電力信息化行業網絡安全主動防御技術探討

韓寶卿，李文娟，楊生婧

（國網青海省電力公司 信息通信公司，青海 西寧 810000）

0 引 言

在傳統電力系統中，系統網絡安全防護體系的建設一般遵循被動防御機制，鮮有主動防御機制。而現如今，隨著電力信息化行業的快速發展和人們對技術的迫切需要，網絡安全主動防御技術應運而生。這其中就包括了基于蜜網和蜜罐的主動防御系統，它在提高網絡系統安全防護方面有獨到見解，主要是通過蜜罐建立主動誘捕機制，使攻擊者主動攻擊蜜罐，以求獲得攻擊者的攻擊信息。如此一來，電力信息化行業網絡系統就能預先了解未知攻擊行為并加以分析研究，提出主動防御策略，保證網絡系統安全[1]。

1 蜜罐主動防御技術的基本理論分析

1.1 蜜罐主動防御技術的基本特征

蜜罐可實現對攻擊者信息的主動收集，了解攻擊者的攻擊機制，維護網絡系統安全，抵御來自攻擊者的二次攻擊。另外，它也建立了檢測攻擊機制，可通過蜜罐采集到的信息進行反饋響應，這一過程的誤報率相對偏低，且具有極高可信度[2]。實際上，蜜罐主動防御技術的核心是蜜網，通過蜜網系統收集攻擊者信息，雖然數據數量不多但準確率極高。在收集信息過程中，它也會使黑客將更多精力花費在破解蜜網上，同時提供研究素材。深入了解黑客的攻擊方法，不斷改善防御系統漏洞，如此可提高網絡系統的防御能力。整體看來，蜜罐主動防御系統的占用資源更少，它不運用高級算法，僅需要操作系統連接網絡即可，這也造就了蜜罐的不唯一性。蜜罐主動防御技術可與其他網絡安全防御技術共同搭配使用，主動防御效果顯著[3]。

1.2 蜜罐主動防御技術的實現條件

蜜罐主動防御技術必須做到對蜜網的合理設計，如此才能引誘攻擊者，獲取有價值信息。在蜜網設計過程中必須滿足3個實現條件。一是要提高數據控制的限制能力，將黑客攻擊限制在可控范圍內[4]。二是要提高數據捕獲能力，確保通過數據捕獲來獲取蜜網上的攻擊者信息且不被察覺。三是要提高數據收集能力，在數據收集過程中為研究人員提供信息對黑客攻擊行為加以準確分析。在上述3大條件中，數據控制條件是關鍵，優先級也最高[5]。

1.3 蜜罐主動防御系統中的虛擬蜜網技術

虛擬蜜網技術是蜜罐主動防御系統中的核心技術，它可在計算機系統中獨立運行多個應用程序，且可匹配多種操作系統與多種網絡服務，同步運行于虛擬網絡環境中。所以說，蜜網能夠與虛擬機相互結合并運行于獨立計算機系統中，且這些技術內容都可實現統一管理，維護管理相當便利，管理成本較低[6]。

在應用虛擬蜜網技術過程中，虛擬機是關鍵，其中包括了VMware、Virtual PC以及UML等技術，這里以VMware技術為例展開分析。VMware技術的應用范圍最廣泛，它的功能強大，可在Windows、OS等多種操作系統上建立。另外，它擁有Ghost文件，有利于蜜罐備份，而且在升級服務方面也相當到位，可建立3種截然不同的聯網方式，分別為NAT模式、橋接模式以及主機模式，可以滿足不同用戶的不同技術應用需求。目前可利用虛擬蜜網技術創建蜜網模型，它在引誘黑客主動攻擊方面能力更強，可聯合多臺計算機組成管理端實現對主動攻擊行為數據的管控，建立入侵檢測系統，實現主動防御過程。整體看來，它的網絡安全維護能力強，可信度也相對較高[7]。

2 蜜罐主動防御技術支持下的電力信息化行業主動防御網絡系統設計

在蜜罐主動防御技術支持下，電力信息化行業的主動防御網絡系統可創建數據控制模塊與數據捕獲模塊。

2.1 數據控制模塊的設計與功能實現

在蜜罐主動防御技術體系中，為電力信息化行業主動防御網絡系統設計數據控制模塊意義重大，它在防止黑客利用蜜網主動攻擊其他系統方面的作用明顯。大體來講，它所采用的是NIPS與IPtables兩大模塊來實現數據控制，下文以IPtables防火墻為例展開分析[8]。

