刘摇猛，管碧强

{沈阳理工大学信息科学与工程学院，沈阳110159)

面向服务架构的虚拟蜜网防御系统设计与实现

刘摇猛，管碧强

{沈阳理工大学信息科学与工程学院，沈阳110159)

摘摇要:面向服务的体系架构作为近年来IT业界的焦点，已经逐渐成为影响中国IT系统构建的主导思想。随着该体系首选的Web服务发展与普及应用，其安全问题日益突出。而现在所使用的安全模型都是基于被动防御的技术。结合虚拟蜜网来设计实现面向服务架构的主动防御系统。系统以第三代蜜网部署拓扑为基础，结合防火墙与入侵检测系统来构建，使用Honeywall网关并建立Windows蜜罐与SOASOA服务蜜罐来实现虚拟蜜网，在一定程度上克服了传统安全模型被动防御的缺陷。通过控制平台端对蜜网网关监控数据进行分析，提取扫描入侵和一种溢出漏洞特征，实现了主动告警。

关摇键摇词:SOA；防火墙；入侵检测；蜜网；告警

面向服务的体系架构{Serivice Oriented Architecture,SOA)作为一个全新的系统组织方法和网络架构，在提供便利的同时也面临安全方面的挑战[1]。SOA系统不但会受到传统的网络攻击{基于TCP/IP)，而且会受到基于SOAP消息的攻击，如重放攻击、XML注入攻击和各种DoS攻击等。对于这些攻击，现在所采用的防御方法是传统的入侵检测系统{IDS Intrusion Detection Systems)和防火墙，以及基于安全标准{WS Security)框架的实现，包括XML签名、XML加密、授权与认证等。这些防御方式都是被动地对攻击进行处理。对此本论文提出结合虚拟蜜网与传统网络安全防御技术来构建面向服务架构的防御系统。

1 摇蜜网技术

蜜罐网络系统是在蜜罐技术上发展起来的一个新的概念，简称蜜网{Honeynet)，又称为诱捕网络，它是由多个系统组成的高度受控网络[2]。蜜网实质上还是一类研究型高交互蜜罐，高交互指的是蜜网中的蜜罐采用真实的操作系统、应用程序以及服务来跟攻击者进行交互。构成了一个诱捕攻击网络体系架构是蜜网与传统的蜜罐技术的差异。在这个架构中包含一个或多个蜜罐，具有高度可控性，提供了多种工具以用来对攻击信息行采集和分析。采用虚拟蜜罐部署的蜜网称为虚拟蜜网。

1.1 摇蜜罐技术

蜜罐技术是一种新型的网络安全主动防御技术[3]。蜜罐的作用是诱使攻击者攻击自身，捕获数据。通过对这些数据的分析可以得出攻击者的攻击工具、攻击方式、攻击目的等相关信息。当蜜罐被探测、被攻击或被摧毁的时候，它的价值才能够体现出来。

1.2 摇蜜网的关键技术

想要构建一个蜜网必须考虑到三个方面:数据控制、数据捕获和数据采集。这三个方面是蜜网的三大核心需求[4]。

数据控制的目的是保证蜜网在被攻击时不会被用来破坏内部业务网络。这使得蜜网至少需要两层数据控制机制，当一种机制失效时，还有其它有效的数据控制。控制的方法是控制进出蜜网的数据量，防火墙、路由器等都可以用来进行蜜网的数据控制。

数据捕获是蜜网的主要目的。捕获的数据用来分析攻击者的攻击方法、攻击工具及攻击目的等[5]。如果蜜网捕获不到任何数据，蜜网就没有什么作用了。在捕获攻击者的所有活动时，让攻击者意识不到自己已经在蜜网中是一个难点。为了更全面更系统地获得数据，蜜网需要采用多层次的数据捕获方式。防火墙、入侵检测系统、蜜罐等都可以用作蜜网的数据捕获方式。

数据采集是在管理多个蜜网时需要进行的，这样可以将多个蜜网的数据进行关联分析，提高蜜网的研究价值。采集整理好数据后，需要用一种相对安全的方式进行传输来保证数据的真实性、可靠性和安全性。

