面向服務(wù)架構(gòu)的虛擬蜜網(wǎng)防御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

劉搖猛，管碧強(qiáng)

{沈陽(yáng)理工大學(xué)信息科學(xué)與工程學(xué)院，沈陽(yáng)110159)

面向服務(wù)架構(gòu)的虛擬蜜網(wǎng)防御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

劉搖猛，管碧強(qiáng)

{沈陽(yáng)理工大學(xué)信息科學(xué)與工程學(xué)院，沈陽(yáng)110159)

摘搖要:面向服務(wù)的體系架構(gòu)作為近年來(lái)IT業(yè)界的焦點(diǎn)，已經(jīng)逐漸成為影響中國(guó)IT系統(tǒng)構(gòu)建的主導(dǎo)思想。隨著該體系首選的Web服務(wù)發(fā)展與普及應(yīng)用，其安全問(wèn)題日益突出。而現(xiàn)在所使用的安全模型都是基于被動(dòng)防御的技術(shù)。結(jié)合虛擬蜜網(wǎng)來(lái)設(shè)計(jì)實(shí)現(xiàn)面向服務(wù)架構(gòu)的主動(dòng)防御系統(tǒng)。系統(tǒng)以第三代蜜網(wǎng)部署拓?fù)錇榛A(chǔ)，結(jié)合防火墻與入侵檢測(cè)系統(tǒng)來(lái)構(gòu)建，使用Honeywall網(wǎng)關(guān)并建立Windows蜜罐與SOASOA服務(wù)蜜罐來(lái)實(shí)現(xiàn)虛擬蜜網(wǎng)，在一定程度上克服了傳統(tǒng)安全模型被動(dòng)防御的缺陷。通過(guò)控制平臺(tái)端對(duì)蜜網(wǎng)網(wǎng)關(guān)監(jiān)控?cái)?shù)據(jù)進(jìn)行分析，提取掃描入侵和一種溢出漏洞特征，實(shí)現(xiàn)了主動(dòng)告警。

關(guān)搖鍵搖詞:SOA；防火墻；入侵檢測(cè)；蜜網(wǎng)；告警

面向服務(wù)的體系架構(gòu){Serivice Oriented Architecture,SOA)作為一個(gè)全新的系統(tǒng)組織方法和網(wǎng)絡(luò)架構(gòu)，在提供便利的同時(shí)也面臨安全方面的挑戰(zhàn)[1]。SOA系統(tǒng)不但會(huì)受到傳統(tǒng)的網(wǎng)絡(luò)攻擊{基于TCP/IP)，而且會(huì)受到基于SOAP消息的攻擊，如重放攻擊、XML注入攻擊和各種DoS攻擊等。對(duì)于這些攻擊，現(xiàn)在所采用的防御方法是傳統(tǒng)的入侵檢測(cè)系統(tǒng){IDS Intrusion Detection Systems)和防火墻，以及基于安全標(biāo)準(zhǔn){WS Security)框架的實(shí)現(xiàn)，包括XML簽名、XML加密、授權(quán)與認(rèn)證等。這些防御方式都是被動(dòng)地對(duì)攻擊進(jìn)行處理。對(duì)此本論文提出結(jié)合虛擬蜜網(wǎng)與傳統(tǒng)網(wǎng)絡(luò)安全防御技術(shù)來(lái)構(gòu)建面向服務(wù)架構(gòu)的防御系統(tǒng)。

1 搖蜜網(wǎng)技術(shù)

