基于蜜罐技術(shù)的攻防對(duì)抗場(chǎng)景下網(wǎng)絡(luò)攻擊誘捕溯源方法

摘要：由于傳統(tǒng)日志分析、入侵檢測(cè)等溯源方法主要通過事后分析來(lái)追溯攻擊源頭，難以滿足攻防對(duì)抗場(chǎng)景對(duì)溯源工作的快速、準(zhǔn)確的要求，文章提出基于蜜罐技術(shù)的攻防對(duì)抗場(chǎng)景下網(wǎng)絡(luò)攻擊誘捕溯源方法。在攻防對(duì)抗場(chǎng)景中部署蜜罐誘捕攻擊者實(shí)施網(wǎng)絡(luò)攻擊，并收集攻擊流量數(shù)據(jù)，把每一個(gè)攻擊端和防護(hù)端的流量數(shù)據(jù)歸為多個(gè)簇，對(duì)簇進(jìn)行匹配判斷攻擊流量的發(fā)送源，實(shí)現(xiàn)攻防對(duì)抗場(chǎng)景下網(wǎng)絡(luò)攻擊誘捕溯源。實(shí)驗(yàn)結(jié)果表明，該方法在攻防對(duì)抗場(chǎng)景下可以準(zhǔn)確提供網(wǎng)絡(luò)攻擊端的IP地址信息，具有較高的可靠性。

關(guān)鍵詞：蜜罐技術(shù)；攻防對(duì)抗場(chǎng)景；網(wǎng)絡(luò)攻擊；誘捕溯源

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)志碼：A

0 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和普及，網(wǎng)絡(luò)安全問題日益凸顯。當(dāng)下，傳統(tǒng)的網(wǎng)絡(luò)攻擊溯源方法主要依賴于日志分析、流量監(jiān)控、入侵檢測(cè)等技術(shù)手段，面臨數(shù)據(jù)收集不全、分析準(zhǔn)確性不足、溯源效率低下等問題。因此，研究和開發(fā)高效的網(wǎng)絡(luò)攻擊溯源方法，對(duì)于提高網(wǎng)絡(luò)安全防御能力、維護(hù)網(wǎng)絡(luò)空間安全具有重要意義。黃克振等^［1］通過構(gòu)建網(wǎng)絡(luò)攻擊事件溯源本體模型，完成網(wǎng)絡(luò)攻擊者的挖掘溯源，可以解決人工溯源方法效率低下等問題；張曉寧等^［2］在信號(hào)博弈模型描述攻防過程中，引入漏洞評(píng)分系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊歸因溯源，具有較高的準(zhǔn)確性。在攻防對(duì)抗的復(fù)雜場(chǎng)景下，網(wǎng)絡(luò)攻擊溯源是一項(xiàng)極具挑戰(zhàn)性的任務(wù)。攻擊者常常運(yùn)用各種復(fù)雜的技術(shù)手段和隱蔽的攻擊路徑來(lái)掩蓋其真實(shí)身份和攻擊意圖，這給溯源工作帶來(lái)了巨大的困難。為滿足現(xiàn)代攻防對(duì)抗場(chǎng)景對(duì)溯源工作的快速、準(zhǔn)確和高效要求，本文深入探討基于蜜罐技術(shù)的攻防對(duì)抗場(chǎng)景下的網(wǎng)絡(luò)攻擊誘捕溯源方法，以期為網(wǎng)絡(luò)安全防御提供更加有力的支持。

1 部署蜜罐獲取網(wǎng)絡(luò)攻擊流量數(shù)據(jù)

在攻防對(duì)抗場(chǎng)景中，常規(guī)的事后分析溯源方法已無(wú)法滿足網(wǎng)絡(luò)攻擊溯源準(zhǔn)確且及時(shí)的需求。因此，本文引入蜜罐技術(shù)，設(shè)計(jì)一種誘捕溯源方法。蜜罐是一種主動(dòng)防御策略，通過模擬易受攻擊的目標(biāo)來(lái)引誘攻擊者，從而捕獲和分析其攻擊行為。

