0 引言

　　目前私有云網(wǎng)絡中大量采用了xen虛擬化技術，將虛擬機部署在物理硬件上并共享硬件資源，而應用程序和操作系統(tǒng)則運行在虛擬機中，從而大大提供了資源的使用率。虛擬機間的強隔離性[1]保證了虛擬機之間進程的信息安全，此外虛擬機管理器對虛擬機的管理過程是透明的，攻擊者無法確認自己攻擊的是否為真正的主機。xen虛擬機的結構如圖1，VMM可以創(chuàng)建的多個虛擬機，可以運行不同的操作系統(tǒng)和應用程序。xen包括服務域Domain0和虛擬域DomainU，Domain0具有最高特權級，可以管理其他的虛擬域。虛擬機的VMI技術將虛擬機與安全監(jiān)測工具相互隔離，增強了監(jiān)測工具的安全性。

　　虛擬化技術中存在的大量惡意行為給網(wǎng)絡信息安全[2]帶來了隱患，本文通過部署蜜網(wǎng)可以有效地檢測到網(wǎng)絡上的惡意攻擊，分析這些惡意行為的攻擊方式，以便進行有效的防范。蜜網(wǎng)由一系列蜜罐組成，蜜網(wǎng)的內(nèi)容包括：數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析，它的主要功能是標記所有進出系統(tǒng)的可疑流量[3]。虛擬機的引入對虛擬蜜網(wǎng)有兩方面的影響：一方面， 由于虛擬機的特性，可以構建基于虛擬機的數(shù)據(jù)捕獲和采集裝置（xebek），使得現(xiàn)有的反蜜網(wǎng)技術無效化；另一方面, 由于系統(tǒng)規(guī)模更加龐大，虛擬機會給攻擊者更多的提示，而采用VMI技術從蜜網(wǎng)外部進行監(jiān)控，提高蜜網(wǎng)的安全性。

1 相關研究

　　Abe[4]提出一種基于DoS檢測IP數(shù)據(jù)包的熵的方法，IP數(shù)據(jù)包熵的改變用來檢測可能存在的DoS攻擊，攻擊產(chǎn)生時，數(shù)據(jù)包的大小與從受害者獲得的響應是相同的，缺點是沒有對其他數(shù)據(jù)特征的熵進行分析。Thonnard和dacier[5]提出一種基于集群的方法來分析蜜網(wǎng)數(shù)據(jù)的攻擊模式，采用時間簽名來收集蜜網(wǎng)的數(shù)據(jù)，對從世界各地的蜜罐收集的大型數(shù)據(jù)集進行研究，但這種數(shù)據(jù)采集規(guī)模太大，實際執(zhí)行過程有一定的難度。吳文潔、葛昕[6]等人使用低交互蜜罐在VMware中構建分布式蜜網(wǎng)體系，采用了XMPP技術進行數(shù)據(jù)共享，使用carniwwhore框架實現(xiàn)了數(shù)據(jù)統(tǒng)計和可視化輸出，但是這種低交互蜜罐對手工攻擊行為識別率較低；王海峰、陳慶奎等人[7]在建立蜜網(wǎng)欺騙量化模型的基礎上提出兩種智能算法，通過仿真實驗證明其具有提高蜜網(wǎng)偽裝的能力，但缺乏對新攻擊行為的適應能力。

　　目前的私有云網(wǎng)絡安全產(chǎn)品雖然能檢測一定的網(wǎng)絡隱患，但僅僅是檢測單一的網(wǎng)絡特征并進行處理。與以往蜜網(wǎng)監(jiān)控系統(tǒng)不同，本系統(tǒng)采用BP神經(jīng)網(wǎng)絡對網(wǎng)絡流量數(shù)據(jù)進行訓練，確定數(shù)據(jù)的五元組特征，然后分析流量數(shù)據(jù)的五元組特征熵值，判定蜜網(wǎng)中的異常行為，當網(wǎng)絡再出現(xiàn)類似的異常行為時，可立即進行處理。通過實驗表明，模型可以有效地檢測私有云網(wǎng)絡中蜜網(wǎng)的多種異常，提高云環(huán)境的安全性。

2 相關技術

　　2.1 BP神經(jīng)網(wǎng)絡算法

　　BP神經(jīng)網(wǎng)絡[8]是通過輸入和輸出的樣本集（即網(wǎng)絡的閾值和權值）對網(wǎng)絡進行訓練，從而使網(wǎng)絡完成給定的輸入/輸出映射關系。本文設計的BP網(wǎng)絡算法模型是以網(wǎng)絡數(shù)據(jù)流量進行訓練的，而這些數(shù)據(jù)已經(jīng)根據(jù)原始數(shù)據(jù)流量進行了三級處理。第一級是根據(jù)原始數(shù)據(jù)提取數(shù)據(jù)包的特征：如目標ip地址、目標端口、源端口、總載荷字節(jié)TB、標志位和總數(shù)據(jù)包數(shù)PC等；第二級是量化數(shù)據(jù)，如各種協(xié)議以及沒有實質(zhì)作用的數(shù)據(jù)，依據(jù)網(wǎng)絡異常的類型量化為二值向量；第三級是對數(shù)據(jù)進行整理計算，對持續(xù)時期的惡意行為數(shù)據(jù)進行實時分析。

　　網(wǎng)絡由3層組成，如圖2，第一層是隱含層,隱含層的節(jié)點函數(shù)為Sigmoid 函數(shù)(f(x)=1/(1+e-x))，節(jié)點模式包括正常模式和惡意模式，惡意模式可以檢測現(xiàn)有的惡意攻擊和新型的攻擊。第一層的作用是計算輸入向量X={X1，X2，…，Xl}與模式層的模式(例如第j個模式p=(p1j，p2j，…，pij))的匹配度, 匹配函數(shù)(Match(x))為：

　　BP神經(jīng)網(wǎng)絡的正常模式與異常模式的輸出不能同為1，正常模式的輸出為1表明輸入了正常序列，異常模式輸出為1時表明有惡意行為產(chǎn)生。當兩種模式輸出都為0時表明輸入的序列與正常模式和異常模式都不匹配，該序列定義為異常序列。

　　2.2 信息熵

　　為了評估上述的異常特征，本文采用熵來具體分析。在信息論中，熵被定義為一種不確定性的度量或是與隨機變量相關的隨機性。一個大小為n的樣本的熵的閾值范圍是[0，logn]。數(shù)據(jù)項沒有變化時值為0，當所有的數(shù)據(jù)項都不相同或變化最大時值為logn?；陟氐臋z測技術，隨機變量X的熵的值有{X1，X2，X3，…，Xn},計算公式如下：

　　其中H(x)=熵，如果要計算所觀察到的流量特征值發(fā)生的概率，計算公式：

　　其中總數(shù)據(jù)包數(shù)是時間T內(nèi)看到的數(shù)據(jù)包總數(shù)。熵值的規(guī)律是：流量特征值的微小變化產(chǎn)生低熵值，而流量特征值的顯著變化則導致較高的熵值。

3 VMI的虛擬蜜網(wǎng)系統(tǒng)架構

　　基于VMI的虛擬蜜網(wǎng)流量檢測系統(tǒng)是部署在xen平臺上的，如圖3所示，該系統(tǒng)中數(shù)據(jù)捕獲模塊的主要功能是在不被攻擊者發(fā)現(xiàn)的前提下捕獲所有輸入和輸出蜜網(wǎng)系統(tǒng)的數(shù)據(jù)。蜜網(wǎng)流量不同于其他類型的網(wǎng)絡流量，因為流入或流出蜜網(wǎng)的每個數(shù)據(jù)包都被認為是惡意的；語義重構模塊的作用是對捕獲到的數(shù)據(jù)進行語義重構，由于VMM處于客戶虛擬機的底層，只能識別低級語義，兩種之間存在語義鴻溝；BP神經(jīng)網(wǎng)絡的處理速度可以快速響應系統(tǒng)出現(xiàn)的變化，有效識別惡意行為，其固有的自主性、交互性和主動性對數(shù)據(jù)進行訓練，確定其五元組特征，降低了數(shù)據(jù)處理的復雜性；數(shù)據(jù)分析模塊是通過分析流量數(shù)據(jù)的五元組特征的熵值，判定蜜網(wǎng)中異常行為，從而對蜜網(wǎng)系統(tǒng)做出相應的控制；數(shù)據(jù)控制模塊是對流進和流出蜜網(wǎng)系統(tǒng)的數(shù)據(jù)進行控制，防止蜜網(wǎng)被黑客攻破后對其他系統(tǒng)進行大規(guī)模的攻擊。

　　該系統(tǒng)中xen虛擬機[9-10]直接運行于硬件系統(tǒng)之上，domain0和多個蜜罐構成虛擬蜜網(wǎng)系統(tǒng)，虛擬機的強隔離性保證了各個蜜罐可以獨立運行且互不干擾。系統(tǒng)采用VMI反省機制[11]，將數(shù)據(jù)捕獲模塊部署在虛擬機監(jiān)控器VMM內(nèi)，實現(xiàn)了檢測工具和蜜網(wǎng)系統(tǒng)的隔離，增強了數(shù)據(jù)捕獲模塊的安全性,提高了數(shù)據(jù)的可信度；通過語義重構模塊對Xebek數(shù)據(jù)捕獲模塊收集到的信息進行語義重構后，采用BP神經(jīng)網(wǎng)絡確定數(shù)據(jù)的五元組特征；數(shù)據(jù)分析模塊通過數(shù)據(jù)特征的熵值大小，判定蜜網(wǎng)中是否存在異常行為。

4 實驗結果

　　系統(tǒng)的蜜網(wǎng)系統(tǒng)可以采用Linux或Windows操作系統(tǒng)，這兩種系統(tǒng)的檢測結果基本相同，因為Linux是多用戶的操作系統(tǒng)，當攻擊者破壞了某個程序后底層的系統(tǒng)依然完好無損，所以Linux的檢測效果相對更好。由于篇幅有限，文章以Linux系統(tǒng)為例進行研究。

　　基于VMI的蜜網(wǎng)流量檢測機制，通過五類特征的熵DIP、DP、SP、TB和PC來檢測異常的存在。如表1所示，從不同源收集到的蜜網(wǎng)數(shù)據(jù)的樣例表明，正常行為的熵值很少發(fā)生變化。如表2所示，當惡意活動存在時，熵值會發(fā)生很大變化。經(jīng)過分析發(fā)現(xiàn)，正常流量的熵值變化范圍在0～3之間，大于3時就認為是異常流量。

　　通過比較本文方案的異常事件（包括掃描、系統(tǒng)如期、惡意軟件、rootkits下載等）的數(shù)目和跟蹤的異常事件的數(shù)目，可以得出該系統(tǒng)的檢測率。圖4展示了3種特征熵值的三維圖，熵值大于3的點代表掃描蜜網(wǎng)中的惡意活動。

　　如圖5，縱坐標為總數(shù)據(jù)包數(shù)，橫坐標為天數(shù)，圖中第3天末的峰值表明出現(xiàn)了惡意活動。

　　圖6中的時間視圖曲線展示事件在5天內(nèi)的狀態(tài)，不同的顏色代表不同的時間(。表示第1天，>表示第2天，x表示第3天，＊表示第4天，☆表示第5天)。曲線內(nèi)同一顏色的事件表明它們發(fā)生同一時間段，以便根據(jù)發(fā)生的時間了解黑客攻擊蜜網(wǎng)的策略，從而在虛擬機控制端對蜜網(wǎng)做出一定的響應。

　　表3列出了5天內(nèi)蜜網(wǎng)的檢測結果。蜜網(wǎng)共捕獲了13個數(shù)據(jù)包，但由于某些數(shù)據(jù)包的時間間隔較大，不能對熵值產(chǎn)生明顯的變化，以致無法檢測到這些數(shù)據(jù)，故系統(tǒng)的檢測率只有91.67%。

5 結論

　　私有云網(wǎng)絡的安全取決于蜜網(wǎng)能否很好地檢測攻擊并分析攻擊行為，本文提出一種xen下基于VMI蜜網(wǎng)流量檢測機制，利用VMI機制將數(shù)據(jù)捕獲模塊與蜜網(wǎng)隔離，提高了數(shù)據(jù)的可靠性。采用BP神經(jīng)網(wǎng)絡算法得到的蜜網(wǎng)流量五元組特征，其流量特征值是與熵值一一對應的，故通過五元組特征的熵值可以判定蜜網(wǎng)中異常行為。實驗表明，模型可以快速識別蜜網(wǎng)中的多種異常，但這種機制無法檢測到潛伏的攻擊和緩慢的攻擊，這個缺陷可以通過增加檢測此類攻擊的能力進行改善。

參考文獻

　　[1] 項國富，金海，鄒德清，等.基于虛擬化的安全監(jiān)控[J].軟件學報，2012，23（8）：2173-2187.

　　[2] 梁鋼，茅秋吟.云計算IaaS平臺的信息安全和運維服務設計[J].電子技術應用，2013，39（7）：63-64.

　　[3] SPITZNER L.The honeynet project：Trapping the hackers[J].IEEE Computer Society，2003，1(2)：15-23.

　　[4] ABE S.Detecting DoS attacks using packet size distribution[C].Proceedings of the 2nd BioInspired Models of Network Information and Computing Systems，2007：93-96.

　　[5] THONNARD O，DACIER M.A framework for attack patterns′discoverty in honeynet data[C].Digital Investigation，2008：128-139.

　　[6] 吳文潔，葛昕，胡德敏.基于虛擬化技術的分布式蜜網(wǎng)[J].計算機系統(tǒng)應用，2013，22(3)：69-72.

　　[7] 王海峰，陳慶奎.蜜網(wǎng)智能動態(tài)部署算法研究[J].計算機應用研究，2011，28(3)：1119-1121.

　　[8] 邢鈺嬌，孫昊，楊鵬，等.基于神經(jīng)網(wǎng)絡的四元球面陣空間聲源定向系統(tǒng)[J].電子技術應用，2012，38(2)：124-126.

　　[9] SMITH J E，NAIR R.the architecture of virtual machines[J].IEEE Computer，2005，38(5)：32-38.

　　[10] 湯儒，李秦偉.Openstack云環(huán)境中KVM虛擬機性能分析[J].微型機與應用，2013，32（23）：94-96.

　　[11] GARFINKEL T，ROSENBLUM M.A virtual machine introspection based architecture for intrusion detection[C].Proc.of the 10th Network and Distributed System Security Symp.Berkeley：USENIX Association，2003：191-206.