IPtables防火墻主要用于控制蜜網數據，創建蜜墻，對所有進出行業網絡的數據包進行檢查。防火墻中所采用的統計方法可在一定時間范圍內合理計數，設置合理防御時間。IPtables防火墻所采用的是Snort inline特征檢測機制，它主要結合具體檢測規則來檢測數據包，建立了獨立規則檢測分析某些來自于黑客的非善意數據。另外蜜網也會限制數據包的輸入數量，建立IPtables與Snort inline之間的功能連帶關系。基于一套自主規則對數據包進行監測，并通過蜜網Snort inline檢測結果，整合形成數據包。在這里，蜜網也可實現對數據包數量的限制[9]。Snort inline與IPtables的關系示意如圖1所示。

圖1 Snort inline與IPtables的關系示意圖

在蜜網數據控制實現過程中，它主要利用到Honeywall數據控制機制來調整控制數據包，誘惑黑客攻擊者主動進攻蜜墻，提出諸多數據控制方法。在攻擊包抑制與連接限制過程中，可建立數據控制流程圖，形成警報報送給管理人員，如此可提醒技術人員。蜜罐主動防御系統數據控制流程示意如圖2所示[10]。

圖2 蜜罐主動防御系統數據控制流程示意圖

2.2 數據捕獲模塊的設計與功能實現

在建立系統數據捕獲模塊過程中，需要建立蜜網分析機制，快速捕獲數據獲取進攻者信息?？紤]到蜜罐技術獲取數據數量較少，但其獲取數據價值極高，要建立蜜網建立防火墻日志與Sebek客戶端。其中，防火墻日志形成了蜜網中的數據包，確保防火墻可獲取全面信息內容，記載大量數據包內容。就防火墻而言，它僅僅記載不同數據包通過狀況，不會對數據包內部數據內容進行記錄[11]。

而Sebek客戶端在記錄相關攻擊過程全部信息時主要通過獲取攻擊者所殘留下的痕跡內容，將黑客對蜜罐的攻擊過程再現出來，分析是哪些命令和操作導致系統被攻擊。Sebek客戶端的工作原理如下，它主要向外傳輸數據，直接傳送到網絡接口驅動程序中，確保驅動程序運行到位。這一過程并非通過控制網絡接口，而是通過Sebek客戶端，同時有效規避黑客。通過監視網絡獲取Sebek重要數據信息內容，如此可有效避免信息被泄漏。

在Sebek客戶端建立Sebek Web存儲數據庫，主要存儲來自于黑客攻擊者的各種信息。在數據捕獲模塊方面利用Honeypot建立數據獲取機制，為數據分析提供重要保障，快速有效還原攻擊者的攻擊過程。例如，要滿足數據捕獲過程中的所有技術流程，詳細分析在建立Sebek客戶端過程中黑客攻擊行為的信息內容，確保記錄系統行為，結合隱匿通道將數據傳送到Sebek服務器中。在這一過程中，也會查詢與瀏覽所捕獲的一切數據內容。在蜜網結構中，主要基于各種蜜罐安裝Sebek，捕獲黑客攻擊者在蜜網上的所有攻擊操作行為，然后傳送數據到Sebek客戶端服務器中，深度了解攻擊者思想，結合數據捕獲過程有效優化。

總體來說，數據控制模塊與數據捕獲模塊二者建立了基于蜜罐的電力信息化行業網絡系統的主動防御設計體系，基本實現了對蜜罐電力系統網絡的主動防御與優化，確保在蜜罐網絡體系結構基礎之上重點分析主動防御系統中的數據控制模塊內容。此外，也設置了自動報警與數據分析模塊[12]。

3 蜜罐主動防御技術支持下的電力信息化行業主動防御網絡系統攻擊測試

在電力信息化行業主動防御網絡系統建立以后，需要基于蜜罐主動防御技術展開黑客攻擊測試，如蜜罐掃描攻擊測試。首先在宿主主機上運行Zenmap，對虛擬機蜜罐進行全面掃描，并對端口部分進行掃描，生成蜜罐掃描圖，提取蜜罐獲取的掃描攻擊數據。在這一過程中，提出拒絕服務攻擊測試內容，深度檢測面向電力系統的拒絕服務攻擊過程，識別存在于系統中的不同訪問行為，建立拒絕服務攻擊測試體系，形成實驗測試參數結果。其中應該包括了固定DDOS、遍歷DDOS、Flash Crowd以及合法訪問機制。在實驗結果中，可建立X/Y軸優化坐標平面，滿足不同攻擊類向量點分布內容，形成坐標平面不同區域，客觀反映來自于黑客攻擊者所反映出的攻擊特點內容[13]。

4 結 論

在電力信息化行業網絡安全主動防御技術體系建立與研究過程中，應該有效應用蜜罐技術，基于其主動防御技術體系建立數據控制模塊與數據捕獲模塊，有效優化網絡安全主動防御能力，增加網絡節點數量，復雜化主動防御技術內容，實現對系統檢測能力的規劃擴展，持續改善系統防御機制，保證電力信息化行業網絡長期安全運行。