電力信息化行業(yè)網(wǎng)絡(luò)安全主動防御技術(shù)探討

韓寶卿，李文娟，楊生婧

（國網(wǎng)青海省電力公司 信息通信公司，青海 西寧 810000）

0 引 言

在傳統(tǒng)電力系統(tǒng)中，系統(tǒng)網(wǎng)絡(luò)安全防護體系的建設(shè)一般遵循被動防御機制，鮮有主動防御機制。而現(xiàn)如今，隨著電力信息化行業(yè)的快速發(fā)展和人們對技術(shù)的迫切需要，網(wǎng)絡(luò)安全主動防御技術(shù)應(yīng)運而生。這其中就包括了基于蜜網(wǎng)和蜜罐的主動防御系統(tǒng)，它在提高網(wǎng)絡(luò)系統(tǒng)安全防護方面有獨到見解，主要是通過蜜罐建立主動誘捕機制，使攻擊者主動攻擊蜜罐，以求獲得攻擊者的攻擊信息。如此一來，電力信息化行業(yè)網(wǎng)絡(luò)系統(tǒng)就能預(yù)先了解未知攻擊行為并加以分析研究，提出主動防御策略，保證網(wǎng)絡(luò)系統(tǒng)安全[1]。

1 蜜罐主動防御技術(shù)的基本理論分析

1.1 蜜罐主動防御技術(shù)的基本特征

蜜罐可實現(xiàn)對攻擊者信息的主動收集，了解攻擊者的攻擊機制，維護網(wǎng)絡(luò)系統(tǒng)安全，抵御來自攻擊者的二次攻擊。另外，它也建立了檢測攻擊機制，可通過蜜罐采集到的信息進(jìn)行反饋響應(yīng)，這一過程的誤報率相對偏低，且具有極高可信度[2]。實際上，蜜罐主動防御技術(shù)的核心是蜜網(wǎng)，通過蜜網(wǎng)系統(tǒng)收集攻擊者信息，雖然數(shù)據(jù)數(shù)量不多但準(zhǔn)確率極高。在收集信息過程中，它也會使黑客將更多精力花費在破解蜜網(wǎng)上，同時提供研究素材。深入了解黑客的攻擊方法，不斷改善防御系統(tǒng)漏洞，如此可提高網(wǎng)絡(luò)系統(tǒng)的防御能力。整體看來，蜜罐主動防御系統(tǒng)的占用資源更少，它不運用高級算法，僅需要操作系統(tǒng)連接網(wǎng)絡(luò)即可，這也造就了蜜罐的不唯一性。蜜罐主動防御技術(shù)可與其他網(wǎng)絡(luò)安全防御技術(shù)共同搭配使用，主動防御效果顯著[3]。

1.2 蜜罐主動防御技術(shù)的實現(xiàn)條件

蜜罐主動防御技術(shù)必須做到對蜜網(wǎng)的合理設(shè)計，如此才能引誘攻擊者，獲取有價值信息。在蜜網(wǎng)設(shè)計過程中必須滿足3個實現(xiàn)條件。一是要提高數(shù)據(jù)控制的限制能力，將黑客攻擊限制在可控范圍內(nèi)[4]。二是要提高數(shù)據(jù)捕獲能力，確保通過數(shù)據(jù)捕獲來獲取蜜網(wǎng)上的攻擊者信息且不被察覺。三是要提高數(shù)據(jù)收集能力，在數(shù)據(jù)收集過程中為研究人員提供信息對黑客攻擊行為加以準(zhǔn)確分析。在上述3大條件中，數(shù)據(jù)控制條件是關(guān)鍵，優(yōu)先級也最高[5]。

1.3 蜜罐主動防御系統(tǒng)中的虛擬蜜網(wǎng)技術(shù)

虛擬蜜網(wǎng)技術(shù)是蜜罐主動防御系統(tǒng)中的核心技術(shù)，它可在計算機系統(tǒng)中獨立運行多個應(yīng)用程序，且可匹配多種操作系統(tǒng)與多種網(wǎng)絡(luò)服務(wù)，同步運行于虛擬網(wǎng)絡(luò)環(huán)境中。所以說，蜜網(wǎng)能夠與虛擬機相互結(jié)合并運行于獨立計算機系統(tǒng)中，且這些技術(shù)內(nèi)容都可實現(xiàn)統(tǒng)一管理，維護管理相當(dāng)便利，管理成本較低[6]。

