基于內生安全體系結構的蜜罐技術研究
2023-01-01 00:00:00原浩宇郭軍利許明洋
計算機應用研究 2023年4期
作者簡介:原浩宇(1997-),男(通信作者),河南安陽人,碩士研究生,主要研究方向為網絡空間安全(871781382@qq.com);郭軍利(1972-),男,河南鄭州人,副教授,碩導,碩士,主要研究方向為網絡空間安全;許明洋(1997-),男,河南三門峽人,碩士研究生,主要研究方向為網絡空間安全.
摘 要:為增強蜜罐對未知漏洞、未知后門、未知攻擊的防范能力,提高蜜罐的動態性、數據搜集能力、誘捕能力和溯源能力,基于內生安全體系結構,將其與蜜罐技術緊密結合,提出了一種能夠主動防御兼誘捕的內生安全蜜罐模型。該模型利用內生安全動態、異構、冗余的特性解決蜜罐的安全性問題,利用內生安全特有的感知能力提高蜜罐的誘捕性和溯源性。最終理論分析和實驗結果也表明,內生安全蜜罐在安全性、誘捕能力和溯源能力上都有明顯提升。
關鍵詞:蜜罐;內生安全體系結構;內生安全蜜罐
中圖分類號:TP309.2 文獻標志碼:A
文章編號:1001-3695(2023)04-038-1194-09
doi:10.19734/j.issn.1001-3695.2022.08.0438
Abstract:To enhance the honeypot’s prevention ability against unknown vulnerabilities,unknown backdoors,and unknown attacks,improve the dynamics,data collection,trapping,and traceability of honeypots,this paper proposed an endogenous safety and security honeypot model that could actively defend and trap based on the endogenous safety and security architecture,which was closely combined with honeypot technology.This model used the endogenous safety and security characteristics of “dynamic,heterogeneous,redundant” to solve the problem of the safety of the honeypot and used endogenous safety and security special awareness to improve the honeypot trap and traceability.The final theoretical analysis and experimental results show that the endogenous safety and security honeypot has significantly improved in security,trapping ability,and traceability.
Key words:honeypot;endogenous safety and security architecture;endogenous safety and security honeypot
0 引言
隨著互聯網技術的快速發展,拓撲結構日益復雜、網絡攻擊方式不斷更新,防御手段匱乏,網絡安全態勢不平衡問題日益嚴重,網絡安全防御與管理的難度不斷增加。傳統的防御技術如防火墻技術、入侵檢測技術、惡意代碼掃描技術、網絡監控技術等都是從被動防御的角度出發,在網絡、服務等受到攻擊后再采取相應的應急安全措施。由于現在的系統都是7×24的全天候運行,為全球數百萬用戶提供服務,等發生故障后再去采取措施必將造成巨大的經濟損失和極差的用戶體驗[1],為了彌補這方面的不足,主動防御技術逐步成為研究熱點。主動防御是與被動防御相對應的概念[2],就是在入侵行為對信息系統發生影響之前,主動增強系統的抗攻擊能力,采用動態、預測等先進的主動防御技術及時精準預警,實時構建彈性防御體系,避免、轉移、降低信息系統面臨的風險。
蜜罐是一種主動防御技術[3,4],通過主動地暴露一些漏洞、設置一些誘餌來引誘攻擊者進行攻擊,從而可以對攻擊行為進行捕獲和分析。例如,蜜罐可以故意暴露一些易受攻擊的端口,使這些端口保持在開放狀態,主動誘使攻擊者進入蜜罐環境中而不是進入真實的系統。一旦攻擊者進入蜜罐環境中就可以連續跟蹤攻擊者的行為,實現對攻擊者的捕獲、攻擊路徑的溯源,并通過評估攻擊者的攻擊行為獲取有關如何使真實網絡更安全的線索,進而通過技術和管理手段來增強實際系統的安全防護能力。
Cheswick[5]在實際工程中首次使用了蜜罐技術,并且列出了詳細的交互過程,首先在互聯網網關上故意設置了一個著名的send mail調試漏洞,發現攻擊者試圖獲取密碼文件副本,進而透漏給攻擊者這個密碼副本,通過一步步地設置陷阱帶領這個攻擊者進行相關的操作,以便于獲取到該攻擊者的位置信息并且學習該攻擊者的技術。
蜜罐系統根據攻擊者與蜜罐的交互級別將蜜罐分為低交互蜜罐、中交互蜜罐和高交互蜜罐[6]。低交互蜜罐[7,8]通常是最容易安裝、配置、部署和維護的,它的設計和基本功能都很簡單,只是模擬各種服務,攻擊者僅限于與預先指定的服務進行交互。例如,一個低交互的蜜罐可以用來模擬一個標準的Linux服務器,在Linux服務器中正在運行的FTP、SMTP和TELNET等服務,攻擊者可以通過遠程連接到這個蜜罐并且獲得服務的登錄提示,然后通過猜測或暴力破解進行登錄嘗試,蜜罐將捕獲并且收集這些登錄嘗試,攻擊者與蜜罐的交互僅限于登錄嘗試,并不能登錄到這個系統。中交互蜜罐為攻擊者提供了比低交互蜜罐更多的交互能力,如提高一些低交互蜜罐無法提高的響應,但比高交互蜜罐的功能少。例如,可以通過構建一個中交互蜜罐來模擬一個Web服務器,并且呈現出蠕蟲病毒攻擊所需的漏洞,無論何時攻擊者與蜜罐建立HTTP連接,蜜罐都會進行響應,使攻擊者有機會與模擬的Web服務器進行交互,這種交互的程度比低交互的蜜罐交互程度高。在低交互的蜜罐中,攻擊者可能只會獲得一個HTTP的響應提示。在蠕蟲蜜罐的例子中可以捕獲攻擊行為的有效載荷,以便對攻擊行為進行分析。高交互蜜罐[3]可以為本文提供大量攻擊者的信息,構建和維護非常地耗費時間,而且風險極高,在高交互性的蜜罐中,攻擊者可以對真實的操作系統進行訪問,系統中有著最真實的漏洞,記錄下的入侵信息也都是最真實的。