蜜罐網(wǎng)絡(luò)系統(tǒng)是在蜜罐技術(shù)上發(fā)展起來(lái)的一個(gè)新的概念，簡(jiǎn)稱蜜網(wǎng){Honeynet)，又稱為誘捕網(wǎng)絡(luò)，它是由多個(gè)系統(tǒng)組成的高度受控網(wǎng)絡(luò)[2]。蜜網(wǎng)實(shí)質(zhì)上還是一類研究型高交互蜜罐，高交互指的是蜜網(wǎng)中的蜜罐采用真實(shí)的操作系統(tǒng)、應(yīng)用程序以及服務(wù)來(lái)跟攻擊者進(jìn)行交互。構(gòu)成了一個(gè)誘捕攻擊網(wǎng)絡(luò)體系架構(gòu)是蜜網(wǎng)與傳統(tǒng)的蜜罐技術(shù)的差異。在這個(gè)架構(gòu)中包含一個(gè)或多個(gè)蜜罐，具有高度可控性，提供了多種工具以用來(lái)對(duì)攻擊信息行采集和分析。采用虛擬蜜罐部署的蜜網(wǎng)稱為虛擬蜜網(wǎng)。

1.1 搖蜜罐技術(shù)

蜜罐技術(shù)是一種新型的網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)[3]。蜜罐的作用是誘使攻擊者攻擊自身，捕獲數(shù)據(jù)。通過(guò)對(duì)這些數(shù)據(jù)的分析可以得出攻擊者的攻擊工具、攻擊方式、攻擊目的等相關(guān)信息。當(dāng)蜜罐被探測(cè)、被攻擊或被摧毀的時(shí)候，它的價(jià)值才能夠體現(xiàn)出來(lái)。

1.2 搖蜜網(wǎng)的關(guān)鍵技術(shù)

想要構(gòu)建一個(gè)蜜網(wǎng)必須考慮到三個(gè)方面:數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)采集。這三個(gè)方面是蜜網(wǎng)的三大核心需求[4]。

數(shù)據(jù)控制的目的是保證蜜網(wǎng)在被攻擊時(shí)不會(huì)被用來(lái)破壞內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)。這使得蜜網(wǎng)至少需要兩層數(shù)據(jù)控制機(jī)制，當(dāng)一種機(jī)制失效時(shí)，還有其它有效的數(shù)據(jù)控制?？刂频姆椒ㄊ强刂七M(jìn)出蜜網(wǎng)的數(shù)據(jù)量，防火墻、路由器等都可以用來(lái)進(jìn)行蜜網(wǎng)的數(shù)據(jù)控制。

數(shù)據(jù)捕獲是蜜網(wǎng)的主要目的。捕獲的數(shù)據(jù)用來(lái)分析攻擊者的攻擊方法、攻擊工具及攻擊目的等[5]。如果蜜網(wǎng)捕獲不到任何數(shù)據(jù)，蜜網(wǎng)就沒有什么作用了。在捕獲攻擊者的所有活動(dòng)時(shí)，讓攻擊者意識(shí)不到自己已經(jīng)在蜜網(wǎng)中是一個(gè)難點(diǎn)。為了更全面更系統(tǒng)地獲得數(shù)據(jù)，蜜網(wǎng)需要采用多層次的數(shù)據(jù)捕獲方式。防火墻、入侵檢測(cè)系統(tǒng)、蜜罐等都可以用作蜜網(wǎng)的數(shù)據(jù)捕獲方式。

數(shù)據(jù)采集是在管理多個(gè)蜜網(wǎng)時(shí)需要進(jìn)行的，這樣可以將多個(gè)蜜網(wǎng)的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，提高蜜網(wǎng)的研究?jī)r(jià)值。采集整理好數(shù)據(jù)后，需要用一種相對(duì)安全的方式進(jìn)行傳輸來(lái)保證數(shù)據(jù)的真實(shí)性、可靠性和安全性。

2 搖系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

面向服務(wù)架構(gòu)的虛擬蜜網(wǎng)防御系統(tǒng)結(jié)構(gòu)設(shè)計(jì)如圖1所示，系統(tǒng)主要由防火墻、控制平臺(tái)端、入侵檢測(cè)系統(tǒng)、蜜網(wǎng)網(wǎng)關(guān)和蜜罐等組成。

