CN103746956A - 虚拟蜜罐 - Google Patents
虚拟蜜罐 Download PDFInfo
- Publication number
- CN103746956A CN103746956A CN201310452903.9A CN201310452903A CN103746956A CN 103746956 A CN103746956 A CN 103746956A CN 201310452903 A CN201310452903 A CN 201310452903A CN 103746956 A CN103746956 A CN 103746956A
- Authority
- CN
- China
- Prior art keywords
- network
- range
- honey jar
- long
- safety device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种虚拟蜜罐通过配置与该虚拟蜜罐相关联的一个或多个网络地址而被配置在安全装置内。该安全装置接收发送至与该虚拟蜜罐相关联的一个或多个网络地址的、去往该虚拟蜜罐的网络业务,以及向该远程蜜罐转发该业务,以使得该远程蜜罐看上去是连接至该安全装置本地的网络。
Description
技术领域
本发明总体上涉及计算机网络安全,并且更具体地涉及计算机网络蜜罐。
背景技术
计算机是有价值的工具,在于其能力的很大部分用于与其它计算机系统进行通信并且通过计算机网络交换信息。网络通常包括通过线路、光纤、无线电或其它数据传输手段进行链接的计算机的互连群组,以向计算机提供在计算机之间传输信息的能力。互联网可能是最为众所周知的计算机网络,并且使得数以百万计的人们能够诸如通过观看网页、发送电子邮件或者通过执行其它计算机至计算机的通信而接入到数以百万计的其它计算机。
由于互联网的大小非常庞大并且互联网用户的兴趣非常多样化,所以尝试以对其它用户构成危险的方式而与其它用户的计算机进行通信的恶意用户或恶作剧者也并不少见。例如,黑客可能会尝试登录到公司计算机中以窃取、删除或改变信息。计算机病毒、蠕虫和/或特洛伊木马程序可能会分布到其它计算机,或者被计算机用户无意下载或执行。另外,企业内的计算机用户可能会偶然尝试执行非授权的网络通信,诸如运行文件共享程序或者将企业网络内部的秘密传送至互联网。
出于这些原因,网络管理员会在易受攻击的网络内部署诱饵计算机系统或“蜜罐”,其被设计为吸引入侵者的注意并且收集和报告与入侵相关的信息。也就是说,蜜罐是部署在企业网络内模仿诸如数据库、应用和/或其它服务的网络服务的服务器,其表现出吸引恶意业务以收集有关攻击模式和(多个)入侵来源的信息以便识别出受到感染的网络设备和可疑攻击方。
发明内容
通常,虚拟蜜罐使用安全装置而暴露于网络,该安全装置将指向虚拟蜜罐的网络业务从该安全装置中继至服务器以便进行处理。在一些示例中,对企业或其它私有网络进行保护的安全装置向网络暴露接口。该安全装置将可能包括暴露于私有网络的网络地址的接口映射到隧道,该隧道以执行蜜罐功能但是处于该私有网络外部的服务器(“远程蜜罐”)为终端。该安全装置在所暴露的接口处接收可能包括恶意业务的网络业务并且在所映射的隧道上将该网络业务转发至远程蜜罐以便进行处理。该远程蜜罐就如同其位于私有网络内那样处理经隧道后的网络业务进行以进行记录、分析,并且在一些情况下用响应网络业务进行响应,该远程蜜罐将该响应网络业务经由隧道返回至安全装置。根据经由隧道接收到响应网络业务,安全装置就从接口转发(或“代理”)该响应网络业务以便模仿私有网络上蜜罐的存在。
在一个示例中,如本文中所描述的远程蜜罐可以由第三方提供商在不接入私有网络的情况下进行配置和持续维护。使用所描述的技术将恶意业务转发至这样的远程蜜罐以便进行处理可以减轻网络管理员的负担并且降低在动态网络环境中建立和维护蜜罐所花费的运营成本。在另一个示例中,使用安全装置来建立虚拟蜜罐并且来利用远程蜜罐代理去往该虚拟蜜罐的业务扩展了该安全装置操作的范围并且可以允许网络管理员对现有网络装置进行权衡以执行资源密集型安全操作(例如,蜜罐相关操作)而替代于部署又一个网络装置及其所伴随的资金和运营支出。
在另一个示例中,安全装置配置与位于受保护网络外部的远程蜜罐相关联的暴露的网络地址。该安全装置接收去往与远程蜜罐相关联的网络地址的网络业务,并且向远程蜜罐转发该网络业务。
在另一个示例中,安全装置包括安全管理模块,其可操作以在该安全装置本地的受保护网络中防止不希望的网络业务。该安全装置还包括远程蜜罐模块,其可操作以配置与位于受保护网络外部的远程蜜罐相关联的一个或多个暴露的网络地址。该安全装置还包括流管理模块,其可操作以接收去往与远程蜜罐相关联的网络地址的网络业务,并且向远程蜜罐转发去往与远程蜜罐相关联的网络地址的网络业务,以使得该远程蜜罐看上去是连接至该安全装置本地的网络。
在另一个示例中,位于受保护网络外部的远程蜜罐从向受保护网络提供安全服务的安全装置接收网络业务,处理接收的网络业务以生成响应网络业务,并且向安全装置发送响应网络业务以使得远程蜜罐看上去是位于受保护网络内部。
在另一个示例中,远程蜜罐包括通信模块,其可操作以从安全装置接收去往虚拟蜜罐的网络业务。该远程蜜罐进一步包括远程蜜罐虚拟机,其可操作以处理接收的网络业务,并且响应于接收的网络业务以及经由通信模块向安全装置发送网络业务,以使得远程蜜罐虚拟机看上去是连接至该安全装置本地的网络。
本发明的一个或多个示例的细节在附图和以下的描述中给出。从该描述和附图以及从权利要求将明显看出其它的特征、目标和优势。
附图说明
图1是根据一些示例实施例的示出经由安全装置提供的虚拟蜜罐的网络框图。
图2是根据一些示例实施例的可操作以提供虚拟远程蜜罐的安全装置的框图。
图3是根据一些示例实施例的图示可操作以向安全装置提供服务的远程虚拟蜜罐的框图。
图4是根据一些示例实施例的操作安全装置以使用远程蜜罐服务器提供虚拟蜜罐的方法的流程图。
图5是根据一些示例实施例的操作远程蜜罐服务器以向安全装置提供虚拟蜜罐服务的方法的流程图。
图6是根据一些示例实施例的集成了可操作以提供虚拟蜜罐的安全装置的路由器的框图。
具体实施方式
诸如防火墙和防病毒软件的安全系统在典型网络环境中提供了显著的保护,在该环境中防火墙针对私有网络的非授权接入提供了防御,并且防病毒软件针对个体计算机系统被病毒、特洛伊、根程序病毒和其它威胁感染提供了防御。虽然这样的安全系统针对许多类型的计算机攻击提供了防御,但是即使对其事件日志进行仔细检查,所提供的与攻击如何装载相关的信息也非常有限。
出于诸如此类的原因,有时采用被称作蜜罐的诱饵系统来收集与攻击方或入侵者相关的信息。蜜罐可以设置在私有网络内部或外部,并且诸如通过使用被配置为看上去与易受攻击的系统相同的定制软件,或者通过使用诸如WindowsTM服务器、数据库服务器或其它这样的系统的可能对攻击方具有吸引力的目标的标准操作系统和软件,蜜罐通常被配置成表现为易受攻击的联网计算机系统。典型地,蜜罐系统进一步包括使得用户活动能够被记录或追踪的软件工具,这使得蜜罐的主机能够收集与攻击方的身份和方法相关的信息。
但是,蜜罐系统的配置和安装是一项复杂的任务。所期望的是,蜜罐模仿对攻击方具有吸引力的实际服务器,这涉及这样的系统的安装、配置和维护,并且可能包括诸如电子邮件、数据库条目或其它这样的错误数据之类的“虚假”信息。期望对追踪软件进行设置以提供对攻击方在蜜罐系统上的活动的追踪。经常还期望其它配置修改,诸如限制外出业务以防止蜜罐被用来攻击其它计算机系统,这导致了稍显复杂的安装。另外,在蜜罐感染或攻击之后进行清理以将蜜罐恢复到攻击前的状态也是一项耗时的任务。
因此,本文中所给出的一些示例提供了一种远程部署并且经由防火墙或其它安全装置提供至本地网络的蜜罐。在一个更详细的示例中,安全装置使用到远程蜜罐系统的隧道或虚拟私有网络(VPN)连接来提供看上去是该安全装置本地的虚拟蜜罐。远程蜜罐可以由第三方提供商诸如使用若干标准配置中的一个来进行配置,这减轻了安全装置操作人员在设置和操作蜜罐时的负担。
图1是示出符合一些示例实施例的经由安全装置提供的虚拟远程蜜罐的网络框图。在图1的示例中,安全装置102在网络100内进行操作,并且经由外部或公共网络104耦合至一个或多个远程计算机106。公共网络104进一步连接安全装置102到远程蜜罐108,该远程蜜罐108可操作以向安全装置102提供虚拟蜜罐系统。
安全装置102还耦合至内部或私有网络系统,诸如计算机110、112和114。安全装置包括可操作以对安全装置进行配置和管理的服务平面116,可操作以对诸如106的外部网络计算机与内部计算机系统110、112和114之间的业务流进行管控的转发平面118。安全装置提供了通过连接至远程蜜罐108而对本地虚拟蜜罐120进行部署,以使得安全装置和远程蜜罐被配置为模仿本地蜜罐,该本地蜜罐针对耦合至网络的计算机表现为虚拟蜜罐120。
内部或私有网络内的计算机110、112、114以及虚拟蜜罐120在该示例中是受保护网络122的一部分,该受保护网络122被安全装置102所保护以免受公共网络104影响。安全装置通常对从公共网络到受保护网络的计算机的传入网络业务进行管控或过滤,这防止了非授权接入、病毒、恶意程序或其它这样的威胁到达受保护网络122的计算机。
在操作中,安全装置管理员对安全装置102进行配置以使用诸如基于云的蜜罐之类的远程部署蜜罐108来模仿本地操作的蜜罐系统。安全装置向网络添加诸如互联网协议(IP)地址的虚拟端点,这响应于标准网络发现尝试,诸如地址解析协议(ARP)请求、互联网控制消息协议(ICMP)ping命令以及经常被用来寻找网络上的系统并与之通信的其它这样的网络请求。虚拟蜜罐120因此对诸如远程计算机106以及本地计算机110、112和114的其它系统表现为安全装置的受保护网络本地的系统。安全装置102将诸如这些去往虚拟蜜罐IP地址的业务从系统以隧道送至远程蜜罐108,该远程蜜罐108可操作以经由隧道连接124提供看上去来自于本地虚拟蜜罐102的响应。远程蜜罐进一步对蜜罐活动进行监视和追踪,并且向安全装置102的管理员提供诸如活动报告之类的活动数据,以使得管理员能够使用该数据来获知攻击方如何尝试获得到计算机系统的接入,并且能够收集入侵取证证据(forensic evidence)来协助攻击方的识别和指控。进一步地,蜜罐可以从实际基础设施系统转移攻击,这有效地将危险活动转移远离于敏感联网资产。
各个示例中的蜜罐包括邮件服务器、数据库服务器或者提供对攻击方可能具有吸引力的信息的其它系统。虽然一些蜜罐可能包括最小资源,诸如仅包括最可能被攻击方接入的那些资源,但是使用标准操作系统和其它软件,其它将看上去完全是操作的系统,这使得攻击方更加难以将它们辨认为潜在的蜜罐。
各个实施例中的虚拟蜜罐120可以位于如在120所示的安全装置102的内部或私有网络侧,或者虚拟蜜罐120可以位于防火墙的外部或公共侧,诸如经常是具有应用或web服务器以及其它这样的系统的情况。在安全装置120在内部受保护网络内暴露虚拟蜜罐120的示例中,诸如图1所示,虚拟蜜罐还可以监视诸如来自私有网络上的另一计算机的病毒或特洛伊攻击的内部威胁,该另一计算机诸如通过网络连接126耦合至虚拟蜜罐的计算机112。
因为虚拟蜜罐系统由于其并不向典型用户提供实际网络服务而应当在内部网络上接收非常少的业务,所以从受感染计算机112到内部虚拟蜜罐120的非寻常业务模式可以提供安全威胁的指示,该指示并未被诸如防病毒软件之类的其它工具所识别,这使得网络管理员能够更快找出威胁并对威胁做出响应。此外,虽然关于诸如入侵检测和防护、通用威胁管理和/或防火墙设备之类的安全装置进行了描述,但是该技术可以由其它类型的网络服务所应用,诸如路由器、第三层(L3)交换机以及能够以隧道将L3业务送至远程蜜罐108的其它设备。
采用远程蜜罐来提供虚拟蜜罐使得能够有效使用远程服务器资源来向若干不同的安全装置提供虚拟蜜罐,与很少被远程计算机所接入的其它虚拟蜜罐共享服务器资源。远程或基于云的蜜罐服务的使用进一步将蜜罐的配置和管理从本地安全装置或其它本地机器卸载至远程部署的系统。该远程部署的蜜罐服务提供商因此能够提供若干不同的标准基础配置,消费者可以从中进行选择并且如果需要其能够作为用于进一步定制的基础配置。
图2是符合一些示例实施例的可操作以提供虚拟蜜罐的安全装置的框图。这里,安全装置200包括外部网络接口202、内部网络接口204、流管理模块205以及作为转发平面210的一部分的流表208,该转发流210可操作以对通过安全装置的业务流进行管理。操作系统内核212、安全管理模块214、规则数据库216、用户界面218和蜜罐模块220包括在服务平面222中,该服务平面222可操作以对安全装置进行管理。
管理员使用用户界面218来接入并且配置安全管理模块214,诸如更新或配置规则数据库216中的配置规则,以将来自规则数据库216的各种规则应用于分组流,将各种应用绑定至各个端口,或者以其它方式对安全装置220的操作进行配置。管理员还可以对安全装置进行配置以经由远程蜜罐模块220对远程蜜罐服务加以利用。
转发平面210通过流管理模块206对外部网络接口202和内部网络接口204之间的业务进行监视,该流管理模块206使用来自规则数据库216的规则、与通过远程蜜罐模块220所配置的虚拟蜜罐的所配置网络地址相关的信息以及存储在流表208中的其它这样的配置信息来对通过安全设备的网络业务的流进行管控。在一些更详细的示例中,流管理模块206进一步提供对网络分组的一些检查,诸如基于与各分组相关联的网络连接的分组的状态性检查,并且因此可操作以对具有各种网络协议的分组进行解码和监视。
在各种示例中,图2的各种安全装置部件可以包括硬件、固件和软件的任意组合以用于执行每个部件的各种功能。例如,内核212和安全管理模块204可以包括在通用处理器上运行的软件指令,而流管理模块206则包括专用集成电路(ASIC)。在另一个示例中,流管理模块206作为处理连同安全管理模块214、内核212和用户界面218一起在处理器上执行。在再其它的实施例中,安全装置200的各个部件可以包括离散的硬件单元,诸如数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA),或者任意其它等同的集成或离散逻辑电路,或者硬件、固件和/或软件的任意其它组合。
通常,流管理模块206针对经由输入网络接口202接收的分组确定该分组所属的分组流以及该分组流的特征。当分组流首次被接收时,流管理模块206构建包括诸如五元组{源IP地址,目的地IP地址,源端口,目的地端口,协议}之类的与分组相关的信息的状态更新,并且在一些示例中,该信息诸如是如何对事务加以区分的指示。流管理模块206通过外部网络接口202接收入站业务并且识别该业务内的网络流。每个网络流表示网络业务内一个方向中的分组流并且至少由源地址、目的地地址和通信协议进行识别。流管理模块206可以利用附加信息来指定网络流,包括源媒体访问控制(MAC)地址、目的地MAC地址、源端口和目的地端口。其它示例可以使用其它信息来识别网络流,诸如IP地址。
流管理模块206将数据保存在流表208内,该流表208对网络业务内所出现的每个活动的分组流进行描述。流表208指定与每个活动的分组流相关联的网络部件,即,诸如源设备和目的地设备以及与分组流相关联的端口之类的低级别信息。此外,流表208标识出共同形成客户端和服务器之间的单个通信会话的分组流的配对或群组。例如,针对共享至少一些共用网络地址、端口和协议的流,流表208可以将通信会话指定为相反方向的分组流的配对。
另外的示例中的流管理模块提供分组流的状态性检查以识别分组流内的攻击。当流管理模块206检测到攻击时,其执行编程的响应,诸如向安全管理模块214发送警报以便进行记录或进一步分析、丢弃该分组流的分组或者结束与该分组流相对应的网络会话。流管理模块还可以阻止源自于具有与所确定的攻击相关联的标识符的网络设备的未来连接请求。在另外的示例中,流管理模块提供分组的应用级检查,诸如允许来自web浏览的HTTP业务而阻止来自文件共享应用的HTTP业务。
管理员可以通过经由用户接口218配置远程蜜罐模块220而对安全装置进行配置以提供虚拟蜜罐,诸如通过指定所期望虚拟蜜罐的网络地址或者虚拟蜜罐的其它特征。其它特征可以包括指定虚拟蜜罐要在网络上进行支持的网络服务,例如ICMP、ARP。远程蜜罐模块220创建具有安全装置200本地的一个或多个网络地址的虚拟蜜罐,并且建立到诸如图1的108的远程蜜罐服务器的连接。安全装置使用流表208中所配置的规则经由流管理模块206而针对去往具有虚拟蜜罐的网络地址的分组来对网络进行监视,并且诸如经由安全装置200和远程蜜罐之间的网络隧道连接或虚拟私有网络(VPN)连接将这样的业务转发至远程蜜罐。
安全装置因此可操作而使得在其它联网计算机系统看来该虚拟蜜罐是位于安全装置200本地的实际服务器,这使得其成为对攻击方具有吸引力的目标。虽然虚拟蜜罐在图1中在120被示为单个虚拟系统,但是在其它示例中,其可以是网络分段或子网,或者是被配置为吸引攻击方注意力的精良的虚拟网络环境。
在许多示例中,图2的示例中的安全装置可能缺少用于利用该安全装置执行蜜罐的处理能力、存储或其它计算资源。如以上所描述的,安全装置200因此依赖于远程部署的蜜罐。安全装置200使用远程蜜罐模块220对网络地址进行配置以使得其通过远程蜜罐看上去是存在于安全装置200所保护的网络本地。然而,在一些示例中,安全装置200并不针对虚拟蜜罐而提供完整的网络连接范围。虽然诸如200的安全装置经常被配置为对进入本地系统的业务加以限制,但是该示例中的安全装置可以被配置为对从虚拟蜜罐外出的业务进行限制,这防止了其在尝试分布恶意程序、垃圾邮件或其它安全威胁时被接管。在另一示例中,在虚拟蜜罐上运行的管理软件进行工作以防止可能对其它计算机系统造成威胁的外出网络业务。在更详细的示例中,这样的网络业务阻止机制被配置为使得其通过网络业务看上去能够从蜜罐系统成功发送,由此使得其看上去是完全操作的网络系统。
图3示出了符合示例实施例的可以被用来提供远程蜜罐的由计算机化系统的框图。图3仅图示了计算设备300的一个特定示例,并且计算设备300的许多其它示例可以在其它实施例中被使用,诸如用来提供符合各个示例实施例的远程虚拟蜜罐或安全装置。
如图3的具体示例中所示,计算设备300包括一个或多个处理器302、存储器304、一个或多个输入设备306、一个或多个输出设备308、一个或多个通信模块310,以及一个或多个存储设备312。在一个示例中,计算设备300进一步包括可由计算设备300所执行的操作系统316。在各个示例中,操作系统包括诸如网络服务318和虚拟机(VM)服务320的服务。诸如虚拟机322的一个或多个虚拟机还存储在存储设备312上,并且可由计算设备300所执行。诸如322的每个虚拟机可以进一步执行蜜罐服务器324。组件302、304、306、308、310和312中的每一个可以(物理、通信和/或操作地)进行互连以便诸如经由一个或多个通信信道314进行组件间的通信。在一些示例中,通信信道314包括系统总线、网络连接、处理间通信数据结构或者用于传输数据的任意其它信道。诸如虚拟机322和操作系统316的应用还可以相互传输信息以及与计算设备300中的其它组件传输信息。
在一个示例中,处理器302被配置为实施功能和/或处理指令以便在计算设备300内执行。例如,处理器302可以能够对存储设备312或存储器304中所存储的指令进行处理。处理器302的示例可以包括微处理器、控制器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)中的任意一个或多个,或者等同的离散或集成逻辑电路。
一个或多个存储设备312可以被配置为在操作期间存储计算设备300内的信息。在一些示例中,存储设备312被描述为计算机可读存储介质。在一些示例中,存储设备312是临时存储器,这意味着存储设备312的主要用途并非长期存储。在一些示例中,存储设备312被描述为易失性存储器,这意味着存储设备312并不在计算机关机时保存所存储的内容。在其它示例中,在操作期间数据从存储设备312加载到存储器304中。易失性存储器的示例包括随机访问存储器(RAM)、动态随机访问存储器(DRAM)、静态随机访问存储器(SRAM)以及本领域已知的其它形式的易失性存储器。在一些示例中,存储设备312被用来存储程序指令以便由处理器302执行。在各个示例中,存储设备312和存储器304被计算设备300上运行的软件或应用(例如,虚拟机322)用来在程序执行期间临时地存储信息。
在一些示例中,存储设备312还包括一个或多个计算机可读存储媒体。存储设备312可以被配置为比易失性存储器存储更大量的信息。存储设备312可以进一步被配置用于信息的长期存储。在一些示例中,存储设备312包括非易失性存储部件。这样的非易失性存储部件的示例包括磁性硬盘、光盘、软盘、闪存或者电可编程存储器(EPROM)或电可擦除可编程(EEPROM)存储器的形式。
在一些示例中,计算设备300还博阿凯一个或多个通信单元310。在一个示例中,计算设备300利用通信单元310经由诸如一个或多个无线网络的一个或多个网络与外部设备进行通信。通信单元310可以是诸如以太网卡的网络接口卡、光学收发器、射频收发器,或者能够发送和/或接收信息的任意其它类型的设备。这样的网络接口的其它示例可以包括蓝牙、3G和WiFi无线电计算机设备以及通用串行总线(USB)。在一些示例中,计算设备300利用通信单元310与诸如图1的安全装置102之类的外部设备或者任意其它计算设备进行通信。
在一个示例中,计算设备300还包括一个或多个输入设备306。在一些示例中,输入设备306被配置为通过触觉、音频或视频反馈而接收来自用户的输入。输入设备306的示例包括触摸屏显示器、鼠标、键盘、语音响应系统、视频相机、麦克风或者用于检测来自用户的输入的任意其它类型的设备。
一个或多个输出设备308也可以包括在计算设备300中。在一些示例中,输出设备308被配置为使用触觉、音频或视频刺激向用户提供输出。在一个示例中,输出设备308包括存在敏感性(presence-sensitive)触摸屏显示器、声卡、视频图形适配卡,或者用于将信号转换为人类或机器可理解的适当形式的任意其它类型的设备。输出设备的附加示例包括扬声器、发光二极管(LED)显示器、液晶显示器(LCD),或者能够向用户生成输出的任意其它类型的设备。在一些示例中,诸如设备306和/或输出设备308被用来诸如经由显示器而提供操作系统服务,诸如图形用户界面服务。
计算设备300可以包括操作系统316。在一些示例中,操作系统316对计算设备300的组件的操作进行控制,并且提供从诸如虚拟机322之类的各种应用到计算设备300的组件的接口。例如,在一个示例中,操作系统316促进虚拟机322与处理器302、通信单元310、存储设备312、输入设备306和输出设备308的通信。如图3所示,虚拟机322可以包括在其上执行的如图1中在108所示出的蜜罐324。诸如322的应用均可以包括可由计算设备300执行的程序指令和/或数据。作为一个示例,虚拟机322和蜜罐324包括使得计算设备300执行本文中所描述的一个或多个操作和动作的指令。
在各个示例中,各种不同的蜜罐324可以被配置为在单个服务器上运行,或者跨不同服务器进行分布。在一些示例中,这是通过在服务器上执行不同虚拟机322并且在每个虚拟机中执行蜜罐的不同实例来实现的。这使得远程蜜罐服务器能够提供各种不同的虚拟蜜罐,并且按照需要增加或去除不同虚拟蜜罐以支持各种不同企业消费者的要求。
虽然计算设备300在该实例中为远程蜜罐服务器,但是在其它示例中,其可以执行本文中所描述的其它功能,诸如执行如图2中所示出并描述的安全装置的服务平面和转发平面。
本文中所描述的方法可以至少部分以硬件、软件、固件或者其任意组合来实施。例如,所描述的方法可以在一个或多个处理器内实施,包括一个或多个微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者任意其它等同的集成或离散逻辑电路,以及这样的组件的任意组合。术语“处理器”或“处理电路”通常可以是指单独或者与其它逻辑电路或者任意其它等同电路进行组合的任意的以上逻辑电路。包括硬件的控制单元也可以执行本文中所描述的一种或多种方法。
这样的硬件、软件和固件可以在相同设备内或单独设备内进行实施以支持本文中所描述的各种方法。此外,任意所描述的单元、模块或组件可以一起实施,或者作为离散但可协同操作的逻辑设备单独实施。不同特征作为模块或单元的描述意在强调不同的功能而并非必然暗示这样的模块或单元必须由单独的硬件、固件或软件组件来实现。相反,与一个或多个模块或单元相关联的功能可以由单独的硬件、固件或软件组件来执行,或者集成在共用或单独的硬件、固件或软件组件之内。
本文中所描述的方法还可以在制造物品中得以体现或编码,该制造物品包括与指令一起编码的计算机可读存储介质。诸如在计算机可读存储介质中所包括或编码的指令由一个或多个处理器执行时,在包括所编码的计算机可读存储介质的制造物品中所嵌入或编码的指令可以引起一个或多个可编程处理器或其它处理器实施本文中所描述的一种或多种技术。计算机可读存储介质可以包括随机访问存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、硬盘、致密盘ROM(CD-ROM)、软盘、卡带、磁性媒体、光学媒体或者其它计算机可读媒体。在一些示例中,制造物品可以包括一个或多个计算机可读存储媒体。
在一些示例中,计算机可读存储媒体可以包括非瞬时介质。术语“非瞬时”可以指示该存储介质并非以载波或传播信号来体现。在某些示例中,非瞬时存储介质可以(例如,在存储器或非易失性存储器中)存储能够随时间变化的数据。
图4是符合示例实施例的使用远程蜜罐服务器对安全装置进行操作以提供虚拟蜜罐的方法的流程图。在400对虚拟蜜罐的一个或多个网络地址进行配置,诸如一个或多个互联网协议(IP)或媒体访问控制(MAC)地址,这是安全装置本地的网络上的地址。在另外的示例中,该地址处于耦合至安全装置的私有或内部网络之内,或者处于耦合至安全装置的公共或外部网络上。
安全装置在402建立到远程蜜罐服务器的通信会话,该远程蜜罐服务器诸如远程部署的蜜罐服务器、基于云的蜜罐服务或者其它类型的远程蜜罐系统。诸如通过监视去往在400被配置为与虚拟蜜罐相关联的网络地址的网络业务,安全装置在404接收去往虚拟蜜罐的网络业务。在另外的示例中,该业务来自于潜在的攻击计算机系统,诸如图1在106所示出的远程客户端系统,或者来自如图1在112和124所示的可能受到恶意程序感染或者以其它方式被用来装载攻击的本地系统。安全装置在406经由在402所创建的该安全装置和远程蜜罐之间的通信会话而将接收的去往虚拟蜜罐的网络业务转发至远程蜜罐。在各个示例中,通信会话是网络隧道、虚拟私有网络或者其它这样的网络连接。
远程蜜罐从安全装置接收该网络业务,并且作为响应发送安全装置在408接收的网络业务。例如,进行操作以至少部分地暴露电子邮件服务器的远程蜜罐可以响应于电子邮件查询而返回电子邮件账户信息,进行操作以至少部分暴露数据库服务器的远程蜜罐可以响应于数据库查询而返回数据库信息,或者远程蜜罐可以通过对通过响应安全装置接收的用户界面命令或其它命令而使得用户能够登录并探究可以在典型网络环境中找到的配置、日志和应用。
安全装置在410使用与虚拟蜜罐相关联的网络地址将从远程蜜罐响应业务转发至诸如潜在的攻击计算机系统,以使得该远程蜜罐看上去是安全装置本地的计算机系统。也就是说,安全装置利用该安全装置暴露给网络的虚拟蜜罐接口(例如,网络地址)来代理从远程蜜罐接收的业务,以便模仿存在于由该安全装置所保护的网络之内的蜜罐。攻击方因此简单地将安全装置所提供的虚拟蜜罐视为网络上的另一个服务器,而并不知晓该服务器是远程蜜罐服务器经由安全装置所提供的虚拟蜜罐。
在另外的实施例中,安全装置可操作以执行其它功能,诸如向远程蜜罐发送配置设置,从远程蜜罐接收报告信息,并且选择可用于配置的一种或多种类型的蜜罐服务器。
图5是符合示例实施例的对远程蜜罐服务器进行操作以向安全装置提供虚拟蜜罐服务的方法的流程图。远程蜜罐被配置为在500向安全装置提供蜜罐,诸如通过来自安全装置的配置请求,接收与安全装置或安全装置管理员相关联的针对蜜罐服务的订购和支付,或者以其它方式接收期望将蜜罐链接至安全装置的指示。
在502在远程蜜罐和安全装置之间建立持久网络连接,诸如安全装置和执行远程蜜罐的虚拟机之间的隧道或虚拟私有网络连接。远程蜜罐在504接收去往安全装置所持有的虚拟蜜罐的网络业务,诸如通过安全装置接收去往安全装置持有的虚拟蜜罐所提供的网络地址或服务的业务,并且向远程蜜罐转发所接收的业务。
远程蜜罐在506对所接收的网络业务进行处理,诸如通过经由图形或命令行用户界面提供交互式服务器,提供诸如NetBIOS、互联网控制消息协议(ICMP)ping命令、地址解析协议(ARP)请求、MAC地址、互联网协议地址或Windows工作组服务之类的网络服务,或者提供诸如电子邮件服务器、数据库服务器、文件服务器、web服务器或Windows服务器之类的服务器功能。
远程蜜罐随后在508响应于所接收的业务而在持久连接上向安全装置发送网络业务,诸如响应于所接收的网络业务而发送服务请求、用户界面输入或其它服务器响应的结果。该响应网络业务有一定的格式以使得安全装置可操作以接收来自远程蜜罐的业务,并且将该业务提供至潜在攻击方或者试图接入经由安全装置所持有的虚拟蜜罐的其它系统。
这使得安全装置和远程蜜罐能够一起工作以提供看上去连接至安全装置本地的网络的虚拟蜜罐,以检测并追踪对经由蜜罐系统所提供的各种资源或服务进行接入的尝试。该安全装置可操作以通过捕捉往来于网络地址、资源名称或者与虚拟蜜罐相关联的其它标识符的业务并且与远程蜜罐服务器交换信息来提供虚拟蜜罐,从而看上去该蜜罐服务器是在安全装置的本地进行操作。
图6是根据一些示例实施例的集成了可操作以提供虚拟蜜罐的安全装置的路由器的框图。这里,示例路由器600包括控制单元602,其包括路由单元604、安全装置606和转发单元608。路由单元604主要负责维护路由信息库(RIB)610以反映网络的当前拓扑以及其所连接的其它网络实体。特别地,路由单元604定期更新RIB610以准确反映网络拓扑和其它实体。路由引擎604还包括执行路由操作的路由协议612,包括用于通过网络建立诸如VPN及可选的LSP的隧道。
UI模块614表示在路由单元604上执行的(例如,经由shell或Telnet会话)软件,该软件呈现命令行界面以便接收如本文中所描述的配置数据,该配置数据包括定义用于路由器600呈现给网络的虚拟蜜罐的一个或多个接口的配置数据以及供安全装置606的服务卡616所应用的配置数据。路由单元604的网络服务处理(NSP)618与安全装置606的程序服务卡616A-616M进行通信。
根据RIB610,转发单元608的转发专用集成电路(ASIC)维护转发信息库(FIB)622,其将网络目的地或MPLS标签与具体的下一跳(next hop)以及相对应的接口端口相关联。例如,控制单元602对RIB610进行分析并且根据RIB610生成FIB622。路由器600包括接口卡624A-624N(“IFC”624),其分别经由网络链接626和628接收和发送分组。IFC624可以经由多个接口端口耦合至网络链接626、628。
在一些示例中,路由单元604根据UI614接收的命令对FIB622进行编程以包括用于虚拟蜜罐接口的转发下一跳。此外,路由单元604对可以表示隧道PIC的服务卡616A进行编程以利用远程蜜罐代理虚拟蜜罐业务。转发ASIC620应用FIB622以将IFC624所接收的并且去往虚拟蜜罐接口的业务指向服务卡616A,其将该业务以隧道送至远程蜜罐。服务卡616A接收响应业务并且将该响应业务转发至转发单元608以便经由IFC624输出。以这种方式,路由器600可以结合远程蜜罐而提供高性能的蜜罐仿真。在一些示例中,路由单元604对FIB622进行编程以包括用于虚拟蜜罐业务的隧道接口,例如VPN接口。结果,转发ASIC620应用FIB622以将虚拟蜜罐业务直接以隧道送至远程蜜罐。
在一个实施例中,转发单元608和路由单元604中的每一个可以包括一个或多个专用处理器、硬件、ASIC等,并且可以通过数据通信信道通信耦合。数据通信信道可以是高速网络连接、总线、共享存储器或者其它数据通信机制。路由器600可以进一步包括用于容纳控制单元602的底架(未示出)。该底架具有多个插槽(未示出),用于接收包括IFC624和服务卡616在内的卡的集合。每个卡可以被插入该底架的相对应插槽之中以便经由总线、底板或其它电通信机制将该卡电耦合至控制单元602。
路由器600可以根据程序代码进行操作,该程序代码具有从计算机可读存储介质(未示出)所取得的可执行指令。这样的媒体的示例包括随机访问存储器(RAM)、只读存储器(ROM)、非易失性随机访问存储器(NVRAM)、电可擦除可编程只读存储器(EEPROM)、闪存等。路由器600的功能可以通过利用一个或多个处理器、离散硬件电路、固件、在可编程处理器上执行的软件或者任意上述的组合来执行计算机可读存储介质的指令而得以实施。
本文中所给出的示例实施例阐明了如何经由安全装置和远程蜜罐来提供虚拟蜜罐以使得虚拟蜜罐看上去处于连接至安全装置的网络的本地。虽然在本文中已经图示并描述了具体的实施例,但是本领域技术人员将会意识到的是,实现相同目的、结构或功能的任意部署形式都可以替代所示出的具体实施例。本申请意在覆盖本文中所描述的本发明实施例的任意适应和变化。本发明意在仅由权利要求及其等同形式的全部范围所限定。
Claims (15)
1.一种方法,包括:
在安全装置中配置暴露的网络地址,所述网络地址与位于受保护网络外部的远程蜜罐相关联;
接收去往与所述远程蜜罐相关联的所述网络地址的网络业务;以及
向所述远程蜜罐转发所述网络业务。
2.根据权利要求1所述的方法,进一步包括:
接收来自所述远程蜜罐的响应;以及
向发起所述接收以及转发的网络业务的计算设备转发所述响应,以使得所述远程蜜罐看上去是连接至所述安全装置本地的网络。
3.根据权利要求1-2中任一项所述的方法,其中关于所述远程蜜罐的、所述配置并且暴露的网络地址包括所述受保护网络的私有网络地址或者暴露于公共网络的公共网络地址之一。
4.根据权利要求1-3中任一项所述的方法,进一步包括:
经由所述安全装置配置所述远程蜜罐中的一个或多个网络服务;以及
配置所述远程蜜罐以提供一个或多个服务器服务。
5.根据权利要求4所述的方法,
其中所述一个或多个网络服务包括NetBIOS、互联网控制消息协议、地址解析协议(ARP)和Windows工作组服务中的一个或多个;以及
其中所述一个或多个服务器服务包括电子邮件服务器、数据库服务器、文件服务器、web服务器或Windows服务器中的一个或多个。
6.根据权利要求1-5中任一项所述的方法,进一步包括在所述安全装置中接收来自所述远程蜜罐的活动报告,其中所述活动报告列出关于与通过所述安全装置指向所述远程蜜罐的所述网络业务相关联的所述远程蜜罐的活动数据。
7.根据权利要求1-6中任一项所述的方法,进一步包括在所述安全装置和所述远程蜜罐之间建立持久隧道以便由所述安全装置对所述远程蜜罐进行配置。
8.根据权利要求1-7中任一项所述的方法,进一步包括:
在所述受保护网络处部署虚拟蜜罐以模仿本地蜜罐;以及
从所述安全装置向所述远程蜜罐转发业务,以使得所述远程蜜罐对于试图接入所述受保护网络的计算机而言看上去是本地连接至所述安全装置的蜜罐。
9.根据权利要求1所述的方法,进一步包括:
在位于所述受保护网络外部的所述远程蜜罐中接收来自多个安全装置的网络业务,每个安全装置向多个不同受保护网络提供安全服务;
处理来自所述不同安全装置中的每个安全装置的所述接收的网络业务,以针对所述不同的受保护网络生成相对应的响应网络业务,所述不同安全装置具有在所述远程蜜罐内执行的多个虚拟机中的不同的、相对应的一个虚拟机;以及
从所述远程蜜罐向所述相对应的安全装置发送所述响应网络业务,以使得所述远程蜜罐看上去位于每个所述受保护网络的内部。
10.一种安全装置,包括:
安全管理模块,其可操作以在所述安全装置本地的受保护网络中防止不希望的网络业务;
远程蜜罐模块,其可操作以配置与位于所述受保护网络外部的远程蜜罐相关联的一个或多个暴露的网络地址;以及
流管理模块,其可操作以接收去往与所述远程蜜罐相关联的所述网络地址的网络业务,并且向所述远程蜜罐转发去往与所述远程蜜罐相关联的所述网络地址的所述网络业务,以使得所述远程蜜罐看上去是连接至所述安全装置本地的网络。
11.根据权利要求10所述的安全装置,进一步包括用于执行权利要求1-8的任一方法的器件。
12.一种远程蜜罐,包括:
通信模块,其可操作以从安全装置接收去往虚拟蜜罐的网络业务;
远程蜜罐虚拟机,其可操作以处理所述接收的网络业务,并且响应于所述接收的网络业务以及经由所述通信模块向所述安全装置发送网络业务,以使得所述远程蜜罐虚拟机看上去是连接至所述安全装置本地的网络。
13.根据权利要求12所述的远程蜜罐,进一步包括与具有用于执行权利要求1-8的任一方法的器件的安全装置进行通信的器件。
14.根据权利要求12-13中任一项所述的远程蜜罐,
其中所述通信模块进一步可操作以在所述安全装置和所述远程蜜罐之间建立连接以从所述安全装置接收针对所述虚拟蜜罐的一个或多个配置设置,
其中所述远程蜜罐虚拟机进一步可操作以提供一个或多个网络服务或服务器服务,以及
所述远程蜜罐虚拟机可操作以向所述安全装置发送活动报告。
15.根据权利要求12-14中任一项所述的远程蜜罐,进一步包括:
两个或更多个远程蜜罐虚拟机,所述两个或更多个远程蜜罐虚拟机中的每个远程蜜罐虚拟机支持用于不同受保护网络的不同安全装置,
其中所述两个或更多个远程蜜罐虚拟机中的每个远程蜜罐虚拟机通过网络管理员针对所述相应所支持的受保护网络单独地可配置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/631,398 | 2012-09-28 | ||
| US13/631,398 US20140096229A1 (en) | 2012-09-28 | 2012-09-28 | Virtual honeypot |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103746956A true CN103746956A (zh) | 2014-04-23 |
Family
ID=49261460
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310452903.9A Pending CN103746956A (zh) | 2012-09-28 | 2013-09-27 | 虚拟蜜罐 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20140096229A1 (zh) |
| EP (1) | EP2713581A1 (zh) |
| CN (1) | CN103746956A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105488389A (zh) * | 2014-12-08 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种蜜罐数据库的更新和还原方法及系统 |
| CN107786532A (zh) * | 2016-08-31 | 2018-03-09 | 西门子公司 | 工业自动化系统和云连接器中使用虚拟蜜罐的系统和方法 |
| CN110099040A (zh) * | 2019-03-01 | 2019-08-06 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
| CN110336811A (zh) * | 2019-06-29 | 2019-10-15 | 上海淇馥信息技术有限公司 | 一种基于蜜罐系统的网络威胁分析方法、装置和电子设备 |
| CN110502896A (zh) * | 2019-08-28 | 2019-11-26 | 杭州安恒信息技术股份有限公司 | 一种网站信息的泄露监测方法、系统及相关装置 |
| CN111431891A (zh) * | 2020-03-20 | 2020-07-17 | 广州锦行网络科技有限公司 | 一种蜜罐部署方法 |
| CN111756742A (zh) * | 2020-06-24 | 2020-10-09 | 广州锦行网络科技有限公司 | 一种蜜罐欺骗防御系统及其欺骗防御方法 |
| CN113691527A (zh) * | 2021-08-23 | 2021-11-23 | 海尔数字科技(青岛)有限公司 | 安全处理方法、装置、电子设备、及存储介质 |
| CN113949520A (zh) * | 2020-06-29 | 2022-01-18 | 奇安信科技集团股份有限公司 | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 |
| CN114268491A (zh) * | 2021-12-21 | 2022-04-01 | 南方电网科学研究院有限责任公司 | 一种基于蜜罐技术的网络安防系统 |
Families Citing this family (102)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9485276B2 (en) | 2012-09-28 | 2016-11-01 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
| US9584523B2 (en) * | 2012-10-30 | 2017-02-28 | Hewlett Packard Enterprise Development Lp | Virtual private network access control |
| US9565202B1 (en) * | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
| US10298598B1 (en) * | 2013-12-16 | 2019-05-21 | Amazon Technologies, Inc. | Countering service enumeration through imposter-driven response |
| US10264025B2 (en) | 2016-06-24 | 2019-04-16 | Varmour Networks, Inc. | Security policy generation for virtualization, bare-metal server, and cloud computing environments |
| US20150326592A1 (en) * | 2014-05-07 | 2015-11-12 | Attivo Networks Inc. | Emulating shellcode attacks |
| US9609019B2 (en) * | 2014-05-07 | 2017-03-28 | Attivo Networks Inc. | System and method for directing malicous activity to a monitoring system |
| US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
| US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
| US10193924B2 (en) * | 2014-09-17 | 2019-01-29 | Acalvio Technologies, Inc. | Network intrusion diversion using a software defined network |
| US9864864B2 (en) * | 2014-09-23 | 2018-01-09 | Accenture Global Services Limited | Industrial security agent platform |
| US9882929B1 (en) * | 2014-09-30 | 2018-01-30 | Palo Alto Networks, Inc. | Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network |
| US9495188B1 (en) * | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
| US10044675B1 (en) | 2014-09-30 | 2018-08-07 | Palo Alto Networks, Inc. | Integrating a honey network with a target network to counter IP and peer-checking evasion techniques |
| US9716727B1 (en) * | 2014-09-30 | 2017-07-25 | Palo Alto Networks, Inc. | Generating a honey network configuration to emulate a target network environment |
| US9860208B1 (en) | 2014-09-30 | 2018-01-02 | Palo Alto Networks, Inc. | Bridging a virtual clone of a target device in a honey network to a suspicious device in an enterprise network |
| US9560075B2 (en) | 2014-10-22 | 2017-01-31 | International Business Machines Corporation | Cognitive honeypot |
| WO2016088351A1 (ja) * | 2014-12-01 | 2016-06-09 | 日本電気株式会社 | ダミー情報挿入装置、ダミー情報挿入方法および記録媒体 |
| US9602536B1 (en) * | 2014-12-04 | 2017-03-21 | Amazon Technologies, Inc. | Virtualized network honeypots |
| EP3041190B1 (en) * | 2014-12-30 | 2020-11-25 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
| US9240976B1 (en) | 2015-01-06 | 2016-01-19 | Blackpoint Holdings, Llc | Systems and methods for providing network security monitoring |
| US9686296B1 (en) | 2015-01-06 | 2017-06-20 | Blackpoint Holdings, Llc | Systems and methods for providing network security monitoring |
| US10574697B1 (en) | 2015-02-16 | 2020-02-25 | Amazon Technologies, Inc. | Providing a honeypot environment in response to incorrect credentials |
| US10193929B2 (en) | 2015-03-13 | 2019-01-29 | Varmour Networks, Inc. | Methods and systems for improving analytics in distributed networks |
| US9380027B1 (en) | 2015-03-30 | 2016-06-28 | Varmour Networks, Inc. | Conditional declarative policies |
| US9938019B2 (en) * | 2015-05-21 | 2018-04-10 | The Boeing Company | Systems and methods for detecting a security breach in an aircraft network |
| US10375088B2 (en) | 2015-06-04 | 2019-08-06 | Vm-Robot, Inc. | Routing systems and methods |
| US11252181B2 (en) * | 2015-07-02 | 2022-02-15 | Reliaquest Holdings, Llc | Threat intelligence system and method |
| WO2017013589A1 (en) * | 2015-07-21 | 2017-01-26 | Cymmetria, Inc. | Decoy and deceptive data object technology |
| EP3144840A1 (en) * | 2015-09-16 | 2017-03-22 | Mastercard International Incorporated | Computer security system |
| EP3145149B1 (en) * | 2015-09-16 | 2018-04-25 | Mastercard International Incorporated | Cyber defence and network traffic management using emulation of network resources |
| EP3145150A1 (en) * | 2015-09-16 | 2017-03-22 | Mastercard International Incorporated | Cyber defence and network traffic management using virtualized emulation of network resources |
| US10135867B2 (en) * | 2015-12-08 | 2018-11-20 | Bank Of America Corporation | Dynamically updated computing environments for detecting and capturing unauthorized computer activities |
| US10191758B2 (en) | 2015-12-09 | 2019-01-29 | Varmour Networks, Inc. | Directing data traffic between intra-server virtual machines |
| US10097581B1 (en) | 2015-12-28 | 2018-10-09 | Amazon Technologies, Inc. | Honeypot computing services that include simulated computing resources |
| US11290486B1 (en) * | 2015-12-28 | 2022-03-29 | Amazon Technologies, Inc. | Allocating defective computing resources for honeypot services |
| US10320841B1 (en) | 2015-12-28 | 2019-06-11 | Amazon Technologies, Inc. | Fraud score heuristic for identifying fradulent requests or sets of requests |
| US10630708B2 (en) * | 2016-01-08 | 2020-04-21 | Cyber Detection Services Inc | Embedded device and method of processing network communication data |
| US10284598B2 (en) | 2016-01-29 | 2019-05-07 | Sophos Limited | Honeypot network services |
| US10567342B2 (en) * | 2016-02-24 | 2020-02-18 | Imperva, Inc. | Techniques for securely detecting compromises of enterprise end stations utilizing tunnel tokens |
| US20170264639A1 (en) * | 2016-03-10 | 2017-09-14 | Acalvio Technologies, Inc. | Active deception system |
| US10110629B1 (en) * | 2016-03-24 | 2018-10-23 | Amazon Technologies, Inc. | Managed honeypot intrusion detection system |
| US10257226B2 (en) | 2016-03-24 | 2019-04-09 | 802 Secure, Inc. | Identifying and trapping wireless based attacks on networks using deceptive network emulation |
| US10237284B2 (en) | 2016-03-31 | 2019-03-19 | International Business Machines Corporation | Internet of things security appliance |
| US10348763B2 (en) * | 2016-04-26 | 2019-07-09 | Acalvio Technologies, Inc. | Responsive deception mechanisms |
| US9979750B2 (en) | 2016-04-26 | 2018-05-22 | Acalvio Technologies, Inc. | Tunneling for network deceptions |
| US10326796B1 (en) | 2016-04-26 | 2019-06-18 | Acalvio Technologies, Inc. | Dynamic security mechanisms for mixed networks |
| US9985988B2 (en) * | 2016-06-01 | 2018-05-29 | Acalvio Technologies, Inc. | Deception to detect network scans |
| US10581914B2 (en) | 2016-06-03 | 2020-03-03 | Ciena Corporation | Method and system of mitigating network attacks |
| GB2566657B8 (en) | 2016-06-30 | 2022-04-13 | Sophos Ltd | Proactive network security using a health heartbeat |
| US10755334B2 (en) | 2016-06-30 | 2020-08-25 | Varmour Networks, Inc. | Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors |
| US9756075B1 (en) * | 2016-11-22 | 2017-09-05 | Acalvio Technologies, Inc. | Dynamic hiding of deception mechanism |
| EP3577589B1 (en) * | 2016-12-08 | 2024-01-03 | Cequence Security, Inc. | Prevention of malicious automation attacks on a web service |
| US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
| US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
| US10367832B2 (en) | 2017-01-27 | 2019-07-30 | Rapid7, Inc. | Reactive virtual security appliances |
| US9912695B1 (en) | 2017-04-06 | 2018-03-06 | Qualcomm Incorporated | Techniques for using a honeypot to protect a server |
| US11095678B2 (en) * | 2017-07-12 | 2021-08-17 | The Boeing Company | Mobile security countermeasures |
| EP3643040A4 (en) | 2017-08-08 | 2021-06-09 | SentinelOne, Inc. | METHODS, SYSTEMS AND DEVICES FOR DYNAMIC MODELING AND GROUPING OF END POINTS FOR EDGE NETWORKING |
| US10574698B1 (en) * | 2017-09-01 | 2020-02-25 | Amazon Technologies, Inc. | Configuration and deployment of decoy content over a network |
| US10764755B2 (en) * | 2017-09-07 | 2020-09-01 | 802 Secure, Inc. | Systems and methods for providing wireless access security by interrogation |
| US10681063B1 (en) * | 2017-11-29 | 2020-06-09 | NortonLifeLock Inc. | Securing a network device from a malicious embedded script hosted on a third-party domain |
| CN108156163A (zh) * | 2017-12-28 | 2018-06-12 | 广州锦行网络科技有限公司 | 基于蜜罐技术的多维欺骗诱饵实现系统及方法 |
| US10826939B2 (en) * | 2018-01-19 | 2020-11-03 | Rapid7, Inc. | Blended honeypot |
| US11368474B2 (en) | 2018-01-23 | 2022-06-21 | Rapid7, Inc. | Detecting anomalous internet behavior |
| US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
| TWI657681B (zh) * | 2018-02-13 | 2019-04-21 | 愛迪爾資訊有限公司 | 網路流分析方法及其相關系統 |
| US11075947B2 (en) | 2018-06-26 | 2021-07-27 | Cisco Technology, Inc. | Virtual traffic decoys |
| US11108823B2 (en) * | 2018-07-31 | 2021-08-31 | International Business Machines Corporation | Resource security system using fake connections |
| US11153095B2 (en) * | 2019-04-30 | 2021-10-19 | At&T Mobility Ii Llc | Facilitation of identification of internet-of-things host devices |
| US10762200B1 (en) | 2019-05-20 | 2020-09-01 | Sentinel Labs Israel Ltd. | Systems and methods for executable code detection, automatic feature extraction and position independent code detection |
| US11863580B2 (en) | 2019-05-31 | 2024-01-02 | Varmour Networks, Inc. | Modeling application dependencies to identify operational risk |
| US11711374B2 (en) | 2019-05-31 | 2023-07-25 | Varmour Networks, Inc. | Systems and methods for understanding identity and organizational access to applications within an enterprise environment |
| US11290494B2 (en) | 2019-05-31 | 2022-03-29 | Varmour Networks, Inc. | Reliability prediction for cloud security policies |
| US11310284B2 (en) | 2019-05-31 | 2022-04-19 | Varmour Networks, Inc. | Validation of cloud security policies |
| US11575563B2 (en) | 2019-05-31 | 2023-02-07 | Varmour Networks, Inc. | Cloud security management |
| US11290493B2 (en) | 2019-05-31 | 2022-03-29 | Varmour Networks, Inc. | Template-driven intent-based security |
| US11223651B2 (en) * | 2019-07-30 | 2022-01-11 | International Business Machines Corporation | Augmented data collection from suspected attackers of a computer network |
| US11831420B2 (en) | 2019-11-18 | 2023-11-28 | F5, Inc. | Network application firewall |
| US11233823B1 (en) * | 2019-12-09 | 2022-01-25 | Amazon Technologies, Inc. | Efficient implementation of honeypot devices to detect wide-scale network attacks |
| US11265346B2 (en) | 2019-12-19 | 2022-03-01 | Palo Alto Networks, Inc. | Large scale high-interactive honeypot farm |
| US11271907B2 (en) | 2019-12-19 | 2022-03-08 | Palo Alto Networks, Inc. | Smart proxy for a large scale high-interaction honeypot farm |
| CN111526132B (zh) * | 2020-04-08 | 2022-04-29 | 上海沪景信息科技有限公司 | 攻击转移方法、装置、设备及计算机可读存储介质 |
| CN114070575B (zh) * | 2020-08-07 | 2024-05-28 | 奇安信科技集团股份有限公司 | 设备探测处理方法、装置、电子设备、存储介质和程序 |
| CN112134891B (zh) * | 2020-09-24 | 2022-11-04 | 上海观安信息技术股份有限公司 | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 |
| US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
| US11876817B2 (en) | 2020-12-23 | 2024-01-16 | Varmour Networks, Inc. | Modeling queue-based message-oriented middleware relationships in a security system |
| US11818152B2 (en) | 2020-12-23 | 2023-11-14 | Varmour Networks, Inc. | Modeling topic-based message-oriented middleware within a security system |
| US11777978B2 (en) | 2021-01-29 | 2023-10-03 | Varmour Networks, Inc. | Methods and systems for accurately assessing application access risk |
| RU2761542C1 (ru) | 2021-03-15 | 2021-12-09 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования системы ресурсов-ловушек |
| WO2022197263A1 (en) * | 2021-03-17 | 2022-09-22 | Barikat Internet Guvenligi Bilisim Ticaret Anonim Sirketi | A honeypot for industrial control systems |
| CN113285926B (zh) * | 2021-04-26 | 2022-11-11 | 南方电网数字电网研究院有限公司 | 面向电力监控系统的蜜罐诱捕方法、装置、计算机设备 |
| CN113098905B (zh) * | 2021-05-08 | 2022-04-19 | 广州锦行网络科技有限公司 | 基于蜜罐的窄带物联网终端设备的防攻击方法及系统 |
| US11734316B2 (en) | 2021-07-08 | 2023-08-22 | Varmour Networks, Inc. | Relationship-based search in a computing environment |
| CN113542262A (zh) * | 2021-07-13 | 2021-10-22 | 北京华圣龙源科技有限公司 | 用于信息系统的信息安全威胁智能预警方法和装置 |
| US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
| CN113612783B (zh) * | 2021-08-09 | 2023-05-19 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
| CN114465748B (zh) * | 2021-09-28 | 2022-10-11 | 北京卫达信息技术有限公司 | 基于多诱饵动态协同的攻击诱捕方法及系统 |
| CN114257438B (zh) * | 2021-12-16 | 2024-01-23 | 南方电网数字平台科技(广东)有限公司 | 基于蜜罐的电力监控系统管理方法、装置和计算机设备 |
| CN115065495A (zh) * | 2022-04-07 | 2022-09-16 | 京东科技信息技术有限公司 | 蜜罐网络运行方法、装置、设备及存储介质 |
| CN115277068B (zh) * | 2022-06-15 | 2024-02-23 | 广州理工学院 | 一种基于欺骗防御的新型蜜罐系统及方法 |
| CN117411686A (zh) * | 2023-10-18 | 2024-01-16 | 中信数字创新(上海)科技有限公司 | 一种微蜜罐系统架构 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020046351A1 (en) * | 2000-09-29 | 2002-04-18 | Keisuke Takemori | Intrusion preventing system |
| US20040078592A1 (en) * | 2002-10-16 | 2004-04-22 | At & T Corp. | System and method for deploying honeypot systems in a network |
| US8127356B2 (en) * | 2003-08-27 | 2012-02-28 | International Business Machines Corporation | System, method and program product for detecting unknown computer attacks |
| US7756987B2 (en) * | 2007-04-04 | 2010-07-13 | Microsoft Corporation | Cybersquatter patrol |
| US8667582B2 (en) * | 2007-12-10 | 2014-03-04 | Mcafee, Inc. | System, method, and computer program product for directing predetermined network traffic to a honeypot |
| US8181250B2 (en) * | 2008-06-30 | 2012-05-15 | Microsoft Corporation | Personalized honeypot for detecting information leaks and security breaches |
| US8595818B2 (en) * | 2011-06-01 | 2013-11-26 | Raytheon Bbn Technologies Corp. | Systems and methods for decoy routing and covert channel bonding |
| US9294351B2 (en) * | 2011-11-10 | 2016-03-22 | Cisco Technology, Inc. | Dynamic policy based interface configuration for virtualized environments |
-
2012
- 2012-09-28 US US13/631,398 patent/US20140096229A1/en not_active Abandoned
-
2013
- 2013-09-27 EP EP13186288.0A patent/EP2713581A1/en not_active Withdrawn
- 2013-09-27 CN CN201310452903.9A patent/CN103746956A/zh active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105488389B (zh) * | 2014-12-08 | 2018-05-08 | 哈尔滨安天科技股份有限公司 | 一种蜜罐数据库的更新和还原方法及系统 |
| CN105488389A (zh) * | 2014-12-08 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种蜜罐数据库的更新和还原方法及系统 |
| CN107786532A (zh) * | 2016-08-31 | 2018-03-09 | 西门子公司 | 工业自动化系统和云连接器中使用虚拟蜜罐的系统和方法 |
| CN110099040A (zh) * | 2019-03-01 | 2019-08-06 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
| CN110099040B (zh) * | 2019-03-01 | 2021-11-30 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
| CN110336811A (zh) * | 2019-06-29 | 2019-10-15 | 上海淇馥信息技术有限公司 | 一种基于蜜罐系统的网络威胁分析方法、装置和电子设备 |
| CN110502896B (zh) * | 2019-08-28 | 2021-07-27 | 杭州安恒信息技术股份有限公司 | 一种网站信息的泄露监测方法、系统及相关装置 |
| CN110502896A (zh) * | 2019-08-28 | 2019-11-26 | 杭州安恒信息技术股份有限公司 | 一种网站信息的泄露监测方法、系统及相关装置 |
| CN111431891A (zh) * | 2020-03-20 | 2020-07-17 | 广州锦行网络科技有限公司 | 一种蜜罐部署方法 |
| CN111756742A (zh) * | 2020-06-24 | 2020-10-09 | 广州锦行网络科技有限公司 | 一种蜜罐欺骗防御系统及其欺骗防御方法 |
| CN113949520A (zh) * | 2020-06-29 | 2022-01-18 | 奇安信科技集团股份有限公司 | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 |
| CN113949520B (zh) * | 2020-06-29 | 2024-02-09 | 奇安信科技集团股份有限公司 | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 |
| CN113691527A (zh) * | 2021-08-23 | 2021-11-23 | 海尔数字科技(青岛)有限公司 | 安全处理方法、装置、电子设备、及存储介质 |
| CN114268491A (zh) * | 2021-12-21 | 2022-04-01 | 南方电网科学研究院有限责任公司 | 一种基于蜜罐技术的网络安防系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140096229A1 (en) | 2014-04-03 |
| EP2713581A1 (en) | 2014-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103746956A (zh) | 虚拟蜜罐 | |
| US9838427B2 (en) | Dynamic service handling using a honeypot | |
| US11757844B2 (en) | Smart proxy for a large scale high-interaction honeypot farm | |
| US11757936B2 (en) | Large scale high-interactive honeypot farm | |
| US10805325B2 (en) | Techniques for detecting enterprise intrusions utilizing active tokens | |
| CN113612784B (zh) | 使用蜜罐的动态服务处理 | |
| JP6526895B2 (ja) | 電子メッセージベースのセキュリティ脅威の自動軽減 | |
| US10476891B2 (en) | Monitoring access of network darkspace | |
| US9609019B2 (en) | System and method for directing malicous activity to a monitoring system | |
| US9942270B2 (en) | Database deception in directory services | |
| US9769204B2 (en) | Distributed system for Bot detection | |
| US9356950B2 (en) | Evaluating URLS for malicious content | |
| JP7393514B2 (ja) | モバイルデバイスの効率的なサイバー保護のための方法およびシステム | |
| US20160164897A1 (en) | Detection of and responses to network attacks | |
| US8528092B2 (en) | System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking | |
| WO2020142133A1 (en) | Rogue device detection including mac address spoofing detection | |
| WO2016081561A1 (en) | System and method for directing malicious activity to a monitoring system | |
| US20240022547A1 (en) | System and method for midserver facilitation of mass scanning network traffic detection and analysis | |
| Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
| WO2021181391A1 (en) | System and method for finding, tracking, and capturing a cyber-attacker | |
| US10778708B1 (en) | Method and apparatus for detecting effectiveness of security controls | |
| Chen et al. | Cooperation system of worm detection and quarantine in real time |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140423 |