由上可知高交互的蜜罐也是實用性最強、最有研究價值的,但是也面臨巨大的缺點和風險:a)傳統的蜜罐是一個靜態的、固定不變的網絡陷阱,這種傳統的蜜罐對于誤入陷阱的攻擊者是十分有效的,一旦攻擊者意識到這是個陷阱就會離開,蜜罐將失去功效;b)在高交互的蜜罐中,除存在已知漏洞外還存在未知的漏洞,已知漏洞是己方設置的誘餌,在己方的掌控中,但是未知漏洞是己方不知道的,沒有辦法掌握,若遇到一個高級的攻擊者,通過系統中存在的未知漏洞攻破系統的防御體系,這個攻擊者可能會把蜜罐當成一個跳板,對真實的業務系統展開攻擊;c)傳統蜜罐對先驗知識有強烈依賴,在進行自動化檢測的時候,傳統的檢測方法都是基于先驗知識的規則庫進行檢測,對于未知漏洞或協議缺陷等實施的未知攻擊將會存在大量的漏報、誤報,蜜罐的作用將大打折扣;d)蜜罐技術在數據搜集方面的局限性,蜜罐僅能捕獲針對自身的攻擊,如果攻擊者所攻擊的應用或服務不在蜜罐系統中,那么蜜罐將沒有作用,不能捕獲到這次的攻擊信息;e)傳統蜜罐技術不考慮未知后門,如果開發者為方便以后秘密進入或者控制系統在開發過程中故意留有后門,對蜜罐系統或對整個己方的真實系統都構成巨大威脅,傳統蜜罐無法檢測也無法對其進行防御。
近年來針對傳統蜜罐存在的缺陷國內外很多研究團隊做了相關研究,并且取得了一定的成效。Kuwatly等人[9]提出了一種應用于入侵檢測領域的動態蜜罐,設計了由高交互和低交互共同作用結合了主動探測掃描技術和被動指紋識別技術,可以自主地適應動態的、不斷變化的網絡環境,可以有效解決蜜罐的靜態性、部署難等問題。Buzzio-Garcia[10]提出了一種基于Docker創建高交互蜜罐的方法,可以用來檢測網絡級別和主機級別的攻擊,此方法可以有效地解決蜜罐的靜態性、隱蔽性弱的問題。Fan等人[11]提出了一種名為HoneyDOC的高效蜜罐架構,其包含誘餌、捕獲器、協調器三個模塊,在此基礎上設計了一個軟件定義網絡的蜜罐系統,此蜜罐系統具有較強的識別能力、隱蔽能力和高擴展性。Hecker等人[12]提出了一種基于網絡掃描結果自動動態配置蜜罐的方法,可以確定給定目標網絡的網絡拓撲、連接的主機、操作系統、開放端口和可訪問的服務,用該方法可以幫助系統管理員和研究人員快速輕松地構建單一蜜罐或組成蜜網系統,其動態變化性也可以更好地保護網絡。陳啟璋等人[13]通過采用重定向器和運用攔截代理實現了仿真入侵目標蜜網,解決了文獻[9]中存在的安全性不高、迷惑性不強、反識別能力弱等問題。石樂義等人[14]提出了動態陣列蜜罐,以諸多真實環境的功能主機為基本單元,通過服務、蜜罐等任務的動態偽隨機切換形成的動態陷阱系統,從而迷惑和干擾敵手。李之棠等人[15]通過被動指紋識別技術和虛擬蜜罐技術有機結合提出了一個動態蜜罐的思想,這個動態蜜罐是一個即插即用的蜜罐系統,它通過監控和自學習實時的網絡環境,收集網絡中計算機的信息能夠自動地確定應配置多少蜜罐以及怎樣對它們進行配置。賈召鵬等人[16]提出了蜜罐簇的概念,以諸多部署不同真實Web應用或服務的蜜罐系統為基本單元,通過協同算法形成的動態蜜罐系統,對外表現上仍然是一個蜜罐系統,但是可根據攻擊特征動態選擇應用蜜罐與攻擊者交互,對解決蜜罐數據搜集的局限性有一定的成效。上述文獻在一定程度上解決了蜜罐的靜態性、部署難、數據收集能力弱的問題,但是網絡威脅日益嚴重,以上方法不足以應對未知漏洞、未知后門帶來的安全性問題。
本文將基于內生安全體系結構與蜜罐技術進行融合[17~19],提出一種基于內生安全思想的增強型蜜罐——內生安全蜜罐。通過內生安全“動態、異構、冗余”的架構,不僅可以抵御未知漏洞、未知后門、未知攻擊帶來的潛在性威脅[20],還可以更好地進行威脅誘捕和攻擊溯源,更能體現出蜜罐的核心能力。
1 內生安全蜜罐設計
1.1 內生安全思想
傳統的網絡安全防御方法大多是基于先驗知識的規則庫對威脅進行特征匹配達到威脅識別的效果,遵循“威脅感知、認知決策、問題清除”的邊界防御理論和技術模式[17],如圖1所示。
防火墻是網絡防御的第一道防線,通過權限管理和訪問控制對重要信息起到了一定的防護作用。入侵檢測技術被人們認為是網絡防御的第二道防線,側重于基于特征庫已有攻擊信息對攻擊手段進行特征掃描、模式匹配從而實時對網絡進行防御,進而達到封堵威脅和消除威脅的目的。漏洞掃描是基于漏洞庫(如CVE、CNVD、CNNVD等)進行漏洞匹配,通過掃描指定的網絡和計算機進行檢測的一種防御手段。以上傳統的防御方法都表現出了對先驗知識的極度依賴,對于基于未知漏洞、未知后門實施的未知攻擊會存在大量的漏報誤報,防御效果大打折扣。
為了實現精準預警、提高防御效果,首先要克服的理論挑戰是如何感知未知的威脅,也就是說在不依賴攻擊者先驗知識或攻擊行為特征信息的情況下實現精準防御。鄔江興院士帶領的研究團隊提出了基于內生安全體系結構的防御理論[21],旨在打破未知安全漏洞、軟硬件預留后門、未知攻擊等問題造成的網絡安全態勢不平衡的問題。
基于內生安全體系結構的防御理論主要包括三個方面:a)移動攻擊空間思想,使攻擊表面處于多維度多層次的變化狀態,讓攻擊者難以“鎖定”攻擊目標,尤其要干擾多步驟傳送攻擊數據包才能達成攻擊目的過程,使攻擊行動的可達性成為概率事件;b)動態、異構、冗余(DHR)構造,在功能等效的前提下,使基于目標系統相關空間或相關層次內未知漏洞或陷門或后門的攻擊成果的復現性成為隨機性事件,進而大幅度地降低來自外部或內部攻擊的有效性,并使攻擊的可規劃性和成效的可利用性轉換為不確定性問題;c)輸入指配與多模裁決機制,通過輸入代理將輸入轉發給當前服務集合中的各個異構執行體,然后將各執行體的輸出矢量發送到多模塊裁決執行器進行多數表決,得到最后的系統輸出結果,達到系統性的目標。