搖搖防火墻是一種由數(shù)個(gè)組件構(gòu)成，部署在網(wǎng)絡(luò)節(jié)點(diǎn)上的防護(hù)設(shè)施[6]。防火墻主要用于加強(qiáng)網(wǎng)絡(luò)之間的訪問(wèn)控制，預(yù)防系統(tǒng)網(wǎng)絡(luò)外部用戶入侵內(nèi)部網(wǎng)絡(luò)或者非法操作單機(jī)的一種必要防護(hù)組件。防火墻部署在蜜網(wǎng)系統(tǒng)內(nèi)，實(shí)行寬進(jìn)嚴(yán)出的策略，用來(lái)控制進(jìn)出蜜網(wǎng)系統(tǒng)的數(shù)據(jù)，任何跟系統(tǒng)交互的數(shù)據(jù)都可以認(rèn)為是可疑的。防火墻的寬進(jìn)嚴(yán)出指寬松地控制蜜網(wǎng)的流入數(shù)據(jù)，嚴(yán)格地控制蜜網(wǎng)的流出數(shù)據(jù)。這樣可以給蜜網(wǎng)入侵者一定的自由，造成假象來(lái)迷惑蜜網(wǎng)入侵者，以便獲取更多的蜜網(wǎng)攻擊者的信息。防火墻部署在SOA系統(tǒng)網(wǎng)絡(luò)外，通過(guò)配置包過(guò)濾機(jī)制進(jìn)行安全防御。當(dāng)控制平臺(tái)端檢測(cè)出入侵后，根據(jù)情況調(diào)用反饋功能更新防火墻機(jī)制，來(lái)更好地保護(hù)SOA系統(tǒng)網(wǎng)絡(luò)。

入侵檢測(cè)技術(shù)是一種通過(guò)記錄攻擊者相關(guān)信息，觀察攻擊行為，研究分析安全日志和部分攻擊數(shù)據(jù)之后，檢測(cè)鑒定該行為是否屬于入侵行為一種檢測(cè)技術(shù)[7]。入侵檢測(cè)技術(shù)己經(jīng)發(fā)展幾十年了，而且逐漸成為一種可以對(duì)系統(tǒng)進(jìn)行動(dòng)態(tài)監(jiān)控，可以預(yù)防以及抵御安全威脅的實(shí)時(shí)性檢測(cè)機(jī)制。入侵檢測(cè)系統(tǒng)部署在蜜網(wǎng)的網(wǎng)關(guān)和各個(gè)蜜罐中，通過(guò)核查匹配預(yù)先建立的特征庫(kù)內(nèi)容，并對(duì)入侵的相關(guān)數(shù)據(jù)進(jìn)行審計(jì)、分析與研究，判斷該操作是否屬于入侵類別的操作，并且記錄數(shù)據(jù)發(fā)送給控制平臺(tái)端處理。入侵檢測(cè)系統(tǒng)部署在SOA系統(tǒng)中，實(shí)時(shí)檢測(cè)SOA系統(tǒng)。當(dāng)控制平臺(tái)端檢測(cè)分析出新的入侵后，調(diào)用規(guī)則更新功能，及時(shí)更新入侵檢測(cè)系統(tǒng)的規(guī)則。

控制平臺(tái)端主要是收集分析各種數(shù)據(jù)，所收集的數(shù)據(jù)主要是網(wǎng)關(guān)監(jiān)控?cái)?shù)據(jù)、Sebek客戶端記錄的數(shù)據(jù)、入侵檢測(cè)系統(tǒng)記錄的數(shù)據(jù)等。根據(jù)數(shù)據(jù)分析，得出結(jié)果并進(jìn)行相應(yīng)的處理。

蜜網(wǎng)網(wǎng)關(guān)通過(guò)虛擬機(jī)技術(shù)使用集成系統(tǒng)來(lái)部署[8]，系統(tǒng)里面有IPjabes防火墻、snor-online入侵檢測(cè)系統(tǒng)、Sebek服務(wù)端等數(shù)據(jù)監(jiān)測(cè)分析工具。通過(guò)這些工具來(lái)對(duì)蜜網(wǎng)數(shù)據(jù)進(jìn)行監(jiān)控。

