基于隨機Petri網的動態蜜罐系統性能分析?

呂獻勇 牛辰庚 何 旭

（中國石油大學（華東）計算機與通信工程學院 青島 266580）

1 引言

隨著互聯網應用在人們的學習、生活和工作中的日漸普及，計算機網絡的安全問題也逐漸受到用戶和專家的高度關注。諸如防火墻、訪問控制、入侵檢測等被動的防御手段，已經很難避免伴隨網絡規模擴大以及黑客技術提升所發展而來的艱巨挑戰。

在這種形勢下，一種新的防御手段——蜜罐技術被研究學者提出來［1～2］，既主動設置陷阱來誘惑攻擊者進行攻擊和掃描，從而獲取攻擊者的行為數據實現對攻擊者的追蹤和分析［3］。然而，蜜罐本身也存在易被識破、配置和維護困難等問題［4～5］。所以，動態蜜罐的思想也就隨之而生［6］，只要將一個蜜罐程序部署到所需網絡中去，它會自動地檢測周圍的網絡環境，收集數據，配置適當數量的蜜罐，并且還能夠隨著網絡環境的改變自動做出相應的調整。

因此，構建動態蜜罐系統模型，并對系統模型的性能和安全性進行評估就變得十分重要。本文提出了基于隨機Petri網的動態蜜罐系統模型，對動態蜜罐系統進行了深入研究，對系統模型進行性能分析，并利用PIPE驗證了動態蜜罐系統的安全性和有效性。

2 相關研究

自1962年Petri網由Carl Adam Petri在其博士論文中提出［7］，已經被研究學者廣泛應用于計算機科學領域的各種系統建模和性能分析。Petri網是一種常用的數學建模工具［8］，由位置（place）、變遷（transition）、弧（arc）和標記（token）四大元素組成［9］，能夠描述異步并發的計算機系統模型，且具有形象直觀的圖形顯示的能力。基本Petri網在描述大規模系統時分析難度會非常高，所以高級Petri網應運而生，成熟的高級Petri網主要包括謂詞變遷系統（Pr/T_系統）［10］、有色Petri網系統［11］和隨機Petri網［12］系統等。這些年來，Petri網在網絡安全領域的應用越來越廣泛，國內外的安全專家都在這方面做了大量的研究工作。

為了系統地描述和分析網絡安全，Liu［13］等對網絡安全態勢各因素間的相互關系進行了研究，提出了網絡安全態勢的系統結構，并采用有色Petri網對攻擊事件觸發系統狀態轉換的整個過程進行了圖形化描述。Hicham［14］等則提出一種用于檢測網絡安全沖突的基于數據流屬性的設備配置模型，并采用有色Petri網對其進行了直觀性地描述與說明。

Liu［15］提出了一個改進的時間約束RBAC模型，并基于時間有色Petri網對該時間約束RBAC模型進行了形式化驗證。Yang J［16］采用廣義隨機Pe?tri網創建了混合式入侵檢測系統的性能評估模型，對系統的整個流程進行了形式化描述和性能評價。

Shi［17］等利用Petri網給出了服務跳變系統SPN的系統模型，并從理論上論證了服務跳變系統的有效性和安全性。Teo L［18］等提出了一個將蜜罐和其他預防檢測機制協同起來保護本地網絡的安全框架——Japonica，并使用有色Petri網描述框架的的威脅評估機制和響應機制。Wu［19］等利用廣義隨機Petri網構建擬態DNS模型，并通過實驗表明在不同的干擾環境下采用合適的構造策略能夠提升擬態域名系統的穩態可用性和感知安全性。

3 動態蜜罐隨機Petri網模型

為了更好地對動態蜜罐系統進行分析，在本節我們將分別構建基于SPN普通蜜罐和動態蜜罐系統模型。

3.1 普通蜜罐的SPN性能分析模型

普通蜜罐的SPN模型包含了狀態（庫所）集合P=｛Pnormal，Pinteract，Pbypass，POOC，Pprocess，Plserver，Padmin｝，以及實現系統狀態變化的變遷集合T=｛Tattack，Tsend，Tcheck，Tlog?analyzing，Twarn，Tupdat｝e。兩個集合各個元素所表示的含義如表1和表2所示。