近些年,基于內生安全體系結構的防御理論得到了快速發展,很多研究團隊將其應用到多種場景。普黎明等人[22]針對單執行體的云應用服務缺乏異構性和動態性,難以應對未知漏洞和后門的安全威脅問題提出一種擬態云服務架構;張杰鑫等人[23]針對已有的防御技術難以全面防護Web服務器的安全性問題,構建了擬態防御Web服務器;宋克等人[24]針對以太網交換機面臨的未知漏洞和未知后門安全威脅,提出了一種基于擬態防御理論的交換機內生安全體系結構;馬海龍等人[25]針對路由器不僅防御滯后更無法應對未知的安全性威脅等問題,在路由器體系架構上引入異構冗余功能執行體,提出了一種基于動態異構冗余機制的路由器擬態防御體系結構;郭軍利等人[26]針對單一零信任系統核心組件和數據庫易遭受攻擊等問題,將內生安全體系引入零信任安全架構,提出了一種基于內生安全體系結構的零信任模型;高巖等人[27]針對身份認證網關對未知攻擊手段難以檢測的核心問題,應用內生安全體系結構中的“動態、異構、冗余”模型架構,提出了一種基于容錯的擬態身份認證網關防御方案;郭威等人[28]針對當前分布式存儲系統中漏洞后門威脅導致的數據安全問題,通過引入內生安全理論及其相關安全機制,從結構角度出發增強系統的安全防護能力。
目前針對內生安全體系結構的研究在云服務、Web服務器、路由器、交換機以及身份認證等方面皆取得了良好的效果,而蜜罐技術面臨的內生安全問題,缺少相關模型研究與分析。本文針對高交互蜜罐存在的未知安全威脅,將動態、異構、冗余架構引入到蜜罐技術中,提高蜜罐自身的防御能力和抗攻擊能力。在不改變原有蜜罐系統架構的基礎上,構建基于內生安全體系結構的蜜罐模型,利用多個執行體構建出一種不確定的、復雜的執行環境,提高內生安全蜜罐對抗入侵風險的能力,增大攻擊難度,提升內生安全蜜罐的安全性,達到一種“以不變應萬變”的防御效果。
1.2 內生安全蜜罐模型設計
基于內生安全體系結構構建的內生安全蜜罐是一種引誘攻擊兼防御的綜合蜜罐模型,主要由消息分發、蜜罐異構冗余執行體集、蜜罐異構構件集合、監測裁決、反饋控制和態勢感知模塊組成,其模型圖如圖2所示。
a)消息分發。在內生安全蜜罐中存在一個蜜罐異構冗余執行體集,為了使所有執行體中都有相應的行為記錄和狀態信息以方便后續的響應比較,需要在程序執行體入口設置消息分發模塊,用于將攻擊者的請求訪問信息復制分發給各個執行體。一般常將Nginx反向代理服務器、OpenvSwitch用做消息分發。
b)蜜罐異構冗余執行體集,表示正在運行多個蜜罐異構執行體所組成的冗余集。每個蜜罐異構執行體采用不同的構件實現功能的一致,最大程度確保蜜罐執行體之間的異構性,異構程度越高,組件越多,這樣異構體之間擁有相同或者相似的漏洞和后門的概率將大大降低,攻擊者很難對各執行體的安全漏洞逐個攻擊。蜜罐異構冗余執行體集所具備的冗余性和異構性是保證內生安全的基礎。
c)蜜罐異構構件集合。此模塊也可稱之為蜜罐異構構件池,里面存放的是等待被調度的靜態蜜罐異構執行體。
d)監測裁決。根據蜜罐異構冗余執行體集產生的結果進行裁決判斷,現行的裁決方法一般采用大數裁決[29,30];同時監測各個蜜罐異構執行體的運行情況,從蜜罐異構執行體采集信息,包括蜜罐異構執行體的執行日志,設置在蜜罐異構執行體內的各個探針反饋數據等,并存儲這些數據,同時輸入給反饋控制機制進行反饋。監測裁決模塊的監測功能是體現內生安全蜜罐的感知能力、留存響應能力的重要組件,是區別于其他內生安全系統的特定組件。
e)反饋控制。當裁決器根據各個異構體的消息進行驗證作出研判后,需要將信息進行反饋,蜜罐異構冗余執行體集模塊會根據收到的反饋信息進行執行體的輪換或下線。如果監測機制判斷某個蜜罐異構執行體具體留存響應需求,將會保留下線的蜜罐異構執行體,不對其進行清理,以供后續分析。
f)基于內生安全蜜罐設計一個態勢感知子模塊,對內生安全蜜罐在裁決模塊收集到的日志等信息進行分析,提取其中的關鍵字或者敏感字段,隨后基于己方設置的安全策略進行綜合評價。比如對IP地址、指紋信息、攻擊路徑、攻擊手段等要素制定詳細的安全策略,通過對分數進行綜合計算出系統的整體風險指數。另外也可以對攻擊源頭、攻擊未來走向進行相應的態勢進行分析,并且進行可視化展示。
內生安全蜜罐在不依賴外在先驗知識的情況下就可以保證系統的自身安全,其動態、異構、冗余的架構也可以保證其誘捕能力和攻擊溯源能力優于其他傳統蜜罐,其存在的特性如下:
a)動態性。動態性是內生安全蜜罐系統實現不確定性的關鍵,是指蜜罐異構執行體根據反饋信息或者周期性地進行輪換。動態性的作用主要體現在以下幾個方面:(a)通過不定時地切換正在工作的執行體,可以降低非主動暴露的未知漏洞的暴露時間,以此來增加不確定性,同時使系統處于不斷更新的狀態,針對漸進式攻擊等最初可能難以被察覺的行為,動態性可以清除攻擊者前期的工作;(b)裁決模塊通過多路驗證和響應比較感應到對未知漏洞的威脅時,可以進行主動防御;(c)被攻擊的執行體被切換后,可能就此下線,攻擊者將無法進行痕跡清除,可為進行攻擊溯源提供更多的數據支撐。
b)異構性。蜜罐異構執行體要求功能等價,執行體之間在特性上具有差異性,這種差異性可以保證系統受到同樣的攻擊時不會使執行體之間同時被攻破。如權限許可和訪問控制漏洞CVE-2021-43229僅存在于Windows系統上,Linux系統上則不存在該漏洞;路徑遍歷漏洞CVE-2020-27730僅存在于Web服務器Nginx上,其他Web服務器如Apache上則不存在該漏洞;一個程序員在一個執行體上預留的后門不會出現在另一個程序員設計的另一個執行體上。因此一種攻擊手段只會對一個執行體發生作用,針對某一執行體的漏洞或后門進行攻擊將不會影響其他執行體的正常運行。內生安全蜜罐可以從操作系統、Web服務器、程序設計語言、SQL語句等多方面實現異構,從而能夠多方位、多層面地抵御惡意攻擊與未知后門。