系統(tǒng)中的蜜罐主機(jī)是通過(guò)VMware虛擬機(jī)虛擬構(gòu)建出來(lái)的，在這些客戶機(jī)系統(tǒng)上提供各種真實(shí)服務(wù)和一些虛假信息。在每個(gè)蜜罐主機(jī)上部署了一些可用漏洞，提高蜜罐誘惑性，并且運(yùn)行了數(shù)據(jù)捕獲工具Sebek客戶端，將系統(tǒng)入侵者在主機(jī)上的活動(dòng)進(jìn)行記錄，并向控制平臺(tái)端提交所記錄數(shù)據(jù)信息。

3 搖系統(tǒng)功能設(shè)計(jì)

攻擊者想要對(duì)SOA系統(tǒng)進(jìn)行滲透，有一個(gè)條件是必須的:就是攻擊者的計(jì)算機(jī)與SOA服務(wù)器必須能夠正常通信[9]。SOA服務(wù)器提供各種服務(wù)供客戶使用，那么此時(shí)SOA服務(wù)器是如何與客戶通信的？依靠的就是端口。攻擊者入侵也是靠端口，或者說(shuō)是計(jì)算機(jī)提供的服務(wù)。所以攻擊者會(huì)對(duì)SOA系統(tǒng)網(wǎng)絡(luò)進(jìn)行端口掃描，獲取SOA系統(tǒng)的端口信息

通過(guò)分析掃描數(shù)據(jù)，可以得出的特征有:發(fā)送的報(bào)文數(shù)據(jù)部分為空；報(bào)文除了端口信息外其余都相同；在一定時(shí)間內(nèi)大量的同一IP不同端口訪問(wèn)主機(jī)；主機(jī)大量不常用端口被訪問(wèn)。根據(jù)這些特征本系統(tǒng)設(shè)計(jì)了對(duì)于掃描入侵信息的判別并進(jìn)行告警提示。

攻擊者獲取端口服務(wù)信息后，會(huì)通過(guò)服務(wù)端口查找SOA系統(tǒng)的漏洞，然后利用漏洞實(shí)現(xiàn)滲透。本文對(duì)于蜜罐部署的SOA系統(tǒng)的一個(gè)漏洞進(jìn)行分析，得出攻擊者可以利用溢出方式寫入shell來(lái)進(jìn)一步獲取SOA系統(tǒng)的權(quán)限，據(jù)此本系統(tǒng)設(shè)計(jì)對(duì)于該漏洞利用的告警提示。

4 搖實(shí)驗(yàn)仿真

本實(shí)驗(yàn)在一臺(tái)電腦上，利用VMware虛擬機(jī)部署實(shí)現(xiàn)。首先安裝VMware，本實(shí)驗(yàn)安裝的VMware 10。之后新建三個(gè)虛擬機(jī)，分別作為蜜網(wǎng)網(wǎng)關(guān)、Windows系統(tǒng)蜜罐、SOA服務(wù)蜜罐。

