CN102216900B - 蜜罐主机 - Google Patents
蜜罐主机 Download PDFInfo
- Publication number
- CN102216900B CN102216900B CN200980145284.0A CN200980145284A CN102216900B CN 102216900 B CN102216900 B CN 102216900B CN 200980145284 A CN200980145284 A CN 200980145284A CN 102216900 B CN102216900 B CN 102216900B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- honey
- honey jar
- main frame
- invaded
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45545—Guest-host, i.e. hypervisor is an application program itself, e.g. VirtualBox
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45562—Creating, deleting, cloning virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Jellies, Jams, And Syrups (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种用于网络(90)的蜜罐主机(500)。本发明的蜜罐主机(500)主要包括计算机系统(10)以及并入到该计算机系统(10)中的蜜罐系统(300)。蜜罐系统(300)主要将至少一个诱饵主机(80)分配到围绕该网络(90)的至少一个未使用的互联网协议(I P)地址(160)。蜜罐系统(300)还能够进行自复制。在网络(90)中的蜜罐系统(300)被入侵的情况下,蜜罐系统(300)能够自终止被入侵的蜜罐系统(300)的至少一部分,并且自复制新的蜜罐系统(300)。而且,蜜罐系统(300)还用以检测当前的蜜罐系统(300)是否已被入侵。在另一方面,本发明还涉及一种用于复制蜜罐系统(300)以代替被入侵的蜜罐系统(300)的方法。
Description
技术领域
本发明涉及一种用于网络的蜜罐主机。
背景技术
对于常见的计算机技术,为了网络安全而开发了蜜罐系统。蜜罐系统基本上是网络中最安全的防御机制,用以检测和防止网络攻击。
也有一些蜜罐系统促进围绕未使用的互联网协议(IP)地址而生成诱饵主机。诱饵主机在网络中伪装成好像真的计算机,但在实际情况下,诱饵主机是伪造方案,它们倾向于代替其他操作主机而吸引攻击者对这些诱饵主机进行入侵。这些模仿诱饵主机的蜜罐系统安装在计算机硬件中,计算机硬件运行在操作系统上。
图1中示出了上述的传统的蜜罐主机。如图1所示,蜜罐主机有一定限制,即仅在一台单独的机器配置上运行。因此,蜜罐管理员很有可能不知道他没有意识到这一点。如果蜜罐管理员能够轻易了解到蜜罐系统的位置,那么攻击者也能够将主机毁坏。此外,还很可能的是,攻击者可能根据在蜜罐软件内自身的漏洞和缺陷进行开发和篡改。如果攻击者能够操纵开发,那么他们更有可能有机会摧毁整个主机。更糟的是,无论蜜罐主机存储在本地网络内部或是连接到互联网上,他们甚至可以尝试利用上述主机作为发射台而用于其他攻击。
在蜜罐主机被入侵(compromised)的情况下还具有这样的不便,即,蜜罐管理员需要将主机移出网络,然后对其硬盘进行复制,并将所有的东西重新安装在一个新的设置中,从而使蜜罐主机能够再次使用。每次当蜜罐主机又被入侵时,时间将会不必要地浪费在重复设置同样的蜜罐系统上。而且,当蜜罐主机进行安装时,其他攻击可能又默默地发生在本地网络内部。因此,蜜罐主机在被入侵的情况下,如果网络管理员错过一些未知的攻击,将造成不利。
因此,有必要提供一种能够消除上述限制的蜜罐主机。
发明内容
因此,为了消除现有技术的缺点和不足,本发明提供了一种用于网络的蜜罐主机。该蜜罐主机主要包括计算机系统以及并入到该计算机系统中的蜜罐系统。
蜜罐系统用于将至少一个诱饵主机分配到围绕该网络的至少一个未使用的互联网协议(IP)地址。所述蜜罐系统还用于自复制。在网络中的蜜罐系统被入侵的情况下,蜜罐系统能够自终止被入侵的蜜罐系统的至少一部分,并且自复制新的蜜罐系统。所述蜜罐系统还用以检测当前的蜜罐系统是否已被入侵。
在另一方面,本发明还提供一种用于复制蜜罐系统以代替网络的蜜罐主机中的被入侵的蜜罐系统的方法。该方法主要包括以下步骤:生成蜜罐系统;将至少一个诱饵主机分配到围绕该网络的至少一个未使用的互联网协议(IP)地址;测定蜜罐系统是否被入侵;如果蜜罐系统被入侵,那么终止蜜罐系统的至少一部分,并生成新的蜜罐系统。
本发明的一个目的在于,提供一种用于网络的蜜罐主机,能够生成一套简单的蜜罐主机设置,并构建成运行在虚拟化平台之上的虚拟机的形式。
