建設和運營的云計算平臺定義為關鍵信息基礎設施，對云計算平臺安全提出了網絡安全管理、網絡安全技術、個人信息保護的具體要求。2016年集團公司己經制定并下發了《云計算安全管理辦法》《云計算安全防護技術要求及實施指南》等系列安全規范，對移動集團的公有云、私有云、混合云的安全保障體系建設提供了初步的建設思路和指導意見。

目前，云平臺的安全解決方案普遍是解決南北向攻擊流量的問題，我們很難找到東西向攻擊流量的解決方案。隨著攻擊者攻擊手段的不斷發展，東西向流量攻擊事件越來越多。比如APT攻擊涵蓋了從網關到網絡中服務器區、個人電腦等接入層的各個層次，通過傳統安全防護思路很難發現。

針對云平臺而言，構建內部基于云蜜網的安全防御體系顯得尤為必要。該防御體系能夠針對已知和未知威脅及時阻斷和隔離攻擊，并能夠溯源黑客身份及攻擊意圖，形成黑客攻擊情報，可發現利用0day漏洞的APT攻擊行為，保護網絡免遭0day等攻擊造成的各種風險（如敏感信息泄露、關鍵基礎設施破壞等）。通過構建用戶威脅情報體系，實現從安全事件的被動響應到安全威脅的積極應對，幫助云平臺控制安全風險。

二、關鍵需求分析

構建云平臺內部安全防御體系，通過逆向思維的方式，在黑客角度來看，主要針對云平臺的攻擊過程包括：踩點探測→漏洞挖掘→入侵系統→偷取數據→清理痕跡。我們考慮到雖然各類攻擊方式不盡相同，但基本的攻擊過程和目的性是高度一致性的，這要求我們在黑客攻擊的整個過程中進行安全建設。因此我們著手建設的云蜜網系統存在多個關鍵需求。

1.主動欺騙防御。

2.入侵檢測。

3.行為分析。

4.黑客溯源。

5.威脅情報。

三、關鍵技術分析

我們主要采用以下關鍵技術滿足上述需求：

（一）攻擊溯源

提供人機識別、網絡身份識別、指紋持久化種植、攻擊IP識別、物理位置識別、攻擊數據統計、行為分析、行為歸并、相似度匹配、黑客檔案庫等模塊。攻擊溯源系統可識別攻擊者各類身份信息，精確識別工具和真人，掌握攻擊者信息，使之作為取證的重要依據之一。

（二）流量轉發

跨平臺部署應用，通過端口混淆技術可以在用戶服務器上安裝偽裝代理腳本并指定端口，將該指定端口流量轉發進入沙箱，達到對客戶真實服務器的保護。

（三）仿真沙箱技術

仿真沙箱系統主要包括仿真沙箱資源池模塊、仿真沙箱控制器模塊、攻擊行為檢測模塊、漏洞利用檢測模塊、病毒樣本檢測模塊、漏洞自定義集成模塊等。

（四）誘導感知

通過辦公網誘餌、互聯網誘餌、網關誘餌、郵件誘餌等誘導攻擊者進入云蜜網系統，進一步提高云蜜網系統的感知力。

四、解決方案設計

（一）云蜜網技術原理

云蜜網的技術原理對應攻擊者采取攻擊的每一個步驟，主要包括業務仿真、偽裝漏洞、虛擬系統、脫敏數據、記錄行為。具體過程如圖1所。

業務仿真：在攻擊者對業務進行踩點探測的時候，云蜜網模擬客戶的真實業務，給予攻擊者虛假的信息。

偽裝漏洞：在仿真業務上，包含很多常見的漏洞，以此為誘餌，降低攻擊者攻擊云蜜網沙箱的難度。

虛擬系統：攻擊者所攻擊的都是云蜜網的系統，并非客戶真實的系統。

脫敏數據：攻擊者偷走的數據都是脫敏的，都是毫無價值的數據。

記錄行為：攻擊者準備撤離犯罪現場，擦除攻擊路徑和入侵痕跡的時候，云端沙箱已把攻擊者記錄下來形成了黑客畫像，并且能夠捕捉到攻擊者的社交網絡信息，方便客戶進行威脅的溯源，在云端進行日志記錄。