在應(yīng)用虛擬蜜網(wǎng)技術(shù)過程中，虛擬機是關(guān)鍵，其中包括了VMware、Virtual PC以及UML等技術(shù)，這里以VMware技術(shù)為例展開分析。VMware技術(shù)的應(yīng)用范圍最廣泛，它的功能強大，可在Windows、OS等多種操作系統(tǒng)上建立。另外，它擁有Ghost文件，有利于蜜罐備份，而且在升級服務(wù)方面也相當(dāng)?shù)轿唬山?種截然不同的聯(lián)網(wǎng)方式，分別為NAT模式、橋接模式以及主機模式，可以滿足不同用戶的不同技術(shù)應(yīng)用需求。目前可利用虛擬蜜網(wǎng)技術(shù)創(chuàng)建蜜網(wǎng)模型，它在引誘黑客主動攻擊方面能力更強，可聯(lián)合多臺計算機組成管理端實現(xiàn)對主動攻擊行為數(shù)據(jù)的管控，建立入侵檢測系統(tǒng)，實現(xiàn)主動防御過程。整體看來，它的網(wǎng)絡(luò)安全維護能力強，可信度也相對較高[7]。

2 蜜罐主動防御技術(shù)支持下的電力信息化行業(yè)主動防御網(wǎng)絡(luò)系統(tǒng)設(shè)計

在蜜罐主動防御技術(shù)支持下，電力信息化行業(yè)的主動防御網(wǎng)絡(luò)系統(tǒng)可創(chuàng)建數(shù)據(jù)控制模塊與數(shù)據(jù)捕獲模塊。

2.1 數(shù)據(jù)控制模塊的設(shè)計與功能實現(xiàn)

在蜜罐主動防御技術(shù)體系中，為電力信息化行業(yè)主動防御網(wǎng)絡(luò)系統(tǒng)設(shè)計數(shù)據(jù)控制模塊意義重大，它在防止黑客利用蜜網(wǎng)主動攻擊其他系統(tǒng)方面的作用明顯。大體來講，它所采用的是NIPS與IPtables兩大模塊來實現(xiàn)數(shù)據(jù)控制，下文以IPtables防火墻為例展開分析[8]。

IPtables防火墻主要用于控制蜜網(wǎng)數(shù)據(jù)，創(chuàng)建蜜墻，對所有進(jìn)出行業(yè)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢查。防火墻中所采用的統(tǒng)計方法可在一定時間范圍內(nèi)合理計數(shù)，設(shè)置合理防御時間。IPtables防火墻所采用的是Snort inline特征檢測機制，它主要結(jié)合具體檢測規(guī)則來檢測數(shù)據(jù)包，建立了獨立規(guī)則檢測分析某些來自于黑客的非善意數(shù)據(jù)。另外蜜網(wǎng)也會限制數(shù)據(jù)包的輸入數(shù)量，建立IPtables與Snort inline之間的功能連帶關(guān)系。基于一套自主規(guī)則對數(shù)據(jù)包進(jìn)行監(jiān)測，并通過蜜網(wǎng)Snort inline檢測結(jié)果，整合形成數(shù)據(jù)包。在這里，蜜網(wǎng)也可實現(xiàn)對數(shù)據(jù)包數(shù)量的限制[9]。Snort inline與IPtables的關(guān)系示意如圖1所示。

圖1 Snort inline與IPtables的關(guān)系示意圖

在蜜網(wǎng)數(shù)據(jù)控制實現(xiàn)過程中，它主要利用到Honeywall數(shù)據(jù)控制機制來調(diào)整控制數(shù)據(jù)包，誘惑黑客攻擊者主動進(jìn)攻蜜墻，提出諸多數(shù)據(jù)控制方法。在攻擊包抑制與連接限制過程中，可建立數(shù)據(jù)控制流程圖，形成警報報送給管理人員，如此可提醒技術(shù)人員。蜜罐主動防御系統(tǒng)數(shù)據(jù)控制流程示意如圖2所示[10]。

圖2 蜜罐主動防御系統(tǒng)數(shù)據(jù)控制流程示意圖

2.2 數(shù)據(jù)捕獲模塊的設(shè)計與功能實現(xiàn)

在建立系統(tǒng)數(shù)據(jù)捕獲模塊過程中，需要建立蜜網(wǎng)分析機制，快速捕獲數(shù)據(jù)獲取進(jìn)攻者信息?？紤]到蜜罐技術(shù)獲取數(shù)據(jù)數(shù)量較少，但其獲取數(shù)據(jù)價值極高，要建立蜜網(wǎng)建立防火墻日志與Sebek客戶端。其中，防火墻日志形成了蜜網(wǎng)中的數(shù)據(jù)包，確保防火墻可獲取全面信息內(nèi)容，記載大量數(shù)據(jù)包內(nèi)容。就防火墻而言，它僅僅記載不同數(shù)據(jù)包通過狀況，不會對數(shù)據(jù)包內(nèi)部數(shù)據(jù)內(nèi)容進(jìn)行記錄[11]。