本发明的另一个目的在于,提供一种用于网络的蜜罐主机,能够在当前运行的蜜罐系统已被入侵的情况下自动地自生成新的蜜罐主机的设置。该蜜罐主机能够完全复原。
本发明的又一个目的在于,提供一种用于网络的蜜罐主机,能够监控并测定蜜罐主机是否已被入侵,由此使被入侵的蜜罐虚拟机终止,而执行设置以代替被入侵的蜜罐虚拟机。
本发明的再一个目的在于,提供一种用于网络的蜜罐主机,能够根据与蜜罐虚拟机的当前被入侵示例相关的示例编号,生成蜜罐虚拟机的新的示例,以代替蜜罐虚拟机的被入侵的示例。根据直到实时已经生成的蜜罐虚拟机的编号,示例编号与蜜罐虚拟机的当前示例相关。
本发明的还一个目的在于,充分利用物理硬件上的资源来实现蜜罐系统的安装,因此,使所有的蜜罐虚拟机都能配置并安装在同样的物理硬件上。
本发明的最终目的在于,消除为处理在实时网络攻击条件下蜜罐主机的设置所需的时间相关联的延迟。此外,本发明中固有的自动设置能够对于在网络内部发生的不断变化的攻击和威胁协助做出更好的响应。
本发明包括一些新的特征和部件的组合,接下来,在附图中以及特别在从属权利要求中将进一步解释和说明;可以理解为,在不背离本发明的范围或舍弃本发明的任何优点的前提下,可以对具体内容做出多种变化。
附图说明
为了便于理解本发明,接下来,根据附图所示的本发明的优选实施例,并结合以下说明,将更好地理解和领会本发明、本发明的结构和操作以及多方面优势。
图1示出了传统的蜜罐主机的设置;
图2示出了一套基于虚拟机的、运行于虚拟化层之上的蜜罐主机(VMHP);
图3示出了相比较于传统的蜜罐主机设置的本发明的蜜罐主机设置;
图4示出了安装有虚拟化平台的计算机系统;
图5示出了具有虚拟化平台的计算机系统,该虚拟化平台设有本发明的蜜罐主机组件;
图6示出了本发明的蜜罐主机的操作流程图;
图7示出了一些可能对蜜罐主机产生攻击的示意图;
图8示出了具有蜜罐主机的虚拟化平台的基本架构;
图9示出了本发明的蜜罐主机的示例性位置;
图10示出了具有多个围绕网络分配的伪造系统(FS)的蜜罐主机的示例性位置;
图11示出了创建用于虚拟安全框架(VSF)图像的哈希值的方法;
图12示出了间隔时间为30秒的时间轴,用于虚拟机控制器(VNC)以生成和比较运行的VSF的哈希值。
具体实施方式
本发明涉及一种蜜罐主机500。更具体地说,本发明涉及一种应用在网络90中的蜜罐主机500,用以在当前的蜜罐系统300已经被入侵的情况下,将诱饵主机80分配到围绕网络90的未使用的互联网协议(IP)的地址160,并终止位于主机500中的蜜罐系统300,而且产生新的蜜罐系统300。接下来,根据本发明优选的实施例以及参考所附的说明书和附图,对蜜罐主机500进行说明。然而,应该理解,仅对本发明的优选实施例以及附图进行说明,只是为了方便对本发明的讨论,而且可以预见,本领域技术人员在没有背离权利要求范围的情况下可以做出多种修改。
本发明的蜜罐主机500在附图中以不同的示意图示出。据此,参见图1和3,示出了传统的蜜罐主机设置190。其中示出了,传统的蜜罐主机设置190主要包括主机的硬件12、操作系统220和蜜罐软件210。对于传统的设置190,所有的工具都安装到计算机主机190的物理硬件12中。与之相比,本发明中使传统的蜜罐主机设置190在功能上转变成虚拟机60,该虚拟机运行在虚拟化平台25上。
现参见图2,由本发明的蜜罐主机500提供的解决方案由一套构建成虚拟机60形式的蜜罐主机的简单设置(setup)实现。这些虚拟机60都适于在虚拟化平台25上运行。虚拟机60和虚拟化平台25在下文中将进行更详细地说明。
根据本发明,主要起到蜜罐作用的虚拟机60在下文中称为基于虚拟机的蜜罐主机(Virtual Machine-based Honeypot Hosts,VMHP)60。由于可能存在一些对网络90的攻击,因此VMHP 60也可能被入侵。因此,VMHP 60由一些应用程序监控并管理。因此,参见图5,当VMHP 60实时被入侵时,被入侵的VMHP 60a将关闭,而VMHP的新的副本(clone)将启动。根据蜜罐主机500的预设条件,应用在蜜罐主机500中的所有VMHP60优选地每当VMHP被入侵时重复地关闭和启动。
对此举例说明,一旦当前运行的VMHP 60(也称为VMHP1 60)被入侵,那么示例VMHP1 60将自动关闭,然后,新的VMHP 60(即VMHP2 60)将产生,用以代替旧的并且损坏的VMHP1 60。该序列将持续到蜜罐主机500已经到达预设最大编号的VMHP 60示例。
因此,蜜罐管理员将便于在进行蜜罐主机设置中节省出大量时间。针对发生在网络90内部的不断变化的攻击和威胁,本发明的蜜罐主机500理想地实现了更好的回应,而且避免了不必要的延迟。该延迟与实时网络攻击情况下管理蜜罐主机的设置所需的时间相关。
现参见图4和图8,蜜罐主机500以这种方式构成,即,使虚拟化平台组件适于驻留在计算机系统10上。该虚拟化平台组件主要适于产生虚拟化平台25。图8中示出虚拟化平台25的基本架构。在平台虚拟化领域中,术语虚拟化平台25也同等地认为是虚拟机监视器(VMM)和管理程序。如本领域公知的,虚拟化平台25适合允许多个操作系统同时运行在一台主机计算机上。
继续参见图4和图8,虚拟化平台25适合用作是理想化的硬件层。该硬件层是一个抽象的概念,其包含底层物理硬件接口的虚拟化示例,诸如虚拟控制界面110、虚拟中央处理单元(CPU)120、虚拟内存130、以及虚拟输入/输出(I/O)操作接口140。此外,操作系统40与50适于在虚拟化平台25上运行虚拟机30。因此,虚拟化平台25适于在虚拟机30和物理硬件10之间提供通信。
继续参见图8,利用主机应用程序(以下称为主机操作系统40),使虚拟机30的产生在所提供的硬件10上进行。主机操作系统40为其客户操作系统50创建了客户虚拟机38。客户操作系统50应该像图1和图3所示的以传统方法安装在硬件中的其他操作系统中运行的任何其他操作系统那样运行。主机操作系统40直接运行在硬件10上,而客户操作系统50运行在硬件10之上的第二层上。客户操作系统50分别适于运行客户虚拟机38。
现参见图5和图8,主机操作系统40也适合于创建和运行位于虚拟化平台25上的主机虚拟机34。主机操作系统40能够访问计算机系统10、访问虚拟控制界面120,并具有能够创建、销毁和管理其他客户操作系统50的机构。因此,操纵软件和控制软件应该在主机操作系统40中运行。根据本发明最优选的实施例,本发明最优选地用在IPv4网络环境中,而且本发明只能部署在生产网络环境中。本发明还可以实施在32位和64位构架上。而且如图4所示,最优选地,Xen虚拟软件用作是本发明的虚拟化平台25。
根据最优选的实施例,主机操作系统40还被称为“域0(domain 0)”。因此,当虚拟化平台25启动时,主机操作系统40自动启动。主机操作系统40还具有管理特权以及访问硬件40的特权。然而最优选的实施例在此为:其他组合或组件也可以用于本发明的类似形式的蜜罐主机(500)的扩展。
参见图5,VMHP 60包括两个组件,分别称为伪造系统仿真器(FSE)和简化操作系统。如图10所示,FSE能够使诱饵主机分配到围绕网络90的未使用的IP地址160。图9中示出了蜜罐主机500相对于其他终端的位置。优选地,FSE包括虚拟蜜罐应用程序和预配置脚本。虚拟蜜罐应用程序优选为蜜罐程序(Honeyd),即开源虚拟蜜罐应用程序,而脚本优选为预配置蜜罐脚本。所述脚本适于构建可使用的FSE。虚拟蜜罐应用程序的执行取决于脚本内配置的仿真设置。
在本发明中,还优选地,构成VMHP 60的第二组件是简化操作系统(SOS)。SOS优选为基于Linux操作系统的精简版本。SOS还主要丢弃掉那些不直接供以VMHP 60运行的包。
如图5所示,本发明的蜜罐主机500还包括两种应用程序,这两种应用程序分别在主机操作系统40、虚拟化平台25的“域0”中进行应用和操作。这两种应用程序为VMHP控制(以下称为VC 170)和VMHP哈希检查(以下称为VH 180)。VC 170主要用于触发VH 180,从而每隔预定的间隔时间执行哈希检查。根据最优选的实施例,该预定的间隔时间优选为30秒。因此,VC 170适于具有用于触发VH 180的内置计时器(30秒间隔)。
VH 170主要适用于产生用于VMHP示例60的哈希值,并且对当前正在运行的VMHP示例60的实时哈希值与初始哈希值作比较。优选在VMHP60扩展的过程中捕获初始哈希值。所有捕获的哈希值(初始和实时)都存储在VH 180中。VC 170和VH 180都并入到主机虚拟机34中,并由主机操作系统40来运行。根据最优选的实施例,VC和VH都并入到虚拟化平台25的“域0”中。参见图11,其中示出哈希值通过采用虚拟安全框架(VSF)图像的方式而生成。该操作通过使用VSF图像作为输入而开始产生哈希值。然后,该过程产生哈希值,并将该哈希值存储到文本文件中。所有的过程将终止于哈希值产生的结束。图12中示出间隔时间为30秒的优选时间轴,该间隔时间用于控制组件170以生成并比较所运行的VSF的哈希值。
此外还优选地,本发明的蜜罐主机500包括示例编号测定组件(未示出)。该示例编号测定组件并入到主机虚拟机34中,并由主机操作系统40来运行。根据最优选的实施例,示例编号测定组件都并入到虚拟化平台25的“域0”中。该示例编号测定组件适于检查运行的蜜罐虚拟机60的示例编号。示例编号与直到实时已经生成的蜜罐虚拟机60的编号相关。所述的测定组件主要适于将示例编号指定给任何实时生成的蜜罐虚拟机(60)。如果示例编号还没有达到预设的最大编号,那么示例编号测定组件适于使被入侵的蜜罐虚拟机60a终止,并生成新的蜜罐虚拟机60b。而且,如果示例编号已经达到预设的最大编号,那么示例编号测定组件用于使被入侵的蜜罐虚拟机(60a)终止,并且阻止生成新的蜜罐虚拟机60b来代替被入侵的蜜罐虚拟机60a。正如前面所提到的,预设的最大编号优选为10。
现参见图6,在本发明的另一方面,本发明还涉及一种用于复制蜜罐系统300以代替网络90的蜜罐主机500中的被入侵的蜜罐系统300的方法。一旦蜜罐主机插入到本地网络90内,蜜罐主机50就开始进行操作。
图5示出生成VMHP1 60的第一示例。接下来,VMHP1 60中的FSE将被触发。如图10所示,FSE应该将仿真诱饵系统/主机80分配到围绕蜜罐主机500所处的本地网络90的所有未使用的IP地址160。仿真诱饵系统230适于处在监听模式下,并且这里所示蜜罐主机500处于运行模式下。当蜜罐主机(500)运行时,主机虚拟机34中的VC 170应用程序、或优选地域0将在计时器到达优选的每30秒间隔时间时触发VH 180。如果VC 170中的计时器显示蜜罐系统300的运行已经到达优选为30秒的检查点时,那么VC 170将触发VH 180。
然后,VH 180生成用于当前VMHP示例60的哈希值,并且将该哈希值与存储在VH 180中的初始哈希值作比较。通过进行比较来测定所述哈希值的变化。哈希值的变化意味着VMHP 60已经被入侵。如果当前VMHP示例60的哈希值改变,那么示例编号测定组件将对于指定给当前运行的VMHP示例60的编号(n)进行检查,即,编号n是否等于预设的最大编号(优选n=10)。第一个VMHP示例是VMHP1 60,由此指定给该示例的n为1,而1不等于10。这说明,VMHP示例60还没有到达10(因为在本发明中优选VMHP示例60的最大值设置仅高达10)。
现参见图5,如果n不等于10,那么蜜罐主机500将使VMHP示例60终止,并且生成具有新的n值的新的VMHP示例60(通过加1(n+1)指定给示例,即VMHPn+1 60)。如图6所示,新的示例60将再次重复上述步骤。蜜罐主机500又一次以新的VMHP示例60运行。如果n等于10,那么蜜罐主机500就终止运行的VMHP 60。之后,不再有新的VMHP示例60生成。蜜罐主机500将自动关闭其本身。如果当前VMHP 60的哈希值没有改变,那么蜜罐主机500将继续其功能,而且将以相同的VMHP示例60运行,该示例如图6所示的VMHP1 60。
根据本发明最优选的实施例,如图4所示,蜜罐主机500构建在可使用的虚拟化平台25之上,其中,计算机系统10优选为x86计算机,该计算机预先安装有Linux操作系统和Xen虚拟化软件。
虽然在上述说明中,已经结合特定优选的实施例描述了本发明,并且给出许多细节(仅用于解释说明),对于本领域技术人员显而易见的是,在不背离本发明的基本原则的前提下,本发明还可能有其他的实施例,并且可以对这里所述的本发明的一些细节进行改变。
Claims (19)
1.一种用于网络(90)的蜜罐主机(500),包括:
计算机系统(10);以及
并入到所述计算机系统(10)中的蜜罐系统(300),其中,所述蜜罐系统(300)将至少一个诱饵主机(80)分配到围绕该网络(90)的至少一个未使用的互联网协议(IP)地址(160);
其特征在于,所述蜜罐系统(300)能够进行自复制,使得在所述网络(90)中的蜜罐系统(300)被入侵的情况下,所述蜜罐系统(300)能够自终止被入侵的蜜罐系统(300)的至少一部分,并且自复制新的蜜罐系统(300);而且,所述蜜罐系统(300)还用以检测当前的蜜罐系统(300)是否已被入侵;
其中,所述蜜罐系统(300)包括至少一个用于虚拟化平台(25)的蜜罐虚拟机(60),以及用于计算机系统(10)的虚拟化平台(25)的蜜罐虚拟机生成和终止单元(70);
所述蜜罐虚拟机(60)使至少一个诱饵主机(80)分配到围绕网络(90)的至少一个未使用的互联网协议(IP)地址(160);并且,所述生成和终止单元(70)测定所述蜜罐虚拟机(60)是否被入侵,并且终止被入侵的蜜罐虚拟机(60a)并生成新的蜜罐虚拟机(60b)。
2.根据权利要求1所述的蜜罐主机(500),其中,所述蜜罐虚拟机(60)还包括伪造系统仿真组件;其特征在于,该伪造系统仿真组件使至少一个诱饵主机(80)分配到围绕网络(90)的至少一个未使用的IP地址(160)。
3.根据权利要求1所述的蜜罐主机(500),其特征在于,所述蜜罐虚拟机(60)作为运行在所述虚拟化平台(25)上的客户虚拟机(38)操作。
4.根据权利要求1所述的蜜罐主机(500),其中,所述生成和终止单元(70)包括示例编号测定组件;所述测定组件(70)将示例编号指定给所生成的蜜罐虚拟机(60);在所述蜜罐虚拟机(60)被入侵时,所述测定组件还检查运行中的蜜罐虚拟机(60)的示例编号;其特征在于,根据直到实时已经生成的蜜罐虚拟机(60)的编号,示例编号与蜜罐虚拟机(60)的当前示例相关;如果示例编号还没有达到预设的最大编号,那么示例编号测定组件用于使被入侵的蜜罐虚拟机(60a)终止,并且生成新的蜜罐虚拟机(60b);如果示例编号已经达到预设的最大编号,那么示例编号测定组件用于使被入侵的蜜罐虚拟机(60a)终止,而不生成新的蜜罐虚拟机(60b)来代替被入侵的蜜罐虚拟机(60a)。
5.根据权利要求1所述的蜜罐主机(500),其中,所述生成和终止组件(70)还包括蜜罐虚拟机控制组件(170)和蜜罐虚拟机哈希检查组件(180);其特征在于,所述控制组件(170)触发所述哈希检查组件(180)以每隔预设的间隔时间执行哈希检查;所述哈希检查组件(180)生成用于蜜罐虚拟机(60)示例的哈希值,并且将实时哈希值与用于当前蜜罐虚拟机(60)示例的初始哈希值作比较;所述初始哈希值在所生成的蜜罐虚拟机(60)示例的发展阶段中被捕获;所述实时和初始哈希值存储在所述哈希检查组件(180)中;相比较的哈希值中的变化表示蜜罐虚拟机(60)已被入侵;并且,基于控制组件(170)的调用来触发哈希检查。
6.根据权利要求5所述的蜜罐主机(500),其特征在于,所述预设的间隔时间为30秒。
7.根据权利要求4所述的蜜罐主机(500),其特征在于,所述示例的预设的最大编号为10。
8.根据权利要求5所述的蜜罐主机(500),其特征在于,所述控制组件(170)包括便于使所述控制组件(170)每隔预设的间隔时间触发所述哈希检查组件的计时器。
9.根据权利要求5所述的蜜罐主机(500),其中,所述蜜罐虚拟机示例的哈希值通过使用虚拟安全框架图像而生成,其特征在于,该虚拟安全框架图像用作输入以生成所述蜜罐虚拟机示例的哈希值,然后将所述哈希值存储到所述哈希检查组件(180)中的文本文件中。
10.一种用于复制蜜罐系统(300)以代替网络(90)的蜜罐主机中被入侵的蜜罐系统(300)的方法,所述方法包括以下步骤:
生成蜜罐系统(300);
将至少一个诱饵主机(80)分配到围绕该网络(90)的至少一个未使用的互联网协议(IP)地址(160),其中,触发蜜罐虚拟机(60)的伪造系统仿真器;
测定蜜罐系统(300)是否被入侵;
如果蜜罐系统(300)被入侵,那么终止蜜罐系统(300)的至少一部分;以及
生成新的蜜罐系统(300);
其中,生成蜜罐系统(300)的步骤包括生成蜜罐虚拟机(60)的示例的步骤;而生成蜜罐虚拟机(60)的示例的步骤包括将示例编号指定给蜜罐虚拟机(60)的当前示例的步骤;根据直到实时已经生成的蜜罐虚拟机(60)的编号,示例编号与蜜罐虚拟机(60)的当前示例相关。
11.根据权利要求10所述的方法,所述方法还包括使蜜罐系统(300)适应于计算机系统(10)上的虚拟化平台(25)的步骤;其特征在于,使蜜罐系统(300)适应的步骤在生成蜜罐系统(300)的步骤之前进行。
12.根据权利要求10所述的方法,其特征在于,在分配至少一个诱饵主机(80)的步骤中,所述分配通过所述蜜罐虚拟机(60)来执行。
13.根据权利要求10所述的方法,其特征在于,测定蜜罐系统(300)是否被入侵的步骤包括每隔预设的间隔时间测定蜜罐虚拟机(60)的示例是否被入侵的步骤。
14.根据权利要求13所述的方法,其特征在于,终止蜜罐系统(300)的至少一部分的步骤包括终止被入侵的蜜罐虚拟机(60)的示例的步骤。
15.根据权利要求10所述的方法,其特征在于,生成蜜罐虚拟机(60)的示例的步骤还包括通过哈希检查组件(180)生成用于蜜罐虚拟机(60)当前示例的初始哈希值的步骤。
16.根据权利要求15所述的方法,其中,测定蜜罐虚拟机(60)的示例是否被入侵的步骤包括生成用于蜜罐虚拟机当前示例的实时哈希值、以及比较所述当前示例的初始和实时哈希值的步骤;其特征在于,每隔预设的间隔时间通过控制组件(170)触发所述哈希检查组件(180),以生成实时哈希值,并且将所述当前示例的初始和实时哈希值作比较;以及,相比较的哈希值中的变化表示蜜罐虚拟机(60)的示例已被入侵。
17.根据权利要求14所述的方法,其特征在于,终止被入侵的蜜罐虚拟机(60)的示例的步骤包括检查蜜罐虚拟机(60)当前示例的示例编号的步骤。
18.根据权利要求17所述的方法,其特征在于,在生成蜜罐虚拟机(60)的新的示例的步骤中,如果示例编号还没有达到预设的最大编号,就生成蜜罐虚拟机(60)的新的示例;而一旦示例编号已经达到预设的最大编号,就停止生成新的示例。
19.根据权利要求16所述的方法,其中,生成用于蜜罐虚拟机的当前示例的实时哈希值的步骤包括通过使用虚拟安全框架图像生成哈希值的步骤;其特征在于,该虚拟安全框架图像用作输入以生成哈希值,然后生成哈希值并将哈希值存储到文本文件中。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| MYPI20083551A MY146995A (en) | 2008-09-12 | 2008-09-12 | A honeypot host |
| MYPI20083551 | 2008-09-12 | ||
| PCT/MY2009/000145 WO2010030169A2 (en) | 2008-09-12 | 2009-09-11 | A honeypot host |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102216900A CN102216900A (zh) | 2011-10-12 |
| CN102216900B true CN102216900B (zh) | 2014-04-30 |
Family
ID=42005662
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980145284.0A Expired - Fee Related CN102216900B (zh) | 2008-09-12 | 2009-09-11 | 蜜罐主机 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20210329031A1 (zh) |
| EP (1) | EP2327014A2 (zh) |
| CN (1) | CN102216900B (zh) |
| MY (1) | MY146995A (zh) |
| WO (1) | WO2010030169A2 (zh) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5697206B2 (ja) * | 2011-03-31 | 2015-04-08 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 不正アクセスに対する防御をするシステム、方法およびプログラム |
| CN103051615B (zh) * | 2012-12-14 | 2015-07-29 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
| CN103607399B (zh) * | 2013-11-25 | 2016-07-27 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
| US9769204B2 (en) * | 2014-05-07 | 2017-09-19 | Attivo Networks Inc. | Distributed system for Bot detection |
| US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
| US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
| CN105488389B (zh) * | 2014-12-08 | 2018-05-08 | 哈尔滨安天科技股份有限公司 | 一种蜜罐数据库的更新和还原方法及系统 |
| CN104615935B (zh) * | 2015-03-04 | 2017-06-20 | 哈尔滨工业大学 | 一种面向Xen虚拟化平台的隐藏方法 |
| WO2017189071A1 (en) * | 2016-04-27 | 2017-11-02 | Acalvio Technologies, Inc. | Context-aware knowledge system and methods for deploying deception mechanisms |
| GB2543952B (en) * | 2016-10-07 | 2019-05-01 | F Secure Corp | Advanced local-network threat response |
| US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
| US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
| US10367832B2 (en) | 2017-01-27 | 2019-07-30 | Rapid7, Inc. | Reactive virtual security appliances |
| CN109145599B (zh) * | 2017-06-27 | 2022-01-07 | 关隆股份有限公司 | 恶意病毒的防护方法 |
| JP2020530922A (ja) | 2017-08-08 | 2020-10-29 | センチネル ラボ, インコーポレイテッドSentinel Labs, Inc. | エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス |
| US10826939B2 (en) * | 2018-01-19 | 2020-11-03 | Rapid7, Inc. | Blended honeypot |
| US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
| CN108429739B (zh) * | 2018-02-12 | 2021-03-23 | 烽台科技(北京)有限公司 | 一种识别蜜罐的方法、系统及终端设备 |
| CN108462714A (zh) * | 2018-03-23 | 2018-08-28 | 中国人民解放军战略支援部队信息工程大学 | 一种基于系统弹性的apt防御系统及其防御方法 |
| CN108737421B (zh) * | 2018-05-23 | 2022-01-21 | 深信服科技股份有限公司 | 一种发现网络内潜在威胁的方法、系统、装置及存储介质 |
