具体实施方式
通常,可包含或涉及本发明的装置包括多种数据处理技术。因此,作为背景技术,在更加详细地描述本发明之前,描述分布式数据处理系统内硬件和软件组件的典型组织。
现在参照附图,图1A描绘数据处理系统的典型网络,其每一个可以实现本发明的一部分。分布式数据处理系统100包含网络101,其为分布式数据处理系统100内可以用来提供不同的装置和连接在一起的计算机之间的通信链接的媒介。网络101可包括如电线或光纤电缆的永久连接,或者通过电话或无线通信形成的临时连接。在所描绘的例子中,服务器102和服务器103,连同存储单元104,都连接到网络101。另外,客户机105-107也连接到网络101。客户机105-107和服务器102-103可以由多种计算装置来代表,例如大型机、个人计算机、个人数字助手(PDA),等等。分布式数据处理系统100可包括未示出的另外的服务器、客户机、路由器、其它装置,以及对等结构。
在所描绘的例子中,分布式数据处理系统100可包括具有网络101的因特网,代表使用不同的协议来彼此通信的网络和网关的世界性聚集的互联网,例如轻权目录访问协议(LDAP)、传输控制协议/因特网协议(TCP/IP)、文件传输协议(FTP)、超文本传输协议(HTTP)、无线应用协议(WAP),等等。当然,分布式数据处理系统100也可包括许多不同类型的网络,例如,网络、局域网(LAN)、或广域网(WAN)。例如,服务器102直接支持客户机109和网络110,其并入无线通信链接。网络使能电话111通过无线链接112连接到网络110,以及PDA113通过无线链接114连接到网络110。电话111和PDA113也能够使用适当的技术通过无线链接115在它们之间直接传递数据,例如蓝牙(Bluetooth)无线技术,以创建所谓的个人域网(PAN)或个人自组网。以类似的方式,PDA113能够通过无线通信链接116传递数据至PDA107。
能够在多种硬件平台上实现本发明;图1A意欲作为不同种类计算环境的例子,而不作为关于本发明的结构上的限制。
现在参照图1B,其描绘典型的计算机数据处理系统结构,所述数据处理系统如图1A中所示的那些一样,可以实现本发明。数据处理系统120包含一个或多个连接到内部系统总线123的中央处理单元(CPUs)122,该内部系统总线123使随机存取存储器(RAM)124、只读存储器126、和输入/输出适配器128互相连接,该输入/输出适配器128支持不同的I/O装置,例如打印机130、磁盘单元132、或其它未示出的装置,例如音频输出系统,等等。系统总线123也连接提供对通信链接136访问的通信适配器134。用户接口适配器148连接不同的用户装置,例如键盘140和鼠标142;或者其它未示出的装置,例如触摸屏、唱针、麦克风,等等。显示适配器144连接系统总线123到显示装置146。
本领域普通技术人员将理解到,图1B中的硬件可以依赖于系统实现而改变。例如,该系统可具有一个或多个处理器,例如基于英特尔奔腾(IntelPentium)的处理器和数字信号处理器(DSP),以及一个或多个类型的易失性或非易失性存储器。除图1B中所描绘的硬件之外,或代替图1B中所描绘的硬件,可以使用其它外围装置。所描绘的例子并不意味着暗指关于本发明的结构上的限制。
除了能够在多种硬件平台上实现之外,本发明还可以在多种软件环境中实现。可以使用典型的操作系统来控制每个数据处理系统内的程序执行。例如,一个装置可运行Unix操作系统,而另一个装置则包含简单的Java运行时间环境。代表性的计算机平台可包括浏览器,其为熟知的用于访问各种格式的超文本文档的软件应用,例如图形文件、文字处理文件、可扩展标记语言(XML)、超文本标记语言(HTML)、手持设备标记语言(HDML)、无线标记语言(WML)、以及不同其它格式和类型的文件。
可以在多种硬件和软件平台上实现本发明,如上文关于图1A和图1B所描述的。然而更准确地说,本发明用以操作变体蜜罐(morphing honeypot),将结合剩下的附图对其更加详细地描述。
现在参照图2,附图描绘关于已知漏洞(vulnerability)的典型数据库的一组大小。众所周知,能够通过经验观测,编译已知漏洞的数据库。能够将有关多重操作系统202的信息连同由操作系统支持执行的一组相关联的服务204一起,存储在漏洞数据库中。在使用不同的代码库的不同操作系统下,实现特殊类型的服务,例如FTP服务器,并且特殊类型服务的每次实现都具有其自身的一组已知漏洞206。服务中的漏洞典型地通过事故、通过经由合法测试程序的反复试验、或者通过经由恶意尝试以破坏服务的反复试验,来发现该服务中的漏洞。与这些漏洞相关的信息在不同的用户组或组织中存储、编译、以及共享;试图保护系统免于漏洞的人常常被称为“白客”,而试图通过挖掘漏洞以损害系统的人常常被称为“黑客”。
例如,当在请求消息或数据包内发送特殊参数的无效值(或者关于多个参数的一组值,其中值的组合却以某种方式无效时)至特殊服务时,或者意外地或者恶意地,漏洞可能被发现。当该服务试图处理包含该无效值的消息或数据包时,该服务可表现为不稳定或错误地,这可能因为没有编程序以处理由该无效值引起的异常。该服务的不正确行为在操作系统或一般性的系统内引起某些形式的问题,可能迫使该操作系统进行某些形式的异常处理。在某些情形,漏洞采用一种缓冲区溢出技术,其中服务接受溢出该存储缓冲区的大量数据,该服务捕获进入的数据至该存储缓冲区。然而,进入的数据实际上是接收系统的可执行代码,并且操纵该系统进入执行所接收的可执行代码。在某些情形,能够操纵系统进入辨认所接收的可执行代码为该服务自身的可执行代码。假设事实为:因为它是系统级的服务,所以服务常常在操作系统下以较高的优先权级别或者以专门的特权执行,所接收的可执行代码此后能够以系统级别的特权进行极大范围内的可具有破坏性后果的操作。从那点向前,恶意用户可以拷贝机密信息、破坏数据、重新配置系统、隐藏所谓的后门程序、并进行多种其它恶毒活动。
特殊的漏洞存在于特殊的操作系统和服务内。更准确地说,因为操作系统和服务不断地通过修补漏洞的补丁得以改良,或者升级以包含新的特征;所以特殊的漏洞存在于操作系统的特殊版本和/或服务的特殊版本中。因此,挖掘漏洞的特殊技术相对于有限数量的操作系统和服务的配置,可能仅只相对于操作系统的特殊版本上的服务的特殊版本的唯一结合而言是成功的。
假设用于挖掘已知漏洞的特殊技术仅针对某一系统配置是成功的,恶意用户通常试图刺探特殊的服务。在识别操作系统的特殊版本、在所刺探的系统处的服务的特殊版本、或其它信息的尝试中,通过发送给服务一组消息或不良数据包,并且然后观察和分析响应来典型地刺探服务。在某些情形中,在响应中清楚地提供这种信息。在其它情形,通过将这些值与已知为由特殊的服务或服务的版本返回的值相匹配从自系统返回的参数的值中搜集这种信息。在任何情形,特殊系统的响应所返回的信息提供有关那个系统的配置的信息,并且假设事实上操作系统和/或相关联的服务的特殊配置可具有漏洞,特殊系统的响应所返回的信息也提供有关那个系统的易受攻击的特征的信息。系统的易受攻击的特征的集合能够被称为该系统的个性;换句话说,响应某些请求,系统展示某些行为的方式包含该系统的个性。
