CN101185063A

CN101185063A - 用于使用“蜜罐”检测和阻止攻击的系统和方法

Info

Publication number: CN101185063A
Application number: CNA2006800129514A
Authority: CN
Inventors: 斯蒂利亚诺斯·西迪罗格洛; 安格洛斯·D·凯罗米蒂斯; 科斯塔斯·G·阿纳格诺斯塔基斯
Original assignee: Columbia University of New York
Current assignee: Columbia University of New York
Priority date: 2005-04-18
Filing date: 2006-04-18
Publication date: 2008-05-21
Also published as: US20080141374A1; AU2006236283A1; MX2007013025A; BRPI0610855A2; US7904959B2; EP1872222A1; RU2007142368A; JP2008537267A; CA2604544A1; WO2006113781A1

Abstract

根据本发明的某些实施例，提供了保护应用程序免受攻击的系统和方法。在本发明的某些实施例中，由异常检测组件从通信网络接收通信。异常检测组件对接收的通信进行监视，并将通信路由到受保护的应用程序或者路由到“蜜罐”，在那里，“蜜罐”在受保护的应用程序与该应用程序共享所有状态信息。如果接收的通信被路由到“蜜罐”，“蜜罐”对通信进行监视，以发现攻击。如果发生攻击，则“蜜罐”修理受保护的应用程序(例如，丢弃由攻击所产生的任何状态改变，回复到预先保存的状态信息，等等)。

Description

用于使用“蜜罐”检测和阻止攻击的系统和方法

对相关申请的交叉引用

本申请要求2005年4月18日提出的美国临时专利申请No.60/672,280的优先权，这里引用了该申请作为参考。

技术领域

本发明涉及计算机安全领域。具体来说，本发明涉及用于检测和阻止软件攻击的系统和方法。

背景技术

计算机病毒、蠕虫、特洛伊木马、黑客、密钥恢复攻击、恶意可执行程序、探针等等是对连接到公共计算机网络(如因特网)和/或私用网络(如公司计算机网络)的计算机的用户的威胁。为应付这些威胁，许多计算机用防病毒软件和防火墙保护起来。然而，这些预防措施并不总是可以胜任。例如，在许多情况下，蠕虫及其他攻击已经利用计算机软件(例如，防火墙技术中的)中已知的漏洞，而公众要到第二天才察觉到该漏洞的存在。由于这样快速地利用漏洞，纠正漏洞所需的补丁不能及时地部署以防止攻击。类似地，大多数防病毒软件都依赖对该软件的更新，以便可以利用已知病毒的特征来识别威胁。在“零天”蠕虫或病毒(例如，刚刚投入使用的蠕虫或病毒)的情况下，大多数计算机系统对攻击完全没有防范能力，因为还没有已知的补丁或特征更新针对它们。

由于因特网上恶意的活动比较猖獗，各个单位都部署用于检测新的攻击或可疑的活动并对它们作出响应的机制，有时被称为“入侵预防系统”。然而，这些入侵预防系统中的许多系统只限于预防已知的攻击，因为它们使用基于规则的入侵检测系统。

已经有人开发了用于更有威力的反应性防御系统中的诸如“蜜罐”和异常检测系统之类的检测机制。与入侵检测系统对比，“蜜罐”和异常检测系统提供了检测预先未知的攻击或“零天”攻击并对它们作出响应的可能性。“蜜罐”一般被定义为被设置为检测或偏转对信息系统的未授权使用的陷阱。然而，应该注意，“蜜罐”看不到合法的通信或活动。出现这种情况的一个原因是，因为“蜜罐”常常被放置在合法的通信没有理由进行访问的网络位置。另一个原因是，“蜜罐”通常太慢，难以在现实应用所需的时间内处理通信。再一个原因是，“蜜罐”没有完全地为合法的通信提供服务的功能，因为，例如，“蜜罐”不与实际系统共享状态。异常检测系统通过监视对它的企图的访问并使用启发规则来将访问分类为正常访问或异常访问，从而对资源进行保护。“蜜罐”和异常检测系统在可以检测到的攻击的精确度和范围之间取得不同的折衷。