| WO2020120160A1 (en) * | 2018-12-10 | 2020-06-18 | Daimler Ag | Method for detecting intrusion in distributed field bus of a network and system thereof |
| EP3973427A4 (en) | 2019-05-20 | 2023-06-21 | Sentinel Labs Israel Ltd. | SYSTEMS AND METHODS FOR EXECUTABLE CODE DETECTION, AUTOMATIC FEATURE EXTRACTION, AND POSITION-INDEPENDENT CODE DETECTION |
| EP3945439A1 (de) * | 2020-07-27 | 2022-02-02 | Siemens Aktiengesellschaft | Erweiterte integritätsüberwachung eines containerabbildes |
| US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
| US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
| CN115277068B (zh) * | 2022-06-15 | 2024-02-23 | 广州理工学院 | 一种基于欺骗防御的新型蜜罐系统及方法 |
| CN115051875B (zh) * | 2022-08-02 | 2024-05-24 | 软极网络技术(北京)有限公司 | 一种基于新型蜜罐的攻击检测方法 |
| CN116055445A (zh) * | 2022-12-21 | 2023-05-02 | 安天科技集团股份有限公司 | 一种蜜罐技术实现方法、装置及电子设备 |
| CN117040871B (zh) * | 2023-08-18 | 2024-03-26 | 广州唐邦信息科技有限公司 | 一种网络安全运营服务方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119369A (zh) * | 2007-08-14 | 2008-02-06 | 北京大学 | 一种网络数据流的安全检测方法及其系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040078592A1 (en) * | 2002-10-16 | 2004-04-22 | At & T Corp. | System and method for deploying honeypot systems in a network |
| KR100518119B1 (ko) * | 2004-01-09 | 2005-10-04 | 한국과학기술원 | 네트워크 기반의 보안 솔루션 시스템 |
-
2008
- 2008-09-12 MY MYPI20083551A patent/MY146995A/en unknown
-
2009
- 2009-09-11 CN CN200980145284.0A patent/CN102216900B/zh not_active Expired - Fee Related
- 2009-09-11 EP EP09813285A patent/EP2327014A2/en not_active Withdrawn
- 2009-09-11 WO PCT/MY2009/000145 patent/WO2010030169A2/en active Application Filing
- 2009-09-11 US US13/063,612 patent/US20210329031A1/en not_active Abandoned
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119369A (zh) * | 2007-08-14 | 2008-02-06 | 北京大学 | 一种网络数据流的安全检测方法及其系统 |
Non-Patent Citations (4)
| Title |
|---|
| 中国IT实验室.有备无患 教你建立多Web服务器备份.《www.educity.cn/it/microsoft/no0109.htm》.2006, |
| 有备无患 教你建立多Web服务器备份;中国IT实验室;《www.educity.cn/it/microsoft/no0109.htm》;20060324;第1-3页 * |
| 杨宏宇等.网络入侵诱骗技术――蜜罐系统的应用.《计算机工程》.2006,第32卷(第13期), |
| 网络入侵诱骗技术――蜜罐系统的应用;杨宏宇等;《计算机工程》;20060731;第32卷(第13期);第176-178,181页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010030169A2 (en) | 2010-03-18 |