c)冗余性。冗余性可以更方便地進行響應比較,如果蜜罐異構執行體受到了一種攻擊,其各個執行體輸出的行為記錄、狀態信息一般是不一樣的。正在工作的異構蜜罐的數量一般為奇數個,最少需要三個以上奇數個執行體同時運行才能在對比中發現有異常信息的蜜罐。如果異構蜜罐的數量為偶數個則可能會出現裁決器無法研判的情況,例如有四個蜜罐異構體返回的狀態信息兩兩不一樣的情況下,如果采用基于大數裁決算法的裁決器將無法判斷哪個蜜罐執行體受到攻擊。通過增加執行體的數量可以有效提升系統感知威脅的能力,同時對其動態性的效果也會有很大提升。
d)感知驗證。此功能是內生安全蜜罐特有的功能,也是內生安全蜜罐的核心功能之一。在蜜罐異構冗余執行體集中有多個蜜罐異構執行體同時運行,當其中一個遭受攻擊后,其輸出的行為記錄和狀態信息與其他不遭受攻擊的執行體是不一樣的,通過相互比對驗證可以確定出受到攻擊的執行體,然后對此執行體進行輪換或下線操作,后續根據執行體中留存的痕跡繼續分析,可以進一步確定系統中的未知漏洞和未知后門,執行體中保留的痕跡可以更方便地進行攻擊溯源。
e)留存響應。為方便進行攻擊溯源,被監測裁決模塊感知到蜜罐異構執行體由于遭受攻擊導致的輪換或下線,不對其進行清洗,其留存的痕跡是進行攻擊溯源的關鍵。
1.2.1 環境搭建
基于內生安全理論構建蜜罐系統,首先需要制作上層應用相同而底層架構不同的蜜罐異構執行體,本文以構建一個Web蜜罐為例,上層選擇使用某種相同的Web應用,如采用PHP或JSP等語言實現。
在蜜罐異構冗余執行體中,通過多樣化編譯技術將功能相同的函數編譯成不同的變體。在后臺數據庫訪問方面,可將SQL語句異構化從而產生不同的變體,當服務器端進行SQL語句查詢時,可對異構SQL語句進行表決,以此來保證數據庫接收到的SQL語句是正確的。不同的執行體可采用不同的程序設計語言編碼實現從而保證盡可能地減少代碼邏輯方面的漏洞,如采用C++、Java、Golang等;中間層采用不同的Web服務器,如Nginx、Apache、Lighttpd等;后臺數據庫方面選擇不同的數據庫,如MySQL、Oracle、SQL Server;底層采用不同的操作系統,如CentOS、Ubuntu、Windows等;最后采用不同的虛擬化技術將實體硬件進行虛擬化,如ESXi、XEN、KVM等。內生安全蜜罐的搭建環境方法如圖3所示。
1.2.2 漏洞后門設置方法
在各個蜜罐異構執行體中設置誘餌、注入漏洞。在內生安全蜜罐中分為已知漏洞和己方未知漏洞兩大類,其核心思想是通過內生安全體系結構實現對未知漏洞、后門的防范,已知漏洞是用來引誘攻擊的,并不做任何防御。
已知漏洞是己方設置的,同樣分為兩類:a)設置的誘餌是用來引誘攻擊者進行攻擊的,這些漏洞的信息都已經編入了規則庫中,攻擊者進入蜜罐對這些漏洞進行攻擊后輸出信息將會與規則庫中的信息進行比較,接下來將會識別攻擊者的身份、進行攻擊溯源、學習攻擊者手段等;b)已知漏洞是后期用來進行系統測試的,這些漏洞將不會編入規則庫中,將會通過各個異構體之間的多路驗證來檢測出受到攻擊的蜜罐異構執行體,這對測試整個系統中的動態調度、裁決機制、負反饋機制等功能的有效性有非常大的幫助,可以幫助修改和完善系統功能。
還有一類漏洞就是蜜罐系統中己方完全未知的漏洞,對這些未知漏洞的檢測也是基于內生安全體系結構構建的蜜罐區別與其他蜜罐的核心功能之一。傳統蜜罐的自動化檢測極度依賴先驗知識,對未知漏洞和未知后門的挖掘能力十分有限。在內生安全蜜罐中主要通過裁決機制進行多路驗證,感染受攻擊的目標,從而發現己方系統中未知漏洞和未知后門,這種檢測方式可以消除對先驗知識的依賴,對挖掘未知漏洞和未知后門有極其大的幫助。
1.3 工作流程
在內生安全蜜罐的入口處和出口處分別設置了用于請求分發的輸入代理模塊和用于響應比較、感知驗證的監測裁決模塊。當接收到一段訪問請求后,輸入代理將該請求分發至內生安全蜜罐服務集的各個節點,并且實時地對各個蜜罐中的狀態信息進行采集進而發送到裁決模塊;裁決器通過規則庫和響應比較后將裁決信息發送至反饋控制器;然后反饋控制器再根據裁決信息進行策略調度等操作。具體工作流程如圖4所示。
當攻擊者進入到蜜罐后,如果進入到己方布置的誘餌也就是已知漏洞,狀態信息將會被發送到裁決模塊,這時候狀態信息將會與規則庫中的信息比對成功并將一步一步誘導攻擊者繼續進行攻擊,并不用防御,也不會觸發執行體的切換等相關操作。
若攻擊者進入蜜罐后針對己方未知的漏洞展開了攻擊,蜜罐重要的狀態信息將會被送至裁決模塊,裁決模塊通過多路驗證感知和響應比較來確定收到攻擊的蜜罐執行體進而執行動態調度等后續工作。例如,蜜罐異構執行體服務集中有五個蜜罐異構體A1~A5正在工作,A5顯示的狀態信息與A1~A4顯示的狀態信息不一致,說明A5這個蜜罐受到了攻擊,同理,若A4、A5的狀態信息與A1~A3不一致說明A4和A5兩個異構蜜罐受到了攻擊。這時信息將會通過裁決模塊送至反饋控制器,反饋控制器將會進行蜜罐的回滾、執行體的調度等相關操作。為了更好地干擾和迷惑敵手,裁決器將會從未被攻擊或失陷的蜜罐中隨機挑一個返回給攻擊者。例如,裁決器判斷出A5正在被攻擊或者被攻破,則隨機將剩下的四個蜜罐異構體中的一個返回給攻擊者。
2 內生安全蜜罐綜合能力分析
2.1 攻擊鏈模型與誘捕鏈模型
與傳統的蜜罐技術相比,基于內生安全體系結構構建的蜜罐具有較大的優勢。本文結合攻擊者進行攻擊的一般步驟和蜜罐進行誘捕的一般步驟構造了一個攻擊鏈和誘捕鏈模型。通過對各個階段進行對比分析發現,基于內生安全理論構建的蜜罐在防御和誘捕的各個階段都能起到良好的誘捕和防御效果,且攻擊溯源能力也強于傳統蜜罐。如圖5所示。
2.1.1 信息搜集與散布誘餌
《孫子·謀攻》中提到“知己知彼,百戰不殆;不知彼而知己,一勝一負;不知彼,不知己,每戰必殆”。這句話講述了軍事戰爭中信息收集的重要性,不僅適用于軍事戰爭同樣也適用現代的網絡戰、信息戰等。如圖5所示,在整個攻擊鏈中,信息搜集是第一步,對于攻擊者而言,凡是與被攻擊目標相關的信息都是非常重要的,如操作系統的信息、數據庫信息等。常用的工具有DNSenum、Nmap等。
