電力信息化及其網絡安全主動防御技術淺談

國電南瑞科技股份有限公司 王 均

傳統的電力系統所建立的電力防御網絡是被動的，它遵循被動防御機制，在主動防御方面建設并不到位，這導致諸多外來黑客不法入侵行為的增加。如今電力信息化行業發展加速，網絡安全主動防御技術應運而生，新技術體系中所涵蓋的技術內容是相當豐富的，例如本文中所希望研究的蜜罐蜜網主動防御技術系統，它可誘使外來黑客攻擊者主動攻擊蜜罐，進而獲得攻擊者的所有信息，將數據信息整合歸納建立大數據庫，不斷強化電力系統的威脅識別能力。在使用該技術后，電力企業防御網絡就能做到預先了解未知攻擊行為并加以分析研究，再提出相關防御策略，保證電力企業系統安全運行。

1 電力信息化及網絡安全主動防御技術系統——蜜罐蜜網技術的基本理論

1.1 蜜罐蜜網技術的發展起源

蜜罐的發展起源思想來自于美國物理學家Clifford Stoll。他在加州大學的伯克利分校就讀期間就已經對攻擊行為檢測產生了極為濃厚的研究興趣，所以后來他專門提出了安全可控實驗條件，分析了主動發布虛假信息的可能性，期待基于此來引誘、欺騙某些不法黑客入侵者能夠主動攻擊目標系統，進而確保被攻擊一方獲取攻擊信息，建立大數據庫，建立主動防御體系，這就是蜜罐技術的最初思想雛形。舉個例子，如果一臺計算機系統已經接入了互聯網，它就能夠與外部產生通信連接，就有被黑客攻擊的可能性。而伴隨外部黑客攻擊者攻擊方式的不斷發展進步與變化，如果僅采用傳統的防火墻或入侵檢測技術明顯不夠，基本無法滿足當前網絡環境所提出的諸多安全需求，這也是蜜罐技術產生的原因所在。

蜜罐技術本身能夠在十分復雜的環境中操作，它會提前配置一個漏洞系統，引誘攻擊者主動進入到受控環境中進行攻擊，此時系統就會里利用到蜜網監控方式來記錄攻擊者的所有行為舉動，主動形成攻擊行為分析記錄。在結合大數據庫已有數據和新加入數據，系統對于漏洞問題的分析是非常深入到位的，它甚至也會掌握攻擊者所采用的工具與方法，做到對系統中漏洞的自動修補與完善，這就大幅提升了系統與網絡的運行安全性。當攻擊者再次攻擊系統時就會失敗。從某種程度來講，蜜罐技術有效降低了攻擊者成功攻擊的可能性，確保電力系統網絡提高安全保障等級，確保正常運行。

蜜罐蜜網技術的出現與實踐應用已經獲得了諸多社會安全組織機構的重視，它作為一種主動防御技術也建立了“蜜網研究聯盟”、“蜜網郵件組”等，他們都在深入分析研究黑客技術內容，共享相關研究成果，主要對網絡攻擊、入侵技術等進行分析測試。在比較完畢技術之后捕捉信息、追根溯源、確保蜜罐蜜網技術體系成功建立，時刻保證電力系統網絡運行安全。

1.2 蜜罐蜜網主動防御技術的基本特征

由蜜罐蜜網所建立的主動防御技術系統可實現對攻擊者信息的主動大量收集，并在隨后建立大數據系統，結合大量數據信息內容深入了解攻擊者的攻擊機制，以求達到維護電力系統網絡安全的目的。客觀講這對于當前的電力系統信息化發展是十分有利的，因為從技術角度來講它深入理解了外來攻擊者的攻擊機制與攻擊內容，然后針對性維護網絡系統安全，這對良好抵御攻擊者的二度進攻效果明顯。在這一過程中，蜜罐蜜網主動防御技術系統所建立核心技術體系就是蜜網，它與蜜罐形成相互分工，由蜜罐引誘外來攻擊者，由蜜網負責收集攻擊者數據信息。