2 摇系统结构设计

面向服务架构的虚拟蜜网防御系统结构设计如图1所示，系统主要由防火墙、控制平台端、入侵检测系统、蜜网网关和蜜罐等组成。

摇摇防火墙是一种由数个组件构成，部署在网络节点上的防护设施[6]。防火墙主要用于加强网络之间的访问控制，预防系统网络外部用户入侵内部网络或者非法操作单机的一种必要防护组件。防火墙部署在蜜网系统内，实行宽进严出的策略，用来控制进出蜜网系统的数据，任何跟系统交互的数据都可以认为是可疑的。防火墙的宽进严出指宽松地控制蜜网的流入数据，严格地控制蜜网的流出数据。这样可以给蜜网入侵者一定的自由，造成假象来迷惑蜜网入侵者，以便获取更多的蜜网攻击者的信息。防火墙部署在SOA系统网络外，通过配置包过滤机制进行安全防御。当控制平台端检测出入侵后，根据情况调用反馈功能更新防火墙机制，来更好地保护SOA系统网络。

入侵检测技术是一种通过记录攻击者相关信息，观察攻击行为，研究分析安全日志和部分攻击数据之后，检测鉴定该行为是否属于入侵行为一种检测技术[7]。入侵检测技术己经发展几十年了，而且逐渐成为一种可以对系统进行动态监控，可以预防以及抵御安全威胁的实时性检测机制。入侵检测系统部署在蜜网的网关和各个蜜罐中，通过核查匹配预先建立的特征库内容，并对入侵的相关数据进行审计、分析与研究，判断该操作是否属于入侵类别的操作，并且记录数据发送给控制平台端处理。入侵检测系统部署在SOA系统中，实时检测SOA系统。当控制平台端检测分析出新的入侵后，调用规则更新功能，及时更新入侵检测系统的规则。

控制平台端主要是收集分析各种数据，所收集的数据主要是网关监控数据、Sebek客户端记录的数据、入侵检测系统记录的数据等。根据数据分析，得出结果并进行相应的处理。

蜜网网关通过虚拟机技术使用集成系统来部署[8]，系统里面有IPjabes防火墙、snor-online入侵检测系统、Sebek服务端等数据监测分析工具。通过这些工具来对蜜网数据进行监控。

系统中的蜜罐主机是通过VMware虚拟机虚拟构建出来的，在这些客户机系统上提供各种真实服务和一些虚假信息。在每个蜜罐主机上部署了一些可用漏洞，提高蜜罐诱惑性，并且运行了数据捕获工具Sebek客户端，将系统入侵者在主机上的活动进行记录，并向控制平台端提交所记录数据信息。

3 摇系统功能设计

攻击者想要对SOA系统进行渗透，有一个条件是必须的:就是攻击者的计算机与SOA服务器必须能够正常通信[9]。SOA服务器提供各种服务供客户使用，那么此时SOA服务器是如何与客户通信的？依靠的就是端口。攻击者入侵也是靠端口，或者说是计算机提供的服务。所以攻击者会对SOA系统网络进行端口扫描，获取SOA系统的端口信息

通过分析扫描数据，可以得出的特征有:发送的报文数据部分为空；报文除了端口信息外其余都相同；在一定时间内大量的同一IP不同端口访问主机；主机大量不常用端口被访问。根据这些特征本系统设计了对于扫描入侵信息的判别并进行告警提示。

攻击者获取端口服务信息后，会通过服务端口查找SOA系统的漏洞，然后利用漏洞实现渗透。本文对于蜜罐部署的SOA系统的一个漏洞进行分析，得出攻击者可以利用溢出方式写入shell来进一步获取SOA系统的权限，据此本系统设计对于该漏洞利用的告警提示。

4 摇实验仿真

本实验在一台电脑上，利用VMware虚拟机部署实现。首先安装VMware，本实验安装的VMware 10。之后新建三个虚拟机，分别作为蜜网网关、Windows系统蜜罐、SOA服务蜜罐。

蜜网网关使用集成于Linux系统的蜜网网关来部署，在VMware中新建虚拟机时导入该集成系统roo 14 hw 20090425114542，之后启动虚拟机。蜜网网关启动后，在其系统内对其进行配置。由蜜网系统架构图可知，该网关需要三个网络接口，所以在虚拟机设置中为其配置三块虚拟网卡[10]。在系统中三个网卡接口为E0、E1 和E2，其中E0 是面向网络的外部接口；E1 是面向虚拟蜜罐系统的内部接口；E2 是用作远程管理接口。在配置时，E0 与E2 选用桥接模式，E1 选用主机模式。这样在数据包经过网关时TTL值不会变化，也不会提供自身的MAC地址，使得蜜网网关对于攻击者是透明的。网关内部部署有IPjablE防火墙、Snort_Inlin E基于网络的入侵检测系统，防火墙设置了通过数据的数量限制，Snort_Inlin E会对通过网关的网络数据包进行检测。

