雾计算：一种新型的数据泄露检测与追踪技术

Original Link: http://www.jdz.gov.cn/xxgk/bmyd/bmjs/201306/t20130606_265666.htm

2010年11月28日，“维基揭秘”网站发布了25万余份美国国务院机密文件，将诸多美国外交内幕和盘托出，爆出了美国历史上也是世界历史上最大规模的泄密事件。与此同时，在中国国内的互联网上也集中爆发了一连串的网络个人信息泄露事件，如2011年12月CSDN数据库保存的约600万条注册用户信息泄露事件、京东商城等购物网站部分注册账号泄露事件、广东省出入境政务服务网约400万用户真实身份信息泄露事件、天涯网站注册账号信息泄露事件等等。

　　“维基揭秘”泄密事件以及国内的个人信息泄露事件，向各国政府部门以及企业提出了严峻的安全挑战。针对日益严重的数据泄露事件,美国国防预先研究计划局(DARPA)启动了多尺度异常检测项目，在此之下，Allure安全技术公司和哥伦比亚大学提出了“雾计算”网络积极防御概念，用以识别那些正在泄露机密信息的人员或者潜在的恶意内部人员。该计划重点关注涉密网络的内部攻击者，并向其提供自动生成的虚假情报、诱饵信息，引诱他们访问并擅自发布，然后跟踪其访问和传播范围，借以收集相关信息。

　　什么是雾计算

　　首先让我们通过一个例子来认识一下什么是雾计算。

　　2011年3月，格鲁吉亚国家计算机应急响应中心检测到一种新型的网络攻击软件，该软件以窃取格鲁吉亚和美国政府机密文档与政府情报信息为目标，可将收集到的情报信息上传到命令与控制服务器。为了调查和追踪这个恶意软件和控制服务器，格鲁吉亚信息安全专家巧妙利用信息诱骗技术（包含病毒的伪造涉密ZIP文档），成功追踪到来自于俄罗斯官方安全机构的黑客并拍下照片。

　　雾计算主要是针对内部威胁和数据泄露而提出的一种新的计算范型，其核心概念是用假信息做诱饵，“钓”出真窃密的“鼹鼠”，是网络积极防御和纵深防御思想的具体应用。该技术通过自动生成和分发高可信的诱捕信息，让窃取信息者无法区分真正的机密信息与诱捕信息，并能够检测和追踪诱捕信息的访问以及企图滥用行为，以求在泄密事件发生前化解内部威胁。雾计算的基本理论和体系架构包括三个方面：一是诱饵生成、标识和分发技术；二是数据泄露防护、感知和追踪技术；三是异常行为建模和挖掘技术。

　　雾计算具有如下特点和属性：

　　高可信性：诱饵和诱捕环境具有迷惑性，即诱捕信息要与真实机密信息十分相似，让信息窃取者相信这是真的秘密信息。

　　易获取性：诱捕信息要放在容易被人发现的地方，使信息窃取者能够很容易发现。

　　高诱惑性：诱捕信息具有非常高的诱惑力，使信息窃取者迫切想访问。

　　可区分性：合法用户能够很轻松地区分秘密信息与诱捕信息，从而避免在失误情况下访问诱捕信息。

　　可检测性：嵌入诱饵的标记在主机和网络传输过程中可以被安全人员检测到。

　　可追踪性：一旦诱捕信息被访问，则能够对访问该信息的目标行为进行追踪，并获取访问者的相关信息。

　　雾计算技术发展史

　　雾计算是信息诱骗诱捕技术的延伸，其相关技术最早出现在20世纪80年代的美国。美国计算机安全专家克里夫·史托尔最早使用信息诱捕技术保护系统、网络以及信息安全。1989年，他将自己的亲身经历写成了畅销小说《杜鹃蛋》（The Cuckoo’s Egg），书中讲述了一个德国黑客集团渗透到美国重要机构的真实故事。它首次向人们生动地展现了黑客如何破译系统密码、盗取账号，然后以此为跳板，深入美国军方网络、获得大量军事情报的手法和过程，并揭示了一些被认为安全的设计，在黑客“聪明”的攻击下，变得毫无防御能力。克里夫·史托尔通过监控一些伪造的高可信度“秘密文件”，发现了德国黑客窃取国家秘密，并将信息出卖给克格勃的踪迹。

　　蜜罐技术也是一种重要的信息诱捕技术。该技术可以搜集并分析攻击者的攻击行为，进而了解攻击者的攻击手段以及攻击步骤。通过引入秘密标识技术，可以解决内部威胁问题。但是，生成秘密标识是一个需要多方授权、费时费力的过程。美国计算机安全专家尤伊尔通过扩展秘密标识的概念，提出“蜜件系统”概念。该系统通过将用户自己的某个文件与自身的ID进行关联，从而将该文件作为诱捕文档进行监控。但是，该系统只考虑文件名的高诱骗性并不关注诱捕文档内容以及文档的自动生成问题。

　　网页漏洞是一类静态嵌入、不可见的标签，一般嵌入在网页以及邮件中，主要用来追踪网页以及邮件的访问行为，比如邮件被访问的时间、地址（IP）以及被转发后的访问信息。另一位美国计算机安全专家萨尔瓦多借助网页漏洞的可追踪性，使得诱捕信息同样具有可追踪性。目前，通过在诱捕文档中秘密嵌入标识、信号浮标，哥伦比亚大学开发的雾系统可以自动化地生成和管理具有可追踪性的诱捕文档。

　　2012年，萨尔瓦多等人一篇关于云数据安全的文章中，提出了“雾计算”概念，并指出，雾计算是一种信息诱捕技术，通过向内部威胁发起“虚假信息攻击”，进而达到保护用户真实信息的目的。