文章编号:1007-757X(2021)03-0134-03
基于蜜罐技术的移动终端未知威胁智能防御方法
杨杰
(广州供电局有限公司,广东广州510620)
摘要:针对传统的移动终端未知威胁防御方法存在的威胁漏报、外来信息检测不全面的情况,设计了一种基于蜜罐技术的移动终端未知威胁智能防御方法。通过蜜罐技术采集移动终端未知威胁信息,利用无监督聚类算法对信息进行分类,并设定比例数,从而设定移动终端未知威胁的入侵检测规则;根据未知威胁入侵规则绘制威胁路径,分辨出恶意节D;在此基础上!引入时间概念,利用蜜罐技术转移未知威胁的攻击并对攻击源进行捕获与分析,实现对移动终端未知威胁的智能防御%实验以威胁漏报数量和外来信息查全率作为验证指标,对比结果表明,与传统方法相比,本研究所提方法对未知威胁的漏报数量较少,对外来信息的查全率较高,能够有效且准确实现对移动终端未知威胁的智能防御%
关键词:蜜罐技术;移动终端;未知威胁;防御;入侵检测;漏报;查全率
中图分类号:TP393文献标志码:A
Intelligent Defen Method of Unknown Threat of Mobile
坐如针毡
Terminal Bad on Honeypot Technology
YANGJie
(Guangzhou Power Suppy Bureau Co.,Led.,Guangzhou510620,China)
Abstract:A Honeypot bad intelligent defen method for unknown threats of mobile terminals is designed in view of the situ-ationthatthetraditionaldefenmethodforunknownthreatsofmobileterminalsfailstoreportthreatsandthedetectionofex-ernalinformationisnotcomprehensive.ThroughtheHoneypottechnology!unknownthreatinformationofmobileterminalsis co l ected!unsupervidclusteringalgorithmisadoptedtoclassifytheco l ectedinformation!andproportionnumberisttoin-rusiondetectionrulesofunknownthreatofmobileterminals.Accordingtotheunknownthreatintrusionrules!itdrawsthe threat path and distinguishes the malicious nodes.On this basis,the concept of time is introduced,the Honeypot technology is udtotransferthea t ackofunknownthreat!andthea t acksource9scapturedandanalyzed!soastorealzethe9nte l gentde-enaga9nsttheunknownthreatofmobleterm9nal.Intheexper9ment!thenumberofthreatom9ss9onsandthereca l rateof ore9gn9nformatonaretakenastheverfcaton9ndexes.Thecompar9sonresultsshowthatcompare
dw9ththetradt9onalmeth-od!th9smethodhasfewerom9ss9onsofunknownthreatsandh9gherreca l rateoffore9gn9nformaton!wh9chcane f ectvelyand accuratelyrealzethe9nte l gentdefenaga9nstunknownthreatsofmobleterm9nals.