本文的首要步驟是在攻防對(duì)抗場(chǎng)景中部署蜜罐。具體部署包括使用虛擬專用服務(wù)器作為蜜罐環(huán)境，傳輸蜜罐程序文件，登錄服務(wù)器執(zhí)行部署腳本，配置蜜罐功能，并啟動(dòng)蜜罐服務(wù)進(jìn)行網(wǎng)絡(luò)攻擊模擬。

一旦攻擊者被蜜罐吸引并發(fā)起攻擊，蜜罐便能捕獲并記錄攻擊流量數(shù)據(jù)，包括攻擊源IP、攻擊時(shí)間、攻擊類型等關(guān)鍵信息^［4］。為更準(zhǔn)確地分析這些數(shù)據(jù)，需提取并量化攻擊特征，以便深入了解攻擊者的行為和意圖，從而有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊威脅。

式中，P表示網(wǎng)絡(luò)攻擊流量的頻率；ω_i表示第i個(gè)時(shí)間窗口內(nèi)的網(wǎng)絡(luò)攻擊流量權(quán)值；Q_i表示第i個(gè)時(shí)間窗口內(nèi)的網(wǎng)絡(luò)攻擊流量數(shù)量；n表示窗口總數(shù)；T表示網(wǎng)絡(luò)攻擊事件的持續(xù)時(shí)間；t_j1、t_j2分別表示第j個(gè)網(wǎng)絡(luò)攻擊事件的起始時(shí)間和終止時(shí)間；m表示網(wǎng)絡(luò)攻擊事件的總數(shù)。通過式（1）與式（2）的計(jì)算，可以評(píng)估攻防對(duì)抗場(chǎng)景下網(wǎng)絡(luò)攻擊端的活躍程度與攻擊強(qiáng)度。總之，本文引入蜜罐技術(shù)誘捕攻防對(duì)抗場(chǎng)景下網(wǎng)絡(luò)攻擊端的流量數(shù)據(jù)，并量化提取了流量數(shù)據(jù)特征，為后續(xù)的攻擊溯源提供重要依據(jù)。

2 數(shù)據(jù)簇匹配判斷網(wǎng)絡(luò)攻擊流量源

本文引入KHM聚類算法進(jìn)行數(shù)據(jù)簇匹配，進(jìn)而識(shí)別出網(wǎng)絡(luò)攻擊流量的發(fā)送源^［5］。KHM聚類算法結(jié)合了K-means算法的高效性、層次聚類算法的結(jié)構(gòu)性以及基于密度的聚類算法對(duì)噪聲和異常值的魯棒性，從而能夠在復(fù)雜的網(wǎng)絡(luò)環(huán)境中準(zhǔn)確地識(shí)別出攻擊流量的特征。首先，在數(shù)據(jù)簇匹配之前，先對(duì)每個(gè)攻擊端和防護(hù)端的流量數(shù)據(jù)做預(yù)處理，以提取關(guān)鍵的數(shù)據(jù)包字段。其次，采用K-means算法將數(shù)據(jù)包劃分為初始的簇集合，其中K的值根據(jù)實(shí)際的網(wǎng)絡(luò)流量情況而定。在形成多個(gè)數(shù)據(jù)簇之后，假設(shè)對(duì)攻防對(duì)抗場(chǎng)景下網(wǎng)絡(luò)防護(hù)端流量數(shù)據(jù)中的某個(gè)數(shù)據(jù)簇X進(jìn)行溯源，通過度量防護(hù)端流量數(shù)據(jù)簇X和攻擊端流量數(shù)據(jù)簇Y之間的相似度來(lái)判斷數(shù)據(jù)簇的發(fā)送源，本文采用歐幾里得距離作為度量數(shù)據(jù)包之間相似性的指標(biāo)，公式如下：

式中，D（X，Y）表示數(shù)據(jù)簇X和數(shù)據(jù)簇Y之間的歐幾里得距離；X_i、Y_i分別表示數(shù)據(jù)簇X和數(shù)據(jù)簇Y在第i個(gè)字段上的值；N表示字段總數(shù)。如式（3）所示，采用基于距離的相似度度量方法進(jìn)行數(shù)據(jù)簇匹配，即計(jì)算攻擊流量簇和防護(hù)流量簇中心之間的距離，距離越近表示相似度越高。完成數(shù)據(jù)簇的初始聚類后，通過下式求出輪廓系數(shù)評(píng)估其初始聚類效果：

式中，η（X）表示防護(hù)端流量數(shù)據(jù)簇X的輪廓系數(shù)，取值范圍為［-1，1］，其值越接近于1表示聚類效果越好；b（X）表示數(shù)據(jù)簇X到其所在簇內(nèi)其他數(shù)據(jù)點(diǎn)之間的平均距離；d（X）表示數(shù)據(jù)簇X到其他簇之間的平均距離。當(dāng)數(shù)據(jù)X的聚類效果達(dá)到最佳后，選擇相似度最高的數(shù)據(jù)簇作為最終匹配結(jié)果，即將該攻擊端流量數(shù)據(jù)簇所在攻擊端作為攻擊流量數(shù)據(jù)的發(fā)送源^［6］。綜上所述，本文利用蜜罐技術(shù)誘捕攻防對(duì)抗場(chǎng)景下的網(wǎng)絡(luò)攻擊，捕獲攻擊流量數(shù)據(jù)。

3 實(shí)驗(yàn)分析3.1 實(shí)驗(yàn)環(huán)境

本章模擬某真實(shí)應(yīng)用場(chǎng)景進(jìn)行組網(wǎng)，搭建一個(gè)較為真實(shí)的網(wǎng)絡(luò)運(yùn)行環(huán)境，進(jìn)行網(wǎng)絡(luò)攻擊溯源實(shí)驗(yàn)。首先，運(yùn)用OSPF協(xié)議、BGP協(xié)議等進(jìn)行網(wǎng)段之間互通，進(jìn)而搭建本次攻防對(duì)抗場(chǎng)景下網(wǎng)絡(luò)攻擊溯源實(shí)驗(yàn)環(huán)境，如圖1所示。

如圖1所示，PC0為防護(hù)端主機(jī)，PC1～PC5為攻擊端主機(jī)，形成一個(gè)多攻擊者的攻防對(duì)抗網(wǎng)絡(luò)場(chǎng)景。實(shí)驗(yàn)中，在各攻擊端主機(jī)上部署不同的漏洞環(huán)境，并搭建SQL注入、DDoS攻擊等攻擊測(cè)試站點(diǎn)，以模擬真實(shí)攻防對(duì)抗場(chǎng)景下不同網(wǎng)絡(luò)攻擊事件，內(nèi)容如表1所示。

3.2 實(shí)驗(yàn)結(jié)果

在上述實(shí)驗(yàn)環(huán)境下，分別啟動(dòng)PC1～PC5主機(jī)，一一對(duì)PC0主機(jī)進(jìn)行網(wǎng)絡(luò)攻擊，記錄各溯源方法獲取的攻擊者IP信息，以測(cè)試不同溯源方法的實(shí)際應(yīng)用效果。具體實(shí)驗(yàn)結(jié)果如表2所示。

上表顯示，在多攻擊者場(chǎng)景中，蜜罐技術(shù)在網(wǎng)絡(luò)攻擊溯源中展現(xiàn)更高的準(zhǔn)確性。傳統(tǒng)日志和入侵檢測(cè)方法存在誤報(bào)，而本文設(shè)計(jì)的基于蜜罐的溯源方法能準(zhǔn)確提供攻擊端IP，凸顯其在攻防對(duì)抗場(chǎng)景下的優(yōu)越性。實(shí)際應(yīng)用中，此方法可提升溯源結(jié)果的準(zhǔn)確性。

4 結(jié)語(yǔ)

本文圍繞基于蜜罐技術(shù)的網(wǎng)絡(luò)攻擊誘捕溯源方法，探討其在實(shí)際攻防對(duì)抗場(chǎng)景中的應(yīng)用。文中成功構(gòu)建一套有效的網(wǎng)絡(luò)攻擊誘捕溯源體系，并在實(shí)際環(huán)境中驗(yàn)證了其可行性和準(zhǔn)確性。然而，本研究也存在一定不足之處，如蜜罐的隱蔽性有待加強(qiáng)，溯源算法的泛化能力仍需提升。未來(lái)，本文將致力于進(jìn)一步優(yōu)化蜜罐部署策略，提升溯源算法的性能，并探索與其他安全技術(shù)的融合應(yīng)用。隨著研究的深入和技術(shù)的創(chuàng)新，設(shè)計(jì)方法將能夠更有效地應(yīng)對(duì)網(wǎng)絡(luò)攻擊，維護(hù)網(wǎng)絡(luò)空間的安全穩(wěn)定。

參考文獻(xiàn)

［1］黃克振，連一峰，馮登國(guó)，等.一種基于圖模型的網(wǎng)絡(luò)攻擊溯源方法［J］.軟件學(xué)報(bào)，2022（2）：683-698.

［2］張曉寧，張恒巍，馬軍強(qiáng)，等.基于信號(hào)博弈模型的網(wǎng)絡(luò)攻擊歸因方法［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2023（6）：1616-1621.

［3］周琰，馬強(qiáng).欺騙誘捕技術(shù)在氣象網(wǎng)絡(luò)安全攻防對(duì)抗場(chǎng)景下的應(yīng)用［J］.氣象科技，2023（2）：208-214.

［4］原浩宇，郭軍利，許明洋.基于內(nèi)生安全體系結(jié)構(gòu)的蜜罐技術(shù)研究［J］.計(jì)算機(jī)應(yīng)用研究，2023（4）：1194-1202.

［5］梁若舟，高躍，趙曦濱.基于序列特征提取的溯源圖上APT攻擊檢測(cè)方法［J］.中國(guó)科學(xué)：信息科學(xué)，2022（8）：1463-1480.

［6］陳志華，黃志宏.基于知識(shí)圖譜的激光通信網(wǎng)絡(luò)入侵攻擊源定位方法［J］.應(yīng)用激光，2022（7）：118-124.

（編輯 王雪芬）

Traceability method of network attack and trapping based on honeypot technology

Gao" Qi¹， Gong" Xiaojing²， Huang" Rui³， Huang" Chenglin⁴， Zhou" Shenyong⁴

（1.Guangxi Financial Information Management Center， Nanning 530021， China; 2.Guangxi Police College， Nanning 530028， China; 3.Guangxi Sifang Huitong Talent Service Co.， Ltd.， Nanning 530021， China; 4.Guangxi Haohua Technology Co.， Ltd.， Nanning 530022， China）

Abstract： Since the traditional traceability methods such as log analysis， intrusion detection and so on mainly trace the source of attack through post-hoc analysis， it is difficult to meet the requirements of rapid and accurate traceability of attack and defense confrontation scenes， and the network attack trapping tracing method based on honeypot technology is proposed. In the attack and defense confrontation scenario， honey tanks are deployed to trap attackers to carry out network attacks， and collect attack traffic data， classify the traffic data of each attack end and protection end into multiple clusters， matching the clusters to judge the sending source of attack traffic， so as to realize the traceability of network attack trapping in the attack and defense confrontation scenario. The experimental results show that the design method can provide the IP address information of the network attack end accurately in the attack and defense confrontation scenarios， with high reliability.

Key words：honeypot technology; attack and defense confrontation scenarios; network attack