雖然蜜網所收集的信息數量并不多但準確率極高，基本可達到99%以上。在這一信息收集過程中，蜜罐將會拖延外來攻擊者的攻擊時間，即讓他們花費更多精力在蜜罐破解上，而蜜網則提供研究素材，深入了解黑客的各種攻擊方法，改善防御系統漏洞問題，如此對提高網絡系統防御能力而言價值作用很大。就實踐成果看來蜜罐蜜網主動防御系統占用資源偏少，它并不會采用任何高級算法，只需要計算機操作系統就能連接網絡快速制作蜜罐，且所制作的蜜罐都擁有統一規格，可與其它網絡安全防御技術（如防火墻等）配合使用，在主動防御效果方面表現良好[1]。

1.3 蜜罐蜜網主動防御技術的實現條件

蜜罐蜜網主動防御技術實現的基礎條件就是科學合理設計蜜網，它可配合蜜罐引誘外來攻擊者，大量獲取有價值數據信息。為此蜜網在設計過程中必須滿足3點條件：要做到對數據采集與控制能力的提升，合理規劃數據采集數量，將外來攻擊者的攻擊范圍、攻擊時間等限制在可接受、可控制范圍內；第二，要提高對數據的捕獲能力，保證利用數據捕獲來獲取蜜網上的攻擊者信息，且必須保證不被攻擊者察覺；第三，要提高數據的收集能力，在進行數據收集過程中研究蜜網所搜集、提供信息是否能夠對電力系統網絡產生威脅。

就整體而言，數據控制條件應該作為關鍵，要確保圍繞數據控制條件建立最高優先級。若要構建蜜罐蜜網主動防御技術體系，滿足其技術應用實現條件，就必須結合多點內容展開分析，確保蜜罐蜜網技術在數據收集、數據處理、數據應用方面做到技術應用到位，這也是在為蜜罐蜜網主動防御系統中的虛擬蜜網技術建設與應用奠定前提基礎[2]。

2 蜜罐蜜網主動防御系統中的虛擬蜜網技術分析

所謂虛擬蜜網技術是蜜罐蜜網主動防御系統中的核心技術內容之一。在計算機系統獨立運行多個應用程序過程中，系統必須配合多種操作系統與網絡服務展開分析，此時就需要建立一個同步運行的虛擬網絡環境。具體來講，蜜網此時要與虛擬機之間建立關聯關系，相互結合運行獨立計算機系統中數據信息內容，確保實現對技術內容的統一化管理，簡化維護管理技術流程。在這里蜜網所與虛擬機共同打造了一個相對獨立的計算機系統，且虛擬機本身也會成為蜜罐蜜網主動防御系統中的關鍵，它其中會采用到大量軟件技術，包括了UML、Virtual PC、VMware等。

在本文中專門舉例VMware技術，它的技術應用范圍是相當廣泛的，且表現出了極強的功能性，對于系統的運行兼容能力也很強，可在Windows、OS等操作系統中建立技術體系[3]。另外VMware軟件中配置了Ghost文件，這主要是用于蜜罐備份，且它在升級服務方面也表現出了極高效能，可建立完全不同的3種聯網模式，其中就包括了橋接模式、主機模式以及NAT模式，3種聯網模式可分別滿足不同用戶的不同系統建設與應用技術要求。就目前看來，在聯合多臺計算機組建管理端過程中可確保防御外來入侵者主動攻擊行為，優化提升數據管控能力。而它的入侵檢測系統則可實現主動防御，全面提升系統的網絡安全維護能力，所以說虛擬蜜網技術的應用可信度是非常高的。

3 基于蜜罐蜜網主動防御技術支持的電力信息化行業主動防御網絡系統構建

蜜罐蜜網主動防御技術內容、模式豐富，在通過蜜罐引誘、蜜網搜集數據的過程中也建立了大數據庫，基本做到了對外來黑客入侵者的系統攻擊主動預防。具體來說，在蜜罐蜜網主動防御技術的支持下，電力信息化行業可主動搭建主動防御網絡系統，創建數據控制模塊與數據捕捉模塊，結合這兩大模塊形成一套完整的電力信息化網絡主動防御系統[4]。