然后我們根據Petri網模型建立規則建立了基于SPN的蜜罐的性能分析模型如圖1，對蜜罐的運行流程進行圖形化描述。

表1 普通蜜罐的狀態集及其意義

表2 普通蜜罐的變遷集及其意義

圖1 普通蜜罐SPN模型

圖1描述了普通蜜罐系統的隨機Petri網模型，蜜罐采用預先設置好的欺騙技術，處于誘騙狀態Pnormal。當有外部攻擊者探測或者攻擊蜜罐時，觸發攻擊事件Tattack，蜜罐開始與外部攻擊者進行交互Pinteract。此時，攻擊者對蜜罐系統產生疑惑，觸發事件Tcheck。當攻擊者識破蜜罐系統時，會越過蜜罐系統Tbypass奪取系統控制權，并對真實系統發動攻擊POOC。系統將按照預先設置向管理員發出警告信息Twarn，進行人工修復Tupdata。當系統沒有被識破，所產生數據為真實攻擊數據，數據記錄在日志服務器Plserver中，按照配置數據庫中的配置規則日志文件的分析Tloganalyzing，并對數據進行處理Pprocess。最后蜜罐向管理員發出警告信息Twarn，將分析記錄發給管理員Padmin，管理員根據分析結果對蜜罐的配置進行手動調整Tupdata，蜜罐恢復到最初的誘騙狀態Pnormal。

3.2 動態蜜罐的SPN性能分析模型

動態蜜罐系統的狀態集P和變遷集T，如表3和表4所示。同時根據Petri網建模規則建立動態蜜罐系統的SPN模型，如圖3所示。

表4 動態蜜罐變遷集及其意義

由圖2可知，首先對于外部網絡Pinternet，利用Nmap等工具進行探測，觸發事件TNmap，獲取到周圍的網絡環境中的操作系統類型或者提供的服務Pintdata，并將網絡數據保存在動態蜜罐數據庫。當有攻擊者探測或者攻擊動態蜜罐Pdevice時，觸發攻擊事件Tattack。攻擊者對動態蜜罐系統產生懷疑Tcheck，當攻擊者識破蜜罐系統時，會越過蜜罐系統Tbypass，奪取真實系統控制權并對真實系統發起攻擊POOC，系統將按照預先設置向動態蜜罐服務器發送警告信息Tsend。當系統沒有被識破，所產生數據為真實攻擊數據，數據記錄在日志服務器Plserver中，按照配置數據庫中的配置規則日志文件的分析Tloganalyzing，并對數據進行處理Pprocess。最后蜜罐向動態蜜罐服務器PDHDB發送處理結果Tsend，系統根據動態蜜罐數據庫中的網絡數據和警告信息，發出命令給蜜罐來自動部署虛擬系統，即觸發事件Tconfiguring。

圖2 動態蜜罐SPN模型

4 SPN模型性能分析與仿真評估

在本章節中，我們使用Petri網性能分析軟件PIPE［20］對兩個蜜罐的SPN模型進行模擬實現，并對之進行性能和安全性分析。

4.1 SPN模型可用性分析

首席按對模擬實現的兩個蜜罐的SPN模型進行可用性分析，其分析結果均如表5中所示。

表5 SPN模型可用性分析

由分析結果可看出，這兩個SPN模型均是有界且安全的，并且都不存在死鎖現象。即本文所提出的兩個SPN模型都是有效且可用的。

4.2 普通蜜罐SPN模型分析

使用PIPE模擬實現普通蜜罐的SPN模型，實驗生成了該模型的可達標識集如圖3。

圖3 普通蜜罐SPN模型的可達集

隨機Petri網同構于一個連續時間馬爾可夫鏈（MC），所以實驗生成的與普通蜜罐SPN模型同構的MC，如圖4所示。

圖4 普通蜜罐SPN模型的馬爾可夫鏈

取該SPN模型的變遷平均實施速率集合λ=｛λa，λch，λl，λc，λw，λu｝=｛4，2，2，1，2，1｝最后將馬爾可夫鏈中的變遷Ti替換成相對應的變遷平均實施概率λi。結合圖4中所示SPN模型的馬爾可夫鏈，并根據轉移矩陣Q=[qi，j]，1≤i，j≤n，的定義，我們可以求其轉移矩陣為