而Sebek客戶端在記錄相關(guān)攻擊過程全部信息時主要通過獲取攻擊者所殘留下的痕跡內(nèi)容，將黑客對蜜罐的攻擊過程再現(xiàn)出來，分析是哪些命令和操作導(dǎo)致系統(tǒng)被攻擊。Sebek客戶端的工作原理如下，它主要向外傳輸數(shù)據(jù)，直接傳送到網(wǎng)絡(luò)接口驅(qū)動程序中，確保驅(qū)動程序運行到位。這一過程并非通過控制網(wǎng)絡(luò)接口，而是通過Sebek客戶端，同時有效規(guī)避黑客。通過監(jiān)視網(wǎng)絡(luò)獲取Sebek重要數(shù)據(jù)信息內(nèi)容，如此可有效避免信息被泄漏。

在Sebek客戶端建立Sebek Web存儲數(shù)據(jù)庫，主要存儲來自于黑客攻擊者的各種信息。在數(shù)據(jù)捕獲模塊方面利用Honeypot建立數(shù)據(jù)獲取機制，為數(shù)據(jù)分析提供重要保障，快速有效還原攻擊者的攻擊過程。例如，要滿足數(shù)據(jù)捕獲過程中的所有技術(shù)流程，詳細(xì)分析在建立Sebek客戶端過程中黑客攻擊行為的信息內(nèi)容，確保記錄系統(tǒng)行為，結(jié)合隱匿通道將數(shù)據(jù)傳送到Sebek服務(wù)器中。在這一過程中，也會查詢與瀏覽所捕獲的一切數(shù)據(jù)內(nèi)容。在蜜網(wǎng)結(jié)構(gòu)中，主要基于各種蜜罐安裝Sebek，捕獲黑客攻擊者在蜜網(wǎng)上的所有攻擊操作行為，然后傳送數(shù)據(jù)到Sebek客戶端服務(wù)器中，深度了解攻擊者思想，結(jié)合數(shù)據(jù)捕獲過程有效優(yōu)化。

總體來說，數(shù)據(jù)控制模塊與數(shù)據(jù)捕獲模塊二者建立了基于蜜罐的電力信息化行業(yè)網(wǎng)絡(luò)系統(tǒng)的主動防御設(shè)計體系，基本實現(xiàn)了對蜜罐電力系統(tǒng)網(wǎng)絡(luò)的主動防御與優(yōu)化，確保在蜜罐網(wǎng)絡(luò)體系結(jié)構(gòu)基礎(chǔ)之上重點分析主動防御系統(tǒng)中的數(shù)據(jù)控制模塊內(nèi)容。此外，也設(shè)置了自動報警與數(shù)據(jù)分析模塊[12]。

3 蜜罐主動防御技術(shù)支持下的電力信息化行業(yè)主動防御網(wǎng)絡(luò)系統(tǒng)攻擊測試

在電力信息化行業(yè)主動防御網(wǎng)絡(luò)系統(tǒng)建立以后，需要基于蜜罐主動防御技術(shù)展開黑客攻擊測試，如蜜罐掃描攻擊測試。首先在宿主主機上運行Zenmap，對虛擬機蜜罐進(jìn)行全面掃描，并對端口部分進(jìn)行掃描，生成蜜罐掃描圖，提取蜜罐獲取的掃描攻擊數(shù)據(jù)。在這一過程中，提出拒絕服務(wù)攻擊測試內(nèi)容，深度檢測面向電力系統(tǒng)的拒絕服務(wù)攻擊過程，識別存在于系統(tǒng)中的不同訪問行為，建立拒絕服務(wù)攻擊測試體系，形成實驗測試參數(shù)結(jié)果。其中應(yīng)該包括了固定DDOS、遍歷DDOS、Flash Crowd以及合法訪問機制。在實驗結(jié)果中，可建立X/Y軸優(yōu)化坐標(biāo)平面，滿足不同攻擊類向量點分布內(nèi)容，形成坐標(biāo)平面不同區(qū)域，客觀反映來自于黑客攻擊者所反映出的攻擊特點內(nèi)容[13]。

4 結(jié) 論

在電力信息化行業(yè)網(wǎng)絡(luò)安全主動防御技術(shù)體系建立與研究過程中，應(yīng)該有效應(yīng)用蜜罐技術(shù)，基于其主動防御技術(shù)體系建立數(shù)據(jù)控制模塊與數(shù)據(jù)捕獲模塊，有效優(yōu)化網(wǎng)絡(luò)安全主動防御能力，增加網(wǎng)絡(luò)節(jié)點數(shù)量，復(fù)雜化主動防御技術(shù)內(nèi)容，實現(xiàn)對系統(tǒng)檢測能力的規(guī)劃擴展，持續(xù)改善系統(tǒng)防御機制，保證電力信息化行業(yè)網(wǎng)絡(luò)長期安全運行。