将来自服务响应的内容与已知值相匹配的过程称为“指纹”识别。这些已知值也已经被编译成数据库,并且存在不同的设施,用于对系统进行“指纹”识别。为了识别系统提供有关其易受攻击的特征的信息的事实,这些“指纹”识别设施能够被用于合法的目的;或者为了收集有关恶意用户期望攻击的系统的信息,这些“指纹”识别设施能够被用于恶毒的活动。假设恶意用户通常期望逃避关于非法活动的探测和起诉,则恶意用户典型地在攻击系统之前刺探该系统,以致该恶意用户能够确定该系统是否具有能够被挖掘的漏洞。否则,该恶意用户就会冒关于发动不能成功的攻击的探测和起诉的危险。在接收到有关系统的特殊的易受攻击的特征的信息之后,该恶意用户能够通过对该系统的攻击选择用于挖掘该系统的易受攻击的特征的特殊技术。
优于通过发送特殊请求主动地对系统进行“指纹”识别,也能够通过观察或追踪对合法请求的响应被动地对系统进行“指纹”识别。另外,“指纹”识别也能够以相反的方式工作,通过反转的“指纹”识别过程,追踪来自系统的请求。通过分析进入的请求消息或数据包内的参数值,识别请求系统的配置信息是可以的。而且,因为一个给定的、公开可利用的“指纹”识别设施操作的方式是众所周知的,所以通过在其“指纹”识别操作期间产生不良请求或数据包的方式,识别“指纹”识别设施也是可以的。
现在参照图3,其描绘关于典型蜜罐的操作的一组模式。关于蜜罐的典型生命周期能够归类为一系列操作阶段或一系列操作模式。管理员用户在配置阶段期间(步骤302)配置蜜罐,其可包括依赖于将被操作的特殊蜜罐的多种步骤。在初始化之后,在仿真阶段内(步骤304),蜜罐开始操作,在该仿真阶段期间,仿效一个或多个服务,而同时收集和记载有关对那些服务的请求的信息。在一段时间之后,使得蜜罐脱机,且然后在分析阶段期间(步骤306),检查所记载的信息。分析可以包括在仿真阶段期间,系统被刺探的确定。在任何情形,管理员用户确定在重新配置阶段期间(步骤308)是否应该改变蜜罐的配置,例如响应先前的刺探。在进行任何所需要或期望的重新配置之后,重新使得蜜罐联机,并且只要管理员认为需要,该周期循环重复。
现在参照图4,附图描绘关于本发明的变体蜜罐的操作的一组模式。以与图3所示的过程类似的方式,变体蜜罐经历配置阶段(步骤402)。然而,与图3中所示的过程对比,当分析操作(步骤406)连同自动重新配置操作(步骤408)一起自动地进行时,关于本发明的变体仿真阶段(步骤404)继续,下文将更加详细地解释。
现在参照图5A,方框图描绘根据本发明的实施例,可以在支持变体蜜罐的系统内使用的一组组件或模块。恶意用户500扮演刺探、攻击、或危害变体蜜罐502的角色,该变体蜜罐502在这个例子中仿效两种不同的服务:动态可配置被仿效的服务504和动态可配置被仿效的服务506。由变体蜜罐仿效的该组服务代表基础系统上的一类表面(facade)。该表面可包括恶意用户可利用以检索和/或操纵的虚拟目录和文件。对于被仿效的服务所接收的每个请求,该被仿效的服务产生包含有关变体蜜罐502的信息的响应。以生产系统所期望的方式,变体蜜罐的被仿效的服务呈现有关该变体蜜罐易受攻击的特征的信息,好像它是支持操作系统的特殊版本连同在那个操作系统上执行的服务的特殊版本的一个生产系统。换句话说,响应由那些被仿效的服务所接收的请求,由被仿效的服务所返回的信息允许恶意用户500对该被仿效的服务进行“指纹”识别。响应对变体蜜罐502上的被仿效的服务进行“指纹”识别,该恶意用户将确定具有类似“指纹”的其它系统所典型地拥有的一个或多个漏洞,在其之后,恶意用户500可发动指向那些漏洞的攻击。
依赖于操作系统和在变体蜜罐502上执行的相关联的一组服务,变体蜜罐502可以或者不可以真实地拥有所指示的漏洞的任何一个。然而,所返回的信息将被恶意用户解释为指示该变体蜜罐上的一组易受攻击的特征。
通过一组参数配置每个被仿效的服务,例如关于被仿效的服务504的配置数据集508和关于被仿效的服务506的配置数据集510;每组都指示相关联的被仿效的服务的行为。由于每个被仿效的服务都响应请求,服务的活动被记载,或者局部地载入局部数据集中,例如用于被仿效的服务504的活动日志数据集512和用于被仿效的服务506的活动日志数据集514,或者通过活动记载模块518系统范围地载入活动日志数据库516。活动日志或数据集可具有有关由变体蜜罐502支持的任何服务所接收的任何请求的内容的信息,包括被仿效的服务504和506,那些请求接收的时间和条件,以及有关由被仿效的服务或变体蜜罐总体上所采取的行动的信息,包括关于给定的请求所返回的响应。也可以记载其它活动,例如代表管理员用户通过管理接口模块520所进行的任何操作,管理接口模块520可仅仅只是控制变体蜜罐502的管理设施的一个接口,或者可包括用于扮演控制变体蜜罐502的管理设施的角色的功能。
管理接口模块520允许管理员用户来管理变体蜜罐502的操作以及在变体蜜罐502所使用的任何数据库内存储的信息,例如活动日志数据库516、漏洞数据库522、和变体蜜罐配置数据库524。可以由变体蜜罐502创建漏洞数据库522,或者可以通过其它方法获得漏洞数据库522;例如,如上文所描述的,可以通过其它设施或工具产生漏洞数据库,或者可以从用户组或可能从传播有关计算机安全警告信息的安全信息中心,例如由卡内基梅隆大学运作的CERT协调中心(CERT/CC)获得漏洞数据库。漏洞数据库可具有不同形式的信息;漏洞数据库522被组织为包含漏洞元组526,其每一个包括操作系统528的一个版本的指示、计算机服务530的一个版本的指示、以及关于该操作系统相关联的版本和计算机服务相关联的版本的已知漏洞532的指示。
变体蜜罐配置数据库524包含监控条件规则534、漏洞改变规则536、和用户选择参数538,其由变体蜜罐结合数据库内的规则使用或者以某些其它方式使用。通过管理接口模块520,管理员用户可以操纵、创建、或删除监控条件规则534和漏洞改变规则536。监控管理器540使用规则引擎542在监控条件规则534内评估表达,以在被仿效的服务内探测用户指定的监控条件。在探测到用户指定的监控条件之后,监控管理器540使用规则引擎542在漏洞改变规则536内评估表达,以确定将要由被仿效的服务呈现的下一组易受攻击的特征。监控管理器540从漏洞数据库522中获得那组易受攻击的特征的信息,即,将由被仿效的服务呈现的,用以指示变体蜜罐502拥有特殊漏洞的信息。该信息被写入用于适当的被仿效的服务的适当配置数据集中;被仿效的服务然后将可配置信息放置在其关于所接收的请求所返回的响应中。
如上文所指出的,可通过多种方法发现计算机安全漏洞,并且可以假设有关漏洞的信息既传播到恶意用户,也传播到计算机安全管理员。然而,在了解到了新近发现的漏洞之后不久,恶意用户常常设法挖掘该新近发现的漏洞。