Windows系统蜜罐与SOA服务蜜罐通过在虚拟机中建立Windows系统来部署实现，在Windows系统蜜罐中提供一些Windows系统方面的漏洞；在SOA服务蜜罐中先部署SOA服务，之后配置该服务的一些漏洞。在两个蜜罐中部署有Snort基于主机的入侵检测系统，用来检测记录分析进入蜜罐的数据，并将结果发给控制平台。

实验一，在实验室蜜网系统外部的三台电脑分别使用不同的扫描工具对于系统中的Windows蜜罐主机进行了服务端口扫描测试。主机10.166.177.2 使用namp；主机10.166.177.212使用FrEE Port ScannEr；主机10.166.178.101 使用X-scan。在主动防御系统控制平台端可以看到扫描入侵告警信息，如图2。点击扫描入侵信息可以看到内容，选择一条点击查看可以看到对于各个端口的扫描，如图3。通过这些信息可以得出有三个主机对蜜罐进行端口服务扫描，想要通过查看蜜罐开启的服务来寻找漏洞。

实验二，在外部一台电脑针对SOA服务蜜罐的一个溢出漏洞进行测试，之后在主动防御系统管理端可以查看到漏洞信息，如图4。点开该记录可以看到详细数据，数据利用了缓冲区溢出漏洞。数据包中的数据是she11代码，通过缓冲区溢出达到获取权限的目的，图中划红线部分是获取权限的地方，此处打开了6666端口并可以远程连接，如图5。通过这些信息可以得出有外部入侵者利用了远程溢出漏洞入侵SOA系统。

5 摇结束语

对SOA服务潜在安全问题，建立了基于虚拟蜜网的主动防御系统。该系统结合虚拟蜜网与传统网络安全技术，通过构建虚拟网关并部署蜜罐实现。系统在蜜罐中设置漏洞来诱使攻击者攻击蜜罐，达到记录攻击信息并保护业务网络的目的。在系统控制平台端通过数据分析对入侵信息主动告警，进一步弥补了传统网络安全技术的不足。通过实验仿真结果可以看到该主动防御系统能够实现对扫描入侵攻击的有效告警，通过对于漏洞利用信息进行记录，实现漏洞攻击的预警。基于此，后续研究将进一步丰富SOA利用漏洞库，并完善SOA系统相关防御措施。

[1]华悦，徐涛．一种基于SOA的SOAP消息安全传输机制[J]．计算机科学，2012，39{6):77-80．

[2]何祥锋．浅谈蜜罐技术在网络安全中的应用[J]．网络安全技术与应用，2014(1):88-91．

[3]诸葛建伟，唐勇，韩心慧，等．蜜罐技术研究与应用进展[J]．软件学报，2013，24{4):825-839．

[4]李圣良，王城华．基于蜜网的主动协同防御系统[J]．网络安全技术与应用，2013(1):8-9．

[5] Rutu Karia. Honeypot with Honeypot Management System for Web applications[J].Rajiv Gandhi Institute of Teonology,，2011{6):24-26．

[6]齐菊红．防火墙技术分析[J]．自动化与仪器仪表，2014{10):82-83．

[7]苏家洪．入侵检测系统新技术介绍[J]．中国新技术新产品，2012{3):43-43．

[8]田旺兰，赵专政．网络安全中高交互蜜罐系统的设计[J]．电脑知识与技术，2011，7{15):3526-3527．

[9]张炳帅．Web 安全深度剖析[M]．北京:电子工业出版社，2015．

[10]赵军．高伪装高交互蜜罐技术的研究与实现[J]．计算机工程，2010，36{15):156-158．

{责任编辑:马金发)

Service-oriented Architecture of Virtual Honeynet Defense System Design and Implementation

LIU Meng,GUAN Biqiang

(Shenyang Ligong University, SHenygang 110159,China)

Service-oriented architecture,as the focus of ITindustry in recent years,has gradually become the dominant ideology of IT system construction in China. With the development and popularization of Web services, the security problem is becoming more and more serious. And now the security model used is based on passive defense technology.An active defense system is designed and implemented by virtual honey net.The system is based of the third generation of honey network deployment topology,which combines firewall and intrusion detection system to build and use Honeywall gateway.and sets up Windows honeypots and honeypot SOA services to implement virtual honeynet.To a certain extent,it overcomes the defects of the traditional security model of passive defense.Withe the control platform,the monitoring data of network gateway is analyzed.which extracts the features of scanning intrusion and an overflow vulnerability and implements active alarm.

SOA;firewall;intrusion detection;honeynet;alarm

2016-05-26

国家863 项目{863-2015-03F)

刘猛(1977—)，男，高级实验师，研究方向:嵌入式程序设计、卫星轨道模型、分布式仿真技术。

TP393摇摇摇

A