（二）云蜜網部署方案

云蜜網系統可以為提供一整套的攻擊檢測、隔離和威脅溯源的解決方案，實現云平臺主機端/PC端全面覆蓋，部署方式如圖2所示。

通過在服務器上安裝“偽裝代理”，把攻擊者的流量誘導進云蜜網云端，并通過可視化大屏展示出當前的威脅態勢。為了保證對攻擊者的高誘導率，探測的節點需能夠覆蓋所有的網段。

（三）云蜜網系統功能模塊

1.仿真沙箱系統

仿真沙箱模塊提供多種不同類型切合業務系統使用環境的沙箱，進一步保證沙箱模擬用戶的真實度。仿真沙箱控制器可以控制對沙箱的停用、刪除、重啟等操作。行為監測可對攻擊者普通操作以及攻擊操作進行全量記錄。病毒樣本檢測模塊可對攻擊者上傳惡意文件進行檢測識別。

2.偽裝代理系統

偽裝代理系統是在客戶網絡中部署的高度模仿客戶資產信息的系統，根據客戶不同的需求可以仿真出客戶不同的系統和不同的業務，通過端口混淆，將黑客攻擊誘導至沙箱。偽裝代理開放源代碼，無任何數據安全風險，當系統cpu占用率達到80%時，偽裝代理會自動停用，保證業務正常運行。

3.攻擊溯源系統

攻擊溯源系統提供人機識別、網絡身份識別、指紋持久化種植、攻擊IP識別、物理位置識別、攻擊數據統計、行為分析、行為歸并、相似度匹配、黑客檔案庫等模塊。攻擊溯源系統可識別攻擊者各類身份信息，精確識別工作和真人，掌握攻擊者信息，使之作為取證的重要依據之一。

4.誘導感知系統

誘導感知系統通過辦公網誘餌、互聯網誘餌、網關誘餌以及郵件誘餌誘導攻擊者進入云蜜網系統，更進一步提高云蜜網的系統入侵感知力。郵件誘餌也可作為郵箱保護功能使用，當攻擊者攻破郵箱系統進入郵箱打開郵件后云蜜網系統會實時進行報警，確保郵箱安全。

5.攻擊可視化系統

通過可視化大屏可以動態地展示出資產的狀態、哪些沙箱正在被攻擊者訪問、云蜜網的狀態以及對云平臺威脅進行量化評分，通過折線圖實時顯示當前的攻擊趨勢：每天在哪些時段遭受攻擊最多、哪些資產被攻擊次數最多以及可以獲得的溯源情報。

6.云蜜網系統與攻擊者的高交互性

上圖為真人黑客的攻擊入侵行為，其中云蜜網通過各個子系統的不同功能，配合黑客的入侵步驟，將入侵者引入云蜜網，并實現主動欺騙、攻擊溯源和入侵檢測等目標。

（四）云蜜網特點及優勢

1.混淆攻擊，增加攻擊成本及實時告警

云蜜網通過克隆業務的高仿真沙箱，混淆黑客的攻擊目標，將攻擊隔離進云蜜網的沙箱系統，延緩攻擊進程，并且以郵件形式通知管理員，為應急響應爭取寶貴時間，降低客戶信息資產受損的風險。云蜜網基于全鏈路欺騙，使攻防信息不對稱，指數級提升攻擊成本和難度，樹立安全的威懾力。

2.偽裝代理，攻擊流量轉移及資產入侵檢測

云蜜網系統利用“偽裝代理”技術在客戶的真實服務器上形成偽裝端口，使攻擊者在攻擊客戶真實服務器的時候可以被誘導進云蜜網當中，把攻擊者的流量轉移到云蜜網云端的沙箱中，保護真實資產不被入侵。

