CN105743878B - 使用蜜罐的动态服务处理 - Google Patents
使用蜜罐的动态服务处理 Download PDFInfo
- Publication number
- CN105743878B CN105743878B CN201511008764.6A CN201511008764A CN105743878B CN 105743878 B CN105743878 B CN 105743878B CN 201511008764 A CN201511008764 A CN 201511008764A CN 105743878 B CN105743878 B CN 105743878B
- Authority
- CN
- China
- Prior art keywords
- service
- network
- service request
- honeypot
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000004044 response Effects 0.000 claims abstract description 87
- 238000000034 method Methods 0.000 claims description 70
- 239000000523 sample Substances 0.000 claims description 69
- 230000005540 biological transmission Effects 0.000 claims description 8
- 238000012545 processing Methods 0.000 abstract description 7
- 238000007726 management method Methods 0.000 description 46
- 238000003860 storage Methods 0.000 description 40
- 238000004891 communication Methods 0.000 description 29
- 238000010586 diagram Methods 0.000 description 19
- 230000008569 process Effects 0.000 description 9
- 230000009471 action Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000007689 inspection Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 7
- 230000003278 mimic effect Effects 0.000 description 7
- 238000012546 transfer Methods 0.000 description 6
- 238000013500 data storage Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 238000003491 array Methods 0.000 description 4
- 208000015181 infectious disease Diseases 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 235000012907 honey Nutrition 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000005022 packaging material Substances 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及使用蜜罐的动态服务处理。具体地,提供了一种网络设备,包括:耦合到存储器的一个或多个处理器;以及被配置用于由一个或多个处理器执行的动态服务模块,用以:从客户端设备接收指定服务的服务请求。所述动态服务模块进一步被配置用于由所述一个或多个处理器执行,以响应于获得针对所述服务的否定指示,向蜜罐发送所述服务请求的表示以使得所述蜜罐向所述客户端设备提供所述服务。
Description
技术领域
本发明总体上涉及计算机网络安全,并且更具体地涉及计算机网络蜜罐。
背景技术
计算机是有价值的工具,在很大程度上在于其用于与其它计算机系统进行通信并且通过计算机网络交换信息的能力。网络通常包括通过线路、光纤、无线电或其它数据传输手段进行链接的计算机的互连群组,以向计算机提供从计算机传输信息至计算机的能力。互联网可能是最为众所周知的计算机网络,并且使得数以百万计的人们能够诸如通过观看网页、发送电子邮件、以及通过执行其它计算机至计算机的通信而接入到数以百万计的其它计算机。
由于互联网的大小非常庞大并且互联网用户的兴趣非常多样化,所以尝试以对其它用户构成危险的方式而与其它用户的计算机进行通信的恶意用户或恶作剧者也并不少见。例如,黑客可能会尝试登录到公司计算机中以窃取、删除或改变信息。计算机病毒、蠕虫和/或木马程序可能会分布到其它计算机,或者被计算机用户无意下载或执行。另外,企业内的计算机用户可能会偶然尝试执行非授权的网络通信,诸如运行文件共享程序或者将企业网络内部的秘密传送至互联网。
出于这些原因,网络管理员会在易受攻击的网络内部署诱饵计算机系统或“蜜罐(honeypot)”,其被设计为吸引入侵者的注意,并且收集和报告与入侵相关的信息。也就是说,蜜罐可以是部署在企业网络内模仿诸如数据库、应用和/或其它服务的网络服务的服务器,其表现出吸引恶意业务以收集有关攻击模式和(多个)入侵来源的信息以便识别出受到感染的网络设备和可疑攻击者。
发明内容
一般而言,描述了如下技术,在这些技术中,诸如安全装置(例如,防火墙)之类的网络设备利用蜜罐服务以便响应于对受保护网络内服务器做出的服务请求而动态地模仿不存在的服务。例如,网络管理员可以部署网络设备以保护服务器的网络向位于网络内部和外部的客户端提供各种应用层服务。这些服务器例如可以具有相应的层3(L3)地址或其它的地址,或者被进行负载平衡以提供源自于单个地址的服务。然而,在大多数情况下,由网络中的每个服务器所提供的服务不全面,即,对于给定的服务器,存在该服务器不提供的一个或多个服务。服务器可以通过如下方式对指定了这样的不存在服务的服务请求进行响应:通过不响应该请求或者通过发送明确拒绝连接的响应。与此相反,服务器可以用指示发出服务请求的客户端设备可以继续进行该服务的肯定确认来对指定了被提供服务的服务请求进行响应。服务也可能由于被请求服务的地址不是针对网络内的计算设备的主机地址而不存在。
正如在下面进一步详细描述的那样,网络设备可以监视服务请求并且响应穿过受保护网络的边界的业务以便识别指定不存在服务的服务请求。在一些情况中,网络设备存储经由网络设备进入受保护网络的边界的服务请求的记录。如果网络设备针对给定的服务请求没有从服务器接收到关于该服务器提供指定的服务的指示(即,该服务不存在),那么对于该给定的服务请求,网络设备利用蜜罐以便向请求的客户端设备动态地模仿指定的服务。例如,网络设备可以向客户端设备发送不存在服务存在于受保护网络内的肯定指示——尽管网络设备从服务器接收到了明确拒绝该连接的响应或者在一段逝去时间之后未接收到任何响应。所述网络设备可以进一步或备选地,向蜜罐转发该服务请求的副本,蜜罐处理该服务请求以便进行记录、分析、以及在某些情况下用响应的服务业务进行响应,网络设备可以将该响应中继至客户端设备。以这样的方式,网络设备利用蜜罐以动态地即时“树立”所请求的服务,使它对于客户端设备而言就像该服务作为受保护网络内的服务器所提供的服务存在一样,无论该服务所请求的服务器是否存在或者实际上是否提供该服务。因此,该技术是基于服务的并且是动态的,可以自动地引起服务在包括网络设备或者被网络设备保护的网络中被添加、删除以及重新配置。
客户端设备可以在接收到针对被请求服务的肯定指示后,继续经由网络设备根据该服务请求的参数与蜜罐交互。在这样做的过程中,客户端设备至少在某种程度上从受保护网络上的进一步攻击中被偏移,并且客户端设备可以在其与被请求的但不存在的服务交互过程中向蜜罐揭示任何恶意权谋,这可以使得管理员或研究人员能够改善受保护网络的整体安全性。
在一个示例中,一种方法,包括:由网络设备从客户端设备接收指定服务的服务请求;并且由所述网络设备并且响应于获得针对所述服务的否定指示,向蜜罐发送所述服务请求的表示以使得所述蜜罐向所述客户端设备提供所述服务。
在另一示例中,一种网络设备,包括:耦合到存储器的一个或多个处理器;和被配置用于由一个或多个处理器执行的动态服务模块,用以:从客户端设备接收指定服务的服务请求。动态服务模块进一步被配置用于由一个或多个处理器执行以便:响应于获得针对所述服务的否定指示,向蜜罐发送所述服务请求的表示以使得所述蜜罐向所述客户端设备提供所述服务。
在另一个例子中,一种包括在其上存储有指令的非临时性计算机可读存储介质,所述指令在被执行时,对一个或多个处理器进行配置以:由网络设备从客户端设备接收指定服务的服务请求;并且由所述网络设备并且响应于获得针对所述服务的否定指示,向蜜罐发送所述服务请求的表示以使得所述蜜罐向所述客户端设备提供所述服务。
本发明的一个或多个示例的细节在附图和以下的描述中给出。从该描述和附图以及从权利要求将明显看出其它的特征、目标和优势。
附图说明
图1是根据一些示例的示出经由安全装置提供的虚拟蜜罐的网络框图。
图2是根据一些示例的可操作以提供虚拟远程蜜罐的安全装置的框图。
图3是根据本文示例的可以被用来提供远程蜜罐、安全装置或者其它网络设备的计算机化系统的框图。
图4是根据一些示例的操作安全装置以使用远程蜜罐服务器提供虚拟蜜罐的方法的流程图。
图5是根据一些示例的操作远程蜜罐服务器以向安全装置提供虚拟蜜罐服务的方法的流程图。
图6是根据一些示例的集成了可操作以提供虚拟蜜罐的安全装置的路由器的框图。
图7是图示了示例网络系统的框图,其中网络设备利用蜜罐而针对未被由该网络设备服务的网络提供的服务来动态地模仿服务交互。
图8是更详细地图示了示例性网络设备的框图,根据本文中所描述的技术,其利用蜜罐以响应于服务请求动态地提供不存在的服务。
图9是根据本文中所描述的技术示出了网络设备与蜜罐合作以提供服务的操作的示例模式的流程图。
图10是根据本文中所描述的技术示出了网络设备与蜜罐合作以提供服务的操作的示例模式的流程图。
贯穿附图及全文,类似的参考标号表示类似的元件。
具体实施方式
诸如防火墙和防病毒软件的安全系统在典型网络环境中提供显著的保护,在该环境中防火墙针对私有网络的非授权接入提供防御,并且防病毒软件针对个体计算机系统被病毒、木马、根程序病毒和其它威胁感染提供防御。虽然这样的安全系统针对许多类型的计算机攻击提供了防御,但是即使对其事件日志进行仔细检查,所提供的与攻击如何装载相关的信息也非常有限。此外,这些技术经常遗漏许多攻击和感染。
出于诸如此类的原因,有时采用被称作蜜罐的诱饵系统来收集与攻击者或入侵者相关的信息。蜜罐可以被设置在私有网络内部或外部,并且诸如通过使用被配置为看上去与易受攻击的系统相同的定制软件,或者通过使用诸如WindowsTM服务器、数据库服务器或其它这样的系统的可能对攻击者具有吸引力的目标的标准操作系统和软件,蜜罐通常被配置成表现为易受攻击的联网计算机系统。典型地,蜜罐系统进一步包括使得用户活动能够被记录或追踪的软件工具,这使得蜜罐的主机能够收集与攻击者的身份和方法相关的信息。
但是,蜜罐系统的配置和安装是一项复杂的任务。所期望的是,蜜罐模仿对攻击者具有吸引力的实际服务器,这涉及这样的系统的安装、配置和维护,并且可能包括诸如电子邮件、数据库条目或其它这样的错误数据之类的“虚假”信息。期望对追踪软件进行设置以提供对攻击者在蜜罐系统上的活动的追踪。经常还期望其它配置修改,诸如限制外出业务以防止蜜罐被用来攻击其它计算机系统,这导致了稍显复杂的安装。另外,在蜜罐感染或攻击之后进行清理以将蜜罐恢复到攻击前的状态也是一项耗时的任务。
因此,本文中所呈现的一些示例提供了一种远程部署、并且经由防火墙或其它安全装置提供至本地网络的蜜罐。在一个更详细的示例中,安全装置使用到远程蜜罐系统的隧道或虚拟私有网络(VPN)连接,来提供看上去是该安全装置本地的虚拟蜜罐。远程蜜罐可以由第三方提供商诸如使用若干标准配置中的一个来进行配置,这减轻了安全装置操作人员在设置和操作蜜罐时的负担。
在一些示例中,网络管理员部署诸如安全装置之类的网络设备,其利用蜜罐服务来响应于向受保护网络内的服务器提出的服务请求动态地提供“树立(stand up)”不存在服务。在下文中进一步详细地描述由网络设备使用的技术。
图1是示出符合一些示例实施例的经由安全装置提供的虚拟远程蜜罐的网络框图。在图1的示例中,安全装置102在网络100内进行操作,并且经由外部或公共网络104耦合至一个或多个远程计算机106。公共网络104进一步连接安全装置102到远程蜜罐108,该远程蜜罐108可操作以向安全装置102提供虚拟蜜罐系统。
安全装置102还耦合至内部或私有网络系统,诸如计算机110、112和114。安全装置包括:服务平面116,可操作以对安全装置进行配置和管理;以及转发平面118,可操作以对诸如106的外部网络计算机与内部计算机系统110、112和114之间的业务流进行管控。安全装置提供了通过连接至远程蜜罐108而对本地虚拟蜜罐120进行部署,以使得安全装置和远程蜜罐被配置为模仿本地蜜罐,该本地蜜罐针对耦合至网络的计算机表现为虚拟蜜罐120。
内部或私有网络内的计算机110、112、114以及虚拟蜜罐120在该示例中是受保护网络122的一部分,该受保护网络122被安全装置102所保护以免受公共网络104影响。安全装置通常对从公共网络到受保护网络的计算机的传入网络业务进行管控或过滤,这防止了非授权接入、病毒、恶意程序或其它这样的威胁到达受保护网络122的计算机。
在操作中,安全装置管理员对安全装置102进行配置以使用诸如基于云的蜜罐之类的远程部署蜜罐108来模仿本地操作的蜜罐系统。安全装置向网络添加诸如互联网协议(IP)地址之类的虚拟端点,其响应于标准网络发现尝试,诸如地址解析协议(ARP)请求、互联网控制消息协议(ICMP)的ping命令以及经常被用来寻找网络上的系统并与之通信的其它这样的网络请求。虚拟蜜罐120因此对诸如远程计算机106以及本地计算机110、112和114之类的其它系统表现为安全装置的受保护网络本地的系统。安全装置102将诸如这些去往虚拟蜜罐IP地址的业务从系统以隧道送至远程蜜罐108,该远程蜜罐108可操作以经由隧道连接124提供看上去来自于本地虚拟蜜罐102的响应。远程蜜罐进一步对蜜罐活动进行监视和追踪,并且向安全装置102的管理员提供诸如活动报告之类的活动数据,以使得管理员能够使用该数据来获知攻击者如何尝试获得到计算机系统的接入,并且能够收集入侵取证证据(forensic evidence)来协助攻击者的识别和指控。进一步地,蜜罐可以从实际基础设施系统转移攻击,这有效地将危险活动转移远离于敏感联网资产。
各个示例中的蜜罐包括邮件服务器、数据库服务器或者提供对攻击者可能具有吸引力的信息或服务的其它系统。虽然一些蜜罐可能包括最小资源,诸如仅包括最可能被攻击者接入的那些资源,但是使用标准操作系统和其它软件,其它将看上去完全是操作的系统,这使得攻击者更加难以将它们辨认为潜在的蜜罐。
各个实施例中的虚拟蜜罐120可以位于如在120处所示的安全装置102的内部或私有网络侧,或者虚拟蜜罐120可以位于防火墙的外部或公共侧,诸如经常是具有应用或web服务器以及其它这样的系统的情况。在安全装置120在内部受保护网络内暴露虚拟蜜罐120的示例中,诸如图1所示,虚拟蜜罐还可以监视诸如来自私有网络上的另一计算机的病毒或木马攻击的内部威胁,该另一计算机诸如通过网络连接126耦合至虚拟蜜罐的计算机112。
因为虚拟蜜罐系统由于其并不向典型用户提供实际网络服务而应当在内部网络上接收非常少的业务,所以从受感染计算机112到内部虚拟蜜罐120的非寻常业务的模式可以提供安全威胁的指示,该指示并未被诸如防病毒软件之类的其它工具所识别,这使得网络管理员能够更快找出威胁并对威胁做出响应。此外,虽然关于诸如入侵检测和防护、通用威胁管理和/或防火墙设备之类的安全装置进行了描述,但是该技术可以由其它类型的网络服务所应用,诸如路由器、层3(L3)交换机、层2/层3(L2/L3)交换机以及能够以隧道将业务(包括L3业务)送至远程蜜罐108的其它设备。
采用远程蜜罐来提供虚拟蜜罐使得能够有效使用远程服务器资源来向若干不同的安全装置提供虚拟蜜罐,与很少被远程计算机所接入的其它虚拟蜜罐共享服务器资源。远程的或基于云的蜜罐服务的使用进一步将蜜罐的配置和管理从本地安全装置或其它本地机器卸载至远程部署的系统。该远程部署的蜜罐服务提供商因此能够提供若干不同的标准基础配置,消费者可以从中进行选择并且如果需要其能够作为用于进一步定制的基础配置。
图2是符合一些示例实施例的可操作以提供虚拟蜜罐的安全装置的框图。这里,安全装置200包括外部网络接口202、内部网络接口204、流管理模块205以及作为转发平面210的一部分的流表208,该转发流210可操作以对通过安全装置的业务流进行管理。操作系统内核212、安全管理模块214、规则数据库216、用户接口218和蜜罐模块220包括在服务平面222中,该服务平面222可操作以对安全装置进行管理。
管理员使用用户接口218来接入并且配置安全管理模块214,诸如更新或配置规则数据库216中的规则,以将来自规则数据库216的各种规则应用于分组流,将各种应用绑定至各个端口,或者以其它方式对安全装置220的操作进行配置。管理员还可以对安全装置进行配置以经由远程蜜罐模块220对远程蜜罐服务加以利用。
转发平面210通过流管理模块206对外部网络接口202和内部网络接口204之间的业务进行监视,该流管理模块206使用来自规则数据库216的规则、与通过远程蜜罐模块220所配置的虚拟蜜罐的所配置网络地址相关的信息、以及存储在流表208中的其它这样的配置信息,来对通过安全设备的网络业务的流进行管控。在一些更详细的示例中,流管理模块206进一步提供对网络分组的一些检查,诸如基于与各分组相关联的网络连接的分组的状态性检查,并且因此可操作以对具有各种网络协议的分组进行解码和监视。
在各种示例中,图2的各种安全装置部件可以包括硬件、固件和软件的任意组合以用于执行每个部件的各种功能。例如,内核212和安全管理模块204可以包括在通用处理器上运行的软件指令,而流管理模块206则包括专用集成电路(ASIC)。在另一个示例中,流管理模块206作为处理连同安全管理模块214、内核212和用户接口218一起在处理器上执行。在其它的实施例中,安全装置200的各个部件可以包括离散的硬件单元,诸如数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA),或者任意其它等同的集成或离散逻辑电路,或者硬件、固件和/或软件的任意其它组合。
通常,流管理模块206针对经由输入网络接口202接收的分组确定该分组所属的分组流以及该分组流的特征。当分组流首次被接收时,流管理模块206构建包括诸如五元组{源IP地址,目的地IP地址,源端口,目的地端口,协议}之类的与分组相关的信息的状态更新,并且在一些示例中,该信息诸如是如何对事务加以区分的指示。流管理模块206通过外部网络接口202接收入站业务并且识别该业务内的网络流。每个网络流表示网络业务内一个方向中的分组流并且至少由源地址、目的地地址和通信协议进行识别。流管理模块206可以利用附加信息来指定网络流,包括源媒体访问控制(MAC)地址、目的地MAC地址、源端口和目的地端口。其它示例可以使用其它信息来识别网络流,诸如IP地址。
流管理模块206将数据保存在流表208内,该流表208对网络业务内的每个活动的分组流出现进行描述。流表208指定与每个活动的分组流相关联的网络部件,即,诸如源设备和目的地设备以及与分组流相关联的端口之类的低级别信息。此外,流表208标识出共同形成客户端和服务器之间的单个通信会话的分组流的配对或群组。例如,针对共享至少一些共用网络地址、端口和协议的流,流表208可以将通信会话指定为相反方向的分组流的配对。
另外的示例中的流管理模块提供分组流的状态性检查以识别分组流内的攻击。当流管理模块206检测到攻击时,其执行编程的响应,诸如向安全管理模块214发送警报以便进行记录或进一步分析、丢弃该分组流的分组或者结束与该分组流相对应的网络会话。流管理模块还可以阻止源自于具有与所确定的攻击相关联的标识符的网络设备的未来连接请求。在另外的示例中,流管理模块提供分组的应用级检查,诸如允许来自web浏览的HTTP业务而阻止来自文件共享应用的HTTP业务。
管理员可以通过经由用户接口218配置远程蜜罐模块220而对安全装置进行配置以提供虚拟蜜罐,诸如通过指定所期望虚拟蜜罐的网络地址或者虚拟蜜罐的其它特征。其它特征可以包括指定虚拟蜜罐要在网络上进行支持的网络服务,例如ICMP、ARP。远程蜜罐模块220创建具有本地于安全装置200的一个或多个网络地址的虚拟蜜罐,并且建立到诸如图1的108的远程蜜罐服务器的连接。安全装置使用流表208中所配置的规则、经由流管理模块206而针对去往具有虚拟蜜罐的网络地址的分组来对网络进行监视,并且诸如经由安全装置200和远程蜜罐之间的网络隧道连接或虚拟私有网络(VPN)连接将这样的业务转发至远程蜜罐。
安全装置因此可操作而使得在其它联网计算机系统看来该虚拟蜜罐是位于安全装置200本地的实际服务器,这使得其成为对攻击者具有吸引力的目标。虽然虚拟蜜罐在图1中在120被示为单个虚拟系统,但是在其它示例中,其可以是网络分段或子网,或者是被配置为吸引攻击者注意力的精良的虚拟网络环境。
在许多示例中,图2的示例中的安全装置可能缺少用于利用该安全装置执行蜜罐的处理能力、存储或其它计算资源。如以上所描述的,安全装置200因此依赖于远程部署的蜜罐。安全装置200使用远程蜜罐模块220对网络地址进行配置以使得其看上去远程蜜罐仿佛是存在于安全装置200所保护的网络本地。然而,在一些示例中,安全装置200并不针对虚拟蜜罐而提供完整的网络连接范围。虽然诸如200的安全装置经常被配置为对进入本地系统的业务加以限制,但是该示例中的安全装置可以被配置为对从虚拟蜜罐外出的业务进行限制,这防止了其在尝试分布恶意程序、垃圾邮件或其它安全威胁时被接管。在另一示例中,在虚拟蜜罐上运行的管理软件工作以防止可能对其它计算机系统造成威胁的外出网络业务。在更详细的示例中,这样的网络业务阻止机制被配置为使得其通过网络业务看上去能够从蜜罐系统成功发送,由此使得其看上去是完全操作的网络系统。
图3示出了符合示例实施例的可以被用来提供远程蜜罐的由计算机化系统的框图。图3仅图示了计算设备300的一个特定示例,并且计算设备300的许多其它示例可以在其它实施例中被使用,诸如用来提供符合各个示例实施例的远程虚拟蜜罐或安全装置。
如图3的具体示例中所示,计算设备300包括一个或多个处理器302、存储器304、一个或多个输入设备306、一个或多个输出设备308、一个或多个通信模块310,以及一个或多个存储设备312。在一个示例中,计算设备300进一步包括可由计算设备300所执行的操作系统316。在各个示例中,操作系统包括诸如网络服务318和虚拟机(VM)服务320的服务。诸如虚拟机322的一个或多个虚拟机还存储在存储设备312上,并且可由计算设备300所执行。诸如322的每个虚拟机可以进一步执行蜜罐服务器324。组件302、304、306、308、310和312中的每一个可以(物理、通信和/或操作地)进行互连以便诸如经由一个或多个通信信道314进行组件间的通信。在一些示例中,通信信道314包括系统总线、网络连接、处理间通信数据结构或者用于传输数据的任意其它信道。诸如虚拟机322和操作系统316的应用还可以相互传输信息以及与计算设备300中的其它组件传输信息。
在一个示例中,处理器302被配置为实施功能和/或处理指令以便在计算设备300内执行。例如,处理器302可以能够对存储设备312或存储器304中所存储的指令进行处理。处理器302的示例可以包括微处理器、控制器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)中的任意一个或多个,或者等同的离散或集成逻辑电路。
一个或多个存储设备312可以被配置为在操作期间存储计算设备300内的信息。在一些示例中,存储设备312被描述为计算机可读存储介质。在一些示例中,存储设备312是临时存储器,这意味着存储设备312的主要用途并非长期存储。在一些示例中,存储设备312被描述为易失性存储器,这意味着存储设备312并不在计算机关机时保存所存储的内容。在其它示例中,在操作期间数据从存储设备312被加载到存储器304中。易失性存储器的示例包括随机访问存储器(RAM)、动态随机访问存储器(DRAM)、静态随机访问存储器(SRAM)以及本领域已知的其它形式的易失性存储器。在一些示例中,存储设备312被用来存储程序指令以便由处理器302执行。在各个示例中,存储设备312和存储器304被计算设备300上运行的软件或应用(例如,虚拟机322)用来在程序执行期间临时地存储信息。
在一些示例中,存储设备312还包括一个或多个计算机可读存储媒体。存储设备312可以被配置为比易失性存储器存储更大量的信息。存储设备312可以进一步被配置用于信息的长期存储。在一些示例中,存储设备312包括非易失性存储部件。这样的非易失性存储部件的示例包括磁性硬盘、光盘、软盘、闪存或者电可编程存储器(EPROM)或电可擦除可编程(EEPROM)存储器的形式。
在一些示例中,计算设备300还包括一个或多个通信单元310。在一个示例中,计算设备300利用通信单元310经由诸如一个或多个无线网络的一个或多个网络与外部设备进行通信。通信单元310可以是诸如以太网卡的网络接口卡、光学收发器、射频收发器,或者能够发送和/或接收信息的任意其它类型的设备。这样的网络接口的其它示例可以包括蓝牙、3G和WiFi无线电计算机设备以及通用串行总线(USB)。在一些示例中,计算设备300利用通信单元310与诸如图1的安全装置102之类的外部设备或者任意其它计算设备进行通信。
在一个示例中,计算设备300还包括一个或多个输入设备306。在一些示例中,输入设备306被配置为通过触觉、音频或视频反馈而接收来自用户的输入。输入设备306的示例包括触摸屏显示器、鼠标、键盘、语音响应系统、视频相机、麦克风或者用于检测来自用户的输入的任意其它类型的设备。
一个或多个输出设备308也可以包括在计算设备300中。在一些示例中,输出设备308被配置为使用触觉、音频或视频刺激向用户提供输出。在一个示例中,输出设备308包括存在敏感性触摸屏显示器、声卡、视频图形适配卡、或者用于将信号转换为人类或机器可理解的适当形式的任意其它类型的设备。输出设备的附加示例包括扬声器、发光二极管(LED)显示器、液晶显示器(IXD),或者能够向用户生成输出的任意其它类型的设备。在一些示例中,诸如设备306和/或输出设备308被用来诸如经由显示器而提供操作系统服务,诸如图形用户接口服务。
计算设备300可以包括操作系统316。在一些示例中,操作系统316对计算设备300的组件的操作进行控制,并且提供从诸如虚拟机322之类的各种应用到计算设备300的组件的接口。例如,在一个示例中,操作系统316促进虚拟机322与处理器302、通信单元310、存储设备312、输入设备306和输出设备308的通信。如图3所示,虚拟机322可以包括在其上执行的如图1中在108所示出的蜜罐324。诸如322的应用均可以包括可由计算设备300执行的程序指令和/或数据。作为一个示例,虚拟机322和蜜罐324包括使得计算设备300执行本文中所描述的一个或多个操作和动作的指令。
在各个示例中,各种不同的蜜罐324可以被配置为在单个服务器上运行,或者跨不同服务器进行分布。在一些示例中,这是通过在服务器上执行不同虚拟机322并且在每个虚拟机中执行蜜罐的不同实例来实现的。这使得远程蜜罐服务器能够提供各种不同的虚拟蜜罐,并且按照需要增加或去除不同虚拟蜜罐以支持各种不同企业消费者的要求。
虽然计算设备300在该示例中为远程蜜罐服务器,但是在其它示例中,其可以执行本文中所描述的其它功能,诸如执行如图2中所示出并描述的安全装置的服务平面和转发平面。
本文中所描述的方法可以至少部分以硬件、软件、固件或者其任意组合来实施。例如,所描述的方法可以在一个或多个处理器内实施,包括一个或多个微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者任意其它等同的集成或离散逻辑电路,以及这样的组件的任意组合。术语“处理器”或“处理电路”通常可以是指单独或者与其它逻辑电路或者任意其它等同电路进行组合的任意的以上逻辑电路。包括硬件的控制单元也可以执行本文中所描述的一种或多种方法。
这样的硬件、软件和固件可以在相同设备内或单独设备内进行实施以支持本文中所描述的各种方法。此外,任意所描述的单元、模块或组件可以一起实施,或者作为离散但可协同操作的逻辑设备单独实施。作为模块或单元的不同特征的描述意在强调不同的功能而并非必然暗示这样的模块或单元必须由单独的硬件、固件或软件组件来实现。相反,与一个或多个模块或单元相关联的功能可以由单独的硬件、固件或软件组件来执行,或者集成在共用或单独的硬件、固件或软件组件之内。
本文中所描述的方法还可以在制造物品中得以体现或编码,该制造物品包括与指令一起编码的计算机可读存储介质。诸如在计算机可读存储介质中所包括或编码的指令由一个或多个处理器执行时,在包括所编码的计算机可读存储介质的制造物品中所嵌入或编码的指令可以引起一个或多个可编程处理器或其它处理器实施本文中所描述的一种或多种技术。计算机可读存储介质可以包括随机访问存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PR0M)、可擦除可编程只读存储器(EPR0M)、电可擦除可编程只读存储器(EEPROM)、闪存、硬盘、压缩盘ROM(CD-ROM)、软盘、卡带、磁性媒体、光学媒体或者其它计算机可读媒体。在一些示例中,制造物品可以包括一个或多个计算机可读存储媒体。
在一些示例中,计算机可读存储媒体可以包括非瞬时介质。术语“非瞬时”可以指示该存储介质并非以载波或传播信号来体现。在某些示例中,非瞬时存储介质可以(例如,在存储器或非易失性存储器中)存储能够随时间变化的数据。
图4是符合示例实施例的使用远程蜜罐服务器对安全装置进行操作以提供虚拟蜜罐的方法的流程图。在400对虚拟蜜罐的一个或多个网络地址进行配置,诸如一个或多个互联网协议(IP)或媒体访问控制(MAC)地址,这是安全装置本地的网络上的地址。在另外的示例中,该地址处于耦合至安全装置的私有或内部网络之内,或者处于耦合至安全装置的公共或外部网络上。
安全装置在402建立到远程蜜罐服务器的通信会话,该远程蜜罐服务器诸如远程部署的蜜罐服务器、基于云的蜜罐服务或者其它类型的远程蜜罐系统。诸如通过监视去往在400被配置为与虚拟蜜罐相关联的网络地址的网络业务,安全装置在404接收去往虚拟蜜罐的网络业务。在另外的示例中,该业务来自于潜在的攻击计算机系统(诸如图1在106所示出的远程客户端系统),或者来自如图1在112和124所示的可能受到恶意程序感染或者以其它方式被用来装载攻击的本地系统。安全装置在406经由在402所创建的该安全装置和远程蜜罐之间的通信会话而将接收的去往虚拟蜜罐的网络业务转发至远程蜜罐。在各个示例中,通信会话是网络隧道、虚拟私有网络或者其它这样的网络连接。
远程蜜罐从安全装置接收该网络业务,并且作为响应发送安全装置在408接收的网络业务。例如,操作以至少部分地暴露电子邮件服务器的远程蜜罐可以响应于电子邮件查询而返回电子邮件账户信息,操作以至少部分暴露数据库服务器的远程蜜罐可以响应于数据库查询而返回数据库信息,或者远程蜜罐可以通过对通过响应安全装置接收的用户接口命令或其它命令,而使得用户能够登录并探究可以在典型网络环境中找到的配置、日志和应用。
安全装置在410使用与虚拟蜜罐相关联的网络地址,将从远程蜜罐响应业务转发至诸如潜在的攻击计算机系统,以使得该远程蜜罐看上去是安全装置本地的计算机系统。也就是说,安全装置利用该安全装置暴露给网络的虚拟蜜罐接口(例如,网络地址)来代理从远程蜜罐接收的业务,以便模仿存在于由该安全装置所保护的网络之内的蜜罐。攻击者因此简单地将安全装置所提供的虚拟蜜罐视为网络上的另一个服务器,而并不知晓该服务器是远程蜜罐服务器经由安全装置所提供的虚拟蜜罐。
在另外的实施例中,安全装置可操作以执行其它功能,诸如向远程蜜罐发送配置设置,从远程蜜罐接收报告信息,并且选择可用于配置的一种或多种类型的蜜罐服务器。
图5是符合示例实施例的对远程蜜罐服务器进行操作以向安全装置提供虚拟蜜罐服务的方法的流程图。远程蜜罐被配置为在500向安全装置提供蜜罐,诸如通过来自安全装置的配置请求,接收与安全装置或安全装置管理员相关联的针对蜜罐服务的订购和支付,或者以其它方式接收期望将蜜罐链接至安全装置的指示。
在502在远程蜜罐和安全装置之间建立持久网络连接,诸如安全装置和执行远程蜜罐的虚拟机之间的隧道或虚拟私有网络连接。远程蜜罐在504接收去往安全装置所持有的虚拟蜜罐的网络业务,诸如通过安全装置接收去往安全装置持有的虚拟蜜罐所提供的网络地址或服务的业务,并且向远程蜜罐转发所接收的业务。
远程蜜罐在506对所接收的网络业务进行处理,诸如通过经由图形或命令行用户接口提供交互式服务器,提供诸如NetBIOS、互联网控制消息协议(ICMP)ping命令、地址解析协议(ARP)请求、MAC地址、互联网协议地址或Windows工作组服务之类的网络服务,或者提供诸如电子邮件服务器、数据库服务器、文件服务器、web服务器或Windows服务器之类的服务器功能。
远程蜜罐随后在508响应于所接收的业务而在持久连接上向安全装置发送网络业务,诸如响应于所接收的网络业务而发送服务请求、用户接口输入或其它服务器响应的结果。该响应网络业务具有一定的格式以使得安全装置可操作以接收来自远程蜜罐的业务,并且将该业务提供至潜在攻击者或者试图接入经由安全装置所持有的虚拟蜜罐的其它系统。
这使得安全装置和远程蜜罐能够一起工作以提供看上去连接至安全装置本地的网络的虚拟蜜罐,以检测并追踪对经由蜜罐系统所提供的各种资源或服务进行接入的尝试。该安全装置可操作以通过捕捉往来于网络地址、资源名称或者与虚拟蜜罐相关联的其它标识符的业务并且与远程蜜罐服务器交换信息来提供虚拟蜜罐,从而看上去该蜜罐服务器是在安全装置的本地进行操作。
图6是根据一些示例实施例的集成了可操作以提供虚拟蜜罐的安全装置的路由器的框图。这里,示例路由器600包括控制单元602,其包括路由单元604、安全装置606和转发单元608。路由单元604主要负责维护路由信息库(RIB)610以反映网络的当前拓扑以及其所连接的其它网络实体。特别地,路由单元604定期更新RIB610以准确反映网络拓扑和其它实体。路由引擎604还包括执行路由操作的路由协议612,包括用于通过网络建立诸如VPN及可选的LSP的隧道。
UI模块614表示在路由单元604上执行的(例如,经由shell或Telnet会话)软件,该软件呈现命令行接口以便接收如本文中所描述的配置数据,该配置数据包括定义用于路由器600呈现给网络的虚拟蜜罐的一个或多个接口的配置数据以及供安全装置606的服务卡616所应用的配置数据。路由单元604的网络服务处理(NSP)618与安全装置606的程序服务卡616A-616M进行通信。
根据RIB 610,转发单元608的转发专用集成电路(ASIC)620维护转发信息库(FIB)622,其将网络目的地或MPLS标签与具体的下一跳以及相对应的接口端口相关联。例如,控制单元602对RIB610进行分析并且根据RIB 610生成FIB 622。路由器600包括接口卡624A-624N(“IFC”624),其分别经由网络链接626和628接收和发送分组。IFC 624可以经由多个接口端口耦合至网络链接626、628。
在一些示例中,路由单元604根据UI 614接收的命令对FIB 622进行编程以包括用于虚拟蜜罐接口的转发下一跳。此外,路由单元604对可以表示隧道PIC的服务卡616A进行编程以利用远程蜜罐代理虚拟蜜罐业务。转发ASIC 620应用FIB 622以将IFC 624所接收的并且去往虚拟蜜罐接口的业务指向服务卡616A,其将该业务以隧道送至远程蜜罐。服务卡616A接收响应业务并且将该响应业务转发至转发单元608以便经由IFC 624输出。以这种方式,路由器600可以结合远程蜜罐而提供高性能的蜜罐仿真。在一些示例中,路由单元604对FIB 622进行编程以包括用于虚拟蜜罐业务的隧道接口,例如VPN接口。结果,转发ASIC 620应用FIB 622以将虚拟蜜罐业务直接以隧道送至远程蜜罐。
在一个实施例中,转发单元608和路由单元604中的每一个可以包括一个或多个专用处理器、硬件、ASIC等,并且可以通过数据通信信道通信耦合。数据通信信道可以是高速网络连接、总线、共享存储器或者其它数据通信机制。路由器600可以进一步包括用于容纳控制单元602的机箱(未示出)。该机箱具有多个插槽(未示出),用于接收包括IFC 624和服务卡616在内的卡的集合。每个卡可以被插入该机箱的相对应插槽之中以便经由总线、底板或其它电通信机制将该卡电耦合至控制单元602。
路由器600可以根据程序代码进行操作,该程序代码具有从计算机可读存储介质(未示出)所取得的可执行指令。这样的媒体的示例包括随机访问存储器(RAM)、只读存储器(ROM)、非易失性随机访问存储器(NVRAM)、电可擦除可编程只读存储器(EEPROM)、闪存等。路由器600的功能可以通过利用一个或多个处理器、离散硬件电路、固件、在可编程处理器上执行的软件或者任意上述的组合来执行计算机可读存储介质的指令而得以实施。
图7是图示了示例网络系统的框图,其中网络设备利用蜜罐来针对未被该网络设备服务的网络提供的服务动态地模仿服务交互。在所图示的示例中,网络系统700包括受保护网络122,受保护网络122包括服务器110、112和114。正如上面相对于图1所描述的那样,每个服务器110、112和114均可以提供一个或多个服务。客户端设备可以通过发出指定服务器和服务的相应服务请求来请求服务。然而,指定的服务器可能提供或者可能不提供服务请求中指定的服务。响应于接收到服务请求,其中该服务请求指定了不被指定服务器提供的服务,则服务器110、112和114可以发送明确拒绝的服务响应或者简单地丢弃该服务请求(即,避免进行响应)。
如本文中所描述的那样,被请求服务是指网络服务,其是运行于应用层(层7)以提供例如数据存储、操纵、呈现、通信、或其它性能的应用。示例网络服务包括电子邮件、超文本传输协议(HTTP)、文件传输协议(FTP)或其它文件共享、即时消息收发、网络服务、时间服务、简单网络管理协议(SNMP)、视频点播(VoD)、IP上语音(VoIP)、或者其它基于网络的电话、打印、文件服务器、目录服务、游戏等等。虽然主要相对于客户端--服务器架构进行描述,但是服务可以根据点对点体系架构来提供,其中服务器110、112和114以及客户端设备706可以执行点对点应用,其使用网络服务(使用特定的传输层协议和端口)来进行通信。
服务器110、112和114在与诸如传输控制协议(TCP)和用户数据报协议(UDP)的传输层协议、以及互联网控制消息协议(ICMP)、各种路由协议、通用路由封装(GRE)等等相关联的端口上提供服务。这些协议可以在服务请求和服务业务的IP报头中被识别。传输层可选地被称为层3。虽然服务通常与单个传输层协议和针对那个协议的端口相关联,但是给定的服务可以与多个端口和/或多个传输层协议相关联。此外,多个不同的服务可以与同一个传输层协议端口相关联。例如,HTTP服务器通常在TCP端口80上提供HTTP服务。FTP通常与TCP或UDP端口20数据信道以及TCP端口21控制信道相关联。互联网编号分配机构(IANA)维护网络服务端口号的官方分配,但是服务不一定遵循官方分配。
客户端计算设备706(在下文中,“客户端设备706”)通过发出服务请求720至服务器114以请求服务。服务请求720可以指定服务器114的网络层(即,层3或“L3”)或其它地址、传输层协议和用于传输层协议的端口。服务器114可以具有它自己的地址(例如,IPv4地址)或者可以与服务器110和112中的至少一个是负载平衡的以共同拥有一个地址。服务请求720例如可以表示TCP SYN(“同步”)、针对会话的TCP non-SYN(针对该会话,尚未接收到TCPSYN)、或者UDP数据报。TCP SYN是设置了SYN标志的TCP分组。TCP non-SYN是未设置SYN标记的TCP分组。服务请求720例如可以通过针对TCP分组或UDP数据报的目的地端口字段的值来指定被请求的服务。例如,具有目的地端口值为80的TCP SYN是针对HTTP服务的服务请求。
网络设备702位于沿着从客户端设备706到服务器114的前向路径,并因此接收服务请求720。网络设备702例如可以表示路由器、开关、诸如防火墙的安全设备、统一威胁管理设备、入侵检测系统、入侵防御系统或者上述的任何组合。虽然网络设备702被示出为在逻辑上位于受保护网络122的边界上,但是网络设备702可以位于客户端设备706和服务器114之间的前向路径上的任何位置。例如,在逻辑上网络设备702可以位于任一公共网络104或受保护网络122内。
根据在本文中描述的技术,网络设备702基于服务器114的动作或者无动作来确定服务器114不提供服务请求720所请求的服务。换句话说,网络设备702确定被请求的服务不存在。在一些示例中,网络设备702可以将接收到的服务请求(包括服务请求720)的记录存储在表中或其它数据结构中。然后,网络设备702可以基于等待计时器期满来确定被请求的服务不存在,而无需网络设备702没有接收到指示服务器114提供服务请求720所请求的服务的肯定指示。等待计时器可以由网络设备702的管理员配置。等待计时器期满表明服务器114提供被请求服务的肯定指示尚未到来,因此网络设备702可以假定被请求的服务不由服务器114提供。
在图示的示例中,网络设备702从服务器114并且响应于访问请求720而接收否定服务响应722形式的明确否定指示。否定服务响应722表明服务器114不提供服务请求720所指定的服务。服务响应722例如可以表示SYN RST。SYN RST是设置了RST(“复位”)标志的SYN分组。
然而,来自服务器114前往客户端设备706的肯定指示诸如TCP SYN ACK或UDP数据报表明:服务器114提供被服务请求720所指定的服务,基于服务器114的动作或者非动作如上提供的示例否定指示表明服务器114不提供被服务请求720所指定的服务。响应于该否定指示,网络设备702向蜜罐708发送服务请求724,其处理该服务请求724。服务请求724可以是服务请求720的一种呈现,并且向蜜罐708表明网络设备702已经接收到指定受保护网络122中的不存在服务的服务请求。例如,服务请求724可以是服务请求720的副本或者更简单的是被服务请求所请求的服务的定义(例如,地址、端口和协议的组合)。
蜜罐708在一些情况下可以根据针对蜜罐708配置的策略动态地提供或“树立”(stand up)被请求的服务,以便模仿服务至客户端设备706。换句话说,蜜罐708可以与客户端设备进行通信706,使得客户端设备706将从蜜罐708发出的业务认为是由服务器114针对服务请求720中所指定的服务而发出的。在图7的示例中,蜜罐708处理服务请求724以与706建立服务会话730。在由服务请求720指定的服务是基于TCP的服务的情况下,服务连接730可以表示TCP会话。在服务请求720指定的服务是基于UDP的服务的情况下,服务会话730可以表示UDP会话,其中蜜罐708向客户端设备706发出UDP数据报。服务会话730可以表示多个TCP会话和/或UDP会话。
在一些情况下,响应于确定针对服务请求720的来自服务器114的否定指示,网络设备702向客户端设备706发出具有肯定指示的响应。例如,网络设备702可以向客户端设备706发出TCP SYN ACK。服务响应732示出了响应于服务请求720向客户端设备706发送的肯定指示的示例。在一些情况下,蜜罐708(而非网络设备702)响应于服务请求720发出具有肯定指示的服务响应732。
在一些示例中,网络设备800可以操作为用于服务会话730的代理,例如,作为TCP代理。当操作为代理时,网络设备800终止与客户端设备706和蜜罐708的相应服务会话(例如,TCP连接)以仿真整个服务会话708。在作为代理操作的过程中,网络设备800可以用服务器114的地址模拟用于与客户端设备706的服务会话的源地址。在一些示例中,蜜罐708在用于服务会话的通信中模仿服务器114的地址。结果,客户端设备706可能无法确定用于服务会话730的通信源自于蜜罐708(并且在一些情况下由网络设备702代理)。本文中对网络设备702、客户端设备706、服务器114和蜜罐708的地址的参考可以是指层3地址。
蜜罐708在许多方面可以类似于远程蜜罐108。虽然被示出为位于受保护网络122的外部,但是蜜罐78例如可以位于受保护网络122内,或者可通信地耦合至网络设备702的组件、或者位于受保护网络122的非军事区(DMZ)。例如,蜜罐708可以表示网络设备702的服务卡。
图8是更详细地图示了示例性网络设备的框图,根据本文中所描述的技术,其利用蜜罐响应于服务请求动态地提供不存在的服务。网络设备800可以表示图7的网络设备702中的示例实例。如上参考图6所描述的那样,网络设备800可以表示由路由器600的一个或多个服务卡616正在执行的安全装置606。
在本实施例中,网络设备800包括外部网络接口802、内部网络接口804、流管理模块805、以及作为转发平面810的一部分的流表208,该转发流810可操作以对通过网络设备的业务流进行管理。操作系统内核812、安全管理模块814、规则数据库816、用户接口818和蜜罐模块820包括在服务平面822中,该服务平面822管理网络设备800的整体操作。
管理员使用用户接口818来接入并且配置安全管理模块814,诸如更新或配置规则数据库816中的规则,以将来自规则数据库816的各种规则应用于分组流,将各种应用绑定至各个端口,或者以其它方式对网络设备800的操作进行配置。管理员还可以对网络设备800进行配置以使动态服务模块880可以利用蜜罐以便即时提供被请求的服务。用户接口818可以呈现命令行或者图形用户接口、简单网络管理协议(SNMP)、NETCONF、CORBA或者管理员例如可以通过其来配置规则数据库816的其它接口。
转发平面810通过流管理模块806对外部网络接口802和内部网络接口804之间的业务进行监视,该流管理模块806使用来自规则数据库816的规则、关于动态服务模块880的动态服务供应的信息、以及存储在流表808中的信息来处理网络业务。在一些更详细的示例中,流管理模块806进一步提供对网络分组的一些检查,诸如基于与各分组相关联的网络连接的分组的状态性检查,并且因此可操作以对具有各种网络协议的分组进行解码和监视。
在各种示例中,图8的各种部件可以包括硬件、固件和软件的任意组合以用于执行每个部件的各种功能。例如,内核812和安全管理模块804可以包括在通用处理器上运行的软件指令,流管理模块806可以包括专用集成电路(ASIC)。在另一个示例中,流管理模块806连同安全管理模块814、内核812和用户接口818一起作为处理在处理器上执行。另外在其它的实施例中,网络设备800的各个部件可以包括离散的硬件单元,诸如数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA),或者任意其它等同的集成或离散逻辑电路,或者硬件、固件和/或软件的任意其它组合。
通常,流管理模块806针对经由输入网络接口802接收的分组确定该分组所属的分组流以及该分组流的特征。当分组流首次被接收时,流管理模块806构建包括诸如五元组{源IP地址,目的地IP地址,源端口,目的地端口,协议}之类的与分组相关的信息的状态更新,并且在一些示例中,该信息诸如是如何对事务加以区分的指示。流管理模块806通过外部网络接口802接收入站业务并且识别该业务内的网络流。每个网络流表示网络业务内一个方向中的分组流并且至少由源地址、目的地地址和通信协议进行识别。流管理模块806可以利用附加信息来指定网络流,包括源媒体访问控制(MAC)地址、目的地MAC地址、源端口和目的地端口。
流管理模块806将数据保存在流表808内,该流表808对网络业务内所出现的每个活动的分组流进行描述。流表808指定与每个活动的分组流相关联的网络部件,即,诸如源设备和目的地设备以及与分组流相关联的端口之类的低级别信息。此外,流表808标识出共同形成客户端和服务器之间的单个通信会话的分组流的配对或群组。例如,针对共享至少一些共用网络地址、端口和协议的流,流表808可以将通信会话指定为相反方向的分组流的配对。
另外的示例中的流管理模块806提供分组流的状态性检查以识别分组流内的攻击。当流管理模块806检测到攻击时,其执行编程的响应,诸如向安全管理模块814发送警报以便进行记录或进一步分析、丢弃该分组流的分组或者结束与该分组流相对应的网络会话。流管理模块806还可以阻止源自于具有与所确定的攻击相关联的标识符的网络设备的未来连接请求。在另外的示例中,流管理模块提供分组的应用级检查,诸如允许来自web浏览的HTTP业务而阻止来自文件共享应用的HTTP业务。
动态服务模块880利用蜜罐服务,比如外部蜜罐的服务,以动态地提供由服务请求指定的服务。换言之,动态服务模块880、804处理经由网络接口802之一接收的服务请求,以便与蜜罐服务进行协调,从而提供该服务请求所指定的相应服务的模仿。以这种方式,动态服务模块880能够动态地即时“树立”所请求的服务,使对于发出服务请求的客户端设备而言就像存在被请求的服务一样,无论该服务所请求的服务器甚至是否存在或者是否提供该服务。蜜罐服务例如可由图7的蜜罐708来提供。
动态服务模块880包括服务请求表830、互联网控制消息协议(ICMP)表832以及攻击者表834。服务请求表830表示被配置来存储被动态服务模块880接收到的服务请求的表示的表格或者其它数据结构。例如,服务请求表830可以存储针对服务请求的相应的记录或者“服务请求记录”,其每一个均包括地址、协议(例如,UDP或TCP)以及端口。地址和端口可以是分别针对相应服务请求的目的地地址和目的地端口。每个服务请求记录可以与一个定时器相关联,该定时器被设置为接收相应服务请求时的可配置时间。该可配置时间可以类似于TCP SYN超时时间。无需动态服务模块880已经接收到针对相应服务请求的服务响应,如果针对服务请求记录的定时器期满,则动态服务模块880可以确定这是否定指示,即,由服务请求所请求的服务不存在。对于一些服务请求,动态服务模块880还可以接收包括针对相应服务请求的明确否定指示的服务响应。当获得针对服务请求的否定指示后,动态服务模块880向蜜罐服务发送服务请求的表示以便与蜜罐服务协作动态地提供所请求的服务。
在一些情况下,服务请求表830的服务请求记录可以表明相应的服务请求是不合法的、恶意的、或者以其它方式表明服务请求指定了不存在的服务。当获得针对服务请求的否定指示后,动态服务模块880可以标记服务请求表830中的对应的服务请求记录,以表明服务请求指定了不存在的服务。动态服务模块880可以尝试将后续的服务请求匹配至服务请求表830的服务请求记录。在将后续的服务请求匹配至服务请求记录后,这表明相应的服务请求指定了不存在的服务,动态服务模块880可以向蜜罐服务发送后续的服务请求的表示而无需允许后续的服务请求到网络中和/或无需等待以获得针对后续服务请求的否定服务指示。动态服务模块880例如可以基于如通过目的地地址、目的地端口、和/或协议所定义的那样对指定的服务进行匹配,来将后续的服务请求匹配至服务请求记录。存储在服务请求表834中的服务请求记录,比如用于指示相应的服务请求指定了不存在的服务的服务请求,可随着时间的推移而过期。
ICMP表832表示被配置来存储探测消息(“探测”)的表示的表格或者其它数据结构,所述探测消息由动态服务模块880接收但目的地为网络的其它网络设备(其可以存在于或者不存在于网络中)。客户端设备可以尝试通过探测方式(例如,ICMP回声请求,也被称为“ping”)探测网络,以确定网络中是否存在具有特定地址的服务器。在接收到探测后,动态服务模块880可以将探测的表示记录到ICMP表832。例如,ICMP表832可以存储针对探测的相应记录,每个探测包括探测的目的地地址,并且在一些情况下,包括源探测的地址(即,发出该探测的客户端设备)。在一些情况下,动态服务模块880可以用肯定指示(例如,ICMP回声响应)响应至少一些接收到的探测,所述指示向发出客户端设备表明与探测地址相关联的服务器存在于网络中(即使这样的服务器可能实际上不存在,而仅仅是由动态服务模块880模拟出来的)。以这种方式,动态服务模块880可以向客户端设备表明:一个地址与网络中的服务器相关联,这可以导致客户端设备在获得服务、攻击网络等等的尝试中向该地址发出一个或多个服务请求。
在一些情况下,动态服务模块880可以存储网络的服务器的列表,管理员可以配置该列表或者动态服务模块880可以在来自网络中的服务器的探测响应的基础上获得该列表。在从客户端设备接收到探测之后,动态服务模块880可以首先确定服务器是否存在,并且如果服务器不存在,向客户端设备发送针对该探测的肯定指示。另一方面,如果该服务器存在,则动态服务模块880可以将探测转发给服务器。
在一些情况下,仅当来自发出服务请求的客户机设备的现有探测或者记录存在于ICMP表832中时,动态服务模块880可以在接收到服务请求后向蜜罐服务转发服务请求。
攻击者表834存储识别已知攻击者的记录,即,那些已经被动态服务模块880识别为因恶意目的而试图侵入网络的客户端设备。动态服务模块880可以通过如下来获取攻击者的记录:从蜜罐服务接收这样的记录,由于该服务不存在而在将服务请求转发到蜜罐服务后添加记录,获取关于客户端设备被感染或是恶意的指示(这种指示可以包括触发的入侵阻止/检测系统(IPS/IDS)规则或者确认的恶意程序感染),或者通过其它方法。攻击者表834可以使用攻击者客户端设备的地址来识别攻击者的客户端设备。在接收到来自已知攻击者的服务请求后,也即是攻击者表834中确定的攻击者,动态服务模块880可以将该服务请求自动地转发到蜜罐服务,而不必等待基于该服务请求中指定的服务器的动作或者非动作的否定指示。动态服务模块880假设来自攻击者客户端设备的服务请求不是为了合法目的,并且将这样的服务请求分流至蜜罐服务以进行处理。存储在攻击者表834中的记录可以随着时间的推移而过期。
在网络设备800的一些示例中,网络设备800可经由用户接口818配置使得管理员可以指定一个或多个不存在的服务,其中,网络设备800要针对所述一个或多个不存在的服务利用蜜罐服务。例如,在规则数据库816中的规则可以列出网络的不存在的服务的子集,其中网络设备800要针对该子集向蜜罐服务发送相应的服务请求。这样的服务例如可以通过地址、端口和协议的组合来定义。当获得针对服务请求的否定指示后,动态服务模块880可以首先确定规则数据库816是否列出了由服务请求指定的服务。如果该服务在规则数据库816中被列出,则动态服务模块880可以与蜜罐业务协作以提供服务。如果该服务未在规则数据库816中列出,则动态服务模块880可以将该否定指示转发至客户端设备或者简单地将该服务请求全部放弃(即,防止网络对该客户端设备进行响应)。以这种方式,管理员可以配置网络设备800以将蜜罐服务的适用范围限制到潜在脆弱服务端口的子集,其中网络服务器针对该子集不提供服务。
如上相对于网络设备800所描述的技术可以与如上相对于图2的安全设备200所描述的那些一起使用。例如,单个设备或者设备的组件都可以在受保护网络中配置虚拟蜜罐,并且与蜜罐服务协作以动态地提供不存在的服务。远程蜜罐可以为虚拟蜜罐提供蜜罐服务以及在受保护网络的服务器的伪装下提供不存在的服务(再次,无论受保护网络中是否存在这样的服务器都如此)。
图9是根据本文中所描述的技术示出了网络设备与蜜罐合作以提供服务的操作的示例模式的流程图。相对于图7的网络设备702来描述操作900。
网络设备702从客户端设备706接收服务请求720(902)。在本示例操作中,网络设备702然后等待,以从由服务请求720指定的服务器114获得关于同样由服务请求720指定的服务的指示。如果网络设备702从服务器114接收到针对该服务的明确否定指示(904的“是”分支)或者针对服务请求720的等待时间期满(906的“是”分支),网络设备702以服务响应732的形式向客户端设备706发出针对该服务的肯定指示(907)。如果网络设备702从服务器114接收到肯定指示(904和906的“否”分支),那么网络设备702可以将肯定指示转发至客户机设备706,并且至少在某些情况下,关于服务要求720不采取进一步的改善动作。
除了发出服务响应732之外或者可替换地,网络设备702向蜜罐708发送服务请求724、服务请求720的表示(908)。蜜罐708向网络设备702提供蜜罐服务,并且可以根据在服务请求720中指定的服务与客户端设备706进行交互。为了促进此交互,网络设备702可以在客户端设备706和蜜罐708之间代理针对服务请求720中指定的服务的服务会话(910)。
图10是根据本文中所描述的技术示出了网络设备与蜜罐合作以提供服务的操作的示例模式的流程图。相对于图7的网络设备702来描述操作920。
网络设备702从客户端设备706接收探测,诸如ICMP回声请求或者“ping”(922)。探测可以指定任何服务器110,112,或114的地址作为目的地地址,或者可以指定不与受保护网络122中任何设备相关联的地址。响应于接收到探测,网络设备702可以向客户端设备706发送探测响应以指示探测所指定的目的地设备存在,即,与受保护网络122中的服务器相关联(即使目的地设备实际上在受保护网络122中不存在)(924)。此外,网络设备702存储针对客户端设备706的标识符以记录网络设备702从客户端设备706接收到探测(926)。
随后,网络设备702接收来自客户端设备706的服务请求(926)。只有在基于所存储的客户端设备706的标识符确定网络设备702之前接收到来自客户端设备706的探测(928)后,网络设备702才向蜜罐发送服务请求的表示以动态地树立由服务请求所指定的服务(930)。如果没有存储客户端设备706的标识符,则网络设备702可替换地丢弃该服务请求。
本文所述的技术可以在硬件、软件、固件或者其任一组合中实现。描述为模块、单元或者组件的各种特性可以在集成逻辑器件中一起实现,或者作为离散但是可互操作的逻辑器件独立实现或者其它硬件设备中实现。在一些情况下,电子电路系统的各种特性可以作为一个或者多个集成电路器件(诸如集成电路芯片或者集成电路芯片组)来实现。
如果在硬件中实现,本公开内容可以针对一种装置,诸如处理器或者集成电路器件,诸如集成电路芯片或者集成电路芯片组。作为备选或者附加地,如果在软件或者固件中实现,该技术可以至少部分地通过计算机可读数据存储介质实现,计算机可读数据存储介质包括,当被执行时,引起处理器执行上述的一个或者多个方法的指令。例如,计算机可读数据存储介质可以存储用于处理器执行的这种指令。
计算机可读介质可以形成部分可以包括包装材料的计算机程序产品,计算机可读介质可以包括计算机数据存储介质,诸如随机访问存储器(RAM),只读存储器(ROM),非易失性随机访问存储器(NVRAM),电子可擦写可编程只读存储器(EEPROM),闪存,磁数据存储介质或者光数据存储介质,以及类似的计算机数据存储介质。在一些示例中,生产制品可以包括一个或者多个计算机可读存储介质。
在一些示例中,计算机可读存储介质可以包括非临时性介质。术语“非临时性”可以指示存储介质不在载波或者传播信号中体现。在某些示例中,非临时性存储介质可以存储可能在时间上变化(比如,在内存或者缓存中)的数据。
代码或者指令可以是由包括一个或者多个处理器,诸如一个或者多个数字信号处理器(DSP),通用微处理器,专用集成电路专用集成电路(ASIC),现场可编程门矩阵(FPGA)或者其它等效的集成或者离散逻辑电路的处理电路执行的软件和/或固件。因此,术语“处理器”如在本文中所使用的那样,可以指任一前述结构或者适合于本文所述技术的实现的任何其它结构。此外,在一些方面中,本公开内容所述的功能可以在软件模块或者硬件模块内提供。
除了以上示例之外还描述或者作为以上示例的备选而描述以下示例。可以与本文描述的其它示例中的任何示例一起利用在以下示例的任何示例中描述的特征。
示例1.一种方法,包括:由网络设备从客户端设备接收指定服务的服务请求;并且由所述网络设备并且响应于获得针对所述服务的否定指示,向蜜罐发送所述服务请求的表示以使得所述蜜罐向所述客户端设备提供所述服务。
示例2.根据示例1的方法,其中,所述服务请求指定与所述网络设备不关联的地址,并且其中获得针对所述服务的否定指示包括由所述网络设备从与所述地址相关联的服务器接收针对所述服务的否定服务响应。
示例3.根据示例2的方法,其中,所述服务请求包括传输控制协议SYN RST分组,并且其中,所述否定服务响应包括传输控制协议SYN RST分组。
示例4.根据示例1的方法,其中,所述服务请求指定与所述网络设备不相关联的地址,并且其中,针对所述服务的所述否定指示包括针对所述服务响应的计时器的到期而无需所述网络设备从与所述地址相关联的服务器已经接收到针对所述服务的肯定指示。
示例5.根据示例1的方法,进一步包括:由所述网络设备在接收所述服务请求之前从所述客户端设备接收探测,其中向蜜罐发送所述服务请求的表示以使得向所述客户端设备动态地提供所述服务进一步包括:由所述网络设备并且响应于确定所述网络设备之前从所述客户端设备接收到所述探测,向所述蜜罐发送所述服务请求的表示以向所述客户端设备动态地提供服务。
示例6.根据示例5的方法,其中,所述探测指定与所述网络设备不相关联的目的地地址,所述方法进一步包括:由所述网络设备并且响应于从所述客户端设备接收到所述探测,生成探测响应,该探测响应指示所述目的地地址与服务器相关联;并且由所述网络设备向所述客户端设备发送所述探测响应。
示例7.根据示例5的方法,其中,所述探测包括互联网控制消息协议回声请求,并且其中,所述探测响应包括互联网控制消息协议回声响应。
示例8.根据示例5的方法,其中,所述探测指定与所述网络设备不相关联的目的地地址,并且其中,所述目的地地址与包括所述网络设备的网络的服务器不相关联。
示例9.根据示例1的方法,其中,所述服务请求包括层3目的地地址,并且其中,所述层3目的地地址与包括所述网络设备的网络的服务器不相关联。
示例10.根据示例1的方法,进一步包括:由所述网络设备响应于获得针对所述服务的否定指示,生成针对所述服务的肯定指示;并且由所述网络设备向所述客户端设备发送针对所述服务的所述肯定指示。
示例11.根据示例1的方法,进一步包括:由所述网络设备在所述蜜罐和所述客户端设备之间代理针对所述服务的服务会话以向所述客户端设备提供所述服务。
示例12.根据示例1的方法,其中,所述服务请求包括第一服务请求,并且其中,针对所述服务的所述否定指示包括针对所述第一服务请求的否定指示,所述方法进一步包括:由所述网络设备接收指定所述服务的第二服务请求;并且由所述网络设备并且响应于获得针对所述第一服务请求的所述否定指示,向所述蜜罐发送所述第二服务请求的表示,以使得所述蜜罐向所述客户端设备提供所述服务,而不获得针对所述第二服务请求的否定指示。
示例13.根据示例1的方法,其中,所述网络设备包括安全装置,并且其中,所述服务请求包括针对位于由所述安全装置保护的网络内的服务器的目的地地址。
示例14.根据示例1的方法,其中,所述网络设备包括安全装置,并且其中,所述客户端设备位于在由所述安全装置保护的网络内。
示例15.根据示例1的方法,其中,针对所述服务的所述否定指示包括所述客户端设备是已知攻击者的指示。
示例16.一种包括在其上存储有指令的非临时性计算机可读存储介质,所述指令在被执行时,对一个或多个处理器进行配置以:由网络设备从客户端设备接收指定服务的服务请求;并且由所述网络设备并且响应于获得针对所述服务的否定指示,向蜜罐发送所述服务请求的表示以使得所述蜜罐向所述客户端设备提供所述服务。
示例17.一种网络设备,包括:耦合到存储器的一个或多个处理器;被配置用于由一个或多个处理器执行的动态服务模块以:从客户端设备接收指定服务的服务请求;并且响应于获得针对所述服务的否定指示,向蜜罐发送所述服务请求的表示以使得所述蜜罐向所述客户端设备提供所述服务。
示例18.根据示例17所述的网络设备,其中,所述服务请求包括层3目的地地址,并且其中,为了获得针对所述服务的否定指示,所述动态服务模块进一步被配置用于由所述一个或多个处理器执行以:从与所述层3地址相关联的服务器接收针对所述服务的否定服务响应。
示例19.根据示例18所述的网络设备,其中,所述服务请求包括传输控制协议SYNRST分组,并且其中,所述否定服务响应包括传输控制协议SYN RST分组。
示例20.根据示例17所述的网络设备,其中,所述服务请求包括层3地址,并且其中,针对所述服务的所述否定指示包括:针对所述服务响应的计时器的到期而无需所述网络设备从与所述层3地址相关联的服务器已经接收到针对所述服务的肯定指示。
示例21.根据示例17所述的网络设备,其中,所述动态服务模块进一步被配置用于由所述一个或多个处理器执行以:在接收所述服务请求之前,从所述客户端设备接收探测,并且其中为了向蜜罐发送所述服务请求的表示以向所述客户端设备动态地提供所述服务,所述动态服务模块进一步被配置用于由所述一个或多个处理器执行以:响应于确定所述动态服务模块先前从所述客户端设备接收到所述探测,向所述蜜罐发送所述服务请求的表示以向所述客户端设备动态地提供服务。
示例22.根据示例21所述的网络设备,其中所述探测包括与所述网络设备不相关联的层3的目的地地址,其中所述动态服务模块进一步被配置用于由所述一个或多个处理器执行以:响应于从客户端设备接收到所述探测,生成探测响应,其指示所述层3目的地地址与服务器相关联;并且其中所述动态服务模块进一步被配置用于由所述一个或多个处理器执行以向所述客户端设备发送所述探测响应。
示例23.根据示例21所述的网络设备,其中所述探测包括互联网控制消息协议回声请求,并且其中,所述探测响应包括互联网控制消息协议回声响应。
示例24.根据示例21所述的网络设备,其中,所述探测包括与所述网络设备不相关联的层3目的地地址,并且其中,所述层3目的地地址与在包括所述网络设备的网络的服务器不相关联。
示例25.根据示例17所述的网络设备,其中,所述服务请求包括层3目的地地址,并且其中,所述层3目的地地址与包括所述网络设备的网络的服务器不相关联。
示例26.根据示例17所述的网络设备,其中,所述动态服务模块进一步被配置用于由所述一个或多个处理器执行以:响应于获得针对所述服务的否定指示,生成针对所述服务的肯定指示,并且其中,所述动态服务模块进一步被配置用于由所述一个或多个处理器执行以向所述客户端设备发送针对所述服务的所述肯定指示。
示例27.根据示例17的网络设备,其中,所述动态服务模块进一步被配置用于由所述一个或多个处理器执行以:在所述蜜罐和所述客户端设备之间代理针对所述服务的服务会话以向所述客户端设备提供所述服务。
示例28.根据示例17所述的网络设备,其中所述服务请求包括第一服务请求,并且其中,针对所述服务的所述否定指示包括针对所述第一服务请求的否定指示,其中,所述动态服务模块进一步被配置用于由所述一个或多个处理器执行以:接收指定所述服务的第二服务请求;并且其中,所述动态服务模块进一步被配置用于由所述一个或多个处理器执行以:响应于获得针对所述第一服务请求的所述否定指示,向所述蜜罐发送所述第二服务请求的表示,以使得所述蜜罐向所述客户端设备提供所述服务,而不获得针对所述第二服务请求的否定指示。