“蜜罐”可以被着重地改编为准确地检测攻击，但是，它们依赖于攻击者企图利用漏洞来攻击它们。这使得“蜜罐”适于检测扫描性的蠕虫，但是，对于人工启动的攻击或拓扑和“攻击名单”式蠕虫却不起作用。此外，“蜜罐”通常只用于服务器型的应用场合。

从理论上来讲，异常检测系统可以检测两种类型的攻击，但是，精确性通常比“蜜罐”差得多。大多数异常检测系统在“假阳性”和“假阴性”检测率之间取得折衷。例如，常常可以对系统进行调整，以检测更多的潜在攻击，然而，这会使对合法的通信进行错误分类的风险增大。尽管可以使异常检测系统对攻击不太敏感，但是，这也会产生错过某些实际攻击的风险。由于异常检测系统可能会通过，例如，丢弃合法的请求，而对合法的通信产生不利影响，系统设计人员常常对系统进行调整，以降低可能将攻击错误分类合法的通信所造成的“假阳性”率。

相应地，需要提供克服现有技术的这些及其他缺陷的系统和方法。

发明内容

在本发明的某些实施例中，提供了用于保护应用程序免受攻击的系统和方法。通过异常检测组件传输接收的通信(例如，网络通信)。异常检测组件预测接收的通信是否是对应用程序的潜在攻击，并对异常检测组件进行调整，以取得较低的假阴性率。作为对从异常检测组件接收到有关通信可能是攻击的指示的响应，将接收的通信传输到“蜜罐”。“蜜罐”可以是应用程序的与应用程序共享状态信息的经过改编的实例。应该注意，在某些实施例中，“蜜罐”可以是受保护的应用程序本身的一部分。“蜜罐”对接收的通信进行监视，以发现对应用程序的攻击。作为对从“蜜罐”接收到有关接收的通信是对应用程序的攻击的指示的响应，“蜜罐”提供修理应用程序的状态信息的指令。

在一些实施例中，修理可以包括将应用程序的状态信息回滚到以前保存的状态信息。在一些实施例中，修理可以包括丢弃应用程序的状态信息。在一些实施例中，修理可以包括用以前保存的状态信息启动应用程序的新实例。

在某些实施例中，可以提供过滤器，用于在将接收的通信传输到异常检测组件之前对通信进行过滤。过滤操作可以基于攻击的有效负载内容和来源中的至少一个。

在某些实施例中，可以由“蜜罐”提供反馈。在某些实施例中，来自“蜜罐”的反馈可以用来更新异常检测组件(例如，与异常检测组件关联的预测器和模型)和/或过滤器。在某些实施例中，反馈可以用来自动地对异常检测组件和/或过滤器进行调整。

如此，相当广泛地概述了本发明的比较重要的特征，以便可以更好地理解随后的其详细描述，并且可以较好地理解发明人对当前技术的贡献。当然，下面还将描述本发明的其他特点，它们将构成所附的权利要求书的主题。

在这一方面，在详细地说明本发明的至少一个实施例之前，应该理解，本发明在其应用方面不仅限于下面的描述中阐述的或附图中所显示的结构细节和组件的布局。本发明可以有其他实施例，并可以以各种方式实施。此外，还应该理解，这里所使用的措辞和术语只是为了说明，不应该被视为限制性的。

如此，本领域技术人员将认识到，本说明书所依据的概念，可以轻松地被用作设计用于实现本发明的多种用途的其他结构、方法和系统的基础。因此，重要的是，权利要求被视为包括这样的等效的结构，只要它们不偏离本发明的精神和范围。

在本说明书的后面所附的并且构成本说明书的一部分的权利要求书中详细地指出了本发明的这些目标以及其他目标，以及构成了本发明的特征的新颖性的各种特征。为了更好地理解本发明，其使用所能取得的其操作上的优点和具体的目的，应该参考附图以及其中显示了本发明的优选实施例的描述。