設圖中MC的穩定狀態概率為一個行向量P=｛p0，p1，p2，p3，p4，p5，p6，｝，可求得方程組：

根據所得方程組可解得每個狀態的穩定概率，即

在求得各個狀態的穩定概率的基礎上，我們根據Petri網的性能指標公式對蜜罐SPN模型的各個基礎性能指標進行分析。

1）標記概率密度函數，在穩定狀態下每個位置中所包含的標記數量的概率，即p［M（P）=i］=p（M）j。

表6 標記概率密度

2）每個庫所的平均標記量，在穩定狀態下位置在任一可達標記中平均所包含的標記數，即μˉi=p［M（P）=i］。

表7 平均標記量

3）變遷的標記流速，即單位時間內流入T的后置位置的平均標記數為

對上述所求得的基礎性能指標進行分析，可以得出普通蜜罐的SPN模型進一步的性能指標。

（1）系統淪陷概率

即蜜罐系統被攻擊者識破，攻擊者進而奪取系統控制權的概率為

（2）系統成功獲取數據的概率

即蜜罐系統未被識破、控制，成功獲取到攻擊者攻擊數據的概率為

（3）蜜罐更新時延

在蜜罐系統在將攻擊數據分析和處理結果發送給管理員，管理員對蜜罐進行重新配置的子系統中，其庫所集合所包含的平均標記數為因此，根據Little規則和平衡原理［20］，該過程所用的平均時延TU為

4.3 動態蜜罐SPN模型分析

使用PIPE模擬生成動態蜜罐的SPN模型，可得該模型的可達標識集如圖5，馬爾可夫鏈如圖6。

圖5 動態蜜罐SPN模型可達標識集

圖6 動態蜜罐SPN模型馬爾可夫鏈

取動態蜜罐SPN模型的變遷平均實施速率集合為λ={λn，λs，λr，λa，λch，λl，λc，λsa，λco}=｛2，1，2，4，2，2，1，3，2｝，并將馬爾可夫鏈中的變遷Ti替換成相對應的變遷平均實施概率λi。最后結合圖6中所示SPN模型的馬爾可夫鏈，并根據轉移矩陣Q=[qi，j]，1≤i，j≤n，的定義，我們可以求其轉移矩陣為

設圖中馬爾可夫鏈的穩定狀態概率為一個行向量P=｛p0，p1，p2，p3，p4，p5，p6，p7｝，求得方程組：

根據方程組可解得穩定概率為

在求得各個狀態的穩定概率的基礎上，然后對蜜罐SPN模型的各個基礎性能指標進行分析。

1）標記密度函數。

表8 標記概率密度

2）每個庫所的平均標記量。

表9 平均標記量

對上述所求得的基礎性能指標進行分析，可以得出以下結論。

（1）系統淪陷概率

即蜜罐系統被攻擊者識破，攻擊者進而奪取系統控制權的概率為

（2）系統成功獲取數據的概率

即蜜罐系統未被識破、控制，成功獲取到攻擊者攻擊數據的概率為

（3）蜜罐配置時延

在Nmap將收集到網絡數據存儲在動態蜜罐數據庫的子系統中，該過程消耗時延為在系統將警告信息和數據分析處理結果發送給動態蜜罐系統的子 系 統 中 ，其 時 延 為因此該子系統的平均時延為：

4.4 性能對比分析

在前面，我們利用Petri網性能分析工具PIPE［16］對不同蜜罐的SPN模型進行了模擬實現，并通過實驗總結出了一些基本性能指標數據，并求出了一些更深入的性能指標數據，接下來我們在本小節中對兩者性能進行對比分析。

通過前面的實驗分析，我們可以統計出不同蜜罐系統的淪陷概率、系統成功獲取數據概率等概率統計結果（表10），以及不同蜜罐更新配置的延時圖8。

表10 概率統計結果

圖7 概率分布圖

從圖7的對比分析結果，我們可以得出以下結論：與普通蜜罐相比，本文所提出的動態蜜罐系統的被識破淪陷概率降低，抵御攻擊能力加強，安全水平較高，從而系統獲取攻擊者攻擊數據的可能性也得以提高。

表11 時延統計結果

圖8 更新時延對比圖

從圖8的對比分析結果，我們可以看出，由于動態蜜罐實現了自動配置，去除了人為干預，所以與普通蜜罐相比其蜜罐更新消耗的時間較少，從而驗證了本文的理論分析。

5 結語

本文對動態蜜罐系統進行了深入分析，運用隨機Petri網理論，根據SPN系統建模規則提取系統狀態集、事件集以及二者間的聯系，構造基于SPN的普通蜜罐和動態蜜罐系統模型，對不同蜜罐系統的性能進行了理論分析，得到了系統淪陷概率、系統成功獲取數據概率以及蜜罐更新時延等性能指標。利用PIPE工具對模型進行模擬實現，分析了模型的可用性和有效性，并通過實驗驗證了本文理論推理的正確性。