在蜜罐中引入內生安全“動態、異構、冗余”的思想,可以增加系統的不確定性,黑客搜集的信息是動態變化的,會增加黑客信息搜集的難度。對于黑客來說,這種不確定性會讓己方認為攻擊到了重要的系統,可能會加大信息搜集的力度。執行體數量的增多也會導致誘餌的數量增多,并且使誘餌的分布更加分散,是黑客不容易意識到這是一個蜜罐,加大將攻擊者引入陷阱的可能性。
2.1.2 發現與暴露漏洞
信息采集完成后,攻擊者會根據收集到的信息進行漏洞挖掘,如根據操作系統的類型及版本來分析其在程序、協議上可能存在的漏洞、后門。現在一般以一些自動化掃描工具為主,加上手動分析的方法來進行漏洞挖掘,常用的漏洞掃描工具有OpenVAS、Nessus等。
對于未知漏洞而言,防御者常用的漏洞掃描工具也經常用于發現己方系統中存在的漏洞,如Metasploit可以幫助用戶識別安全問題,驗證漏洞的緩解措施并對軟件進行安全性評估。但在編寫過程中因為代碼邏輯性而出現的漏洞通過工具是沒有辦法識別的,再加上編寫者故意留有一些自己可以訪問的后門,自動化工具也沒有辦法成功識別。攻擊者針對以上類型的漏洞和后門發起攻擊,傳統蜜罐將無防御能力,而內生安全蜜罐的驗證感知能力可以發現系統中存在的未知漏洞。
對于已知漏洞而言,內生安全蜜罐會在多個執行體中故意暴露一些漏洞,其不像傳統蜜罐一樣比較集中,執行體可以使暴露的漏洞數量多且比較分散,在誘惑力高的情況下使攻擊者不易意識到這是一個蜜罐。
2.1.3 攻擊維持與干擾迷惑
攻擊維持是攻擊過程中最重要的一步,一次完整成功的攻擊一般不可能一次成功,往往需要進行多次交互。無論在內生安全蜜罐還是在傳統蜜罐中,一旦檢測到攻擊者進入了已知漏洞,將會引誘攻擊者繼續進行攻擊,此時內生安全蜜罐不會進行執行體的切換。
對于系統未知風險來說,傳統的蜜罐沒有識別能力,所以在攻擊維持方面,傳統蜜罐并不具備打斷對方攻擊的能力,此時蜜罐可能會造成數據泄露或者被當做跳板攻擊其他服務器。在內生安全蜜罐中通過驗證感知機制可以識別出攻擊者對未知漏洞的攻擊,此時將會進行執行體的切換,達到以下兩個效果:a)通過執行體的切換可以使攻擊者前期的攻擊消失,會極大保證系統的安全性;b)執行體的切換會導致攻擊者意識到這是一種防護手段,會加大攻擊的力度,從而增加將攻擊者引入已知漏洞的可能性,對比傳統蜜罐,內生安全蜜罐更具備迷惑性。
2.1.4 痕跡清除與溯源取證
痕跡清除是攻擊鏈模型的最后一步,在實現攻擊的目的后,攻擊者通常會采取各種措施來隱藏入侵的痕跡使防御人員無法察覺到己方的系統曾經受到過攻擊,并為今后可能再次訪問留下控制權限。
在傳統的蜜罐中,只有一個蜜罐程序在運行,攻擊者在完成攻擊目的之后只需要清除相關的攻擊痕跡,相對比較簡單,攻擊痕跡清除后防御者不易察覺到曾經受到過攻擊,造成蜜罐逃逸現象,會為攻擊溯源造成一定的難度,同時蜜罐可能會泄露數據信息。在內生安全蜜罐中,多個蜜罐異構冗余執行體并行運行,多個執行體都會留有攻擊痕跡,攻擊過程中可能會引發執行體的切換,正在運行的執行體下一瞬間不再運行,其攻擊痕跡隨著執行體的下線得以長期存儲。對于攻擊者來說,沒有辦法清除攻擊痕跡,攻擊痕跡會長久保存,為己方攻擊路徑溯源提供更全面的數據支持。
2.2 對比分析
為了更方便地展示內生安全蜜罐在抗攻擊性和誘捕能力上的優勢,用流程圖進行了對比展示,如圖6、7所示。
通過以上蜜罐工作流程對比可知,若攻擊者針對的是未知漏洞,傳統蜜罐將無法自動識別,會發生數據泄露,最終無法攻擊溯源從而防御失敗。在內生安全蜜罐中,系統可以通過多路驗證感知機制識別未知漏洞,執行體將會切換或下線,會使攻擊痕跡保存,可以極其方便地進行攻擊溯源。再者,若黑客選擇繼續攻擊會加大將攻擊者引入已知漏洞的可能性,若放棄攻擊也會保留其痕跡,最終結果都是防御成功。
2.3 安全性分析
本節對內生安全蜜罐的安全能力進行數學分析,建立了內生安全蜜罐系統受攻擊下的數學模型,分析了內生安全蜜罐抗攻擊能力的有效性。
2.3.1 前提假設
由于內生安全蜜罐系統的復雜性以及網絡攻擊形式的多變性,為方便后續分析,結合網絡攻防中的實際情況,借鑒文獻[20,31],作出以下假設:a)消息分發模塊、裁決響應模塊和反饋控制模塊是安全的,即不考慮這三個模塊受到攻擊的情況;b)針對未知漏洞、后門進行的攻擊必將導致執行體輸出的改變,即執行體受到攻擊后的輸出與正常輸出不一致;c)為便于分析,假設在裁決模塊采用了大數判決,且任意時刻有n(n為奇數)個蜜罐異構執行體在運行;d)假設攻擊者對功能等價的蜜罐異構執行體的被攻破的概率是一致的;e)不考慮蜜罐異構冗余執行體中軟硬件等故障引起的系統隨機錯誤。
2.3.2 符號定義
為了方便后續分析,對下文中多處用到的符號進行定義,如表1所示。
從圖9可知,單個執行體被攻破的概率越低或者蜜罐執行體個數越多,系統總體的被攻破率越低。
單個執行體的效率和時間攻擊者所花費的時間密切相關,由圖8可知攻擊者針對單個執行體攻擊的時間越長,單執行體的失效概率越高。在內生安全蜜罐中,蜜罐執行體可進行周期性的輪換或下線,攻擊者不再有長時間針對單個執行體進行攻擊的機會,所以內生安全蜜罐在一定程度上可避免時間對系統被攻破概率的影響。
5)安全增益
對于防御者而言,內生安全“動態、異構、冗余”的特性可以降低己方的系統被攻破的概率,可以提升系統的安全性能,本文在采用和不采用動態異構冗余模型下,用系統防御成功的概率比來表示安全增益,則安全增益ΔESS為
本處也結合單個執行體被攻破的概率和執行體的個數作出了安全增益的關系對比圖,如圖10所示。由圖10可得在單個執行體被攻破的概率確定的情況下,執行體個數越多,安全增益越高。由圖中可知不論單個執行體被攻破的概率是多少,執行體個數為3時,斜率最大,表明此時安全增益增長速率最大。再結合成本等因素綜合考慮,執行體越多安全性越高,增益越大,但是選取三個執行體時性價比最高。
2.4 小結
通過以上對內生安全蜜罐多方面的分析可知,在傳統蜜罐技術中引進內生安全理論,可以讓蜜罐獲得內生安全增益且有較好的廣義魯棒性,在威脅誘捕以及攻擊溯源上也比其他蜜罐更具優勢,更能體現出蜜罐的核心能力。具體好處如下:
a)保證系統的安全性。通過內生安全“動態、異構、冗余”的特性,執行體之間進行響應信息的比較和動態切換,原本引發系統異常的漏洞就會在切換中被糾正,以攻擊者的視角正在被其攻擊的漏洞就會消失,則能保證系統的安全性。
b)被攻擊情況下保證系統的正常運行。一個執行體被攻擊乃至被攻破后,通過裁決機制、反饋機制、策略調度等迅速切換到另一個執行體,主動將被感染的執行體進行合理的切換會使攻擊者的攻擊被打斷,若此執行體被攻破,通過切換到其他正常的執行體也可以繼續使整個蜜罐系統的正常運行。
c)實現對高級持續性威脅(APT)等未知威脅的檢測。在進行自動化檢測時通過異構蜜罐執行體之間的多路結果的相互驗證,可以避免先驗知識不足情況下的誤報、漏報問題,從而可以更好地感知攻擊行為和受感染的執行體,從而有效地針對安全威脅進行防護。
d)為攻擊溯源提供全面的數據支持。執行體之間的切換會導致攻擊者難以清除己方的攻擊痕跡,甚至可使攻擊者的攻擊痕跡永久保持,這些痕跡可以為蜜罐攻擊溯源提供不可或缺的數據支持。
e)引入內生安全體系結構的蜜罐也可以更好地迷惑和干擾敵手。執行體進行切換后,正在被攻擊的漏洞也會消失,攻擊者會意識到這是一種防護手段,則會以為己方進入了一個極其重要且真實的業務系統,極有可能會選擇繼續尋找漏洞進行攻擊,這會加大將攻擊者引入陷阱的可能性,對數據搜集也有一定的幫助。
3 相關實驗
3.1 實驗對象
本實驗主要驗證內生安全蜜罐相比于傳統蜜罐在安全性、對未知漏洞的感應能力以及溯源能力上的優越性,設置了三組實驗對象用于分析對比。
第一組實驗對象(Exp_1)是本文研究的內生安全蜜罐,實驗部署了三個異構體,每個異構體都由不同的虛擬化技術、操作系統和服務器軟件組成,并用Nginx做代理服務器,如圖11所示。
代理服務器:Nginx反向代理,IP地址:10.107.42.36。
蜜罐異構冗余執行體1:ESXi虛擬化、Windows操作系統、MySQL數據庫、Nginx程序、C++語言、IP地址:192.168.1.6。
蜜罐異構冗余執行體2:XEN虛擬化、Ubuntu操作系統、Oracle數據庫、Apache程序、Java語言,IP地址:192.168.1.7。
蜜罐異構冗余執行體3:KVM虛擬化、CentOS操作系統、SQL Server數據庫、Lighttpd程序、Golang語言,IP地址:192.168.1.8。
第二組實驗對象(Exp_2)采用傳統的安全蜜罐,并在入口處布置了WAF等安全工具。本文采用了開源的mod_security,為了檢驗其對未知漏洞的檢測能力對其進行了二次開發,去除了其中防御漏洞的一些規則。
第三組實驗對象(Exp_3)采用未加任何安全防護工具的蜜罐。
為了使實驗結果更加真實有效,第一組實驗對象的蜜罐異構執行體1、第二組和第三組實驗對象采用了相同的虛擬化技術、操作系統、Web服務器等。
3.2 攻擊測試
針對以上設置的實驗對象進行攻擊測試,以此來檢驗抗攻擊能力,對未知漏洞、后門的發現能力以及溯源能力。攻擊平臺采用Kali主機,使用其中的一系列工具,如采用Nmap、p0f等進行信息采集,采用Nessus、OpenVAS等進行漏洞掃描,采用SQLMap、Pangolin、Havij等進行SQL注入攻擊,采用BurpSuite進行相關的Web攻擊。
前文中提到現有的防御方法都是基于規則庫進行防御,針對未知風險沒有很好的防御方法,所以此實驗脫離規則庫,利用內生安全特有的感知能力進行防御和溯源。本文主要驗證內生安全蜜罐的綜合能力,雖對三組實驗對象都進行了詳細的實驗,但是本文只對內生安全蜜罐攻擊測試進行了描述,針對第二和第三組實驗對象的測試不再一一列出,下文的表格中會呈現實驗對比結果。具體實驗如下。
3.2.1 SQL注入
在Web蜜罐的登錄頁面處設置了SQL注入漏洞,采用BurpSuite、SQLMap等攻擊工具分別對蜜罐關閉和打開內生安全功能時進行攻擊測試。實驗結果如圖12、13所示。
由上述實驗結果可知,在關閉內生安全功能的前提下,攻擊者可采用BurpSuite和SQLMap攻擊成功;當開啟蜜罐所具備的內生安全能力時,攻擊者的攻擊失敗。由此可知內生安全蜜罐在防止SQL注入攻擊方面能起到良好的防護效果。
在內生安全蜜罐的后臺管理系統中,留有此次的攻擊痕跡,并且可查看此次攻擊的詳細信息,如圖14所示。
綜上,內生安全蜜罐在防御SQL注入攻擊成功的基礎上也發現了系統中潛在的漏洞,并留有黑客攻擊的相關痕跡,對攻擊溯源有很大的幫助。
3.2.2 XSS
在信息提交處設置了XSS漏洞,采用BruteXSS、XSStrike等攻擊工具分別對蜜罐關閉和打開內生安全功能時進行攻擊測試。實驗結果如表2所示。
由上述實驗可知,在關閉內生安全功能的前提下,系統被攻擊成功,若打開內生安全功能,系統將不會被攻破,能有效地防御XSS攻擊。另外,此次攻擊記錄也會被記錄到后臺管理系統中。
3.2.3 文件上傳漏洞
在文件上傳處故意設置了文件上傳漏洞,首先關閉內生安全功能并向單個執行體中植入了一句話木馬,然后用中國蟻劍嘗試連接木馬并進行提權操作。測試完單個執行體情況后,打開蜜罐所具備的內生安全功能,并直接在后臺把一句話木馬分別放入三個執行體中(假設攻擊者對三個執行體同時植入一句話木馬),然后用中國蟻劍嘗試連接木馬并進行提權操作。實驗結果如表3所示。
由實驗結果可知,如果只在單個執行體中植入木馬進行越權操作時將會成功;若在三個執行中都植入一句話木馬,雖然會連接成功,但是進行越權操作時會顯示失敗。
3.3 測試結果
由上述三種攻擊測試的實驗結果可知,內生安全蜜罐在防御SQL注入攻擊、文件上傳攻擊、XSS攻擊的基礎上可發現系統中潛在的未知風險以及可保留攻擊痕跡,對實現蜜罐的攻擊溯源有很大的幫助。實驗中還針對其他漏洞以及其他實驗對象進行了測試,不再一一詳細展示,實驗結果如表4所示。
根據表4的實驗結果可知,內生安全蜜罐(Exp_1)對常見的攻擊手段具有較為全面的防御效果。Exp_2僅能對未知的植入性攻擊手段產生防御作用,而Exp_3對大部分攻擊幾乎沒有任何抵抗能力。因此,與只能進行被動防護的傳統蜜罐相比,基于內生安全體系結構構建的蜜罐對各類攻擊手段有更好的防護能力。