Keywords:Honeypot technology%mobile terminal;unknown threat;defen;intrusion detection;omission;recall rate
0引言
移动终端是互联网内容的主要呈现设备。近年来,移动终端的快速发展使人们的生活与移动终端的联系越来越紧密(1)&但是,由于移动终端存在存储能力差、网络资源来源广且复杂等弊端,使得其对未知威胁的防御能力较弱⑵&因此,研究一种适用于移动终端的未知威胁防御方法已经成为目前亟需解决的问题之一,相关专家学者也对此进行了大量研究&
文献[3]中设计了一种大数据移动终端网络信息安全防御方法,将自回归模型与变异算子结合起来,构建移动终端信息自回归模型,并利用最小二乘法估算回归系数,再通过滑动窗口检测移动终端信息的统计量,计算其取值范围,对于范围外的信息进行防御。但是该方法对移动终端外来信息的检查范围较小,导致信息查全率较低&文献[4]中设计了一种基于机器学习的移动终端高级持续性威胁检测防御方法,利用静态检测方法提取出移动终端运行的静态特征,借助于滑动窗口迭代算法对延迟
攻击特征进行捕捉,使用Boost技术将融合多种分类算法,对延迟攻击进行检测,根据检测结果实现安全防御。但是该方法对未知威胁的捕获能力较差,导致未知威胁漏报率较高&
蜜罐技术是一种高欺骗性的安全防护技术,可运行于多种网络和故意留有特征漏洞的终端系统中。蜜罐技术能够诱导入侵者发动攻击行为,在此基础上捕捉攻击源继而实现安全防御,保护重要系统终端免受侵害&通过诱导入侵者攻击蜜罐终端,不仅能够拖延攻击真正目标的时间,还能够及时对攻击行为监视、采集和分析,为处理未知威胁提供支持&因此,为解决传统方法存在的问题,将蜜罐技术应用到移动终端未知威胁防御过程中,本研究提出基于蜜罐技术的移动终端未知威胁智能防御方法&通过对比实验结果证明了本
女生头型作者简介:杨杰(1981-),男,硕士,工程师,研究方向:网络安全等&
研究所提方法对未知威胁的漏报量较少,且能对来源信息进行全面检测,能够满足移动终端对未知威胁有效防御的需求。
1入侵检测规则的设定
在对移动终端未知威胁进行智能防御之前,需提取移动终端未知威胁的入侵规则。
首先利用蜜罐技术采集移动终端未知威胁信息&由于现有的蜜罐技术难以对提取数据的类别进行细致
区分,因此,采用无监督聚类算法对采集的数据进行分类&若蜜罐记录的入侵行为与正常行为存在明显差异,则计算该数据属性并将其与其它数据区分开,计算过程,如式(1)。
式中,D表示移动终端未知威胁的基本数据;F表示数据特征信息;3表示数据属性区分因子M表示蜜罐技术的诱惑信标。
在此过程中利用蜜罐技术目的是吸引威胁信息进入系统,以便记录入侵过程。当入侵行为数据大于正常行为数目时,按照所有的类包含数据多少排序,并设定比例数,对数据进行标记,比例数设定依据,如式(2)。
式中,G表示移动终端数据的比例数;〃表示入侵数据数目;g表示恶意信息攻击潜力为数据排序因子&
根据上述过程完成比例数的设定。当G*1时,标记该数据为正常类;反之,当G41时,将其标记为入侵类&通过上述计算,完成移动终端未知威胁入侵检测规则的设定,为移动终端未知威胁智能防御提供基础&
2威胁入侵路径的绘制
在上述入侵检测规则设定的基础上,绘制威胁路径。在移动终端的未知威胁中,威胁信息一般会对具
有弱点的对象发动攻击,且威胁行为的发生具有一定的持续性,基于这一特点,将威胁信息聚合,形成新的威胁报告信息,根据威胁报告信息绘制威胁路径。威胁路径绘制步骤如下所示& step1:聚合威胁行为报告集,时间间隔设置为阈值+;
step2:形成初始临时队列,存放聚合过程中的威胁行为报告;
step3:检查服务器收到的威胁行为报告,是否满足生成威胁路径;
step4:若在+时间内没有收到新的可归并的威胁报告,则输出聚合后的威胁行为报告&
按照上述过程完成威胁路径的绘制,根据威胁路径挖掘恶意节点,如式(3)。
补肾的药物
S t=t^—(3)
式中,5表示节点提交报告数量集;表示恶意节点阈值;+刃表示节点可信度;表示节点数量&
'根据上述过程分辨恶意节点,排除这类报告的干扰,使
移动终端未知威胁防御优先处理有价值的威胁行为,以此完的绘制。3移动终端未知威胁的防御
在上述设定入侵检测规则和绘制威胁路径的基础上,对移动终端未知威胁智能防御。结合蜜罐技术,
建立未知威胁智能防御模型&模型的逻辑结构图,如图1所示&
图1未知威胁智能防御模型逻辑结构图
为了融合蜜罐技术的预警效果,利用威胁特征信息同入侵规则的匹配度规划威胁程度的检测算法。首先输入捕获信息特征模式的属性字串,利用下述公式输出预警判决结果(皿,如式(4)。
式中,F表TK信息特征模式必表示匹配计数变量;l表TK每个属性字串;H表示区间边界阈值;k表示控制中心报警信息。
根据上述公式提高移动终端未知威胁智能防御模型的预警效果,在此基础上为提高模型的安全性能,引入时间概念(1),模型更新,如式(5)。
F'=(r r+b)t(5)式中,表示保护安全目标设置的防护时间;r表示检测到攻击行为所花费的时间;b表示发现攻击后模型的响应时间。
在该时间概念核心模块的指导下,通过防护、检测以及构安模型。利技术攻击源,
过程,(6)。
J=X X(IS a#(°^)(6)式中,9表示有限状态集;表示有限输入;表示转换函数;s 表示模型的初始状态;'表示威胁信息捕获因子。
根据移动对未的智需,构基
技术的智模型状态,(7)。
T=(I l+I2+I3+I4+I5)N(7)式中I I表示未知威胁智能防御模型的初始状态,若监测到移动终端受到攻击时,防御模型转换为I2状态;对未知威胁模型定向和重定向状态,若定向完成,转为I3;若未完成则重新定向,维持当前状态并报告状态;表示模型日志记录状态,记录完成后,转为i,若未记录完成,贝y继续记录;表示上述的提取入侵规则过程,若提取完成,转为i,若未完成,则维持原状态;必表示上述威胁路径绘制状态,若识别到攻击信息,贝y在i1状态中加入未知攻击信息,若未识别到攻击信息,重该过程。基技术的移动未
胁智能防御模型的转换关系,如图2所示。
-H N|
I~^2I
--------------1IM力4|
图2未知威胁智能防御模型的转换关系示意图
N 表示基
技术的移动终端未知威胁智能防御模
型的技术状态(2)。
在实际使用该模型时,利用蜜罐技术在状态时追击 攻击源,同时在I 3状态时利 技术 攻击源 [录攻击工 及攻击方法等信息! 基 技术的移动 未 智 。该模型 对移动 环有
护、转移攻击源目标! 攻击信息&
4实验对比与分析
4. 1 实验方法设计
为了验证基 技术的移动 未 智能防御方法的 ,进行实验对比,将文献中的大数据移动终网络信息安 方法和文献(4)中的基于机器学习的移动 高级持续 检测 方法与本研究 方法进行 对比,主要对比3种 未 方法对未 j 的漏报数量和对外来信息的查全率。其中,未 的漏报数量 方法对未 的检测 ,对外来信息的查 率 方 对 来信息 行检测的,其计算过程,如式(8)。
表1不同方法未知威胁的漏报数量对比(个)。
对象
总数/个
献方
献方
本研究
方
恶意程序306
5
2攻击数据
60
711
3
数据
409
81
分析表1结果可知,在恶意程序防御、攻击数据防御和 数据 3个方面,文献[3]方法和文献[4)方法对未知的漏报数量 高 本研究 方 , 基 技术的移动 未 智 方 对未 的检测
, 对未 的 。步验 方法在对外来进行检测的全面性方面
的 , 4 。
10095
90—本文方法
—o —文献⑶方法
文献[4]方法
85
查全率$检测出的外来信息量 来信息总量
S 100%⑻
804.2 实验环境准备
75,