附图说明

通过下面的参考附图进行的详细描述，本发明的上面的及其他优点将变得显而易见，在附图中，类似的附图标记在整个图中表示相同的部件，其中：

图1是根据本发明的某些实施例的适合于实现监视通信和保护应用程序免受攻击的应用程序的说明性系统的示意图；

图2是可以根据本发明的某些实施例使用的图1的服务器和其中一个客户端的详细示例；

图3是根据本发明的某些实施例的适合于监视通信和保护应用程序免受攻击的另一个说明性方案的示意图；

图4是根据本发明的某些实施例的用于保护应用程序免受攻击的说明性流程图；

图5是根据本发明的某些实施例的适合于监视通信和保护应用程序免受攻击的另一个说明性方案的示意图；

图6是根据本发明的某些实施例的适合于监视通信和保护应用程序免受攻击的另一个说明性方案的示意图；

图7是根据本发明的某些实施例使用的基于pmalloc()的存储器分配的示例；以及

图8是根据本发明的某些实施例执行的C代码的转换的示例。

具体实施方式

在下面的描述中，阐述了有关本发明的系统和方法以及这样的系统和方法可以运转的环境等等的很多具体细节，以便对本发明有全面的了解。然而，对本领域技术人员显而易见的是，可以无需这样的具体细节即可实施本发明，没有详细描述当前技术中已为大家所熟知的某些特征，以避免使本发明的主题复杂化。此外，还可以理解，下面所提供的示例只是示范性的，可以设想，还有其他在本发明的范围内的方法和系统。

根据本发明，提供了用于对应用程序进行未经证实的保护使其免受攻击的系统和方法。这些系统和方法提供至少一个异常检测器和至少一个“蜜罐”(有时称为“阴影蜜罐”)。这些阴影“蜜罐”能使攻击的迹象被检测到，并能使应用程序受到保护而免受这样的攻击。异常检测器对路由到受保护的应用程序的所有通信进行监视。代之以允许应用程序处理被视为异常的通信的是，异常的通信由“蜜罐”来进行处理。如这里所使用的，“蜜罐”是受保护的应用程序的基本上与该应用程序的正常实例共享所有内部状态的实例。然而，可以以各种方法提供“蜜罐”。例如，在某些实施例中，“蜜罐”应用程序可以是受保护的应用程序本身的一部分。通过使用“蜜罐”，检测到针对“蜜罐”的攻击，而“蜜罐”对应用程序进行修理(例如，丢弃任何产生的状态改变)。在其他实施例中，可以用在攻击之前保存的状态信息重新启动和加载应用程序。可以由“蜜罐”来验证被异常检测器错误分类的合法的通信，并可以由系统正确地并对用户透明地进行处理。应该注意，“阴影蜜罐”可以用于对服务器和客户端应用程序进行保护。

本发明的某些实施例允许系统设计人员对异常检测系统进行调整，以取得较低的假阴性率，从而最小化将现实的攻击错误分类为合法的通信，因为“蜜罐”消除了任何假阳性(或错误地触发的攻击的指示)。本发明可以抵御针对具有特定内部状态的特定站点定制的攻击。

图1是根据本发明的某些实施例的适合于实现用于监视保护应用程序免受攻击的系统和方法的说明性系统100的示意图。请参看图1，该图显示了用于实现本发明的示范性系统100。如图所示，系统100可以包括一个或多个客户端102。客户端102可以彼此在同一个位置，也可以彼此分离，位于不同的位置，并通过一个或多个通信链路104连接到通信网络106，而通信网络106通过通信链路108链接到服务器110。本申请的各种实施例可以至少在服务器和客户端上实现。

在系统100中，服务器110可以是用于执行应用程序的任何合适的服务器，如处理器、计算机、数据处理设备或这样的设备的组合。通信网络106可以是任何合适的计算机网络，包括因特网、内部网、广域网(WAN)、局域网(LAN)、无线网络、数字用户线(DSL)网络、帧中继网络、异步传输模式(ATM)网络、虚拟专用网络(VPN)或上述网络中的任何网络的任何组合。通信链路104和108可以是适合于在客户端102和服务器110之间传递数据的任何通信链路，如网络链路、拨号链路、无线链路、硬线链路等等。客户端102可以是个人计算机、笔记本电脑、大型计算机、哑终端、数据显示器、因特网浏览器、个人数字助理(PDA)、双向寻呼机、无线终端、便携式电话等等或上述各项的任何组合。客户端102和服务器110可以位于任何合适的位置。在一个实施例中，客户端102和服务器110可以位于一个单位内。或者，客户端102和服务器110可以分布在多个单位之间。

在图2中比较详细地显示了图1中所描述的服务器和其中一个客户端。请参看图2，客户端102可以包括处理器202、显示器204、输入设备206、和存储器208，它们可以互连起来。在优选实施例中，存储器208包含用于存储对处理器202进行处理的客户端程序的存储设备。存储器208也可以包含用于保护至少一个其他应用程序免受攻击的应用程序。在某些实施例中，应用程序可以驻留在客户端102或服务器110的存储器中。

虽然这里所描述的本发明的方法和系统是在客户端或服务器上实现的，但是，这只是说明性的。应用程序可以在任何合适的平台上实现(例如，个人计算机(PC)、大型计算机、哑终端、数据显示器、双向寻呼机、无线终端、便携式电话、便携式计算机、掌上电脑、H/PC、汽车PC、笔记本电脑、个人数字助理(PDA)、组合的蜂窝电话和PDA，等等)，以提供这样的特征。

图3显示了根据本发明的某些实施例的系统的简化图例。如图所示，系统300包括异常检测传感器310。异常检测传感器310从网络320接收通信。异常检测传感器310可以将通信路由到受保护的应用程序330或者应用程序340的“蜜罐”版本。在某些实施例中，异常检测传感器310可以基于异常检测传感器310所进行的预测，将通信路由到受保护的应用程序330或“蜜罐”340。例如，异常检测传感器310可以至少部分地基于进行的有效负载分析或对网络行为进行分析的结果，对来自网络320的通信进行预测。

如前面所描述的，应用程序的“蜜罐”版本340是基本上与受保护的应用程序330的正常实例共享所有内部状态的该应用程序的实例。在某些实施例中，“蜜罐”应用程序可以是受保护的应用程序本身的一部分。通过使用“蜜罐”340，检测到针对“蜜罐”340的攻击，并丢弃任何产生的状态改变。可以由“蜜罐”340来验证被异常检测传感器310错误分类的通信320，并可以由系统300正确地并对用户透明地进行处理。“蜜罐”340和受保护的应用程序330连接到相同的处理状态信息350。一般而言，处理状态信息350可以包括，例如，可变值、存储器分配信息，与关联的组件或设备相关的状态信息，或定义进程的当前状态可能需要的任何其他合适的信息。

在某些实施例中，诸如“蜜罐”340之类的“蜜罐”，可以给异常检测传感器或系统300的任何其他合适的组件提供反馈。如图3所示，“蜜罐”340可以向异常检测传感器310提供反馈360。例如，“蜜罐”340可以向异常检测传感器310提供关于攻击的信息。异常检测传感器310可以使用来自“蜜罐”340的反馈360，来更新在异常检测传感器310内使用的预测器，或在用于调整异常检测传感器310的任何其他合适的方法中使用反馈360。

图4是显示了根据本发明的某些实施例的异常检测传感器和“蜜罐”的交互的说明性流程图。由系统在异常检测传感器(图4中的410)接收来自网络的通信。异常检测传感器确定接收的通信是否是对应用程序的攻击(图4中的420)。

如果异常检测传感器预测接收的通信是攻击，则将接收的通信路由到“蜜罐”(图4中的430)。由“蜜罐”对到达“蜜罐”的通信进行处理，并对它们进行监视，以发现攻击(图4中的440)。如果“蜜罐”没有检测到攻击，则由系统透明地对代码进行处理(图4中的450)。从用户的观点来看，似乎由受保护的应用程序对通信进行了处理。“蜜罐”也可以通知异常检测传感器，它进行了错误的预测(图4中的450)。异常检测传感器可以使用此信息来改善由异常检测传感器所进行的未来的预测。否则，如果“蜜罐”确定接收的通信是攻击，则“蜜罐”可以丢弃由攻击所导致的任何状态改变(图4中的460)。“蜜罐”也可以将正确的预测通知给异常检测传感器。关于正确的预测的信息也可以用于改善由异常检测传感器所进行的未来的预测。

或者，如果异常检测传感器预测接收的通信不是攻击，则将接收的通信路由到受保护的应用程序(图4中的470)。在此情况下，不将接收的通信路由到“蜜罐”版本。

图5显示了根据本发明的某些实施例的攻击检测系统的另一个说明性方案。在图5的方案中，系统500包括过滤引擎510、异常检测传感器520的阵列、应用程序530的“蜜罐”版本、受保护的应用程序540、当前处理状态550，以及用于回滚的保存的过程语句560。

过滤引擎510从网络570接收通信。过滤引擎510可以被系统500用于阻挡接收的通信570内的已知攻击。过滤可以，例如，基于攻击的有效负载内容、来源，任何合适的过滤方法的组合来进行，或通过用于过滤接收的通信的任何其他合适的方法来进行。如图5所示，过滤引擎510可以被配置为异常检测传感器520的阵列和来自网络570的通信之间的层。过滤引擎510可以用来在进行任何其他处理之前丢弃特定类型的通信。

如果来自网络570的通信经过过滤引擎510，则可以使用一个或多个异常检测传感器520的阵列来对接收的通信570进行处理。可以在系统500中使用的异常检测传感器520的类型的示例包括进行有效负载分析的传感器和网络行为异常检测器。然而，应该注意，根据本发明，可以使用任何合适的异常检测传感器。

应该注意，如果将异常检测传感器520调整到比较高的灵敏度，则可以改善结果。尽管这会增大由异常检测传感器520所报告的假阳性的数量，但是，进一步确保了攻击不会到达受保护的应用程序540。

至少部分地基于一个或多个异常检测传感器520的预测，系统500调用受保护的应用程序的正常实例540或者应用程序的“蜜罐”版本530。如前面所描述的，应用程序的“蜜罐”版本530是基本上与应用程序的正常实例共享所有内部状态的该应用程序的经过改编的实例。通过使用“蜜罐”530，检测到针对“蜜罐”530的攻击，并丢弃任何产生的状态改变。“蜜罐”530和受保护的应用程序540连接到相同的处理状态信息550。

然而，作为对检测到攻击或故障的响应，“蜜罐”530可以将任何状态改变回滚到已知的好的状态。例如，“蜜罐”530可以回滚到受保护的应用程序540在对恶意请求进行处理之前具有的状态(例如，用于回滚的保存的过程语句560)。或者，作为对检测到攻击的响应，“蜜罐”530可以重新启动应用程序或启动具有以前保存的状态信息的应用程序的新的实例。

在某些实施例中，“蜜罐”530可以给过滤引擎510、一个或多个异常检测传感器520，或系统500的任何其他合适的组件提供反馈。例如，作为对“蜜罐”530检测到实际攻击、确定假阳性或没有检测到攻击的响应，“蜜罐”530可以向一个或多个异常检测传感器520提供信息。一个或多个异常检测传感器520可以使用来自“蜜罐”530的反馈580，来更新在一个或多个异常检测传感器520内使用的预测器，或在用于调整一个或多个异常检测传感器520的任何其他合适的方法中使用反馈580。例如，一个或多个异常检测传感器520可以在将来使用该信息来阻挡类似的攻击和/或从过去的正确的和不正确的预测吸取经验。在另一个示例中，如果没有检测攻击，可以更新预测器或预测模型。也可以使用用于自动调准和更新一个或多个异常检测传感器520的任何其他合适的方法。

在另一个示例中，作为对“蜜罐”530检测到实际攻击、确定假阳性或没有检测到攻击的响应，“蜜罐”530可以向过滤引擎510提供信息(例如，反馈590)。过滤引擎510可以使用来自“蜜罐”530的反馈590来更新供过滤引擎510使用的过滤器，或在用于调整过滤引擎510的任何其他合适的方法中使用反馈590。例如，过滤引擎510可以在将来使用反馈590来阻挡类似的攻击和/或从过去的正确的和不正确的预测吸取经验。也可以使用用于自动调准和更新过滤引擎510的任何其他合适的方法。

应该注意，通信路线系统500，包括攻击通信，可以通过由过滤引擎510和一个或多个异常检测传感器520(在那里，不允许侧面的信道访问)的处理，与受保护的应用程序进行交互。

本发明的某些实施例可以与服务器和客户端两者集成在一起。

在某些实施例中，阴影“蜜罐”可以紧密地和服务器连接在一起。可以通过让可疑的请求转向服务器应用程序的“蜜罐”版本(在那里，服务器应用程序和“蜜罐”具有镜像的功能和状态)来对服务器应用程序进行保护。受保护的应用程序可以是，例如，Web服务器。

在某些实施例中，阴影“蜜罐”可以紧密地和客户端连接在一起。可以防止客户端应用程序免受例如被动攻击的攻击，在这种攻击中，攻击者引诱客户端的用户下载包含攻击的数据(例如，MicrosoftInternet Explorer的JPEG处理中的最近缓冲区溢出漏洞)。受保护的应用程序可以用来保护，例如，客户端上的Web浏览器或任何其他应用程序免受单个数据包、整个流，或一组流中包含的攻击的侵犯。

虽然在前面的示范性实施例中本发明被描述为紧密连接的，以便使攻击者不能利用“蜜罐”的状态和应用程序的状态之间的区别，因为它们两者共享相同的状态，但是，应该指出的是，只是作为示例来说明本发明的，在不偏离本发明的精神或范围的情况下，可以对结构细节和进程和设备的组合和布局作出许多更改。例如，可以提供根据本发明的某些实施例的松散连接的配置。“蜜罐”可以驻留在不同的系统上，将不会与受保护的应用程序共享状态。这种松散连接的实施例允许“蜜罐”由单独的实体进行管理，从而，给用户提供了将对“蜜罐”的管理外包的能力。

如图所示，过滤和异常检测组件(例如，过滤引擎510和一个或多个异常检测传感器520)可以与受保护的应用程序紧密地连接在一起。或者，过滤和异常检测组件可以集中在网络拓扑中的诸如防火墙之类的自然聚合点。

图6显示了根据本发明的某些实施例的攻击检测系统的另一个说明性方案的图形。如图6的方案所示，过滤和异常检测组件可以与网络处理器一起实现，作为在连接到网络处理器板的实现了所有检测启发规则的计算机上运行的可缩放的自定义负载平衡器和snort传感器阵列。例如，选定网络处理器可以是IXP1200网络处理器。在某些实施例中，在它上面没有实现任何检测启发规则，因为网络处理器被设计为进行简单的转发，缺少达到必要的速度所需的处理能力，比其他处理器难以编程和调试。然而，在某些实施例中，可以在网络处理器上实现检测启发规则。

异常检测组件提供了将潜在恶意请求转向到“蜜罐”的能力。例如，在Web服务器中，攻击上下文的合理定义是HTTP请求。为此，异常检测组件构建请求，运行异常检测启发规则，并根据结果转发该请求。由于此处理可以在HTTP级别执行，因此，提供类似于HTTP代理的功能。可以通过给HTTP代理添加在传入的请求上应用“抽象有效负载执行”检测启发规则并根据其决策来路由它们的能力，实现紧密连接的“蜜罐”服务器的异常检测组件。

对于客户端的情况，可以使用基于被动监视的替代解决方案。在此配置中，可以重建HTTP连接的TCP流，并可以对HTTP协议进行解码，以提取可疑的对象。然后，可以通过应用启发式算法来直接检查对象。如果对象被认为可疑的，则启动重放可疑的响应的服务器，并将“蜜罐”浏览器定向到此服务器。

可以使用通过抽象有效负载执行的有效负载筛选和缓冲区溢出检测，作为异常检测的启发规则。有效负载筛选算法通过标识网络通信中的流行子字符串来推导出快速扩散的蠕虫的指纹。通过抽象有效负载执行的缓冲区溢出检测通过搜索网络通信中的有效指令的足够长的序列来检测缓冲区溢出攻击。有效指令的长序列可以出现在非恶意数据中，这是可以实现“蜜罐”的位置。此检测机制是有吸引力的，因为它可以应用于单个的攻击，并在遇到攻击的第一个实例时触发检测。这与在将攻击标记为异常之前表明多个攻击所需的许多异常检测机制不同。

在某些实施例中，可以使用代码转换工具来创建“蜜罐”。此工具接收原始应用程序作为输入，并插入在“蜜罐”代码中。尽管在这些实施例中主要描述了侵害存储器错误，但是，应该注意，本发明也可以用于捕捉和检测其他侵害。可以使用TXL(混合型功能和基于规则的语言)来执行代码转换，而可以使用GCC C(GNU C编译器)作为前端。TXL最适合用于执行源代码到源代码转换，然而，也可以使用各种其他语言。在类似于Extended Backus Naur的表示法中说明了负责对源输入进行分析的语法。