| US20210329031A1 (en) | 2021-10-21 |
| MY146995A (en) | 2012-10-15 |
| WO2010030169A3 (en) | 2010-07-01 |
| EP2327014A2 (en) | 2011-06-01 |
| CN102216900A (zh) | 2011-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102216900B (zh) | 蜜罐主机 | |
| US10798121B1 (en) | Intelligent context aware user interaction for malware detection | |
| US10530810B2 (en) | Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network | |
| CN110290100B (zh) | 一种基于SDN的拟态Web服务器及用户请求处理方法 | |
| Staicu et al. | Freezing the Web: a study of {ReDoS} vulnerabilities in {JavaScript-based} web servers | |
| US9661018B1 (en) | System and method for detecting anomalous behaviors using a virtual machine environment | |
| US8943594B1 (en) | Cyber attack disruption through multiple detonations of received payloads | |
| CN108769071B (zh) | 攻击信息处理方法、装置和物联网蜜罐系统 | |
| US10133863B2 (en) | Zero-day discovery system | |
| Lam et al. | Puppetnets: Misusing web browsers as a distributed attack infrastructure | |
| US9363145B2 (en) | Programmatically simulating system conditions | |
| US20120245917A1 (en) | Virtualized Policy Tester | |
| WO2016203759A1 (ja) | 分析システム、分析方法、分析装置及び、コンピュータ・プログラムが記憶された記録媒体 | |
| JP2003256234A (ja) | 抗脆弱性サーバ装置及びソフトウェア | |
| CN106254312A (zh) | 一种通过虚拟机异构实现服务器防攻击的方法及装置 | |
| Weaver | Potential strategies for high speed active worms: A worst case analysis | |
| US20210058414A1 (en) | Security management method and security management apparatus | |
| Mahajan et al. | Deployment of intrusion detection system in cloud: A performance-based study | |
| Antonatos et al. | Puppetnets: Misusing web browsers as a distributed attack infrastructure | |
| KR20110004935A (ko) | 악성 파일 탐지 시스템, 악성 파일 탐지 장치 및 그 방법 | |
| Liu et al. | The design and application of Xen-based host system firewall and its extension | |
| Saad et al. | Exploring partitioning attacks on the bitcoin network | |
| US20230216830A1 (en) | Client-side firewall | |
| CN117240910B (zh) | 零信任校验系统以及方法 | |
| Kamhoua | Lightweight On-Demand Honeypot Deployment for Cyber Deception |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140430 Termination date: 20170911 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |