0 引言

　　目前私有云網(wǎng)絡(luò)中大量采用了xen虛擬化技術(shù),，將虛擬機部署在物理硬件上并共享硬件資源，而應(yīng)用程序和操作系統(tǒng)則運行在虛擬機中,，從而大大提供了資源的使用率,。虛擬機間的強隔離性[1]保證了虛擬機之間進程的信息安全，此外虛擬機管理器對虛擬機的管理過程是透明的,，攻擊者無法確認自己攻擊的是否為真正的主機,。xen虛擬機的結(jié)構(gòu)如圖1，VMM可以創(chuàng)建的多個虛擬機,，可以運行不同的操作系統(tǒng)和應(yīng)用程序,。xen包括服務(wù)域Domain0和虛擬域DomainU，Domain0具有最高特權(quán)級,，可以管理其他的虛擬域,。虛擬機的VMI技術(shù)將虛擬機與安全監(jiān)測工具相互隔離,，增強了監(jiān)測工具的安全性。

　　虛擬化技術(shù)中存在的大量惡意行為給網(wǎng)絡(luò)信息安全[2]帶來了隱患,，本文通過部署蜜網(wǎng)可以有效地檢測到網(wǎng)絡(luò)上的惡意攻擊,，分析這些惡意行為的攻擊方式，以便進行有效的防范,。蜜網(wǎng)由一系列蜜罐組成,，蜜網(wǎng)的內(nèi)容包括：數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析,，它的主要功能是標記所有進出系統(tǒng)的可疑流量[3],。虛擬機的引入對虛擬蜜網(wǎng)有兩方面的影響：一方面， 由于虛擬機的特性,，可以構(gòu)建基于虛擬機的數(shù)據(jù)捕獲和采集裝置（xebek）,，使得現(xiàn)有的反蜜網(wǎng)技術(shù)無效化；另一方面, 由于系統(tǒng)規(guī)模更加龐大,，虛擬機會給攻擊者更多的提示,，而采用VMI技術(shù)從蜜網(wǎng)外部進行監(jiān)控，提高蜜網(wǎng)的安全性,。

1 相關(guān)研究

　　Abe[4]提出一種基于DoS檢測IP數(shù)據(jù)包的熵的方法,，IP數(shù)據(jù)包熵的改變用來檢測可能存在的DoS攻擊，攻擊產(chǎn)生時,，數(shù)據(jù)包的大小與從受害者獲得的響應(yīng)是相同的,，缺點是沒有對其他數(shù)據(jù)特征的熵進行分析。Thonnard和dacier[5]提出一種基于集群的方法來分析蜜網(wǎng)數(shù)據(jù)的攻擊模式,，采用時間簽名來收集蜜網(wǎng)的數(shù)據(jù),，對從世界各地的蜜罐收集的大型數(shù)據(jù)集進行研究，但這種數(shù)據(jù)采集規(guī)模太大,，實際執(zhí)行過程有一定的難度,。吳文潔、葛昕[6]等人使用低交互蜜罐在VMware中構(gòu)建分布式蜜網(wǎng)體系,，采用了XMPP技術(shù)進行數(shù)據(jù)共享,，使用carniwwhore框架實現(xiàn)了數(shù)據(jù)統(tǒng)計和可視化輸出，但是這種低交互蜜罐對手工攻擊行為識別率較低,；王海峰,、陳慶奎等人[7]在建立蜜網(wǎng)欺騙量化模型的基礎(chǔ)上提出兩種智能算法，通過仿真實驗證明其具有提高蜜網(wǎng)偽裝的能力,，但缺乏對新攻擊行為的適應(yīng)能力,。

　　目前的私有云網(wǎng)絡(luò)安全產(chǎn)品雖然能檢測一定的網(wǎng)絡(luò)隱患，但僅僅是檢測單一的網(wǎng)絡(luò)特征并進行處理,。與以往蜜網(wǎng)監(jiān)控系統(tǒng)不同,，本系統(tǒng)采用BP神經(jīng)網(wǎng)絡(luò)對網(wǎng)絡(luò)流量數(shù)據(jù)進行訓練,，確定數(shù)據(jù)的五元組特征，然后分析流量數(shù)據(jù)的五元組特征熵值,，判定蜜網(wǎng)中的異常行為,，當網(wǎng)絡(luò)再出現(xiàn)類似的異常行為時，可立即進行處理,。通過實驗表明,，模型可以有效地檢測私有云網(wǎng)絡(luò)中蜜網(wǎng)的多種異常，提高云環(huán)境的安全性,。

2 相關(guān)技術(shù)

　　2.1 BP神經(jīng)網(wǎng)絡(luò)算法

　　BP神經(jīng)網(wǎng)絡(luò)[8]是通過輸入和輸出的樣本集（即網(wǎng)絡(luò)的閾值和權(quán)值）對網(wǎng)絡(luò)進行訓練,，從而使網(wǎng)絡(luò)完成給定的輸入/輸出映射關(guān)系。本文設(shè)計的BP網(wǎng)絡(luò)算法模型是以網(wǎng)絡(luò)數(shù)據(jù)流量進行訓練的,，而這些數(shù)據(jù)已經(jīng)根據(jù)原始數(shù)據(jù)流量進行了三級處理,。第一級是根據(jù)原始數(shù)據(jù)提取數(shù)據(jù)包的特征：如目標ip地址、目標端口,、源端口,、總載荷字節(jié)TB、標志位和總數(shù)據(jù)包數(shù)PC等,；第二級是量化數(shù)據(jù),，如各種協(xié)議以及沒有實質(zhì)作用的數(shù)據(jù)，依據(jù)網(wǎng)絡(luò)異常的類型量化為二值向量,；第三級是對數(shù)據(jù)進行整理計算,，對持續(xù)時期的惡意行為數(shù)據(jù)進行實時分析,。

　　網(wǎng)絡(luò)由3層組成,，如圖2，第一層是隱含層,隱含層的節(jié)點函數(shù)為Sigmoid 函數(shù)(f(x)=1/(1+e-x)),，節(jié)點模式包括正常模式和惡意模式,，惡意模式可以檢測現(xiàn)有的惡意攻擊和新型的攻擊。第一層的作用是計算輸入向量X={X1,，X2,，…，Xl}與模式層的模式(例如第j個模式p=(p1j,，p2j,，…，pij))的匹配度, 匹配函數(shù)(Match(x))為：

　　BP神經(jīng)網(wǎng)絡(luò)的正常模式與異常模式的輸出不能同為1,，正常模式的輸出為1表明輸入了正常序列,，異常模式輸出為1時表明有惡意行為產(chǎn)生。當兩種模式輸出都為0時表明輸入的序列與正常模式和異常模式都不匹配,，該序列定義為異常序列,。

　　2.2 信息熵

　　為了評估上述的異常特征,，本文采用熵來具體分析。在信息論中,，熵被定義為一種不確定性的度量或是與隨機變量相關(guān)的隨機性,。一個大小為n的樣本的熵的閾值范圍是[0，logn],。數(shù)據(jù)項沒有變化時值為0,，當所有的數(shù)據(jù)項都不相同或變化最大時值為logn?；陟氐臋z測技術(shù),，隨機變量X的熵的值有{X1，X2,，X3,，…，Xn},計算公式如下：

　　其中H(x)=熵,，如果要計算所觀察到的流量特征值發(fā)生的概率,，計算公式：

　　其中總數(shù)據(jù)包數(shù)是時間T內(nèi)看到的數(shù)據(jù)包總數(shù)。熵值的規(guī)律是：流量特征值的微小變化產(chǎn)生低熵值,，而流量特征值的顯著變化則導致較高的熵值,。

3 VMI的虛擬蜜網(wǎng)系統(tǒng)架構(gòu)

　　基于VMI的虛擬蜜網(wǎng)流量檢測系統(tǒng)是部署在xen平臺上的，如圖3所示,，該系統(tǒng)中數(shù)據(jù)捕獲模塊的主要功能是在不被攻擊者發(fā)現(xiàn)的前提下捕獲所有輸入和輸出蜜網(wǎng)系統(tǒng)的數(shù)據(jù),。蜜網(wǎng)流量不同于其他類型的網(wǎng)絡(luò)流量，因為流入或流出蜜網(wǎng)的每個數(shù)據(jù)包都被認為是惡意的,；語義重構(gòu)模塊的作用是對捕獲到的數(shù)據(jù)進行語義重構(gòu),，由于VMM處于客戶虛擬機的底層，只能識別低級語義,，兩種之間存在語義鴻溝,；BP神經(jīng)網(wǎng)絡(luò)的處理速度可以快速響應(yīng)系統(tǒng)出現(xiàn)的變化，有效識別惡意行為,，其固有的自主性,、交互性和主動性對數(shù)據(jù)進行訓練，確定其五元組特征,，降低了數(shù)據(jù)處理的復雜性,；數(shù)據(jù)分析模塊是通過分析流量數(shù)據(jù)的五元組特征的熵值，判定蜜網(wǎng)中異常行為,，從而對蜜網(wǎng)系統(tǒng)做出相應(yīng)的控制,；數(shù)據(jù)控制模塊是對流進和流出蜜網(wǎng)系統(tǒng)的數(shù)據(jù)進行控制，防止蜜網(wǎng)被黑客攻破后對其他系統(tǒng)進行大規(guī)模的攻擊,。

　　該系統(tǒng)中xen虛擬機[9-10]直接運行于硬件系統(tǒng)之上,，domain0和多個蜜罐構(gòu)成虛擬蜜網(wǎng)系統(tǒng),，虛擬機的強隔離性保證了各個蜜罐可以獨立運行且互不干擾。系統(tǒng)采用VMI反省機制[11],，將數(shù)據(jù)捕獲模塊部署在虛擬機監(jiān)控器VMM內(nèi),，實現(xiàn)了檢測工具和蜜網(wǎng)系統(tǒng)的隔離，增強了數(shù)據(jù)捕獲模塊的安全性,提高了數(shù)據(jù)的可信度,；通過語義重構(gòu)模塊對Xebek數(shù)據(jù)捕獲模塊收集到的信息進行語義重構(gòu)后,，采用BP神經(jīng)網(wǎng)絡(luò)確定數(shù)據(jù)的五元組特征；數(shù)據(jù)分析模塊通過數(shù)據(jù)特征的熵值大小,，判定蜜網(wǎng)中是否存在異常行為,。

4 實驗結(jié)果

　　系統(tǒng)的蜜網(wǎng)系統(tǒng)可以采用Linux或Windows操作系統(tǒng)，這兩種系統(tǒng)的檢測結(jié)果基本相同,，因為Linux是多用戶的操作系統(tǒng),，當攻擊者破壞了某個程序后底層的系統(tǒng)依然完好無損，所以Linux的檢測效果相對更好,。由于篇幅有限,，文章以Linux系統(tǒng)為例進行研究。

　　基于VMI的蜜網(wǎng)流量檢測機制,，通過五類特征的熵DIP,、DP、SP,、TB和PC來檢測異常的存在,。如表1所示，從不同源收集到的蜜網(wǎng)數(shù)據(jù)的樣例表明,，正常行為的熵值很少發(fā)生變化,。如表2所示，當惡意活動存在時,，熵值會發(fā)生很大變化,。經(jīng)過分析發(fā)現(xiàn),，正常流量的熵值變化范圍在0～3之間,，大于3時就認為是異常流量。

　　通過比較本文方案的異常事件（包括掃描,、系統(tǒng)如期,、惡意軟件、rootkits下載等）的數(shù)目和跟蹤的異常事件的數(shù)目,，可以得出該系統(tǒng)的檢測率,。圖4展示了3種特征熵值的三維圖，熵值大于3的點代表掃描蜜網(wǎng)中的惡意活動,。

　　如圖5,，縱坐標為總數(shù)據(jù)包數(shù),，橫坐標為天數(shù)，圖中第3天末的峰值表明出現(xiàn)了惡意活動,。

　　圖6中的時間視圖曲線展示事件在5天內(nèi)的狀態(tài),，不同的顏色代表不同的時間(。表示第1天,，>表示第2天,，x表示第3天，＊表示第4天,，☆表示第5天),。曲線內(nèi)同一顏色的事件表明它們發(fā)生同一時間段，以便根據(jù)發(fā)生的時間了解黑客攻擊蜜網(wǎng)的策略,，從而在虛擬機控制端對蜜網(wǎng)做出一定的響應(yīng),。

　　表3列出了5天內(nèi)蜜網(wǎng)的檢測結(jié)果。蜜網(wǎng)共捕獲了13個數(shù)據(jù)包,，但由于某些數(shù)據(jù)包的時間間隔較大,，不能對熵值產(chǎn)生明顯的變化，以致無法檢測到這些數(shù)據(jù),，故系統(tǒng)的檢測率只有91.67%,。

5 結(jié)論

　　私有云網(wǎng)絡(luò)的安全取決于蜜網(wǎng)能否很好地檢測攻擊并分析攻擊行為，本文提出一種xen下基于VMI蜜網(wǎng)流量檢測機制,，利用VMI機制將數(shù)據(jù)捕獲模塊與蜜網(wǎng)隔離,，提高了數(shù)據(jù)的可靠性。采用BP神經(jīng)網(wǎng)絡(luò)算法得到的蜜網(wǎng)流量五元組特征,，其流量特征值是與熵值一一對應(yīng)的,，故通過五元組特征的熵值可以判定蜜網(wǎng)中異常行為。實驗表明,，模型可以快速識別蜜網(wǎng)中的多種異常,，但這種機制無法檢測到潛伏的攻擊和緩慢的攻擊，這個缺陷可以通過增加檢測此類攻擊的能力進行改善,。

參考文獻

　　[1] 項國富,，金海，鄒德清,，等.基于虛擬化的安全監(jiān)控[J].軟件學報,，2012，23（8）：2173-2187.

　　[2] 梁鋼,，茅秋吟.云計算IaaS平臺的信息安全和運維服務(wù)設(shè)計[J].電子技術(shù)應(yīng)用,，2013，39（7）：63-64.

　　[3] SPITZNER L.The honeynet project：Trapping the hackers[J].IEEE Computer Society，2003,，1(2)：15-23.

　　[4] ABE S.Detecting DoS attacks using packet size distribution[C].Proceedings of the 2nd BioInspired Models of Network Information and Computing Systems,，2007：93-96.

　　[5] THONNARD O，DACIER M.A framework for attack patterns′discoverty in honeynet data[C].Digital Investigation,，2008：128-139.

　　[6] 吳文潔,，葛昕，胡德敏.基于虛擬化技術(shù)的分布式蜜網(wǎng)[J].計算機系統(tǒng)應(yīng)用,，2013,，22(3)：69-72.

　　[7] 王海峰，陳慶奎.蜜網(wǎng)智能動態(tài)部署算法研究[J].計算機應(yīng)用研究,，2011,，28(3)：1119-1121.

　　[8] 邢鈺嬌，孫昊,，楊鵬,，等.基于神經(jīng)網(wǎng)絡(luò)的四元球面陣空間聲源定向系統(tǒng)[J].電子技術(shù)應(yīng)用，2012,，38(2)：124-126.

　　[9] SMITH J E,，NAIR R.the architecture of virtual machines[J].IEEE Computer，2005,，38(5)：32-38.

　　[10] 湯儒,，李秦偉.Openstack云環(huán)境中KVM虛擬機性能分析[J].微型機與應(yīng)用，2013,，32（23）：94-96.

　　[11] GARFINKEL T,，ROSENBLUM M.A virtual machine introspection based architecture for intrusion detection[C].Proc.of the 10th Network and Distributed System Security Symp.Berkeley：USENIX Association，2003：191-206.