內生安全蜜罐在防御成功的基礎上會及時進行執行體的切換和下線,下線的執行體中會保留黑客的攻擊痕跡,所以在內生安全的后臺管理系統中,也會對系統受到攻擊的情況一一記錄。但是在傳統蜜罐中,黑客會刻意進行痕跡清除操作,將沒有痕跡保留,會大大增加溯源難度。
由上述實驗結果可知,內生安全蜜罐在防御成功的基礎上可成功發現未知漏洞、后門,以及可為攻擊溯源提拱了更全面的數據支持,可以更加突出蜜罐的核心能力。
4 結束語
本文以內生安全體系結構為理論指導,將“動態、冗余、異構”的思想與傳統蜜罐相結合,提出了一種基于內生安全體系結構的蜜罐架構模型,并且對該模型進行了嚴格的理論分析以及相關實驗測試。理論分析和實驗結果表明,與傳統蜜罐相比,內生安全蜜罐抗攻擊性得到了明顯提升,在網絡對抗中更具有優勢。誘捕能力和溯源能力有一定的提升,在干擾能力和痕跡保留方面也更加具有優勢,可以為內生安全蜜罐的進一步研究提供一定的理論依據和指導。
盡管內生安全蜜罐具有以上優勢,但是仍然存在一些不足之處,需在今后的研究中去解決。a)“動態、異構、冗余”的特性必將加大成本的消耗和導致運行效率的降低,內生安全蜜罐在成本和運行效率方面的問題是值得研究的問題;b)異構化層次越高系統的安全性越高,在高異構化的情況下如何還能保持功能的一致性、系統的健壯性;c)對驗證感知算法和裁決算法的研究,驗證感知機制是識別未知漏洞的關鍵之一,如何在裁決模塊更好地進行比對異同點以及提高準確率;d)攻擊者與未知漏洞的博弈性研究,在本系統中主要是已知漏洞負責進行引誘黑客攻擊,如果黑客針對未知漏洞展開攻擊,一般執行體會進行輪換或下線,如何針對未知漏洞繼續引誘也是研究的關鍵點之一。以上這些問題需在今后的研究中進一步去解決。
參考文獻:
[1]He Shilin,Zhu Jieming,He Pinjia,et al.Experience report:system log analysis for anomaly detection[C]//Proc of the 27th IEEE" International Symposium on Software Reliability Engineering.Piscataway,NJ:IEEE Press,2016:207-218.
[2]De Gaspari F,Jajodia S,Mancini L V,et al.Ahead:a new architecture for active defense[C]//Proc of ACM Workshop on Automated Decision Making for Active Cyber Defense.New York:ACM Press,2016:11-16.
[3]諸葛建偉,唐勇,韓心慧,等. 蜜罐技術研究與應用進展 [J]. 軟件學報,2013,24(4):825-842.(Zhuge Jianwei,Tang Yong,Han Xinhui,et al.Honeypot technology research and application[J]. Journal of Software,2013,24(4):825-842.)
[4]Kanavi A V,Jaison F.Honeypot methods and applications[J].International Journal of Trend in Scientific Research and Development,2020,5(1): 725-728.
[5]Cheswick B.An evening with Berferd in which a cracker is lured,endured and studied [C]//Proc Winter USENIX Conference.1992:20-24.
[6]Spitzner L.Honeypots: tracking hackers[M].Reading:Addison-Wesley,2003:92-96.
[7]Durairajan M S,Saravanan R,Chakkaravarthy S S.Low interaction honeypot: a defense against cyber attacks[J].Journal of Computational and Theoretical Nanoscience,2016,13(8):5446-5453.
[8]Fitri N R,Budi A,Kustiawan I,et al.Low interaction honeypot as the defense mechanism against Slowloris attack on the Web server [C]//IOP Conference Series:Materials Science and Engineering.2020:012037.
[9]Kuwatly I,Sraj M,Al Masri Z,et al.A dynamic honeypot design for intrusion detection[C]//Proc of IEEE/ACS International Conference on Pervasive Services.Piscataway,NJ:IEEE Press,2004:95-104.
[10]Buzzio-Garcia J. Creation of a high-interaction honeypot system based-on docker containers[C]//Proc of the 5th World Conference on Smart Trends in Systems Security and Sustainability.Piscataway,NJ:IEEE Press,2021:146-151.