3.1 數據控制模塊的設計與功能應用

蜜罐蜜網主動防御技術支持下的電力信息化網絡系統首先要追求對輸入信息數據的有效控制，這對于系統的整體穩定運行而言意義重大。比如說在配合黑客利用蜜罐蜜網主動攻擊系統過程中，數據控制模塊會采用到IPtables以及NIPS兩大模塊，主要可實現對數據的有效控制。這里專門以IPtables為例展開分析：

IPtables所建立的是電力信息化行業網絡中的桌面級防火墻，它的主要工作任務就是控制蜜網數據，借此機會高筑蜜墻，如此可實現對電力信息化網絡系統中的數據及數據包檢查。在防火墻方面主要采用到-m limit計算與統計方法，該方法能夠在短時間范圍內快速技術，并設置合理的防御時間。就技術內容組成而言，IPtables數據控制模塊中所采用的是密網數據控制系統Snort inline，它屬于一種數據信息特征檢測機制，可準確辨別哪些數據信息屬于來自黑客的危險數據信息。在檢測過程中，其檢測對象就包括了各種數據包，深入研究可能來自于外部入侵者的某些非善意數據。而蜜網則同時運行，監控并限制數據包的輸入數量，它就構建了IPtables與Snort inline之間的功能連帶關系。

綜上所述，上述IPtables就建立了一套完整的、基于自主規則的數據包監測體系，利用蜜網Snort inline優化分析所檢測結果，實現對外部入侵者不利數據的有效整合，形成數據包。而在此刻，蜜網可實現對這些數據包的有效限制，如圖1[5]。

圖1 Snort inline與IPtables的關系示意圖

參考圖1內容，參考蜜網所搜集數據內容與數據實現過程，就建立了蜜墻Honeywall數據控制機制，它可實現對數據包的有效控制與調整，建立誘惑黑客攻擊者對蜜墻主動進攻機制，確保對大量數據控制到位。而在對攻擊包連接限制過程進行抑制過程中，就建立了一套完整的數據控制流程圖，它可預先形成警報報送給技術管理人員（圖2）[6]。

圖2 蜜罐蜜網主動防御系統數據控制流程示意圖

3.2 數據捕獲模塊的設計與功能應用

除建立數據控制模塊以外，蜜罐蜜網主動防御系統也會設計創建數據捕獲模塊，這一模塊是結合蜜網分析機制所建立的，它擁有數據快速捕獲功能，可對數據的獲取者信息進行分析，充分考量蜜罐技術獲取數量的多少與真偽，同時評估所獲取數據的真實價值。進一步講，要建立蜜罐蜜網防火墻日志、形成Sebek客戶端，這是數據捕獲模塊建立的重要基礎，這其中就包括了防火墻日志。

在防火墻日志中是能夠形成蜜網中大量的數據包的，這些數據包能夠為數據捕獲模塊的構建奠定數據基礎，即形成一套完整的大數據庫運行機制，確保基于大數據基礎之上再展開蜜罐蜜網主動防御技術應用過程。它在保證防火墻獲取全面信息內容過程中，也能夠做到對大量大數據包內容的嚴謹記載。就數據包中所記載的大量數據內容而言，它不但會記載數據包的通過狀況，也會對數據包的內部數據內容進行詳細記錄與分析。