3.溯源分析，幫助調查取證

云蜜網的威脅情報模塊可以詳細記錄攻擊者執行的操作，并且可以獲取攻擊者的瀏覽器信息、操作系統信息、地理地址、設備的指紋以及攻擊者的一些社交賬號，比如新浪微博ID、百度ID等等，方便客戶針對此攻擊者的取證調查和溯源追蹤。

4.降低成本，方便云蜜網的廣度延伸

通過“偽裝代理”部署方式，一臺云端的云蜜網系統可與眾多的偽裝代理聯動。客戶只需要給一套云蜜網系統給予相應的IP地址就可以，大大節約了客戶的內部資源以及采購成本，同時，客戶若想擴展云蜜網，只需要在相應的網段安裝偽裝代理即可，方便快捷。

5.零誤報率，減少產品運維人員的工作量

云蜜網系統基于行為分析，假如某個沙箱被某個地址持續訪問，并且嘗試登錄，根據此IP地址的行為分析，會認為是一個攻擊行為，此攻擊行為的判斷零誤報，產品運維人員也不需要去分辨產品攻擊日志是不是誤報，從而大大減少運維人員的工作量。

五、云蜜網建設的必要性/收益

針對云平臺建立一套基于云蜜網的內部安全防御體系，能夠對已知和未知的安全威脅進行及時的識別和捕獲，確保云平臺內部安全，并能夠真實反映出內部的安全狀態，總結為以下幾點。

（一）保障云平臺和IDC安全，提升自身競爭力

云蜜網系統實現攻擊捕獲、攻擊溯源、安全防護等功能，本質上是對云平臺和IDC自身安全能力的提高，云蜜網可以及時捕獲到大規模、爆發性的網絡攻擊事件，還原攻擊流程，溯源攻擊者，及時告知云平臺運營方，避免發生大規模的網絡安全事件，提升硬件層、應用層等方面的安全防護能力。對安全業務增值的同時，提高云平臺和IDC自身的競爭力。

（二）保護租戶業務系統和服務安全

云蜜網系統實現攻擊捕獲、攻擊溯源、安全防護等功能，能夠保護租戶的業務系統安全，保障業務的連續性。同時，在捕捉到攻擊的同時，實時動態將攻擊者流量導入云蜜網沙箱中，溯源攻擊者，捕捉攻擊行為，構建動態欺騙防御網絡，租戶可實時通過云蜜網系統掌握自身業務系統和服務的安全狀態。

（三）滿足合規性要求

《網絡安全法》以及IDC管理規范中都對云平臺和IDC的網絡安全提出了明確的要求，并且對云平臺安全進行了明確的責任劃分，云蜜網系統可對云平臺和IDC關鍵部位進行主動欺騙防御式的安全防護，滿足合規性的要求。

（四）捕獲未知威脅，保護內網安全

針對內網中未知的安全威脅和正在發生的攻擊行為進行捕獲，避免內網業務系統和服務遭受攻擊，防范未知安全風險的同時，有效保護內部網絡安全。

（五）攻擊事件溯源，查找攻擊源頭

針對攻擊事件進行溯源，可對發起攻擊行為的內部源頭進行查找。依托云蜜網系統，對整個攻擊事件進行復現，清晰掌握攻擊軌跡和行為細節，結合設備指紋和黑客畫像等技術實現攻擊溯源。

（六）威脅情報輸出、安全環境感知

通過云蜜網對捕捉到的攻擊數據進行分析，可有效進行威脅情報的輸出，輔助業務系統進行針對性的安全加固。同時能夠對業務系統所在內部網絡環境的安全性進行精確感知。

（七）縱深防御體系的建立

云蜜網與已部署的防火墻、IDS、IPS等基于已知規則的安全防護系統相補充，能夠對已知和未知的網絡攻擊行為進行防御，建立起一套有效保護業務系統安全性的縱深防御體系。