蜜網(wǎng)網(wǎng)關(guān)使用集成于Linux系統(tǒng)的蜜網(wǎng)網(wǎng)關(guān)來(lái)部署，在VMware中新建虛擬機(jī)時(shí)導(dǎo)入該集成系統(tǒng)roo 14 hw 20090425114542，之后啟動(dòng)虛擬機(jī)。蜜網(wǎng)網(wǎng)關(guān)啟動(dòng)后，在其系統(tǒng)內(nèi)對(duì)其進(jìn)行配置。由蜜網(wǎng)系統(tǒng)架構(gòu)圖可知，該網(wǎng)關(guān)需要三個(gè)網(wǎng)絡(luò)接口，所以在虛擬機(jī)設(shè)置中為其配置三塊虛擬網(wǎng)卡[10]。在系統(tǒng)中三個(gè)網(wǎng)卡接口為E0、E1 和E2，其中E0 是面向網(wǎng)絡(luò)的外部接口；E1 是面向虛擬蜜罐系統(tǒng)的內(nèi)部接口；E2 是用作遠(yuǎn)程管理接口。在配置時(shí)，E0 與E2 選用橋接模式，E1 選用主機(jī)模式。這樣在數(shù)據(jù)包經(jīng)過(guò)網(wǎng)關(guān)時(shí)TTL值不會(huì)變化，也不會(huì)提供自身的MAC地址，使得蜜網(wǎng)網(wǎng)關(guān)對(duì)于攻擊者是透明的。網(wǎng)關(guān)內(nèi)部部署有IPjablE防火墻、Snort_Inlin E基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，防火墻設(shè)置了通過(guò)數(shù)據(jù)的數(shù)量限制，Snort_Inlin E會(huì)對(duì)通過(guò)網(wǎng)關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測(cè)。

Windows系統(tǒng)蜜罐與SOA服務(wù)蜜罐通過(guò)在虛擬機(jī)中建立Windows系統(tǒng)來(lái)部署實(shí)現(xiàn)，在Windows系統(tǒng)蜜罐中提供一些Windows系統(tǒng)方面的漏洞；在SOA服務(wù)蜜罐中先部署SOA服務(wù)，之后配置該服務(wù)的一些漏洞。在兩個(gè)蜜罐中部署有Snort基于主機(jī)的入侵檢測(cè)系統(tǒng)，用來(lái)檢測(cè)記錄分析進(jìn)入蜜罐的數(shù)據(jù)，并將結(jié)果發(fā)給控制平臺(tái)。

實(shí)驗(yàn)一，在實(shí)驗(yàn)室蜜網(wǎng)系統(tǒng)外部的三臺(tái)電腦分別使用不同的掃描工具對(duì)于系統(tǒng)中的Windows蜜罐主機(jī)進(jìn)行了服務(wù)端口掃描測(cè)試。主機(jī)10.166.177.2 使用namp；主機(jī)10.166.177.212使用FrEE Port ScannEr；主機(jī)10.166.178.101 使用X-scan。在主動(dòng)防御系統(tǒng)控制平臺(tái)端可以看到掃描入侵告警信息，如圖2。點(diǎn)擊掃描入侵信息可以看到內(nèi)容，選擇一條點(diǎn)擊查看可以看到對(duì)于各個(gè)端口的掃描，如圖3。通過(guò)這些信息可以得出有三個(gè)主機(jī)對(duì)蜜罐進(jìn)行端口服務(wù)掃描，想要通過(guò)查看蜜罐開啟的服務(wù)來(lái)尋找漏洞。

實(shí)驗(yàn)二，在外部一臺(tái)電腦針對(duì)SOA服務(wù)蜜罐的一個(gè)溢出漏洞進(jìn)行測(cè)試，之后在主動(dòng)防御系統(tǒng)管理端可以查看到漏洞信息，如圖4。點(diǎn)開該記錄可以看到詳細(xì)數(shù)據(jù)，數(shù)據(jù)利用了緩沖區(qū)溢出漏洞。數(shù)據(jù)包中的數(shù)據(jù)是she11代碼，通過(guò)緩沖區(qū)溢出達(dá)到獲取權(quán)限的目的，圖中劃紅線部分是獲取權(quán)限的地方，此處打開了6666端口并可以遠(yuǎn)程連接，如圖5。通過(guò)這些信息可以得出有外部入侵者利用了遠(yuǎn)程溢出漏洞入侵SOA系統(tǒng)。

5 搖結(jié)束語(yǔ)

對(duì)SOA服務(wù)潛在安全問(wèn)題，建立了基于虛擬蜜網(wǎng)的主動(dòng)防御系統(tǒng)。該系統(tǒng)結(jié)合虛擬蜜網(wǎng)與傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)，通過(guò)構(gòu)建虛擬網(wǎng)關(guān)并部署蜜罐實(shí)現(xiàn)。系統(tǒng)在蜜罐中設(shè)置漏洞來(lái)誘使攻擊者攻擊蜜罐，達(dá)到記錄攻擊信息并保護(hù)業(yè)務(wù)網(wǎng)絡(luò)的目的。在系統(tǒng)控制平臺(tái)端通過(guò)數(shù)據(jù)分析對(duì)入侵信息主動(dòng)告警，進(jìn)一步彌補(bǔ)了傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的不足。通過(guò)實(shí)驗(yàn)仿真結(jié)果可以看到該主動(dòng)防御系統(tǒng)能夠?qū)崿F(xiàn)對(duì)掃描入侵攻擊的有效告警，通過(guò)對(duì)于漏洞利用信息進(jìn)行記錄，實(shí)現(xiàn)漏洞攻擊的預(yù)警?；诖?，后續(xù)研究將進(jìn)一步豐富SOA利用漏洞庫(kù)，并完善SOA系統(tǒng)相關(guān)防御措施。

[1]華悅，徐濤．一種基于SOA的SOAP消息安全傳輸機(jī)制[J]．計(jì)算機(jī)科學(xué)，2012，39{6):77-80．

[2]何祥鋒．淺談蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014(1):88-91．

[3]諸葛建偉，唐勇，韓心慧，等．蜜罐技術(shù)研究與應(yīng)用進(jìn)展[J]．軟件學(xué)報(bào)，2013，24{4):825-839．

[4]李圣良，王城華．基于蜜網(wǎng)的主動(dòng)協(xié)同防御系統(tǒng)[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013(1):8-9．

[5] Rutu Karia. Honeypot with Honeypot Management System for Web applications[J].Rajiv Gandhi Institute of Teonology,，2011{6):24-26．

[6]齊菊紅．防火墻技術(shù)分析[J]．自動(dòng)化與儀器儀表，2014{10):82-83．

[7]蘇家洪．入侵檢測(cè)系統(tǒng)新技術(shù)介紹[J]．中國(guó)新技術(shù)新產(chǎn)品，2012{3):43-43．

[8]田旺蘭，趙專政．網(wǎng)絡(luò)安全中高交互蜜罐系統(tǒng)的設(shè)計(jì)[J]．電腦知識(shí)與技術(shù)，2011，7{15):3526-3527．

[9]張炳帥．Web 安全深度剖析[M]．北京:電子工業(yè)出版社，2015．

[10]趙軍．高偽裝高交互蜜罐技術(shù)的研究與實(shí)現(xiàn)[J]．計(jì)算機(jī)工程，2010，36{15):156-158．

{責(zé)任編輯:馬金發(fā))

Service-oriented Architecture of Virtual Honeynet Defense System Design and Implementation

LIU Meng,GUAN Biqiang

(Shenyang Ligong University, SHenygang 110159,China)

Service-oriented architecture,as the focus of ITindustry in recent years,has gradually become the dominant ideology of IT system construction in China. With the development and popularization of Web services, the security problem is becoming more and more serious. And now the security model used is based on passive defense technology.An active defense system is designed and implemented by virtual honey net.The system is based of the third generation of honey network deployment topology,which combines firewall and intrusion detection system to build and use Honeywall gateway.and sets up Windows honeypots and honeypot SOA services to implement virtual honeynet.To a certain extent,it overcomes the defects of the traditional security model of passive defense.Withe the control platform,the monitoring data of network gateway is analyzed.which extracts the features of scanning intrusion and an overflow vulnerability and implements active alarm.

SOA;firewall;intrusion detection;honeynet;alarm

2016-05-26

國(guó)家863 項(xiàng)目{863-2015-03F)

劉猛(1977—)，男，高級(jí)實(shí)驗(yàn)師，研究方向:嵌入式程序設(shè)計(jì)、衛(wèi)星軌道模型、分布式仿真技術(shù)。

TP393搖搖搖

A