作者：朱乐君　钱晓峰　周睿　庞晓伟　庞旸 本文字数：2541
　　[摘           要]  近年來云计算技术革新速度逐渐加快，云计算应用正在以前所未有的速度发展，云计算面临的安全问题也越来越复杂，攻击手段不仅局限于网页篡改、SQL注入攻击、DDoS攻击、恶意入侵等，新型的APT攻击正愈演愈烈。安全是云计算发展的核心，云计算的安全体系和架构也一直随着云计算的发展而演变，云计算安全防护理念既要符合云计算服务模式，也更注重新技术和新方法的应用。从云平台内部主动欺骗防御、攻击行为捕获、攻击溯源分析等角度出发，阐述如何在新的安全形势下构建云平台内部安全防御体系。
　　[关    键   词]  APT攻击;主动欺骗防御;溯源分析;行为捕获
　　[中图分类号]  TN915.08               [文献标志码]  A              [文章编号]  2096-0603（2019）36-0112-04
　　 一、引言
　　 2017年国家颁布并实施了《网络安全法》，将通信行业建设和运营的云计算平台定义为关键信息基础设施，对云计算平台安全提出了网络安全管理、网络安全技术、个人信息保护的具体要求。2016年集团公司己经制定并下发了《云计算安全管理办法》《云计算安全防护技术要求及实施指南》等系列安全规范，对移动集团的公有云、私有云、混合云的安全保障体系建设提供了初步的建设思路和指导意见。
　　 目前，云平台的安全解决方案普遍是解决南北向攻击流量的问题，我们很难找到东西向攻击流量的解决方案。随着攻击者攻击手段的不断发展，东西向流量攻击事件越来越多。比如APT攻击涵盖了从网关到网络中服务器区、个人电脑等接入层的各个层次，通过传统安全防护思路很难发现。
　　 针对云平台而言，构建内部基于云蜜网的安全防御体系显得尤为必要。该防御体系能够针对已知和未知威胁及时阻断和隔离攻击，并能够溯源黑客身份及攻击意图，形成黑客攻击情报，可发现利用0day漏洞的APT攻击行为，保护网络免遭0day等攻击造成的各种风险（如敏感信息泄露、关键基础设施破坏等）。通过构建用户威胁情报体系，实现从安全事件的被动响应到安全威胁的积极应对，帮助云平台控制安全风险。
　　 二、关键需求分析
　　 构建云平台内部安全防御体系，通过逆向思维的方式，在黑客角度来看，主要针对云平台的攻击过程包括：踩点探测→漏洞挖掘→入侵系统→偷取数据→清理痕迹。我们考虑到虽然各类攻击方式不尽相同，但基本的攻击过程和目的性是高度一致性的，这要求我们在黑客攻击的整个过程中进行安全建设。因此我们着手建设的云蜜网系统存在多个关键需求。
　　 1.主动欺骗防御。
　　 2.入侵检测。
　　 3.行为分析。
　　 4.黑客溯源。
　　 5.威胁情报。
　　 三、关键技术分析
　　 我们主要采用以下关键技术满足上述需求：
　　 （一）攻击溯源
　　 提供人机识别、网络身份识别、指纹持久化种植、攻击IP识别、物理位置识别、攻击数据统计、行为分析、行为归并、相似度匹配、黑客档案库等模块。攻击溯源系统可识别攻击者各类身份信息，精确识别工具和真人，掌握攻击者信息，使之作为取证的重要依据之一。
　　 （二）流量转发
　　 跨平台部署应用，通过端口混淆技术可以在用户服务器上安装伪装代理脚本并指定端口，将该指定端口流量转发进入沙箱，达到对客户真实服务器的保护。
　　 （三）仿真沙箱技术
　　 仿真沙箱系统主要包括仿真沙箱资源池模块、仿真沙箱控制器模块、攻击行为检测模块、漏洞利用检测模块、病毒样本检测模块、漏洞自定义集成模块等。
　　 （四）诱导感知
　　 通过办公网诱饵、互联网诱饵、网关诱饵、邮件诱饵等诱导攻击者进入云蜜网系统，进一步提高云蜜网系统的感知力。
　　 四、解决方案设计
　　 （一）云蜜网技术原理
　　 云蜜网的技术原理对应攻击者采取攻击的每一个步骤，主要包括业务仿真、伪装漏洞、虚拟系统、脱敏数据、记录行为。具体过程如图1所。
　　 业务仿真：在攻击者对业务进行踩点探测的时候，，云蜜网模拟客户的真实业务，给予攻击者虚假的信息。
　　 伪装漏洞：在仿真业务上，包含很多常见的漏洞，以此为诱饵，降低攻击者攻击云蜜网沙箱的难度。
　　 虚拟系统：攻击者所攻击的都是云蜜网的系统，并非客户真实的系统。
　　 脱敏数据：攻击者偷走的数据都是脱敏的，都是毫无价值的数据。
　　 记录行为：攻击者准备撤离犯罪现场，擦除攻击路径和入侵痕迹的时候，云端沙箱已把攻击者记录下来形成了黑客画像，并且能够捕捉到攻击者的社交网络信息，方便客户进行威胁的溯源，在云端进行日志记录。
　　 （二）云蜜网部署方案
　　 云蜜网系统可以为提供一整套的攻击检测、隔离和威胁溯源的解决方案，实现云平台主机端/PC端全面覆盖，部署方式如图2所示。
　　 通过在服务器上安装“伪装代理”，把攻击者的流量诱导进云蜜网云端，并通过可视化大屏展示出当前的威胁态势。为了保证对攻击者的高诱导率，探测的节点需能够覆盖所有的网段。
　　 （三）云蜜网系统功能模块
　　 1.仿真沙箱系统
　　 仿真沙箱模块提供多种不同类型切合业务系统使用环境的沙箱，进一步保证沙箱模拟用户的真实度。仿真沙箱控制器可以控制对沙箱的停用、删除、重启等操作。行为监测可对攻击者普通操作以及攻击操作进行全量记录。病毒样本检测模块可对攻击者上传恶意文件进行检测识别。

• 《新课程》杂志征稿通知
• 论文发表中的DOI是什么意思
• 《新课程》杂志论文知网收截图
• 新课程杂志主管单位主办单位说明
• 如何提高发表论文的“命中率”
• 《现代职业教育》杂志每版字数调整为2000字
• 现代职业教育杂志中国知网全文收录截图
• 中国知网期刊大全检索《现代职业教育》杂志
• 编辑在论文发表工作中的重要性