這里要對Sebek客戶端進行分析，了解黑客外來入侵者的攻擊過程，確保數據信息搜集到位。具體講，就是要利用Sebek客戶端來獲取攻擊者所殘留的數據信息痕跡內容，深入分析外來入侵者的攻擊過程，了解是哪些操作命令導致系統攻擊行為的出現。基于上述論述，應深度分析Sebek客戶端的基本工作原理，了解其對外數據傳輸的主要流程，它是直接傳送信息數據到網絡接口驅動程序中的，如此可保證驅動程序運行到位。而在這一過程中也需要分析控制網絡接口，了解其驅動程序運行過程，建立控制網絡接口，規避外來入侵者的網絡監視行為，獲取大量的Sebek重要數據信息內容，如此就能避免信息泄露問題的出現。具體到Sebek客戶端，需要建立一套完整的Sebek Web大數據存儲庫，對黑客攻擊者的各種信息內容進行分析，確保數據傳輸過程中數據丟失現象被合理控制，如此可確保對外來入侵者的攻擊過程產生一定影響，合理引誘攻擊行為[7]。

具體來說，在建立數據捕獲模塊過程中應分析其模塊功能，配合蜜罐構建一套完整的數據獲取機制，這是基礎，可為數據分析提供重要保障。再者就是要快速還原攻擊者的攻擊過程，滿足數據捕獲過程中的技術應用流程，建立一套完整的Sebek客戶端，對黑客攻擊行為信息數據內容進行詳細分析，保證時刻做到對系統行為的記錄。具體講就是要建立隱匿通道，對數據傳送過程進行監視，確保所有數據都能被傳送到Sebek服務器中，結合查詢與瀏覽功能捕獲數據內容。

具體到蜜網結構建設中，應參考運用各種蜜罐來安裝Sebek客戶端，大量捕獲黑客外來入侵者對蜜罐的攻擊操作行為，然后將來自于入侵者的攻擊數據信息傳送到Sebek客戶端服務器中，深度了解攻擊者思想行為，再參考結合數據捕獲過程來建立數據捕獲模塊。正是基于這一操作行為，可實現對蜜罐蜜網主動防御系統的深入了解與運用，這對電力信息化網絡建設而言是非常有益的。

綜上所述，應該基于數據控制模塊、數據捕獲模塊兩大模塊來建立蜜罐蜜網主動防御系統，滿足電力信息化網絡建設要求，實現對外來入侵者黑客數據信息的主動防御與二度利用。換言之，就是在蜜罐蜜網基礎之上重點分析主動防御系統的數據控制模塊有效內容，設置良好的自動報警與數據分析分支系統[8]。

3.3 基于蜜罐主動防御技術支持下的電力信息化網絡主動防御系統攻擊測試

要結合電力信息化網絡主動防御系統建立蜜罐蜜網主動防御技術體系，為此需要針對黑客攻擊展開測試檢驗，例如建立一套蜜罐掃描攻擊測試機制。該攻擊測試機制中首先要在宿主主機上運行Zenmap，對虛擬機蜜罐進行全面掃描控制，保證對端口部分進行掃描處理，生成一條完整獨立的蜜罐蜜網掃描圖，并從中提取蜜罐掃描攻擊數據。在獲取數據后，需要提出拒絕服務器攻擊測試的相關內容，保證對電力系統的拒絕服務攻擊過程進行深度檢測，客觀識別存在于系統中的各個類型訪問行為，由此可建立一套拒絕服務攻擊的測試體系，對實驗測試參數結果進行分析[9]。

具體來說，在網絡主動防御系統攻擊測試中就包括了固定DDOS、Flash Crowd以及各項合法訪問機制，要配合實驗結果建立攻擊測試中的X/Y軸坐標平面，如此可實現對不同類型向量點分布內容的分析，構建坐標平面區域，如此可客觀真實反映外來入侵者的攻擊行為與攻擊數據，客觀反映攻擊特征[10]。

綜上，在當前的電力信息化行業網絡中，積極采用安全主動的防御技術，構建技術體系很有必要。本文中基于大數據技術所建立的蜜罐蜜網主動防御技術系統，在建立數據控制模塊與數據捕獲模塊的過程中實現了對電力信息化網絡的安全主動防御能力優化，大量增加網絡節點，確保實現對系統檢測能力的有效擴展甚至是重新規劃，對提高電力信息化網絡系統長期安全穩定運行絕對是十分有利的。