采用雷区模式部署实验环境,通过若干虚拟主机,布设雷区,测试环境,如图3所示&
70 --------------------------------------------100 200 300 400 500
迭代次数/次移动终端
图3实验环境构成示意图
实验操作系统为Windows Server 2003,WEB 服务器支
持为 Internet Information Server 6. 0,后台数据库支持 Mi- crosott SQL Server 2005。在此基础上,模拟网络诱骗环境, 因此需要模拟网络服务, 境中的主机相他境中的主机,采用虚 技术来 &利
用虚拟机技术构虚 件平台,并通过该平 运行环境的技术,验。
吉隆坡
, 在 验中 需 部 虚 对 的 验 境
扫描探测,并对预设的目标主机进行攻击&在实验主机中选 10个木马、10 *0 和10 程序作为样本程序,并利用多态工具对样本程序处理,从而得到130个 程序,其中 30个恶意程序、60个攻击数据和40 i 毒数据& 攻击数据导入 攻击主机中,导入 后,
方 的 。
4.3
实验结果分析
计分析 方法未知威胁的漏报数量,如表1
图4不同方法外来信息查全率对比
分析图4 ,在 的 中,仅本 的基于蜜技术的移动 未 智 方 对 来信息的查率在缓步上升,而文献[3]方法和文献[4)方法对外来信息 的查全率 无 ,但 本研究 方法,因 「说明基 技术的移动 未 智 方法能对 来信息的 检测。因此,通过 验 ,此次设计的基于蜜罐技术的移动 未 智 方 方
的 , 移动智 的安 。
5总结
随着互联网规模的扩大以及
数量的 ,导致
移动 客、计算机 和 的危险攻击&传的移动 未 方 漏报等 ,因计 种基 技术的移动 未 智 方 ,高移动 未 智 的 。 利技术采集移动 未 信息,并设定未 入侵检测 ,在此基础上,绘制 ,最后结合 技术建立移动 未 智 模型。 验对 , 本研究 方 方 对未 的漏报数量 , 对 来信息的检测 为 。
然而,在利用本研究 方 行移动 未 智
,信息查全过程的 ,在一定程 降 ’
本研究 方法的防御效率&因此,在未来的研究阶段,将我想你英语怎么说
步对本研究 方 行 , 步 高对未的 率。
(下转第139页)
际情况,又要展现出和其他候选模型相比的优越性。
2.3应用层
在软件架构中,应用层是一种交互界面,其离用户最近,用于显示数据的运算结果并接收用户输入的数据&根据该理念,指导老师可以将论文成果的展示部分归类为应用层&应用层一般写在毕业设计论文的结尾部分,其主要包括两个部分:成果讨论和成果演示。
(1)研究成果讨论
成果讨论是一种有效的研究展示手段&由于很多研究成果无法全面体现模型或者算法的优越性,因此,我们需要讨论所开发模型或者算法的优缺点,以便读者了解算法的适用范围。
(2)成果展示
毕业设计论文成果的表现形式,一般分为三种:数据表格、图形展示和图表融合可视化。数据表格是一种定量的表现形式,其主要作用是将数据运算结果的精确展示;图形展示是一种定性的可视化表现手段,能够形象直观地表现研究成果。这两种表现形式各有优劣:数据表格的展示形式准确度高且容易使读者信服;图形可视化展示易于理解,以便不同种类的读者理解研究成果&因此,图表融合可视化是今后毕业设计成果展示的一种重要方式&目前流行的的图表融合可视化控件有:EChart.D3等。这
些控件能够被用于多种编程语言中,例如JSP.HTML.JavaScript等&很多研究也已经将过程或者成果可视化作为一种悠闲的手段&黄惠榕等⑷对CNKI数据库收录的外科护理教学模式的文献进行了可视化展示,清晰地描述了当前的研究现状、热点和前沿技术。张文德和黄禹⑸以中国大学的MOOC(慕课)平台为基础,介绍了一种可视化分析系统,该系统能够直观地展示慕课课程的一些数据特性以及对课程评论的主题信息。图表融合可视化的优势是,这些控件既能够直观地展现毕业设计研究成果,又能将实验结果的数据在图形上的具体位置展示出来%既能够在数据上说明问题,又能够显示各种逻辑关系。
关于过年的传说3讨论和应用
基于T-T理念的毕业论文指导模式在总体上给出了一种毕业论文的指导框架,可以作为工科指导老师开展毕业设计指导工作的指导依据&对于其它学科的毕业设计(例如,文科或艺术类学科),该理论中的3个层次可根据学科要求做相应的调整,从而使得其适合于不同学科的需要&因此该框架的整体结构具有一定的通用性,能够应对不同学科的需要&该理论在本校应用统计专业的学生做数据分析毕业设计的指导工作中得到了实践并且取得了良好的效果&在该框架下,指导老师对多个学生进行毕业设计指导时,老师的工作效率以及学生毕业设计完成进度均有了明显的提升&
4总结
以T-T为理念的毕业设计指导模式将软件设计理念运毕业计的指工作中!得工科毕业计指工作
有了参照模板。这种模式能够提供毕业设计的参照依据,使得毕业设计工作开展更加规范和高效&T-T理念使得毕业设计工作能够模块化地进行,即使有的部分没有完成,也不会影响其它已经完成的设计工作&这种方式不但能够提高教师指毕业计工作的率!高学生的毕业计的质量&
参考文献
爷爷生日祝福语任静,曹敬馨.MOOC环境下计算机文化基础课程建设探究'(.微型电脑应用,2019,35(2))729.
李小莲.计算机专业“数字逻辑”课程教学改革'(.微型电脑应用,2019,35(10) )728.
[3(王雷,王智广.改进的三层架构的研究与应用'(.计算机工程与设计,2017,38(7))8081812.小米wifi设置
'(黄惠榕,刘秦宇,韩雪琪,等.基于CiteSpace的国内外科护理教学模式的可视化分析'(.医学理论与实!20203311))1742-1745
'(张文德,黄禹.MOOC课程评论可视化分析系统构建:以中国大学MOOC平台为例'(.情报探索,2020
(5)59-64
(收稿日期:2020.06.21)
(上接第136页)
参考文献
[1(王伟,王嘉郡,王明明,等.以网络性能为核心的移动自组网Flooding攻击防御技术'(.计算机科学,
2017441))159-166
[2(何哓,黄海.基于non-IP+SCE F技术增强物联网终端安全性的研究'(.电信科学,2017,33(2))6-41. [3(李龙森,连玉朱.大数据移动终端网络信息安全性传输仿真'(.计算机仿真,2018,35(6))88192.
[4(胡彬,王春东,胡思琦,等.基于机器学习的移动终端高级持续性威胁检测技术研究'(.计算机工程,
2017!431))241-246
:5(石乐义,李阳,马猛飞.蜜罐技术研究新进展'(.电子与信息学报,2019,41(2))98508.
[6(刘烧,田决,王稼舟,等.信息物理融合系统综合安全威胁与防御研究'(.自动化学报,2019,45(1))
24[7(张宝全,周枫,黄祖源.基于蜜罐技术的DDoS攻击防御研究'(.软件,2017,38(6))429.
:8(季薇,李炳星,郑宝玉.基于信誉与共识的分布式智能入侵防御方案'(.系统工程与电子技术,2018,
40(3))665-670
[9(樊琳娜,马宇峰,黄河,等.移动目标防御技术研究综述'(.中国电子科学研究院学报,2017,12(2):
209-214
[10(银伟,周红建,邢国强.蜜罐加密技术在私密数据保护中的应用[J(.计算机应用,2017,37(12):
3406-3411
[11(林玉香,王慧婷.基于用户地址动态变化的防御方法'(.计算机工程与设计,2018,39(8))4172421. [12(蔡传晰,梅姝娥,仲伟俊.拟态式蜜罐诱骗机制最优配置策略的博弈分析[(.管理工程学报,2018,32
(4)110-117
(收稿日期:2019.12.16)