本发明的变体蜜罐向计算机系统管理员提供一种通过呈现有关新近发现的漏洞的信息作为该变体蜜罐的一个特征来提高该蜜罐对恶意用户的吸引力的能力;目的是利用恶意用户将要猎取具有新近发现的漏洞的系统的期望,将恶意用户吸引到该变体蜜罐上。
另外,恶意用户组传播有关挖掘计算机漏洞的方式的信息。因此,许多恶意用户设法在许多不同的系统上挖掘特殊的漏洞。而且,特殊的恶意用户可在单一网络内反复地设法在许多系统上利用特殊的漏洞。
本发明的变体蜜罐向计算机系统管理员提供一种通过呈现有关新近发现的漏洞的信息作为该变体蜜罐的一个特征来提高该蜜罐对恶意用户的吸引力的能力;目的是利用恶意用户在了解到该漏洞之后不久,将要搜寻具有新近发现的漏洞的系统的期望,将恶意用户吸引到该变体蜜罐上。
作为可更多被利用的特点,本发明的变体蜜罐也向计算机系统管理员提供一种通过在确定恶意用户已经试图在不同的系统上利用相同的漏洞之后来呈现有关该变体蜜罐上的特殊漏洞的信息,而具有提高该蜜罐对恶意用户的吸引力的能力。再次,目的是利用恶意用户将继续搜寻具有特殊漏洞的系统的期望,将恶意用户吸引到该变体蜜罐上。
通过结合不同的方法,以获得、检索、或者接收在变体蜜罐外部产生的事件通知消息,本发明的变体蜜罐提供在这些场景提高其吸引力的能力。事件通知消息提供有关新近发现的漏洞或新近探测到的刺探或攻击的消息;变体蜜罐配置其自身,以展示新近发现的漏洞或新近探测到的刺探或攻击的特征,以试图引诱恶意用户在该变体蜜罐上活动。
变体蜜罐502包括进行一些类似于监控管理器540的操作的事件通知管理器544。事件通知管理器544将变体蜜罐502与能够发送事件通知消息至变体蜜罐502的不同可配置事件探测系统结合。事件通知消息通知事件通知管理器544特殊类型的事件;事件通知消息的格式和内容可依赖于事件探测系统的类型。事件通知管理器544的行动和事件通知消息的接收也可以记入活动数据库516;事件通知消息的数目和类型超时可导致变体蜜罐显示的个性的改变。尽管图5A示出一些不同来源的事件通知消息的例子,变体蜜罐还可以与多种或者指导变体蜜罐的操作或者帮助变体蜜罐操作的外部系统结合。
事件通知管理器544解释事件通知消息,其可被加密及数字化标记,以保护其数据完整性。事件通知管理器544具有解析消息及过滤消息的能力。在一个实施例中,变体蜜罐502可以与事件通知消息的来源紧密结合;响应特殊事件通知消息的接收,变体蜜罐502响应事件通知消息内信息的接收,可改变其个性。换句话说,产生事件通知消息的源系统发送直接被监控管理器540所使用以控制被仿效的服务的信息。在这种场景,源系统已经确定要求变体蜜罐个性改变的条件,并且也可能已经确定变体蜜罐将要在被仿效的服务内呈现的新漏洞。事件通知管理器544使用事件通知消息内的信息作为将要被放置在被仿效的服务的配置数据集内的信息。
在一个可选择的实施例中,事件通知管理器544以与监控管理器540内被满足的监控条件所使用的类似方式使用事件通知消息内的信息,即,好似源系统已经确定了要求变体蜜罐个性改变的条件。然而,在这种场景,事件通知管理器544使用漏洞改变规则536来确定变体蜜罐将要在被仿效的服务内呈现的新漏洞。
在另一个实施例中,事件通知管理器544使用事件通知消息内的信息作为监控管理器540的输入,然后当在监控条件规则内评估表达时,其使用该事件仅仅作为一个参数。在这种情形,事件的通知仅仅只是要求变体蜜罐个性改变的条件的一部分。在这种场景,监控管理器540使用漏洞改变规则536来确定当满足监控条件规则时,变体蜜罐将要在被仿效的服务内呈现的新漏洞。
还有在另一个实施例中,事件通知管理器544使用事件通知消息内的信息作为用于在事件过滤规则546内评估表达的参数,其与监控条件规则类似,但是可主要应用于所探测的事件。因为所探测的事件可能为数众多,所以为每一个所探测的事件都改变变体蜜罐的个性可能是不理想的,而仅依赖于事件的特殊结合的探测来改变变体蜜罐的个性可能是很理想的。事件过滤规则546提供用于确定响应事件通知消息何时改变变体蜜罐的个性的表达。
通过活动日志516内所记载的信息的分析,入侵探测系统552可探测网络、系统、或应用内的可能入侵。例如,入侵探测系统552可代表监控系统的病毒渗透的反病毒应用。作为另一个例子,入侵探测系统552可为Cisco安全入侵探测系统的一个实例,其包括从直接源自网络的数据中探测未经授权的活动的网络嗅探器;Cisco安全入侵探测系统是可配置的,以向不同的目的地发送不同类型的告警/事件消息。
计算机安全事件信息中心554提供有关广泛分布的计算机安全问题的警告和事件注释,例如上文所提及的CERT协调中心(CERT/CC)。关于特殊的产业或组织,存在不同的计算机安全事件信息中心。例如,金融服务信息共享与分析中心(FS-ISAC)提供关于金融机构的电子安全威胁、漏洞、事故、和解决方案的产业范围的数据库。联邦计算机事件响应中心(FedCIRC)是处理影响联邦政府的内政机构和部门的计算机安全相关的问题的中心协调与分析设施机构。
可以从由计算机安全事件信息中心所维护的数据库中,例如,CERT知识库,检索关于所识别的威胁和漏洞的事件通知消息。可选择地,可以从计算机安全事件信息中心将事件通知消息广播到感兴趣的部门;为了接收事件通知消息,例如,CERT警告邮件列表,可要求变体蜜罐502向计算机安全事件信息中心注册。与通过其被仿效的服务改变变体蜜罐个性的活动并行,响应来自计算机安全事件信息中心554的信息,事件通知管理器544可以更新变体蜜罐配置数据库524或漏洞数据库522。
风险管理系统556代表事件通知消息的另一个潜在来源。可能通过活动日志516内所记载的信息的分析,风险管理系统556具有关联、评估、和增强来自许多不同类型的计算机安全传感器如网络入侵探测系统、反病毒传感器、防火墙、或者其它传感器的告警/事件的能力。一个风险管理系统的例子为IBM Tivoli风险管理器,其使通过应用、操作系统、和网络装置所产生的大量安全事件相互关联并区分优先次序,以提供企业安全架构的全面审视。
图5A中示出的本发明的范例实施例阐明了用于实现变体蜜罐的组件的一般组织。在一个更加明确的例子中,本发明的技术可以应用于无线环境中,例如,如图5B中所示。应该注意到,尽管在下文所描述的本发明的例子基本上依赖于由电气和电子工程师协会(IEEE)所创建的IEEE 802标准,尤其是无线LANs规范的802.11族,但可以使用多种无线通信协议和技术实现本发明,其中可以在无线变体蜜罐内,挖掘那些无线通信协议和技术的漏洞。另外,该无线变体蜜罐系统可以同时使用多个无线技术;可以实现一个或多个无线变体蜜罐,以支持不同无线技术的硬件要求。然而,应该注意到,部署无线变体蜜罐的企业并不一定需要对其活动无线网络和无线变体蜜罐系统两者都使用相同的无线技术;无线变体蜜罐系统可以以重叠的方式使用不同的无线技术。