在某些实施例中，通过将所有静态缓冲区移动到堆栈中来创建“蜜罐”。通过动态地分配每一个缓冲区(在进入预先声明了该缓冲区的函数时)，可以将静态缓冲区移到堆栈中。可以在退出函数时，无论是隐式(例如，通过到达函数体的末尾)或显式(例如，通过返回语句)，解除分配这些缓冲区。应该注意，由于已分配的存储器区域已经经过改编，因此，可以检测到有关指针别名的非法访问。

为了进行存储器分配，创建了叫做pmalloc()的malloc()的新版本。图7是根据本发明的某些实施例的基于pmalloc()的存储器分配的说明性示例。如图7所示，基于pmalloc()的存储器分配操作，分配了三个存储器页面710。除基本的一个页面之外，pmalloc()还分配两个额外的填充了零的，写保护的页面720，这些页面将被请求的缓冲区加括号。额外的页面可以作为只读与/dev/zero进行mmap()操作。因为mmap()在存储器页面粒度操作，存储器请求被四舍五入到最近的页面。可以调整被pmalloc()返回的指针730，以立即捕捉任何缓冲区溢出或下溢。

图8显示了根据本发明的某些实施例的代码转换的示例。在方框810中显示了原始代码，而在方框820中显示了经过转换的代码。通过malloc()分配的缓冲区可以切换到pmalloc()830。这可以通过检查源代码中的声明并将它们转换到利用malloc()函数调用分配大小的指针来实现的。也可以调整C语法，以在函数返回之前释放存储器840。

通过pmalloc()分配的缓冲区上的任何溢出或下溢可以导致进程接收分段违规(SEGV)信号，该信号是由添加到main()中的源代码的信号处理程序捕捉的。信号处理程序通知操作系统，以在处理此请求时中止该进程所作出的所有状态改变。为此，可以添加叫做transaction()的对操作系统的新系统调用。在代码中的三个位置，按照shadow_enable()的意思，有条件地调用transaction()。当代码的“蜜罐”版本正在运行时，shadow_enable()函数返回true。

放置了transaction()的第一位置位于开始新的请求的处理之前的主要处理循环内部。这向操作系统表明，新的事务已经开始。操作系统对所有存储器页面权限进行备份，并将所有堆栈存储器页面标记为只读。随着进程执行并修改这些页面，操作系统保留原始页面的副本并分配新页面(该新页面被给予了备份中的原始页面的权限)，以供进程使用。这是以与Copy-on-Write在现代操作系统中相同的工作方式进行的。此对transaction()的调用可以由，例如，程序员或系统设计人员来人工地放置。页面的两个副本都保留，直到再次调用transaction()，正如下文所描述的。

在处理请求结束之后，在主要处理循环内，是可以调用transaction()的第二个位置。这里这样做是为了向操作系统表明，事务已经成功地完成。然后，操作系统丢弃在处理请求的过程中已经修改的存储器页面的所有原始副本。也可以人工地放置对事务的此调用。

可以调用事务的第三个位置位于信号处理程序内部。此位置可以通过本发明的实施例自动地安装。这样做是为了向操作系统指出，已经检测到攻击(异常)。然后，操作系统通过恢复原始页面，丢弃所有经过修改的存储器页面。

在某些实施例中，可以在文件系统的周围构建与上文所描述的类似的机制。这可以例如通过使用在代码的“蜜罐”版本中进行的处理的高速缓冲存储器的专用副本来完成。

应该理解，本发明在其应用方面不仅限于下面的描述中阐述的或图形中所显示的结构细节和组件的布局。本发明可以有其他实施例，并可以以各种方式实施。此外，还应该理解，这里所使用的措辞和术语只是为了说明，不应该被视为限制性的。

虽然是以前面的示范性实施例来描述和说明本发明的，但是，应该理解，只是作为示例来说明本发明的，在不偏离仅仅由随后的权利要求作出限制的本发明的精神或范围的情况下，可以对本发明的实现方式的细节作出许多更改。

Claims

1.一种用于保护应用程序免受攻击的方法，所述方法包括：

从通信网络接收企图到达应用程序的通信；

通过异常检测组件传输所述接收的通信，其中，所述异常检测组件预测所述接收的通信是否是对所述应用程序的潜在攻击，其中，对所述异常检测组件进行调整，以取得较低的假阴性率；

从所述异常检测组件接收关于对所述应用程序的所述潜在攻击的所述预测的指示；

作为对从所述异常检测组件接收到所述指示的响应，将所述接收的通信传输到“蜜罐”，其中，所述“蜜罐”是所述应用程序的与所述应用程序共享状态信息的实例，其中，所述“蜜罐”对所述接收的通信进行监视，以发现对所述应用程序的攻击；

从所述“蜜罐”接收所述接收的通信是对所述应用程序的攻击的指示；以及

从所述“蜜罐”接收修理所述应用程序的所述状态信息的指令。

2.根据权利要求1所述的方法，其中，所述修理进一步包括将所述应用程序的所述状态信息回滚到以前保存的状态信息。

3.根据权利要求1所述的方法，其中，所述修理进一步包括丢弃所述应用程序的所述状态信息。

4.根据权利要求1所述的方法，其中，所述修理进一步包括用以前保存的状态信息启动所述应用程序的新实例。

5.根据权利要求1所述的方法，进一步包括在将所述接收的通信传输到所述异常检测组件之前对所述接收的通信进行过滤。

6.根据权利要求5所述的方法，其中，所述过滤是基于所述攻击的有效负载内容和来源中的至少一个来进行的。

7.根据权利要求1所述的方法，进一步包括从所述“蜜罐”向所述异常检测组件传输反馈。

8.根据权利要求7所述的方法，进一步包括至少部分地基于来自所述“蜜罐”的所述反馈，更新所述异常检测组件。

9.根据权利要求7所述的方法，进一步包括更新与所述异常检测组件关联的预测器和模型中的至少一个。

10.根据权利要求7所述的方法，进一步包括使用所述反馈来自动地对所述异常检测组件进行调整。

11.根据权利要求7所述的方法，进一步包括使用所述反馈来自动地对过滤器进行调整。

12.根据权利要求1所述的方法，其中，所述应用程序是服务器应用程序、客户端应用程序、操作系统，以及大型机上的应用程序中的一种。

13.根据权利要求1所述的方法，进一步包括：

在所述异常检测组件之前提供过滤器；

从所述“蜜罐”向所述过滤器传输反馈；以及

至少部分地基于来自所述“蜜罐”的反馈，更新所述过滤器。

14.一种用于保护应用系统免受攻击的系统，所述系统包括：

被调整为取得较低的假阴性率的异常检测组件，其中，所述异常检测组件被配置为：

从通信网络接收企图到达应用程序的通信；以及

预测所述接收的通信是否是对所述应用程序的潜在攻击；以及

所述应用程序的与所述应用程序共享状态信息的实例的“蜜罐”，其中，所述“蜜罐”被配置为：

从所述异常检测组件接收关于所述潜在攻击的所述预测的指示；

对所述接收的通信进行监视，以发现对所述应用程序的攻击；以及

作为对确定所述接收的通信是对所述应用程序的攻击的响应，修理所述应用程序的所述状态信息。

15.根据权利要求14所述的系统，其中，所述“蜜罐”被进一步配置为将所述应用程序的所述状态信息回滚到以前保存的状态信息。

16.根据权利要求14所述的系统，其中，所述“蜜罐”被进一步配置为丢弃所述应用程序的所述状态信息。

17.根据权利要求14所述的系统，其中，所述“蜜罐”被进一步配置为用以前保存的状态信息启动所述应用程序的新实例。

18.根据权利要求14所述的系统，进一步包括在将所述接收的通信传输到所述异常检测组件之前对所述接收的通信进行过滤的过滤器。

19.根据权利要求14所述的系统，其中，所述“蜜罐”被进一步配置为从所述“蜜罐”向所述异常检测组件传输反馈。

20.根据权利要求19所述的系统，其中，所述异常检测组件被进一步配置为至少部分地基于来自所述“蜜罐”的所述反馈更新所述异常检测组件。

21.根据权利要求19所述的系统，其中，所述异常检测组件被进一步配置为更新与所述异常检测组件关联的预测器和模型中的至少一个。

22.根据权利要求19所述的系统，其中，所述异常检测组件被进一步配置为至少部分地基于所述反馈对所述异常检测组件进行调整。

23.根据权利要求14所述的系统，进一步包括被配置为在所述异常检测组件之前接收所述通信的过滤器，其中，所述过滤器从所述“蜜罐”接收反馈并至少部分地基于来自所述“蜜罐”的所述反馈来进行更新。