朱乐君　钱晓峰　周睿　庞晓伟　庞旸

[摘           要]  近年來云计算技术革新速度逐渐加快，云计算应用正在以前所未有的速度发展，云计算面临的安全问题也越来越复杂，攻击手段不仅局限于网页篡改、SQL注入攻击、DDoS攻击、恶意入侵等，新型的APT攻击正愈演愈烈。安全是云计算发展的核心，云计算的安全体系和架构也一直随着云计算的发展而演变，云计算安全防护理念既要符合云计算服务模式，也更注重新技术和新方法的应用。从云平台内部主动欺骗防御、攻击行为捕获、攻击溯源分析等角度出发，阐述如何在新的安全形势下构建云平台内部安全防御体系。

[关    键   词]  APT攻击;主动欺骗防御;溯源分析;行为捕获

[中图分类号]  TN915.08               [文献标志码]  A              [文章编号]  2096-0603（2019）36-0112-04

一、引言

2017年国家颁布并实施了《网络安全法》，将通信行业建设和运营的云计算平台定义为关键信息基础设施，对云计算平台安全提出了网络安全管理、网络安全技术、个人信息保护的具体要求。2016年集团公司己经制定并下发了《云计算安全管理办法》《云计算安全防护技术要求及实施指南》等系列安全规范，对移动集团的公有云、私有云、混合云的安全保障体系建设提供了初步的建设思路和指导意见。

目前，云平台的安全解决方案普遍是解决南北向攻击流量的问题，我们很难找到东西向攻击流量的解决方案。随着攻击者攻击手段的不断发展，东西向流量攻击事件越来越多。比如APT攻击涵盖了从网关到网络中服务器区、个人电脑等接入层的各个层次，通过传统安全防护思路很难发现。

针对云平台而言，构建内部基于云蜜网的安全防御体系显得尤为必要。该防御体系能够针对已知和未知威胁及时阻断和隔离攻击，并能够溯源黑客身份及攻击意图，形成黑客攻击情报，可发现利用0day漏洞的APT攻击行为，保护网络免遭0day等攻击造成的各种风险（如敏感信息泄露、关键基础设施破坏等）。通过构建用户威胁情报体系，实现从安全事件的被动响应到安全威胁的积极应对，帮助云平台控制安全风险。

二、关键需求分析

构建云平台内部安全防御体系，通过逆向思维的方式，在黑客角度来看，主要针对云平台的攻击过程包括：踩点探测→漏洞挖掘→入侵系统→偷取数据→清理痕迹。我们考虑到虽然各类攻击方式不尽相同，但基本的攻击过程和目的性是高度一致性的，这要求我们在黑客攻击的整个过程中进行安全建设。因此我们着手建设的云蜜网系统存在多个关键需求。

1.主动欺骗防御。

2.入侵检测。

3.行为分析。

4.黑客溯源。

5.威胁情报。

三、关键技术分析

我们主要采用以下关键技术满足上述需求：

（一）攻击溯源

提供人机识别、网络身份识别、指纹持久化种植、攻击IP识别、物理位置识别、攻击数据统计、行为分析、行为归并、相似度匹配、黑客档案库等模块。攻击溯源系统可识别攻击者各类身份信息，精确识别工具和真人，掌握攻击者信息，使之作为取证的重要依据之一。

（二）流量转发

跨平台部署应用，通过端口混淆技术可以在用户服务器上安装伪装代理脚本并指定端口，将该指定端口流量转发进入沙箱，达到对客户真实服务器的保护。

（三）仿真沙箱技术

仿真沙箱系统主要包括仿真沙箱资源池模块、仿真沙箱控制器模块、攻击行为检测模块、漏洞利用检测模块、病毒样本检测模块、漏洞自定义集成模块等。

（四）诱导感知

通过办公网诱饵、互联网诱饵、网关诱饵、邮件诱饵等诱导攻击者进入云蜜网系统，进一步提高云蜜网系统的感知力。

四、解决方案设计

（一）云蜜网技术原理

云蜜网的技术原理对应攻击者采取攻击的每一个步骤，主要包括业务仿真、伪装漏洞、虚拟系统、脱敏数据、记录行为。具体过程如图1所。

业务仿真：在攻击者对业务进行踩点探测的时候，云蜜网模拟客户的真实业务，给予攻击者虚假的信息。

伪装漏洞：在仿真业务上，包含很多常见的漏洞，以此为诱饵，降低攻击者攻击云蜜网沙箱的难度。

虚拟系统：攻击者所攻击的都是云蜜网的系统，并非客户真实的系统。

脱敏数据：攻击者偷走的数据都是脱敏的，都是毫无价值的数据。

记录行为：攻击者准备撤离犯罪现场，擦除攻击路径和入侵痕迹的时候，云端沙箱已把攻击者记录下来形成了黑客画像，并且能够捕捉到攻击者的社交网络信息，方便客户进行威胁的溯源，在云端进行日志记录。

（二）云蜜网部署方案

云蜜网系统可以为提供一整套的攻击检测、隔离和威胁溯源的解决方案，实现云平台主机端/PC端全面覆盖，部署方式如图2所示。

通过在服务器上安装“伪装代理”，把攻击者的流量诱导进云蜜网云端，并通过可视化大屏展示出当前的威胁态势。为了保证对攻击者的高诱导率，探测的节点需能够覆盖所有的网段。

（三）云蜜网系统功能模块

1.仿真沙箱系统

仿真沙箱模块提供多种不同类型切合业务系统使用环境的沙箱，进一步保证沙箱模拟用户的真实度。仿真沙箱控制器可以控制对沙箱的停用、删除、重启等操作。行为监测可对攻击者普通操作以及攻击操作进行全量记录。病毒样本检测模块可对攻击者上传恶意文件进行检测识别。

2.伪装代理系统

伪装代理系统是在客户网络中部署的高度模仿客户资产信息的系统，根据客户不同的需求可以仿真出客户不同的系统和不同的业务，通过端口混淆，将黑客攻击诱导至沙箱。伪装代理开放源代码，无任何数据安全风险，当系统cpu占用率达到80%时，伪装代理会自动停用，保证业务正常运行。

3.攻击溯源系统

攻击溯源系统提供人机识别、网络身份识别、指纹持久化种植、攻击IP识别、物理位置识别、攻击数据统计、行为分析、行为归并、相似度匹配、黑客档案库等模块。攻击溯源系统可识别攻击者各类身份信息，精确识别工作和真人，掌握攻击者信息，使之作为取证的重要依据之一。

4.诱导感知系统

诱导感知系统通过办公网诱饵、互联网诱饵、网关诱饵以及邮件诱饵诱导攻击者进入云蜜网系统，更进一步提高云蜜网的系统入侵感知力。邮件诱饵也可作为邮箱保护功能使用，当攻击者攻破邮箱系统进入邮箱打开邮件后云蜜网系统会实时进行报警，确保邮箱安全。

5.攻击可视化系统

通过可视化大屏可以动态地展示出资产的状态、哪些沙箱正在被攻击者访问、云蜜网的状态以及对云平台威胁进行量化评分，通过折线图实时显示当前的攻击趋势：每天在哪些时段遭受攻击最多、哪些资产被攻击次数最多以及可以获得的溯源情报。

6.云蜜网系统与攻击者的高交互性

上图为真人黑客的攻击入侵行为，其中云蜜网通过各个子系统的不同功能，配合黑客的入侵步骤，将入侵者引入云蜜网，并实现主动欺骗、攻击溯源和入侵检测等目标。

（四）云蜜网特点及优势

1.混淆攻击，增加攻击成本及实时告警

云蜜网通过克隆业务的高仿真沙箱，混淆黑客的攻击目标，将攻击隔离进云蜜网的沙箱系统，延缓攻击进程，并且以邮件形式通知管理员，为应急响应争取宝贵时间，降低客户信息资产受损的风险。云蜜网基于全链路欺骗，使攻防信息不对称，指数级提升攻击成本和难度，树立安全的威慑力。

2.伪装代理，攻击流量转移及资产入侵检测

云蜜网系统利用“伪装代理”技术在客户的真實服务器上形成伪装端口，使攻击者在攻击客户真实服务器的时候可以被诱导进云蜜网当中，把攻击者的流量转移到云蜜网云端的沙箱中，保护真实资产不被入侵。

3.溯源分析，帮助调查取证

云蜜网的威胁情报模块可以详细记录攻击者执行的操作，并且可以获取攻击者的浏览器信息、操作系统信息、地理地址、设备的指纹以及攻击者的一些社交账号，比如新浪微博ID、百度ID等等，方便客户针对此攻击者的取证调查和溯源追踪。

4.降低成本，方便云蜜网的广度延伸

通过“伪装代理”部署方式，一台云端的云蜜网系统可与众多的伪装代理联动。客户只需要给一套云蜜网系统给予相应的IP地址就可以，大大节约了客户的内部资源以及采购成本，同时，客户若想扩展云蜜网，只需要在相应的网段安装伪装代理即可，方便快捷。

5.零误报率，减少产品运维人员的工作量

云蜜网系统基于行为分析，假如某个沙箱被某个地址持续访问，并且尝试登录，根据此IP地址的行为分析，会认为是一个攻击行为，此攻击行为的判断零误报，产品运维人员也不需要去分辨产品攻击日志是不是误报，从而大大减少运维人员的工作量。

五、云蜜网建设的必要性/收益

针对云平台建立一套基于云蜜网的内部安全防御体系，能够对已知和未知的安全威胁进行及时的识别和捕获，确保云平台内部安全，并能够真实反映出内部的安全状态，总结为以下几点。

（一）保障云平台和IDC安全，提升自身竞争力

云蜜网系统实现攻击捕获、攻击溯源、安全防护等功能，本质上是对云平台和IDC自身安全能力的提高，云蜜网可以及时捕获到大规模、爆发性的网络攻击事件，还原攻击流程，溯源攻击者，及时告知云平台运营方，避免发生大规模的网络安全事件，提升硬件层、应用层等方面的安全防护能力。对安全业务增值的同时，提高云平台和IDC自身的竞争力。

（二）保护租户业务系统和服务安全

云蜜网系统实现攻击捕获、攻击溯源、安全防护等功能，能够保护租户的业务系统安全，保障业务的连续性。同时，在捕捉到攻击的同时，实时动态将攻击者流量导入云蜜网沙箱中，溯源攻击者，捕捉攻击行为，构建动态欺骗防御网络，租户可实时通过云蜜网系统掌握自身业务系统和服务的安全状态。

（三）满足合规性要求

《网络安全法》以及IDC管理规范中都对云平台和IDC的网络安全提出了明确的要求，并且对云平台安全进行了明确的责任划分，云蜜网系统可对云平台和IDC关键部位进行主动欺骗防御式的安全防护，满足合规性的要求。

（四）捕获未知威胁，保护内网安全

针对内网中未知的安全威胁和正在发生的攻击行为进行捕获，避免内网业务系统和服务遭受攻击，防范未知安全风险的同时，有效保护内部网络安全。

（五）攻击事件溯源，查找攻击源头

针对攻击事件进行溯源，可对发起攻击行为的内部源头进行查找。依托云蜜网系统，对整个攻击事件进行复现，清晰掌握攻击轨迹和行为细节，结合设备指纹和黑客画像等技术实现攻击溯源。

（六）威胁情报输出、安全环境感知

通过云蜜网对捕捉到的攻击数据进行分析，可有效进行威胁情报的输出，辅助业务系统进行针对性的安全加固。同时能够对业务系统所在内部网络环境的安全性进行精确感知。

（七）纵深防御体系的建立

云蜜网与已部署的防火墙、IDS、IPS等基于已知规则的安全防护系统相补充，能够对已知和未知的网络攻击行为进行防御，建立起一套有效保护业务系统安全性的纵深防御体系。