[11]Fan Wenjun,Du Zhihui,Smith-Creasey M,et al.Honeydoc: an efficient honeypot architecture enabling all-round design[J].IEEE Journal on Selected Areas in Communications,2019,37(3):683-697.
[12]Hecker C,Nance K L,Hay B.Dynamic honeypot construction[C]//Proc of the 10th Colloquium for Information Systems Security Education.2006.
[13]陳啟璋,林國恩,李建彬.一種基于動態蜜罐和實時仿真的蜜網設計[J].微計算機信息,2006,22(12-3):28-30.(Chen Qizhang,Lin Guo’en,Li Jianbin.Honeynet design based on dynamic honeypot and real-time emulation[J].Microcomputer Information,2006,22(12-3):28-30.)
[14]石樂義,李婕,劉昕,等.基于動態陣列蜜罐的協同網絡防御策略研究[J].通信學報,2012,33(11):159-164.(Shi Leyi,Li Jie,Liu Xin,et al.Research on dynamic array honeypot for collaborative network defense strategy[J].Journal on Communications,2012,33(11): 159-164.)
[15]李之棠,徐曉丹. 動態蜜罐技術分析與設計[J].華中科技大學學報:自然科學版,2005,33(2):86-88,102.(Li Zhitang,Xu Xiaodan.The analysis of dynamic honeypot and its design[J].Journal of Huazhong University of Science and Technology:Natural Science Edition,2005,33(2):86-88,102.)
[16]賈召鵬,方濱興,崔翔,等.ArkHoney:基于協同機制的Web蜜罐[J].計算機學報,2018,41(2):413-425.(Jia Zhaopeng,Fang Binxing,Cui Xiang,et al.ArkHoney:a Web honeypot based on colla-borative mechanisms[J].Chinese Journal of Computers,2018,41(2):413-425.)
[17]鄔江興.網絡空間內生安全: 擬態防御與廣義魯棒控制(上冊)[M].北京:科學出版社,2020:190-249.(Wu Jiangxing.Endogenous security in cyberspace:mimic defense and generalized robust control (Volume I)[M].Beijing:Science Press,2020:190-249.)
[18]鄔江興.網絡空間內生安全發展范式[J].中國科學:信息科學,2022,52(2):189-204.(Wu Jiangxing. Development paradigms of cyberspace endogenous safety and security[J].Scientia Sinica:Informationis,2022,52(2):189-204.)
[19]徐恪,付松濤,李琦,等.互聯網內生安全體系結構研究進展[J].計算機學報,2021,44(11):2149-2172.(Xu Ke,Fu Songtao,Li Qi,et al.The research progress on intrinsic internet security architecture[J].Chinese Journal of Computers,2021,44(11):2149-2172.)
[20]鄔江興.網絡空間擬態防御研究[J].信息安全學報,2016,1(4):1-10.(Wu Jiangxin.Research on cyber mimic defense[J].Journal of Cyber Security,2016,1(4):1-10.)
[21]鄔江興.網絡空間擬態安全防御[J].保密科學技術,2014(10):4-9.(Wu Jiangxing. Cyberspace mimic security defense[J].Secrecy Science and Technology,2014(10):4-9.)
[22]普黎明,衛紅權,李星,等.面向云應用的擬態云服務架構[J].網絡與信息安全學報,2021,7(1):101-112.(Pu Liming,Wei Hongquan,Li Xing,et al.Mimic cloud service architecture for cloud applications[J].Chinese Journal of Network and Information Security,2021,7(1):101-112.)
[23]張杰鑫,龐建民,張錚. 擬態構造的Web服務器異構性量化方法[J].軟件學報,2020,31(2):564-577.(Zhang Jiexin,Pang Jianmin,Zhang Zheng.Quantification method for heterogeneity on Web server with mimic construction[J].Journal of Software,2020,31(2):564-577.)
[24]宋克,劉勤讓,魏帥,等. 基于擬態防御的以太網交換機內生安全體系結構[J].通信學報,2020,41(5):18-26.(Song Ke,Liu Qingrang,Wei Shuai,et al.Endogenous security architecture of Ethernet switch based on mimic defense[J].Journal on Communications,2020,41(5):18-26.)
[25]馬海龍,伊鵬,江逸茗,等. 基于動態異構冗余機制的路由器擬態防御體系結構[J].信息安全學報,2017,2(1):29-42.(Ma Hailong,Yi Peng,Jiang Yiming,et al. Dynamic heterogeneous redundancy based router architecture with mimic defenses[J].Journal of Cyber Security,2017,2(1):29-42.)
[26]郭軍利,許明洋,原浩宇,等. 引入內生安全的零信任模型[J].鄭州大學學報:理學版,2022,54(6):51-58.(Guo Junli,Xu Ming-yang,Yuan Haoyu,et al.Introduction of endogenous security of zero trust model [J].Journal of Zhengzhou University:Natural Science Edition,2022,54(6):51-58.)
[27]高巖,王丹陽,馮四風,等.一種擬態身份認證網關防御方案[J].小型微型計算機系統,2020,41(9):1905-1911.(Gao Yan,Wang Danyang,Feng Sifeng,et al.Defense scheme of mimic identity authentication gateway[J].Journal of Chinese Computer System,2020,41(9):1905-1911.)
[28]郭威,謝光偉,張帆,等.一種分布式存儲系統擬態化架構設計與實現[J].計算機工程,2020,46(6):12-19.(Guo Wei,Xie Guangwei,Zhang Fan,et al.Design and implementation of a mimic architecture for distributed storage system[J].Computer Engineering,2020,46(6):12-19.)
[29] 武兆琪,張帆,郭威,等. 一種基于執行體異構度的擬態裁決優化方法[J].計算機工程,2020,46(5):12-18.(Wu Zhaoqi,Zhang Fan,Guo Wei,et al.A mimic arbitration optimization method based on heterogeneous degree of executors [J].Computer Engineering,2020,46(5):12-18.)
[30]李衛超,張錚,王立群,等. 基于擬態防御架構的多余度裁決建模與風險分析 [J]. 信息安全學報,2018,3(5):64-74.(Li Weichao,Zhang Zheng,Wang Liqun,et al.The modeling and risk assessment on redundancy adjudication of mimic defense[J].Journal of Cyber Security,2018,3(5):64-74.)
[31]扈紅超,陳福才,王禛鵬.擬態防御DHR模型若干問題探討和性能評估[J].信息安全學報,2016,1(4):40-51.(Hu Hongchao,Chen Fucai,Wang Zhenpeng. Performance evaluations on DHR for cyberspace mimic defense[J].Journal of Cyber Security,2016,1(4):40-51.)