现在参照图5B,方框图描绘根据本发明的一个实施例,可以在支持无线变体蜜罐的系统内所使用的一组组件或模块。图5B与图5A类似,且相似的附图标记指的是相似的元件;在图5A中已示出,但是在图5B中未示出的其它元件可以假设为已实现但是在图5B中未示出。然而,图5B不同于图5A;根据本发明的一个不同的实施例,图5B通过包括无线功能,以产生无线变体蜜罐,来阐明变体蜜罐更加明确的实施例,然而图5A则阐明广泛意义上的变体蜜罐的例子。通过无线数据传递,可由恶意用户操作的可疑客户机560扮演探测、攻击、或危害无线变体蜜罐561的角色。
无线变体蜜罐561并不局限于监控下文所讨论的漏洞。下文所讨论的SSID和WEP漏洞为802.11协议所特定的,并且为了挖掘存在于其它无线技术内的其它漏洞,可以配置无线变体蜜罐,以扩展其性能。
另外,可以配置无线变体蜜罐,以挖掘普遍存在于许多无线技术中的其它漏洞。例如,许多无线技术支持包含MAC(媒体访问控制)地址的网络协议。大部分2层网络协议使用由IEEE管理的三个编号间隔中的一个:MAC-48TM、EUI-48TM、和EUI-64TM,其设计为全球唯一的,以致他们可以扮演关于网卡和其它网络相关的装置的唯一标识符的角色,尽管并不是所有的通信协议都使用MAC地址以及并不是所有的协议都要求这样的全球唯一标识符。假设MAC地址存在于所支持的协议中,许多网络接入装置通过应用MAC地址过滤器在传输数据包内对MAC地址进行初步的安全检查。通过维护被批准用于网络上的装置的已知MAC地址的列表或数据库,网络接入装置能够过滤数据包,以检查每个数据包都包含一个公认的MAC地址。
然而,对于MAC地址过滤的依赖呈现一个简单的漏洞。恶意用户能够通过在由恶意用户的客户机装置所传输的数据包内骗取一个已知经批准的装置的MAC地址,而迂回通过MAC地址过滤器。恶意用户能够通过嗅探已知经批准的装置的无线数据传输,很容易地获得已知经批准的装置的MAC地址;该恶意用户的可配置无线装置于是使用所获得的MAC地址,而不是最初分配给该无线装置的MAC地址。因为恶意用户的装置的无线传输中的数据包随后将包含公认的MAC地址,所以MAC地址过滤功能将不会标记或拒绝所接收的来自该恶意用户的数据包。无论如何,除了如下文进一步更加详细地讨论的以及如图5B所阐明的其它漏洞以外,本发明的大部分实现也都可以挖掘MAC地址漏洞。
无线变体蜜罐561使用802.11协议仿效模块562仿效802.11无线协议。针对由802.11协议仿效模块562所接收的每一个请求,被仿效的服务都产生一个响应;给定数据交换,将误导恶意用户认为该恶意用户正操作可疑客户机560以便与企业的活动无线网络通信。换句话说,无线变体蜜罐561扮演无线接入点装置或仿真器的角色,并且响应发现无线变体蜜罐561的无线接入点,为了试图访问文件或者可能发动指向网络内其它漏洞的攻击,可疑客户机560的恶意用户可能通过无线变体蜜罐561试图访问网络。
可以以多种方式实现漏洞数据库522;在图5B所示的例子中,组织漏洞数据库522,以包含漏洞元组526,其每一个都包括其中漏洞为可应用的操作系统的指示、具有可以被挖掘的漏洞的数据服务的版本的指示、以及关于该操作系统相关联的版本和数据服务相关联的版本的已知漏洞的指示。依赖于无线技术,不同操作系统上的不同软件包可以以引进漏洞的方式实现其对于无线技术的支持,从而向无线变体蜜罐系统提供对于不同的操作系统呈现不同的漏洞的额外程度的可变性。
在图5B所示的例子中,漏洞数据库522包含关于802.11协议的已知漏洞,如数据值563和564所指示的;在这个例子中,假设这些漏洞在使用802.11协议实现无线接入点的任何操作系统内呈现,如数据值565和566所指示的。指示数值567的SSID识别SSID(服务集标识符)的使用作为可以由无线变体蜜罐挖掘的802.11无线接入点的一个可能漏洞;802.11无线协议内的SSID代表关于802.11无线协议的一个可配置参数。指示数值568的WEP识别WEP(有线等效保密)加密机制的使用作为可以由无线变体蜜罐挖掘的802.11无线接入点的一个可能漏洞;802.11无线协议内的WEP密钥代表关于802.11无线协议的一个可配置参数。
SSID是作为配置参数输入参与相同的无线网络的所有无线接入点和无线客户机的混合符号码(alphanumeric code)。SSID扮演一类简单的工作组标识符的角色;任何知道SSID的实体都可以初步被看作属于可被提供有对网络的无线访问的实体组。在默认配置中,无线接入点将周期地广播SSID,从而允许无线客户机上的软件编译在该无线客户机附近的可利用的无线网络的列表。另外,商业上可利用的无线接入点的每个厂家都提供关于SSID的默认值。为了向在无线接入点后的网络提供安全的初步水平,网络管理员典型地改变SSID的默认值为某些其它的值,并禁止SSID的广播;然后用适当的SSID配置合法的用户和合法的客户机装置。假设无线接入点不广播SSID,可疑客户机将不会知道该唯一的SSID,从而使得该可疑客户机发现SSID更加困难。
漏洞数据库522包含识别SSID机制作为能够由无线变体蜜罐5 61挖掘以吸引恶意用户的漏洞的指示符567。变体蜜罐配置数据库524包含提供关于在无线变体蜜罐561内激活或禁止SSID漏洞的使用的可解释表达的监控条件规则569。变体蜜罐配置数据库524也包含用于确定何时和/或如何改变SSID的漏洞改变规则570。变体蜜罐配置数据库524进一步包含SSID产生算法571,其为提供用来确定或改变所使用的SSID的值的算法的用户可选择参数。无线变体蜜罐561包含当SSID漏洞被激活时,根据SSID产生算法571,使用SSID产生算法571产生SSID的可变SSID产生单元572。当无线变体蜜罐561探测到可疑客户机560正积极地挖掘SSID漏洞时,如在下文进一步的例子中所解释的,无线变体蜜罐561通知风险管理系统556,其具有指示风险管理系统556响应所探测到的事件而将要发布中等水平的警报的配置参数573。
为了防止可疑客户机通过嗅探无线传输至和从无线接入点而发现重要数据,802.11协议提供可选择的WEP加密机制,其中使用数字的、对称的密钥,以加密传输的数据。由于密钥管理的原因,WEP机制可能会有问题。如果没有用于管理和分配密钥给无线接入点和客户机的某些集中机制,系统管理员在改变WEP密钥上将面临相当大量的工作,因为为了适当地保证网络环境安全,系统管理员必须改变所有无线接入点和所有客户机上的密钥。WEP密钥对于未知的无线客户机或恶意用户不应该是已知的。用本发明的无线蜜罐,WEP机制能够被挖掘为漏洞,以吸引和捕获恶意用户的活动。
漏洞数据库522包含识别WEP机制作为能够由无线变体蜜罐561挖掘以吸引恶意用户的漏洞的指示符568。变体蜜罐配置数据库524包含提供关于在无线变体蜜罐561内激活或禁止WEP机制使用的可解释表达的监控条件规则574。变体蜜罐配置数据库524也包含用于确定何时和/或如何改变WEP密钥的漏洞改变规则575。变体蜜罐配置数据库524进一步包含的WEP密钥产生算法576,其为提供用来确定或改变所使用的WEP密钥的值的算法的用户可选择参数。无线变体蜜罐561包含当WEP密钥漏洞被激活时,根据WEP密钥产生算法576,使用WEP密钥产生算法576产生WEP密钥的可变WEP密钥产生单元577。当无线变体蜜罐561探测到可疑客户机560正积极地挖掘WEP密钥漏洞时,如在下文进一步的例子中所解释的,无线变体蜜罐561通知风险管理系统556,其具有指示风险管理系统556响应所探测到的事件,而将要发布高级水平的严重警报的配置参数578。
无线变体蜜罐561也包含用于产生无线变体蜜罐561在伪广播(fakebroadcast)中传输的数据的伪传输数据发生器579;如在下文进一步的例子中所解释的,伪传输数据允许可疑客户机560嗅探数据。可以实现虚拟客户机(dummy client)580,以发送数据请求至无线变体蜜罐561,该无线变体蜜罐用伪传输数据响应,从而提供了一种更加现实的可由可疑客户机560嗅探的双向数据传递。
入侵探测系统552包含响应所探测到的事件以试图物理地定位和追踪可疑客户机560的三角测量单元581。另外,入侵探测系统552包含物理安全系统接口582,用于提供允许操作员通过使用物理资产,以定位和追踪可疑客户机560的信息,如下文进一步关于在图10中所阐明的例子所解释的。
现在参照图6,流程图描绘用于操作变体蜜罐以报导可疑的刺探事件,以及用于自动地改变由变体蜜罐所呈现的漏洞的总体过程。该过程由在被仿效的服务内设置漏洞而开始(步骤602),以致恶意用户可挖掘所选择的漏洞。然后该变体蜜罐监控被仿效的服务,以获得由恶意用户操作的可疑客户机正试图在该被仿效的服务中挖掘已知漏洞的指示(步骤604)。
如果探测到刺探,即,刺探操作(步骤606),则变体蜜罐向适当的子系统报导该事件,以便进一步的行动(步骤608)。在探测到可疑客户机之后,该过程可以循环返回到步骤602;例如,为了吸引其它恶意用户的刺探操作,被仿效的服务可选择使用新的漏洞,在此之后变体蜜罐重复该过程。
如果在步骤606未探测到刺探活动,即,刺探操作,则变体蜜罐确定可配置参数是否指示变体蜜罐应该重新配置自己以呈现不同的漏洞(步骤610)。如果确定重新配置,则该过程循环返回到步骤602,以选择不同的漏洞;如果确定不重新配置,则例如,根据可配置参数或响应来自系统管理员用户的请求,变体蜜罐确定它是否应该关闭(步骤612)。如果不关闭,则变体蜜罐循环返回到步骤604,以继续监控可疑活动;如果关闭,则中断变体蜜罐,从而结束该过程。以这样的方式,变体蜜罐在一个连续的循环内进行其监控操作和重新配置操作,直到被指示做其它事情。
现在参照图7A,流程图描绘用于根据所监控的条件,动态地确定何时改变指示变体蜜罐具有易受攻击的特征的信息的过程。从例如监控规则数据库或与变体蜜罐相关联的某些其它数据库中,获得监控规则而开始该过程(步骤702)。所检索的监控规则可应用于一个或多个被仿效的服务,但是假设所检索的监控规则可应用于一种特殊类型的被仿效的服务,则检索该适当被仿效的服务的操作条件,如监控规则中所指示的(步骤704)。该操作条件可包括关于该被仿效的服务的活动日志,但是该操作条件也可包括被仿效的服务或与该被仿效的服务通信的监控管理器所维护的信息。例如,该操作条件可包括关于被仿效的服务最近的重新配置或关于变体蜜罐内在的其它操作的时间戳;相反,活动日志可仅指示关于变体蜜罐的外部实体所出现的行动。
同样检索可应用于所检索的监控规则的任何用户指定的参数(步骤706)。监控规则可以被配置为带有变量的表达,并且在评估表达之前,用户指定的参数可以用作表达的输入。照此,可以像模板一样存储一组监控规则,并且用户指定的参数配置关于特殊蜜罐的监控规则。
然后关于被仿效的服务的操作条件是否满足所评估那样的所检索的监控规则作出确定(步骤708)。如果不满足,则该过程结束。
可以假设,图7A中所示出的过程仅仅是一个较大过程的一部分。例如,可以在变体蜜罐初始化期间加载来自监控规则数据库的一组监控规则。此后,更新数据库内的监控规则,并且如需要,则变体蜜罐将动态地更新其监控规则的拷贝。例如,可以允许管理员用户通过适当的接口,动态地增加或删除监控规则。
另外,变体蜜罐可以不断地在所有的监控规则之内循环,从而关于所有的监控规则实行图7A中所示的过程。而且,变体蜜罐可以提供用于设置或重置与监控规则相关联或指示特殊的监控规则是活动的还是非活动的活动标记的接口;而不是当监控规则为活动时,从数据库插入和删除监控规则。
如果在步骤708,被仿效的服务的操作条件满足所检索的监控规则,则检索适当的漏洞改变规则(步骤710)。漏洞改变规则指导变体蜜罐的变体活动,以致该变体蜜罐从呈现一种个性转向呈现另一种个性。更准确地说,漏洞改变规则指引下一组将要被仿效的服务所呈现的漏洞信息的选择。被仿效的服务的操作条件无论何时被探测到,如监控规则所指示的,则该被仿效的服务根据漏洞改变规则改变其个性。
可选择地,不是使用单个漏洞改变规则,而是可以将多个漏洞改变规则与先前所检索的监控规则相关联;换句话说,先前所检索的监控规则也指示当满足监控规则时应该使用的一组规则。如果指示了一组漏洞改变规则,则可以根据用户指定的参数和/或其它信息评估该组漏洞改变规则,以选择具有最高关联值的漏洞改变规则,即每个漏洞改变规则也可具有评估以指示选择那个特殊的漏洞改变规则的适当性的表达。
以与监控规则类似的方式,每个漏洞改变规则都可以被配置为带有变量的表达,并且在评估表达之前,用户指定的参数可以用作表达的输入。照此,连同指示下一个将要被仿效的服务所使用的漏洞的表达,可以存在选择漏洞改变规则的表达,。
检索可应用于所选择的漏洞改变规则的用户指定的参数(步骤712),并且根据所选择的漏洞改变规则从漏洞数据库中选择下一个漏洞(步骤714)。然后根据新的漏洞重新配置被仿效的服务(步骤716),并且关于特殊的监控规则,该过程完成。
现在参照图7B,流程图描绘根据所监控的条件,动态地确定何时改变指示无线变体蜜罐具有易受攻击的特征的信息的更加明确的过程。图7B与图7A类似,尽管图7B不同于图7A,因为图7B阐明根据本发明的不同实施例,无线变体蜜罐更加明确的过程,而图7A阐明由广泛意义上的的变体蜜罐所进行的过程。
该过程由根据先前所实现的及活动的漏洞,例如,从监控规则数据库或与该无线变体蜜罐相关联的某些其它数据库获得关于无线变体蜜罐的监控规则而开始(步骤752)。换句话说,无线变体蜜罐当前正通过在无线变体蜜罐的数据传输内呈现特殊的SSID、WEP密钥、MAC地址、等等给潜在的可疑客户机,而实现特殊的漏洞。所检索的监控规则可应用于一个或多个被仿效的无线协议或功能,但是以与使用802.11无线通信协议作为例子的图5B类似的方式,则检索802.11被仿效的服务的操作条件,如监控规则中所指示的(步骤754)。监控规则的操作条件指示无线变体蜜罐继续使用当前活动的漏洞,直到关于所探测到的操作满足给定的一组标准。例如,操作条件可指示无线变体蜜罐继续操作,直到可疑事件被探测到和报导,在这个时刻无线变体蜜罐的操作可暂时关闭,以阻止可疑客户机的恶意用户的任何进一步的入侵,从而允许系统管理员物理地调查可疑客户机的位置和身份。
检索也可应用于所检索的监控规则的任何用户指定的参数(步骤756),例如,改变当前所选择的SSID或当前所选择的WEP密钥的计划表。然后确定关于被仿效的802.11服务的操作条件是否满足所评估那样的所检索的监控规则(步骤758)。如果不满足,则该过程完成;换句话说,因为无线变体蜜罐当前的操作条件不需要任何如监控规则所指示的更改,所以无线变体蜜罐将要继续使用当前活动的漏洞。可以再次假设图7B中所示的过程仅仅是一个较大过程的一部分。例如,无线变体蜜罐可不断地在多个监控规则内循环,从而执行关于代表已经由系统管理员用户配置的一系列场景的多个监控规则的,如图7B中所示的过程。
如果在步骤758,被仿效的802.11服务的操作条件满足所检索的监控规则,则检索适当的漏洞改变规则(步骤760)。如先前所提及的,漏洞改变规则指导无线变体蜜罐的变体活动,以致该无线变体蜜罐从呈现一个漏洞或个性转向呈现另一个漏洞或个性。关于无线变体蜜罐的特定操作,漏洞改变规则可指示将要改变当前所选择的SSID、当前所选择的WEP密钥、或当前所选择的MAC地址。
检索可应用于所选择的漏洞改变规则的用户指定的参数(步骤762)。例如,在无线变体蜜罐的情形,SSID或WEP密钥产生算法可以允许用户指定的输入参数,从而给系统管理员提供在一组已知SSID或一组已知WEP密钥内循环的能力,而不是随机地使用唯一的SSID或WEP密钥。根据所选择的漏洞改变规则选择新的漏洞(步骤764),例如,如由根据SSID产生算法或WEP密钥产生算法计算的新SSID或WEP密钥所代表的。然后根据新的漏洞重新配置无线变体蜜罐中的被仿效的服务(步骤766),并且关于特殊的监控规则该过程完成。
现在参照图8A,流程图描绘一些可由变体蜜罐所考虑的监控条件。图7A中所示的过程执行监控规则的评估继之以漏洞改变规则的评估。图8A与图7A类似,因为图8A提供变体条件的例子;这些条件的处理的描述结合评估监控条件的各方面连同选择要由变体蜜罐呈现的新漏洞的各方面一起。
该过程从确定是否已经达到将要触发预定的重新配置的时刻点开始(步骤802)。例如,管理员用户可以为变体蜜罐在管理设施内选择许多选项。这些选项中的一些可以提供为该变体条件选择不同的临时参数的能力;临时参数的例子可包括:用于改变变体蜜罐个性的可重复循环、该变体蜜罐将改变其行为的特殊日期和时刻、用于呈现新漏洞的多个日期和时刻的计划表、或者某些其它与时间相关的值。该条件可以由先前创建的软件定时器的终止来触发。如果匹配了关于监控规则的计划条件,则如果需要,将相关联的定时器复位(步骤804),并且获得下一个漏洞(步骤806)。该计划条件可具有在一组选择的或预定的漏洞之中重复的漏洞改变规则。然后重新配置适当的服务,以呈现反映不同漏洞的信息(步骤808),并且该过程完成。
如果在步骤802未触发计划的重新配置,则关于是否已经触发了一个条件作确定,其中变体蜜罐确定由该变体蜜罐所记载的活动在关于先前所配置的时间总量的阈值之下(步骤810)。在这个场景,管理员用户依赖于所记载的活动的总量作为变体蜜罐对恶意用户的吸引的指示符。另外,假设若改变蜜罐易受攻击的特征以匹配恶意用户所寻找的漏洞,该变体蜜罐能够受到更多的刺探、更多的试图攻击、或者更多的实际攻击。可以由先前所创建的软件定时器的终止来触发该条件,在这个时刻变体蜜罐检查全部被仿效的服务、被仿效的服务的子集、或者单个被仿效的服务的活动。可以使用不同的探试性方法来确定活动的水平是否不足,从而触发重新配置操作;也可以将这些探试性的方法以表达的形式存储,其中使用根据一个或多个活动日志的活动相关的参数来评估该表达。如果该条件匹配,则在步骤804,如果需要,可以将定时器值复位,并且在步骤806获得下一个漏洞。然后在步骤808重新配置适当的服务以呈现反映不同漏洞的信息,并且该过程完成。
如果在步骤810未违反不活动阈值,则关于是否已经从特殊的客户机系统探测到刺探作确定(步骤812)。在这种场景,变体蜜罐可以随时追踪来自特殊的客户机系统的可疑请求。例如,客户机系统可以由IP地址识别,并且能够配置被仿效的服务以扫描特殊的IP地址。如果从先前识别的IP地址接收到随后的请求,则被仿效的服务能够通知变体蜜罐内的监控引擎,其然后确定是否由来自特殊的客户机系统的请求的接收触发了监控规则。在触发了这个特殊的监控规则之后,变体蜜罐可试图呈现先前已被呈现给该客户机系统的相同的漏洞,以努力诱惑恶意用户认为,自先前的刺探以来,该被仿效的服务未改变其行为。在图8A中所示的过程中,变体蜜罐设置下一个漏洞为先前已呈现给这个特殊的客户机系统的漏洞(步骤814),当记载先前的刺探时,其已经被存储在活动日志数据库中。此后,在步骤806,变体蜜罐得到下一个漏洞,且然后在步骤808重新配置适当的服务以呈现反映不同漏洞的信息,并且该过程完成。
可选择地,优于试图呈现先前已呈现给客户机系统的相同漏洞,变体蜜罐可以呈现漏洞信息给该客户机系统,以努力诱惑恶意用户认为响应先前的刺探或攻击,被仿效的服务已经明确地改变了其行为。
例如,基于生产系统中已发现的漏洞,恶意用户可试图从特殊的客户机系统攻击该典型生产系统。响应这一点,管理员用户可安装众所周知的用来修补该漏洞的特殊的操作系统补丁。然而,新近安装的操作系统补丁可能具有能够被恶意用户挖掘的不同漏洞,并且该恶意用户可能期望参与一系列的行动或反对的行动,其中响应该恶意用户的刺探或攻击而更新生产系统。
可以配置变体蜜罐,以迎合恶意用户的期望;变体蜜罐能够引诱恶意用户认为,响应该恶意用户的活动,先前呈现的漏洞已被明确地修补了。能够配置变体蜜罐,以致一系列漏洞改变规则能够遵循特殊一列已知的漏洞和修补。如此,变体蜜罐在恶意用户看来为一个不断升级的系统,从而引诱恶意用户在该变体蜜罐上活动,而隐藏该蜜罐的真实本质。
如果在步骤814未探测到特殊的客户机系统的刺探,则确定是否探测到特殊类型的刺探(步骤816)。如果为探测到,该过程完成,在这之后变体蜜罐可履行其它的职责,例如存储活动日志,并且在稍后的某个时刻将再次起动评估监控规则的过程。另外,变体蜜罐可以是多线程的,以致通过专用的线程不断地评估不同的监控条件。
如上文所提及的,通过使用反转的“指纹”识别,在步骤816中可以探测特殊类型的刺探,。通过分析一个或多个请求或者一个或多个数据包,变体蜜罐可以确定客户机系统正在刺探特殊形式的漏洞,特殊在变体蜜罐不在生产系统上实现以及不应该接收任何合法的数据通信的场景。
如果探测到特殊类型的刺探,则变体蜜罐搜寻并定位下一个漏洞,该漏洞可吸引与所探测到的该类型的刺探相关联的恶意用户或工具(步骤818)。此后,在步骤806,变体蜜罐得到下一个漏洞,且然后在步骤808重新配置适当的服务,以呈现反映不同漏洞的信息,并且该过程完成。
现在参照图8B,流程图描绘一些可能由无线变体蜜罐所考虑的更加明确的监控条件。该过程由是否已经到达了在被仿效的无线协议服务,例如802.11内,将要触发预定的重新配置的时刻点的确定而开始(步骤852)。例如,管理员用户可为无线变体蜜罐,在管理设施内选择许多选项,并且可以由先前所创建的软件定时器的终止来触发该条件。如果匹配关于监控规则的计划条件,则如果需要,则将相关联的定时器复位(步骤854),并且获得下一个漏洞(步骤856)。该计划条件可具有在一组选择的或预定的漏洞内重复的漏洞改变规则。然后重新配置适当的服务,以呈现反映不同漏洞的信息(步骤858),并且该过程完成。
在第一可供选择的方法中,用户指定的参数可代表由无线变体蜜罐所使用的用于广播SSID的计划表,从而控制在何时广播SSID,以致能够控制该无线变体蜜罐仅在使用该无线变体蜜罐的企业的非工作时间期间进行这个操作。在第二可供选择的方法中,用户指定的参数可代表用于改变SSID的计划表,从而允许每周、每日地、等等,或者可根据存储在历史数据库内关于先前所探测到的的可疑客户机的入侵事件的模式的识别,来改变SSID。
在第三可供选择的方法中,用户指定的参数可代表用于广播伪数据传输的计划表,在该伪数据传输中,内容数据用先前所选择的WEP密钥弱加密。另外,基于计划表,能够命令该无线变体蜜罐改变伪数据传输的加密内容。
在第四可供选择的方法中,用户指定的参数可代表用于改变WEP密钥的计划表。例如,如果很长一段时间都未探测到可疑的刺探事件,就可以改变WEP密钥,从而呈现给正在嗅探数据传输的可能的恶意用户以增强的安全的表面现象。针对当前实现的漏洞或漏洞集,可在监控规则上放置额外的或可供选择的操作条件。
如果在步骤852未触发预定的重新配置,则关于是否已经触发了一个条件作出确定,其中无线变体蜜罐确定由该无线变体蜜罐所记载的活动在关于先前所配置的时间总量的先前所配置的阈值之下(步骤860)。如果匹配该条件,则在步骤854,如果需要,可将定时器值复位,并且在步骤856获得下一个漏洞。然后在步骤858重新配置适当的服务,以呈现反映不同漏洞的信息,并且该过程完成。照此,根据所探测到的可疑事件的不活动性的当前观测或当前模式,能够动态地将无线变体蜜罐的操作中的预定变更随机化。
如果在步骤860未违反不活动阈值,则关于是否探测到使用先前所使用的SSID或WEP密钥的刺探作确定(步骤862)。在触发了这个特殊的监控规则之后,无线变体蜜罐可试图呈现先前已呈现给客户机系统的相同SSID或WEP密钥,以努力诱惑恶意用户认为,自该恶意用户先前的活动以来,该被仿效的服务还未改变其行为。在图8B中所示的过程中,变体蜜罐设置下一个漏洞,其使用先前已呈现给这个特殊的客户机系统,且该客户机当前正试图使用的先前的SSID或WEP密钥(步骤864),其已经由无线变体蜜罐存储在活动日志数据库或历史数据库内。此后,在步骤856,无线变体蜜罐得到下一个漏洞,且然后在步骤858重新配置适当的服务,以呈现反映不同漏洞的信息,并且该过程完成。
如上文所提及的,无线变体蜜罐可以广播伪数据传输,其中内容数据用先前所选择或产生的WEP密钥弱加密;无线变体蜜罐可以与虚拟客户机协同操作,例如,与在图5B中所示的虚拟客户机580类似,以致至和从该无线变体蜜罐产生数据传输,从而使得伪数据传输对于恶意用户看起来更加真实。另外,基于计划表,能够命令无线变体蜜罐改变伪数据传输的加密内容。
照此,可以引诱恶意用户认为,无线变体蜜罐为在与经授权的无线客户机进行真实通信的活动无线接入点。在这种印象之下,恶意用户可以占用(engage)被动的客户机(passive client),以进行嗅探操作来记录无线数据传输。在稍后的某个时刻,恶意用户将试图通过不同的密钥解密算法来发现用来加密所记录的数据传输的WEP密钥。假设伪数据为弱加密的,并且恶意用户能够发现该WEP密钥,可以假设该恶意用户可在稍后某个时刻使用一个客户机,以利用所发现的WEP密钥与无线变体蜜罐通信。可以假设无线变体蜜罐具有适当的速度和计算资源,以分析在先前某个时刻由无线变体蜜罐所使用的WEP密钥加密的内容的意外接收到的数据传输,例如,试图用先前所使用的WEP密钥解密数据传输。当无线变体蜜罐探测到先前所使用的WEP密钥的采用时,该无线变体蜜罐将报导该可疑事件;另外,这个特殊的可疑事件将为触发监控规则的操作条件,例如,在如图7B所示的步骤758中或在图8B所示的步骤862中,以改变当前所选择的WEP密钥为先前所采用的WEP密钥,例如,通过图7B中的步骤760-766或图8B中的步骤864、856、和858,以致在进一步的数据传输中,无线变体蜜罐能够占用该可疑客户机。既然无线变体蜜罐能够实现多个变体被仿效的服务,该无线变体蜜罐也可以遍及模拟网(simulated network)或遍及仅为了蜜罐目的而部署的有限网(limitednetwork)内,提供对重要数据库的明显的访问。照此,可以引导恶意用户相信,他或她能够操作该可疑客户机,以访问数据库或其它资源,从而使得该恶意用户继续占用该无线变体蜜罐,而正操作该无线变体蜜罐的企业采用其它的安全资源或人员,以物理地研究该可疑客户机的位置和身份以及该试图由计算机刺探事件的本质。
如果在步骤862未探测到采用先前所使用的SSID或WEP密钥的刺探,则对无线变体蜜罐是否探测到一个刺探作出确定,其中该刺探或可疑活动以意外的方式采用特殊类型的无线技术或协议(步骤866)。在步骤866,通过以特殊的频率收听足够强度的广播的无线电信号分析器的使用,可以探测特殊类型的刺探。通过分析一个或多个数据传输,无线变体蜜罐可以确定客户机系统正在刺探局部无线接入点,特殊在无线变体蜜罐不应该接收任何合法数据通信的场景。如果探测到特殊类型的刺探,则该无线变体蜜罐搜寻并找到下一个可吸引恶意用户的漏洞或者与所探测到的刺探类型相关联的工具(步骤868)。此后,在步骤856,无线变体蜜罐选择下一个漏洞,且然后在步骤858重新配置适当的无线协议服务,以呈现反映不同漏洞的信息,并且该过程完成。如果在步骤866,无线变体蜜罐未探测到刺探,其中该刺探或可疑活动以意外的方式采用特殊类型的无线技术或协议,则该过程完成,在其之后,该无线变体蜜罐可履行其它职责,例如存储活动日志,并且在稍后的某个时刻,将再次起动评估监控规则的过程。另外,无线变体蜜罐可以是多线程的,以致通过专用的线程不断地评估不同的监控条件。
现在参照图9,流程图描绘根据事件通知,动态地确定何时改变指示蜜罐具有易受攻击的特征的信息的过程。当接收来自如入侵探测系统的事件通知消息时,该过程开始(步骤902)。变体蜜罐获得来自如变体蜜罐配置数据库或与该变体蜜罐相关联的某个其它数据库的一组事件过滤规则(步骤904)。然后从事件通知消息中提取事件信息(步骤906)。如上文所记录的,为了多种目的,可以从多种来源接收事件通知消息;因此,事件信息可包括不同类型的信息,例如,一类操作系统和一类服务的指示。
同样检索可应用于所检索的事件过滤规则的任何用户指定的参数(步骤908)。可以将每个事件过滤规则配置为带有变量的表达,并且用户指定的参数可以用作在评估表达之前对表达的输入。照此,可以像模块一样存储一组事件过滤规则,并且用户指定的参数如管理员用户所希望的那样配置关于特殊蜜罐的事件过滤规则。
然后确定事件通知是否触发了所检索的事件过滤规则中的任何一个(步骤910)。如果否,则该过程完成。
可以假设,图9中所示的过程仅仅为一个较大过程的一部分。例如,在变体蜜罐初始化期间,可以加载来自事件过滤规则数据库的一组事件过滤规则。此后,在该数据库内更新事件过滤规则,并且如果需要,变体蜜罐可以动态地更新其事件过滤规则的拷贝。例如,可以允许管理员用户通过适当的接口动态地添加或删除事件过滤规则。
如果在步骤910,所接收的事件通知满足所检索的事件过滤规则,则检索适当的漏洞改变规则(步骤912)。无论何时事件通知触发事件过滤规则,如由事件过滤规则所指示的,则根据漏洞改变规则,被仿效的服务改变其个性。以上文所描述的关于监控规则相类似的方式,可以将多个漏洞改变规则与先前所检索的事件过滤规则相关联。
同样检索可应用于所选择的漏洞改变规则的任何用户指定的参数(步骤914),并且根据所选择的漏洞改变规则,从漏洞数据库中选择下一个漏洞(步骤916)。然后根据新的漏洞,重新配置被仿效的服务(步骤918)。
虽然变体蜜罐改变个性以响应所监控的条件和事件是理想的,但是防止变体蜜罐的个性改变太过频繁也是理想的。既然接收到来自变体蜜罐外部的系统或应用的事件通知消息,则可以配置变体蜜罐,以致事件过滤规则优先于任何活动监控规则。在这个例子中,响应事件通知,在变体蜜罐个性改变之后的一段可配置的时间段内,禁止任何活动监控规则(步骤920),并且该过程完成。
现在参照图10,方框图阐明一种方式,其中采用无线变体蜜罐,以便物理地定位并追踪可能正在试图使用无线协议中的已知漏洞来刺探企业的计算资产的可疑客户机装置。以与图1A中所示的网络101类似的方式,企业网络1002支持合法的无线接入点1004和1006,其使得客户机1008-1018能够相互之间以及与服务器、数据库、和其它未阐明的数据处理系统组件通信。部署无线变体蜜罐1020和1022,以保护企业资产免遭讨厌的窃听,即数据传输嗅探或监控;或更重要地,以保护企业计算资产免遭讨厌的入侵和恶意活动。除呈现无线漏洞之外,无线变体蜜罐1020也可以呈现动态可配置被仿效的服务和/或相关联的漏洞,其可不同于由无线变体蜜罐1022所呈现的那些。
可以相对于有效无线接入点1004和1006来明确地空间定位无线变体蜜罐1020和1022为威慑周界,例如,在企业建筑或校园边界周围,其基于无线变体蜜罐1020和1022所呈现的较强的无线电信号的吸引力,扮演吸引恶意用户与无线变体蜜罐1020和1022互相作用,而不是与有效无线接入点1004和1006相互作用的角色。在使用802.11无线技术的计算环境中,配置客户机1008-1018,以与合法的无线接入点1004和1006操作,例如,通过在802.11协议内使用有效的SSIDs和WEP密钥;因此,客户机1008-1018将忽视无线变体蜜罐1020和1022的可用性。
以与上文所描述的类似的方式,无线变体蜜罐1020和/或1022探测来自可疑客户机1024的不适当活动,并且向入侵探测系统1026报导该不适当活动。可疑客户机1024可试图与合法的无线接入点1004和1006互相作用,而不是与无线变体蜜罐1020和1022互相作用;然而,可以假设,合法的无线接入点1004和1006已被配置为有很强的安全性,以阻止恶意活动,至少关于在所部署的无线协议中利用漏洞。
基于所报导的不适当活动,入侵探测系统1026使用其三角测量,即,位置探测,单元1028,以试图确定可疑客户机1024的空间位置。例如,如果仅无线变体蜜罐1020报导可疑活动,则可以确定可疑客户机在无线变体蜜罐1020附近某处。然而,如果接收到来自多个无线变体蜜罐的多个可疑活动的报导,则基于所报导的可疑活动的顺序,三角测量单元1028可确定可疑客户机1024相对于多个无线变体蜜罐的运动矢量。
入侵探测系统1026通过其物理安全系统接口1030发送近似的位置数据和/或近似的运动矢量数据给物理安全系统1032,为了试图获得有关可疑客户机1024的信息,该物理安全系统1032其能够采用该位置数据和/或运动矢量数据指挥其物理安全资产。在图10中所示的例子中,为了试图捕获恶意用户和/或可疑客户机1024的视频数据,物理安全系统1032安置安全摄像机1034-1038。如果恶意用户正从一个运动交通工具操作可疑客户机1024,例如,在已被称为驾驶攻击的活动中,其中当在乘坐具有专门客户机的运动交通工具中时,该客户机嗅探由某些无线协议和无线技术所使用的某些无线电频率上的数据传输,某人试图定位不安全的无线接入点的位置,物理安全系统1032也许能够捕获有关该可疑交通工具的辨识信息。可选择地,物理安全系统1032能够告警在可疑客户机1024附近的安全人员该可疑活动,从而物理地阻止该可疑活动。
如上文所记录的,配置客户机1008-1018以与合法的无线接入点1004和1006操作,从而忽视无线变体蜜罐1020和1022。然而,依赖于所配置的由无线变体蜜罐1020和1022呈现的漏洞,客户机1008-1018可试图与无线变体蜜罐1020和1022通信而不是与合法的无线接入点1004和1006通信,这是可能的,尤其依赖于涉及无线变体蜜罐1020和1022的客户机1008-1018中的一个用户的位置。
鉴于上文所提供的详细描述,本发明的优点应该是很明显的。本发明的无线变体蜜罐增加了恶意用户将蜜罐识别为恶毒的无线相互作用看似时机成熟的易受攻击的系统的可能性。该无线变体蜜罐能够改变其特征,以诱惑恶意用户到该恶意用户可认为更易受攻击的、可挖掘的、并且因此更有迷惑性的某事物上。如果计算机管理员能够使得恶意用户对无线蜜罐系统感兴趣,而同时提供时间,以确定该恶意用户的身份和位置,则分布式数据处理系统或网络的总体安全就增加了。而且,如果恶意用户完成了无线变体蜜罐的彻底使用,则管理员也许能够在企业内,使得攻击转移至特殊的系统,从而限制可引起的任何损害或可被危害的任何信息。通过结合无线变体蜜罐的行动和入侵探测系统所探测到的事件,向计算机管理员提供了进行有限的物理安全操作的工具。
注意到,尽管是在完全的功能数据处理系统的环境中描绘本发明的,本领域普通技术人员将领悟到,与本发明相关联的过程中的一些能够以计算机可读媒介中指令的形式和多种其它的形式被分配,而不管实际用来执行该分配的特殊类型的信号负载媒介,这是很重要的。计算机可读媒介的例子包括像EPROM、ROM、磁带、纸张、软盘、硬盘驱动器、RAM、和CD-ROMs那样的媒介以及传输型媒介,例如数字和模拟通信链接。
为了图解说明的目的呈现了本发明的描述,但并不意味着详尽的或局限于所公开的实施例。许多更改或变更对本领域普通技术人员而言将是很显然的。为了实现可适合于其它预期用途的,具有不同更改的不同的实施例,选择该实施例,以解释该发明的原理及其实际应用,并且使得本领域其他普通技术人员能够理解该发明。