示例29.根据示例17所述的网络设备,其中,所述网络设备包括安全装置,并且其中,所述服务请求包括针对位于由所述安全装置保护的网络内的服务器的目的地地址。
示例30.根据示例17所述的网络设备,其中,所述网络设备包括安全装置,并且其中,所述客户端设备位于在由所述安全装置保护的网络内。
示例31.根据示例17所述的网络设备,其中,针对所述服务的所述否定指示包括所述客户端设备是已知攻击者的指示。
此外,在任何上述示例中阐明的任何具体特征可以被组合成所述技术的有益示例。也就是说,任何具体特征通常可适用于本发明的所有示例。本发明的各种示例已被描述。
Claims (13)
1.一种用于管理服务的方法,包括:
由网络设备从客户端设备接收探测;
由所述网络设备利用第一肯定指示来响应于接收的所述探测,所述第一肯定指示向所述客户端设备指示存在与所述探测的地址相关联的服务器;
由所述网络设备从所述客户端设备接收服务请求,所述服务请求用以从与所述探测的所述地址相关联的服务器接收所述服务请求中指示的服务,其中所述服务请求指定用于与所述探测的所述地址相关联的所述服务器的地址,其中与所述探测的所述地址相关联的并且在所述服务请求中指示的所述地址与所述网络设备不相关联;以及
由所述网络设备并且响应于获得针对所述服务的、指示在所述服务请求中指示的与所述探测的所述地址相关联的所述服务器不提供所述服务的否定指示、并且响应于确定所述网络设备之前从所述客户端设备接收到所述探测,向蜜罐发送所述服务请求的表示以使得所述蜜罐向所述客户端设备提供所述服务,其中针对所述服务的所述否定指示包括针对服务响应的计时器的到期,而无需所述网络设备从与所述探测的所述地址相关联的并且在所述服务请求中指示的所述服务器已经接收到针对所述服务的第二肯定指示。
2.根据权利要求1所述的方法,
其中所述服务请求包括传输控制协议SYN分组,并且
其中所述否定服务响应包括传输控制协议SYN RST分组。
3.根据权利要求1所述的方法,其中向所述蜜罐发送所述服务请求的所述表示以使得所述蜜罐向所述客户端设备提供所述服务进一步包括:由所述网络设备并且响应于确定所述网络设备之前从所述客户端设备接收到所述探测,向所述蜜罐发送所述服务请求的所述表示以使得所述蜜罐向所述客户端设备提供所述服务。
4.根据权利要求3所述的方法,其中所述探测指定与所述网络设备不相关联的目的地地址,所述方法进一步包括:
由所述网络设备并且响应于从所述客户端设备接收到所述探测,生成探测响应,所述探测响应指示所述目的地地址与同所述探测的所述地址相关联的并且在所述服务请求中指定的所述服务器相关联;以及
由所述网络设备向所述客户端设备发送所述探测响应。
5.根据权利要求3所述的方法,
其中所述探测包括互联网控制消息协议回声请求,并且
其中探测响应包括互联网控制消息协议回声响应。
6.根据权利要求3所述的方法,
其中所述探测指定与所述网络设备不相关联的目的地地址,并且
其中所述目的地地址与包括所述网络设备的网络的任何服务器不相关联。
7.根据权利要求1所述的方法,
其中用于与所述探测的所述地址相关联的并且在所述服务请求中指示的所述服务器的所述地址包括层3目的地地址,并且
其中包括所述网络设备的网络中没有服务器具有作为所述层3目的地地址的层3地址。
8.根据权利要求1所述的方法,进一步包括:
由所述网络设备响应于获得针对所述服务的、指示与所述探测的所述地址相关联的并且在所述服务请求中指示的所述服务器不提供所述服务的所述否定指示,生成针对所述服务的第三肯定指示;以及
由所述网络设备向所述客户端设备发送针对所述服务的所述第三肯定指示。
9.根据权利要求1所述的方法,进一步包括:
由所述网络设备在所述蜜罐和所述客户端设备之间代理针对所述服务的服务会话以向所述客户端设备提供所述服务。
10.根据权利要求1所述的方法,
其中所述服务请求包括第一服务请求,并且
其中针对所述服务的所述否定指示包括针对所述第一服务请求的否定指示,所述方法进一步包括:
由所述网络设备接收指定所述服务的第二服务请求;以及
由所述网络设备并且响应于获得针对所述第一服务请求的所述否定指示,向所述蜜罐发送所述第二服务请求的表示,以使得所述蜜罐向所述客户端设备提供所述服务,而无需获得针对所述第二服务请求的否定指示。
11.根据权利要求1所述的方法,
其中所述网络设备包括安全装置,并且
其中所述服务请求包括用于与所述探测的所述地址相关联的并且在所述服务请求中指示的所述服务器的层3目的地地址,其中所述服务器位于由所述安全装置保护的网络内。
12.一种网络设备,包括:
耦合到存储器的一个或多个处理器;
被配置用于由所述一个或多个处理器执行的动态服务模块,用以:
从客户端设备接收探测;
利用第一肯定指示来响应于接收的所述探测,所述第一肯定指示向所述客户端设备指示存在与所述探测的地址相关联的服务器;
从所述客户端设备接收服务请求,所述服务请求用以从与所述探测的所述地址相关联的服务器接收所述服务请求中指示的服务,其中所述服务请求指定用于与所述探测的所述地址相关联的服务器的所述地址,并且其中与所述探测的所述地址相关联的并且在所述服务请求中指示的所述地址与所述网络设备不相关联;以及
响应于获得针对所述服务的、指示与所述探测的所述地址相关联的并且在所述服务请求中指示的所述服务器不提供所述服务的否定指示、并且响应于确定所述网络设备之前从所述客户端设备接收到所述探测,向蜜罐发送所述服务请求的表示以使得所述蜜罐向所述客户端设备提供所述服务,其中针对所述服务的所述否定指示包括针对服务响应的计时器的到期,而无需所述网络设备从与所述探测的所述地址相关联的并且在所述服务请求中指示的所述服务器已经接收到针对所述服务的第二肯定指示。
13.根据权利要求12所述的网络设备,进一步包括用于执行根据权利要求1-11中的任一项所述的方法的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110908140.9A CN113612784B (zh) | 2014-12-30 | 2015-12-29 | 使用蜜罐的动态服务处理 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/586,401 | 2014-12-30 | ||
| US14/586,401 US9485276B2 (en) | 2012-09-28 | 2014-12-30 | Dynamic service handling using a honeypot |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110908140.9A Division CN113612784B (zh) | 2014-12-30 | 2015-12-29 | 使用蜜罐的动态服务处理 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105743878A CN105743878A (zh) | 2016-07-06 |
| CN105743878B true CN105743878B (zh) | 2021-08-13 |
Family
ID=55068839
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110908140.9A Active CN113612784B (zh) | 2014-12-30 | 2015-12-29 | 使用蜜罐的动态服务处理 |
| CN201511008764.6A Active CN105743878B (zh) | 2014-12-30 | 2015-12-29 | 使用蜜罐的动态服务处理 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110908140.9A Active CN113612784B (zh) | 2014-12-30 | 2015-12-29 | 使用蜜罐的动态服务处理 |
Country Status (2)
| Country | Link |
|---|---|
| EP (1) | EP3041190B1 (zh) |
| CN (2) | CN113612784B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3291501A1 (en) * | 2016-08-31 | 2018-03-07 | Siemens Aktiengesellschaft | System and method for using a virtual honeypot in an industrial automation system and cloud connector |
| CN108574667B (zh) | 2017-03-09 | 2021-01-15 | 华为技术有限公司 | 一种业务流的控制方法及装置 |
| CN109257326B (zh) * | 2017-07-14 | 2021-05-04 | 东软集团股份有限公司 | 防御数据流攻击的方法、装置和存储介质及电子设备 |
| CN107370756B (zh) * | 2017-08-25 | 2020-04-07 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及系统 |
| CN107809425A (zh) * | 2017-10-20 | 2018-03-16 | 杭州默安科技有限公司 | 一种蜜罐部署系统 |
| CN109547250B (zh) * | 2018-11-26 | 2022-08-09 | 深信服科技股份有限公司 | 云蜜网装置及云蜜网配置方法、系统、设备、计算机介质 |
| US11140075B1 (en) * | 2020-03-13 | 2021-10-05 | Juniper Networks, Inc. | Network traffic steering among CPU cores using forwarding path elements |
| CN111488547B (zh) * | 2020-04-16 | 2020-12-25 | 广州锦行网络科技有限公司 | 基于web技术扁平化管理蜜罐、蜜网的实现装置 |
| WO2022197263A1 (en) * | 2021-03-17 | 2022-09-22 | Barikat Internet Guvenligi Bilisim Ticaret Anonim Sirketi | A honeypot for industrial control systems |
| CN113542262A (zh) * | 2021-07-13 | 2021-10-22 | 北京华圣龙源科技有限公司 | 用于信息系统的信息安全威胁智能预警方法和装置 |
| CN114465748B (zh) * | 2021-09-28 | 2022-10-11 | 北京卫达信息技术有限公司 | 基于多诱饵动态协同的攻击诱捕方法及系统 |
| CN115022077B (zh) * | 2022-06-30 | 2023-05-16 | 绿盟科技集团股份有限公司 | 网络威胁防护方法、系统及计算机可读存储介质 |
| CN114978768B (zh) * | 2022-07-13 | 2023-04-18 | 上海大学 | 一种基于Conpot的网络化控制系统蜜罐 |
| CN115499242B (zh) * | 2022-10-11 | 2023-12-26 | 中电云计算技术有限公司 | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101635703A (zh) * | 2008-07-24 | 2010-01-27 | 北京启明星辰信息技术股份有限公司 | 一种web服务异常检测方法 |
| US7773540B1 (en) * | 2006-06-01 | 2010-08-10 | Bbn Technologies Corp. | Methods, system and apparatus preventing network and device identification |
| CN102685147A (zh) * | 2012-05-31 | 2012-09-19 | 东南大学 | 一种移动通信蜜罐捕获系统及其实现方法 |
| US8468599B2 (en) * | 2010-09-20 | 2013-06-18 | Sonalysts, Inc. | System and method for privacy-enhanced cyber data fusion using temporal-behavioral aggregation and analysis |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020046351A1 (en) * | 2000-09-29 | 2002-04-18 | Keisuke Takemori | Intrusion preventing system |
| DE60121133T2 (de) * | 2001-02-14 | 2007-02-01 | Mitsubishi Denki K.K. | Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten |
| AU2006236283A1 (en) * | 2005-04-18 | 2006-10-26 | The Trustees Of Columbia University In The City Of New York | Systems and methods for detecting and inhibiting attacks using honeypots |
| US20070199070A1 (en) * | 2006-02-17 | 2007-08-23 | Hughes William A | Systems and methods for intelligent monitoring and response to network threats |
| US7769869B2 (en) * | 2006-08-21 | 2010-08-03 | Citrix Systems, Inc. | Systems and methods of providing server initiated connections on a virtual private network |
| US7772540B2 (en) * | 2007-03-06 | 2010-08-10 | Pasternak Barton A | RF controlled sequential lighting system |
| US8752174B2 (en) * | 2010-12-27 | 2014-06-10 | Avaya Inc. | System and method for VoIP honeypot for converged VoIP services |
| US9292248B2 (en) * | 2011-06-22 | 2016-03-22 | Microsoft Technology Licensing, Llc | Span out load balancing model |
| US20140096229A1 (en) * | 2012-09-28 | 2014-04-03 | Juniper Networks, Inc. | Virtual honeypot |
| CN103051615B (zh) * | 2012-12-14 | 2015-07-29 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
| CN103607399B (zh) * | 2013-11-25 | 2016-07-27 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
-
2015
- 2015-12-23 EP EP15202266.1A patent/EP3041190B1/en active Active
- 2015-12-29 CN CN202110908140.9A patent/CN113612784B/zh active Active
- 2015-12-29 CN CN201511008764.6A patent/CN105743878B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7773540B1 (en) * | 2006-06-01 | 2010-08-10 | Bbn Technologies Corp. | Methods, system and apparatus preventing network and device identification |
| CN101635703A (zh) * | 2008-07-24 | 2010-01-27 | 北京启明星辰信息技术股份有限公司 | 一种web服务异常检测方法 |
| US8468599B2 (en) * | 2010-09-20 | 2013-06-18 | Sonalysts, Inc. | System and method for privacy-enhanced cyber data fusion using temporal-behavioral aggregation and analysis |
| CN102685147A (zh) * | 2012-05-31 | 2012-09-19 | 东南大学 | 一种移动通信蜜罐捕获系统及其实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113612784B (zh) | 2023-11-21 |
| EP3041190B1 (en) | 2020-11-25 |
| CN113612784A (zh) | 2021-11-05 |
| EP3041190A1 (en) | 2016-07-06 |
| CN105743878A (zh) | 2016-07-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9838427B2 (en) | Dynamic service handling using a honeypot | |
| CN105743878B (zh) | 使用蜜罐的动态服务处理 | |
| US12028371B2 (en) | Rogue device detection including MAC address spoofing detection | |
| US10476891B2 (en) | Monitoring access of network darkspace | |
| US20140096229A1 (en) | Virtual honeypot | |
| US10057234B1 (en) | Systems and methods for providing network security monitoring | |
| US9769204B2 (en) | Distributed system for Bot detection | |
| US9356950B2 (en) | Evaluating URLS for malicious content | |
| US9609019B2 (en) | System and method for directing malicous activity to a monitoring system | |
| US9240976B1 (en) | Systems and methods for providing network security monitoring | |
| JP7393514B2 (ja) | モバイルデバイスの効率的なサイバー保護のための方法およびシステム | |
| EP2798768B1 (en) | System and method for cloud based scanning for computer vulnerabilities in a network environment | |
| US20180159825A1 (en) | Network host provided security system for local networks | |
| US11316861B2 (en) | Automatic device selection for private network security | |
| WO2016081561A1 (en) | System and method for directing malicious activity to a monitoring system | |
| Khurana | A security approach to prevent ARP poisoning and defensive tools | |
| US10778708B1 (en) | Method and apparatus for detecting effectiveness of security controls | |
| US20230370492A1 (en) | Identify and block domains used for nxns-based ddos attack | |
| Thangavel et al. | Sniffers Over Cloud Environment: A Literature Survey | |
| Chen et al. | Cooperation system of worm detection and quarantine in real time | |
| Liu et al. | Web Security Vulnerability Analysis Using Network and Information Security Tools |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |