CN1838671A - 用于操作数据处理系统的方法和用于处理无线通信的设备 - Google Patents
用于操作数据处理系统的方法和用于处理无线通信的设备 Download PDFInfo
- Publication number
- CN1838671A CN1838671A CN 200610067643 CN200610067643A CN1838671A CN 1838671 A CN1838671 A CN 1838671A CN 200610067643 CN200610067643 CN 200610067643 CN 200610067643 A CN200610067643 A CN 200610067643A CN 1838671 A CN1838671 A CN 1838671A
- Authority
- CN
- China
- Prior art keywords
- variant
- honey jar
- access point
- wireless
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
在动态及可配置的基础上改变无线蜜罐系统的特征。根据关于无线协议中可配置参数的用户指定的值,配置无线接入点装置,以使用该无线协议。响应无线接入点装置的所探测的操作条件,可配置规则改变关于无线协议中一个或多个可配置参数的一个或多个值。根据可配置规则和无线接入点装置的所探测的操作条件,自动地改变关于无线协议中可配置参数的值。操作条件可包括客户机对存储在SSIDs或加密密钥历史数据库中的SSID或加密密钥,或者对当前正由无线接入点装置用于伪无线通信的SSID或加密密钥的使用。
Description
技术领域
本发明涉及一种改进的数据处理系统,具体来讲,涉及一种用于计算机安全的方法和设备。
背景技术
互联网的连通性给恶意用户提供了在全世界范围内刺探数据处理系统并对计算机网络发动攻击的能力。尽管计算机安全工具提供用于限制恶意用户引起对计算机系统的危害的能力的防御机制,但计算机管理员在其使用攻击性机制的能力上法定地受到限制。尽管入侵检测系统能够告警管理员有可疑活动,以致该管理员能够采取行动以追踪该可疑活动,并更改系统和网络来防止安全破坏,但这些系统典型地仅能够聚集有关可能的安全事件的信息。
蜜罐(Honeypot)已经作为一种工具被开发,以帮助计算机安全分析员和管理员在极小的程度上对付恶意计算机活动。蜜罐已被定义为具有被刺探、攻击、或损害的值的资源。资源可以是一个应用程序、对象、文档、版面、文件、其它数据、可执行代码、其它计算资源、或某个其它类型的通信型资源。例如,蜜罐可包括服务器的网络;蜜罐服务器有时被称为诱捕服务器。
典型的蜜罐为一个计算机服务器,其具有有限的或无产值;换句话说,典型的蜜罐除了监控活动以外,在企业内不进行重要的工作。既然蜜罐不具有重要的产值,其重要价值在于它扮演引诱恶意的用户或电脑黑客来刺探或攻击它的诱饵的角色的事实。同时,希望恶意用户将忽略在企业内具有真实价值的生产系统。另外,蜜罐收集有关刺探或攻击的信息。从这点来看,蜜罐提供具有很小的攻击性能力的工具,理想地,蜜罐维持恶意用户的兴趣,以致能够聚集有关该恶意用户的操作的方法以及是否发现了需要即刻的管理关注的任何计算机安全缺陷的重要信息。
通常采取预防性措施,以致恶意用户不会发现蜜罐的真实本质;否则,该恶意用户将忽略蜜罐并且开始刺探其它系统。例如,通常采取步骤在计算机网络内隐藏有关蜜罐存在的任何管理信息,以致恶意用户不会捕获和读取该蜜罐的配置,例如,活动日志或特别的文件名。因此,配置蜜罐作为具有少许活动的相对简单的系统是一个普遍实践,以致老练的、恶意用户不会探测到可引导这种类型的用户怀疑正被刺探的系统为蜜罐的任何活动。为了这个原因,典型地将蜜罐脱机,以管理地分析和手动重新配置。当提供一些效用时,典型的蜜罐保持为具有有限效用的被动工具。
大部分计算机安全事件由恶意用户通过互联网发动,其在恶意用户和正被刺探或攻击的计算机资源之间提供心理和物理缓冲区。尽管通过物理地远离被恶意地作为窥探目标的计算机资源典型的恶意用户获得一些优势,但计算机安全分析员和管理员也从恶意用户获得一些利益。当刺探或攻击目标计算机资源时,可以以某些方式记载通过恶意用户和目标计算机之间的中间网络的物理网络连接和/或较高水平的通信会话,从而产生该恶意用户行动的电子证据。然而,当恶意用户更加直接地通过无线网络将计算资源作为目标时,来自中间网络和通信会话的电子证据是有些简化的;这潜在地既是有利的,又是不利的,因为电子证据的数量和范围被简化了。
尽管通过物理网络可以更经常地发动计算机安全事件,通过那些无线网络对计算机资源的刺探和攻击已经伴随着无线网络的日益普遍部署而来,且当应付基于无线网络的刺探和攻击时,计算机安全分析员和管理员面临无线特定的优势和劣势。即使无线网络提供一些优势,因为用户从物理连接断开,无线网络的部署也引进安全漏洞。这种情形经常地存在,因为制造商典型地安装已被配置的无线网络装置,以致大部分用户能够迅速并容易地设置无线网络;然而,这些初始配置一般是不安全的。不幸地,无线网络常常保持为以不安全的配置部署。能够实行许多措施,来提高无线网络的安全性,但是依靠恶意用户所投入的努力的总量,坚定的恶意用户仍然可以通过其无线接入点获得对无线网络的访问。因此,由于不经意地提高的恶意用户刺探或攻击通过那些无线网络可接入的计算机资源的能力,计算机资源变得更加易受攻击。
因此,以更具攻击性的角色使用蜜罐,用于帮助系统管理员探测恶意活动,将是很有利的。实现无线蜜罐,用于探测通过无线网络发动的恶意活动,将是特别有利的。
发明内容
呈现了一种方法、系统、设备、或计算机程序产品,用于在动态和可配置的基础上变体或改变无线蜜罐系统的特征。根据关于无线协议中可配置参数的用户指定的值,配置无线接入点装置,以使用该无线协议。响应该无线接入点装置的所探测的操作条件,获得可配置规则,用于改变关于该无线协议中一个或多个可配置参数的一个或多个值。根据可配置规则和无线接入点装置的所探测的操作条件,自动地改变关于无线协议中的可配置参数的值。操作条件可包括客户机对存储在SSIDA的历史数据库中的SSID或当前正由无线接入点装置用于伪无线通信的SSID的使用。操作条件可包括客户机对存储在加密密钥的历史数据库中的加密密钥或当前正由无线接入点装置用于伪无线通信的加密密钥的使用。
附图说明
在所附权利要求中阐明了本发明的新颖特点和所公认的特征。当结合附图,参考下列详细描述,将极好地理解本发明本身及其进一步的目的和优势,其中:
图1A描绘其中可以实现本发明的典型的分布式数据处理系统;
图1B描绘其中可以实现本发明的数据处理系统内可以使用的典型的计算机结构;
图2描绘关于已知漏洞的数据库的一组大小;
图3描绘关于典型的蜜罐的操作的一组模式的示图;
图4描绘关于本发明的变体蜜罐的操作的一组模式的示图;
图5A描绘根据本发明的实施例,可以在支持变体蜜罐的系统内使用的一组组件或模块的框图;
图5B描绘根据本发明的实施例,可以在支持无线变体蜜罐的系统内使用的一组组件或模块的框图;
图6描绘关于用于操作变体蜜罐,以报导可疑的刺探事件,以及用于自动地改变由变体蜜罐所展现的漏洞的全部过程的流程图;
图7A描绘用于根据所监控的条件,动态地确定何时改变指示变体蜜罐具有易受攻击的特征的信息的流程图;
图7B描绘用于根据所监控的条件,动态地确定何时改变指示无线变体蜜罐具有易受攻击的特征的信息的更明确的流程图;
图8A描绘示出可以在变体蜜罐的操作期间被评估的一些监控条件的流程图;
图8B描绘示出可以由无线变体蜜罐所考虑的一些监控条件的更明确的流程图;
图9描绘示出用于根据事件通知,动态地确定何时改变指示蜜罐具有易受攻击的特征的信息的过程的流程图;以及
图10描绘阐明可以其使用无线变体蜜罐,以便物理地定位并追踪可正试图使用无线协议中的已知漏洞来刺探企业的计算资产的可疑客户机装置的方式的框图。
具体实施方式
通常,可包含或涉及本发明的装置包括多种数据处理技术。因此,作为背景技术,在更加详细地描述本发明之前,描述分布式数据处理系统内硬件和软件组件的典型组织。
现在参照附图,图1A描绘数据处理系统的典型网络,其每一个可以实现本发明的一部分。分布式数据处理系统100包含网络101,其为分布式数据处理系统100内可以用来提供不同的装置和连接在一起的计算机之间的通信链接的媒介。网络101可包括如电线或光纤电缆的永久连接,或者通过电话或无线通信形成的临时连接。在所描绘的例子中,服务器102和服务器103,连同存储单元104,都连接到网络101。另外,客户机105-107也连接到网络101。客户机105-107和服务器102-103可以由多种计算装置来代表,例如大型机、个人计算机、个人数字助手(PDA),等等。分布式数据处理系统100可包括未示出的另外的服务器、客户机、路由器、其它装置,以及对等结构。
在所描绘的例子中,分布式数据处理系统100可包括具有网络101的因特网,代表使用不同的协议来彼此通信的网络和网关的世界性聚集的互联网,例如轻权目录访问协议(LDAP)、传输控制协议/因特网协议(TCP/IP)、文件传输协议(FTP)、超文本传输协议(HTTP)、无线应用协议(WAP),等等。当然,分布式数据处理系统100也可包括许多不同类型的网络,例如,网络、局域网(LAN)、或广域网(WAN)。例如,服务器102直接支持客户机109和网络110,其并入无线通信链接。网络使能电话111通过无线链接112连接到网络110,以及PDA113通过无线链接114连接到网络110。电话111和PDA113也能够使用适当的技术通过无线链接115在它们之间直接传递数据,例如蓝牙(Bluetooth)无线技术,以创建所谓的个人域网(PAN)或个人自组网。以类似的方式,PDA113能够通过无线通信链接116传递数据至PDA107。
能够在多种硬件平台上实现本发明;图1A意欲作为不同种类计算环境的例子,而不作为关于本发明的结构上的限制。
现在参照图1B,其描绘典型的计算机数据处理系统结构,所述数据处理系统如图1A中所示的那些一样,可以实现本发明。数据处理系统120包含一个或多个连接到内部系统总线123的中央处理单元(CPUs)122,该内部系统总线123使随机存取存储器(RAM)124、只读存储器126、和输入/输出适配器128互相连接,该输入/输出适配器128支持不同的I/O装置,例如打印机130、磁盘单元132、或其它未示出的装置,例如音频输出系统,等等。系统总线123也连接提供对通信链接136访问的通信适配器134。用户接口适配器148连接不同的用户装置,例如键盘140和鼠标142;或者其它未示出的装置,例如触摸屏、唱针、麦克风,等等。显示适配器144连接系统总线123到显示装置146。
本领域普通技术人员将理解到,图1B中的硬件可以依赖于系统实现而改变。例如,该系统可具有一个或多个处理器,例如基于英特尔奔腾(IntelPentium)的处理器和数字信号处理器(DSP),以及一个或多个类型的易失性或非易失性存储器。除图1B中所描绘的硬件之外,或代替图1B中所描绘的硬件,可以使用其它外围装置。所描绘的例子并不意味着暗指关于本发明的结构上的限制。
除了能够在多种硬件平台上实现之外,本发明还可以在多种软件环境中实现。可以使用典型的操作系统来控制每个数据处理系统内的程序执行。例如,一个装置可运行Unix操作系统,而另一个装置则包含简单的Java运行时间环境。代表性的计算机平台可包括浏览器,其为熟知的用于访问各种格式的超文本文档的软件应用,例如图形文件、文字处理文件、可扩展标记语言(XML)、超文本标记语言(HTML)、手持设备标记语言(HDML)、无线标记语言(WML)、以及不同其它格式和类型的文件。
可以在多种硬件和软件平台上实现本发明,如上文关于图1A和图1B所描述的。然而更准确地说,本发明用以操作变体蜜罐(morphing honeypot),将结合剩下的附图对其更加详细地描述。
现在参照图2,附图描绘关于已知漏洞(vulnerability)的典型数据库的一组大小。众所周知,能够通过经验观测,编译已知漏洞的数据库。能够将有关多重操作系统202的信息连同由操作系统支持执行的一组相关联的服务204一起,存储在漏洞数据库中。在使用不同的代码库的不同操作系统下,实现特殊类型的服务,例如FTP服务器,并且特殊类型服务的每次实现都具有其自身的一组已知漏洞206。服务中的漏洞典型地通过事故、通过经由合法测试程序的反复试验、或者通过经由恶意尝试以破坏服务的反复试验,来发现该服务中的漏洞。与这些漏洞相关的信息在不同的用户组或组织中存储、编译、以及共享;试图保护系统免于漏洞的人常常被称为“白客”,而试图通过挖掘漏洞以损害系统的人常常被称为“黑客”。
例如,当在请求消息或数据包内发送特殊参数的无效值(或者关于多个参数的一组值,其中值的组合却以某种方式无效时)至特殊服务时,或者意外地或者恶意地,漏洞可能被发现。当该服务试图处理包含该无效值的消息或数据包时,该服务可表现为不稳定或错误地,这可能因为没有编程序以处理由该无效值引起的异常。该服务的不正确行为在操作系统或一般性的系统内引起某些形式的问题,可能迫使该操作系统进行某些形式的异常处理。在某些情形,漏洞采用一种缓冲区溢出技术,其中服务接受溢出该存储缓冲区的大量数据,该服务捕获进入的数据至该存储缓冲区。然而,进入的数据实际上是接收系统的可执行代码,并且操纵该系统进入执行所接收的可执行代码。在某些情形,能够操纵系统进入辨认所接收的可执行代码为该服务自身的可执行代码。假设事实为:因为它是系统级的服务,所以服务常常在操作系统下以较高的优先权级别或者以专门的特权执行,所接收的可执行代码此后能够以系统级别的特权进行极大范围内的可具有破坏性后果的操作。从那点向前,恶意用户可以拷贝机密信息、破坏数据、重新配置系统、隐藏所谓的后门程序、并进行多种其它恶毒活动。
特殊的漏洞存在于特殊的操作系统和服务内。更准确地说,因为操作系统和服务不断地通过修补漏洞的补丁得以改良,或者升级以包含新的特征;所以特殊的漏洞存在于操作系统的特殊版本和/或服务的特殊版本中。因此,挖掘漏洞的特殊技术相对于有限数量的操作系统和服务的配置,可能仅只相对于操作系统的特殊版本上的服务的特殊版本的唯一结合而言是成功的。
假设用于挖掘已知漏洞的特殊技术仅针对某一系统配置是成功的,恶意用户通常试图刺探特殊的服务。在识别操作系统的特殊版本、在所刺探的系统处的服务的特殊版本、或其它信息的尝试中,通过发送给服务一组消息或不良数据包,并且然后观察和分析响应来典型地刺探服务。在某些情形中,在响应中清楚地提供这种信息。在其它情形,通过将这些值与已知为由特殊的服务或服务的版本返回的值相匹配从自系统返回的参数的值中搜集这种信息。在任何情形,特殊系统的响应所返回的信息提供有关那个系统的配置的信息,并且假设事实上操作系统和/或相关联的服务的特殊配置可具有漏洞,特殊系统的响应所返回的信息也提供有关那个系统的易受攻击的特征的信息。系统的易受攻击的特征的集合能够被称为该系统的个性;换句话说,响应某些请求,系统展示某些行为的方式包含该系统的个性。
将来自服务响应的内容与已知值相匹配的过程称为“指纹”识别。这些已知值也已经被编译成数据库,并且存在不同的设施,用于对系统进行“指纹”识别。为了识别系统提供有关其易受攻击的特征的信息的事实,这些“指纹”识别设施能够被用于合法的目的;或者为了收集有关恶意用户期望攻击的系统的信息,这些“指纹”识别设施能够被用于恶毒的活动。假设恶意用户通常期望逃避关于非法活动的探测和起诉,则恶意用户典型地在攻击系统之前刺探该系统,以致该恶意用户能够确定该系统是否具有能够被挖掘的漏洞。否则,该恶意用户就会冒关于发动不能成功的攻击的探测和起诉的危险。在接收到有关系统的特殊的易受攻击的特征的信息之后,该恶意用户能够通过对该系统的攻击选择用于挖掘该系统的易受攻击的特征的特殊技术。
优于通过发送特殊请求主动地对系统进行“指纹”识别,也能够通过观察或追踪对合法请求的响应被动地对系统进行“指纹”识别。另外,“指纹”识别也能够以相反的方式工作,通过反转的“指纹”识别过程,追踪来自系统的请求。通过分析进入的请求消息或数据包内的参数值,识别请求系统的配置信息是可以的。而且,因为一个给定的、公开可利用的“指纹”识别设施操作的方式是众所周知的,所以通过在其“指纹”识别操作期间产生不良请求或数据包的方式,识别“指纹”识别设施也是可以的。
现在参照图3,其描绘关于典型蜜罐的操作的一组模式。关于蜜罐的典型生命周期能够归类为一系列操作阶段或一系列操作模式。管理员用户在配置阶段期间(步骤302)配置蜜罐,其可包括依赖于将被操作的特殊蜜罐的多种步骤。在初始化之后,在仿真阶段内(步骤304),蜜罐开始操作,在该仿真阶段期间,仿效一个或多个服务,而同时收集和记载有关对那些服务的请求的信息。在一段时间之后,使得蜜罐脱机,且然后在分析阶段期间(步骤306),检查所记载的信息。分析可以包括在仿真阶段期间,系统被刺探的确定。在任何情形,管理员用户确定在重新配置阶段期间(步骤308)是否应该改变蜜罐的配置,例如响应先前的刺探。在进行任何所需要或期望的重新配置之后,重新使得蜜罐联机,并且只要管理员认为需要,该周期循环重复。
现在参照图4,附图描绘关于本发明的变体蜜罐的操作的一组模式。以与图3所示的过程类似的方式,变体蜜罐经历配置阶段(步骤402)。然而,与图3中所示的过程对比,当分析操作(步骤406)连同自动重新配置操作(步骤408)一起自动地进行时,关于本发明的变体仿真阶段(步骤404)继续,下文将更加详细地解释。
现在参照图5A,方框图描绘根据本发明的实施例,可以在支持变体蜜罐的系统内使用的一组组件或模块。恶意用户500扮演刺探、攻击、或危害变体蜜罐502的角色,该变体蜜罐502在这个例子中仿效两种不同的服务:动态可配置被仿效的服务504和动态可配置被仿效的服务506。由变体蜜罐仿效的该组服务代表基础系统上的一类表面(facade)。该表面可包括恶意用户可利用以检索和/或操纵的虚拟目录和文件。对于被仿效的服务所接收的每个请求,该被仿效的服务产生包含有关变体蜜罐502的信息的响应。以生产系统所期望的方式,变体蜜罐的被仿效的服务呈现有关该变体蜜罐易受攻击的特征的信息,好像它是支持操作系统的特殊版本连同在那个操作系统上执行的服务的特殊版本的一个生产系统。换句话说,响应由那些被仿效的服务所接收的请求,由被仿效的服务所返回的信息允许恶意用户500对该被仿效的服务进行“指纹”识别。响应对变体蜜罐502上的被仿效的服务进行“指纹”识别,该恶意用户将确定具有类似“指纹”的其它系统所典型地拥有的一个或多个漏洞,在其之后,恶意用户500可发动指向那些漏洞的攻击。
依赖于操作系统和在变体蜜罐502上执行的相关联的一组服务,变体蜜罐502可以或者不可以真实地拥有所指示的漏洞的任何一个。然而,所返回的信息将被恶意用户解释为指示该变体蜜罐上的一组易受攻击的特征。
通过一组参数配置每个被仿效的服务,例如关于被仿效的服务504的配置数据集508和关于被仿效的服务506的配置数据集510;每组都指示相关联的被仿效的服务的行为。由于每个被仿效的服务都响应请求,服务的活动被记载,或者局部地载入局部数据集中,例如用于被仿效的服务504的活动日志数据集512和用于被仿效的服务506的活动日志数据集514,或者通过活动记载模块518系统范围地载入活动日志数据库516。活动日志或数据集可具有有关由变体蜜罐502支持的任何服务所接收的任何请求的内容的信息,包括被仿效的服务504和506,那些请求接收的时间和条件,以及有关由被仿效的服务或变体蜜罐总体上所采取的行动的信息,包括关于给定的请求所返回的响应。也可以记载其它活动,例如代表管理员用户通过管理接口模块520所进行的任何操作,管理接口模块520可仅仅只是控制变体蜜罐502的管理设施的一个接口,或者可包括用于扮演控制变体蜜罐502的管理设施的角色的功能。
管理接口模块520允许管理员用户来管理变体蜜罐502的操作以及在变体蜜罐502所使用的任何数据库内存储的信息,例如活动日志数据库516、漏洞数据库522、和变体蜜罐配置数据库524。可以由变体蜜罐502创建漏洞数据库522,或者可以通过其它方法获得漏洞数据库522;例如,如上文所描述的,可以通过其它设施或工具产生漏洞数据库,或者可以从用户组或可能从传播有关计算机安全警告信息的安全信息中心,例如由卡内基梅隆大学运作的CERT协调中心(CERT/CC)获得漏洞数据库。漏洞数据库可具有不同形式的信息;漏洞数据库522被组织为包含漏洞元组526,其每一个包括操作系统528的一个版本的指示、计算机服务530的一个版本的指示、以及关于该操作系统相关联的版本和计算机服务相关联的版本的已知漏洞532的指示。
变体蜜罐配置数据库524包含监控条件规则534、漏洞改变规则536、和用户选择参数538,其由变体蜜罐结合数据库内的规则使用或者以某些其它方式使用。通过管理接口模块520,管理员用户可以操纵、创建、或删除监控条件规则534和漏洞改变规则536。监控管理器540使用规则引擎542在监控条件规则534内评估表达,以在被仿效的服务内探测用户指定的监控条件。在探测到用户指定的监控条件之后,监控管理器540使用规则引擎542在漏洞改变规则536内评估表达,以确定将要由被仿效的服务呈现的下一组易受攻击的特征。监控管理器540从漏洞数据库522中获得那组易受攻击的特征的信息,即,将由被仿效的服务呈现的,用以指示变体蜜罐502拥有特殊漏洞的信息。该信息被写入用于适当的被仿效的服务的适当配置数据集中;被仿效的服务然后将可配置信息放置在其关于所接收的请求所返回的响应中。
如上文所指出的,可通过多种方法发现计算机安全漏洞,并且可以假设有关漏洞的信息既传播到恶意用户,也传播到计算机安全管理员。然而,在了解到了新近发现的漏洞之后不久,恶意用户常常设法挖掘该新近发现的漏洞。
本发明的变体蜜罐向计算机系统管理员提供一种通过呈现有关新近发现的漏洞的信息作为该变体蜜罐的一个特征来提高该蜜罐对恶意用户的吸引力的能力;目的是利用恶意用户将要猎取具有新近发现的漏洞的系统的期望,将恶意用户吸引到该变体蜜罐上。
另外,恶意用户组传播有关挖掘计算机漏洞的方式的信息。因此,许多恶意用户设法在许多不同的系统上挖掘特殊的漏洞。而且,特殊的恶意用户可在单一网络内反复地设法在许多系统上利用特殊的漏洞。
本发明的变体蜜罐向计算机系统管理员提供一种通过呈现有关新近发现的漏洞的信息作为该变体蜜罐的一个特征来提高该蜜罐对恶意用户的吸引力的能力;目的是利用恶意用户在了解到该漏洞之后不久,将要搜寻具有新近发现的漏洞的系统的期望,将恶意用户吸引到该变体蜜罐上。
作为可更多被利用的特点,本发明的变体蜜罐也向计算机系统管理员提供一种通过在确定恶意用户已经试图在不同的系统上利用相同的漏洞之后来呈现有关该变体蜜罐上的特殊漏洞的信息,而具有提高该蜜罐对恶意用户的吸引力的能力。再次,目的是利用恶意用户将继续搜寻具有特殊漏洞的系统的期望,将恶意用户吸引到该变体蜜罐上。
通过结合不同的方法,以获得、检索、或者接收在变体蜜罐外部产生的事件通知消息,本发明的变体蜜罐提供在这些场景提高其吸引力的能力。事件通知消息提供有关新近发现的漏洞或新近探测到的刺探或攻击的消息;变体蜜罐配置其自身,以展示新近发现的漏洞或新近探测到的刺探或攻击的特征,以试图引诱恶意用户在该变体蜜罐上活动。
变体蜜罐502包括进行一些类似于监控管理器540的操作的事件通知管理器544。事件通知管理器544将变体蜜罐502与能够发送事件通知消息至变体蜜罐502的不同可配置事件探测系统结合。事件通知消息通知事件通知管理器544特殊类型的事件;事件通知消息的格式和内容可依赖于事件探测系统的类型。事件通知管理器544的行动和事件通知消息的接收也可以记入活动数据库516;事件通知消息的数目和类型超时可导致变体蜜罐显示的个性的改变。尽管图5A示出一些不同来源的事件通知消息的例子,变体蜜罐还可以与多种或者指导变体蜜罐的操作或者帮助变体蜜罐操作的外部系统结合。
事件通知管理器544解释事件通知消息,其可被加密及数字化标记,以保护其数据完整性。事件通知管理器544具有解析消息及过滤消息的能力。在一个实施例中,变体蜜罐502可以与事件通知消息的来源紧密结合;响应特殊事件通知消息的接收,变体蜜罐502响应事件通知消息内信息的接收,可改变其个性。换句话说,产生事件通知消息的源系统发送直接被监控管理器540所使用以控制被仿效的服务的信息。在这种场景,源系统已经确定要求变体蜜罐个性改变的条件,并且也可能已经确定变体蜜罐将要在被仿效的服务内呈现的新漏洞。事件通知管理器544使用事件通知消息内的信息作为将要被放置在被仿效的服务的配置数据集内的信息。
在一个可选择的实施例中,事件通知管理器544以与监控管理器540内被满足的监控条件所使用的类似方式使用事件通知消息内的信息,即,好似源系统已经确定了要求变体蜜罐个性改变的条件。然而,在这种场景,事件通知管理器544使用漏洞改变规则536来确定变体蜜罐将要在被仿效的服务内呈现的新漏洞。
在另一个实施例中,事件通知管理器544使用事件通知消息内的信息作为监控管理器540的输入,然后当在监控条件规则内评估表达时,其使用该事件仅仅作为一个参数。在这种情形,事件的通知仅仅只是要求变体蜜罐个性改变的条件的一部分。在这种场景,监控管理器540使用漏洞改变规则536来确定当满足监控条件规则时,变体蜜罐将要在被仿效的服务内呈现的新漏洞。
还有在另一个实施例中,事件通知管理器544使用事件通知消息内的信息作为用于在事件过滤规则546内评估表达的参数,其与监控条件规则类似,但是可主要应用于所探测的事件。因为所探测的事件可能为数众多,所以为每一个所探测的事件都改变变体蜜罐的个性可能是不理想的,而仅依赖于事件的特殊结合的探测来改变变体蜜罐的个性可能是很理想的。事件过滤规则546提供用于确定响应事件通知消息何时改变变体蜜罐的个性的表达。
通过活动日志516内所记载的信息的分析,入侵探测系统552可探测网络、系统、或应用内的可能入侵。例如,入侵探测系统552可代表监控系统的病毒渗透的反病毒应用。作为另一个例子,入侵探测系统552可为Cisco安全入侵探测系统的一个实例,其包括从直接源自网络的数据中探测未经授权的活动的网络嗅探器;Cisco安全入侵探测系统是可配置的,以向不同的目的地发送不同类型的告警/事件消息。
计算机安全事件信息中心554提供有关广泛分布的计算机安全问题的警告和事件注释,例如上文所提及的CERT协调中心(CERT/CC)。关于特殊的产业或组织,存在不同的计算机安全事件信息中心。例如,金融服务信息共享与分析中心(FS-ISAC)提供关于金融机构的电子安全威胁、漏洞、事故、和解决方案的产业范围的数据库。联邦计算机事件响应中心(FedCIRC)是处理影响联邦政府的内政机构和部门的计算机安全相关的问题的中心协调与分析设施机构。
可以从由计算机安全事件信息中心所维护的数据库中,例如,CERT知识库,检索关于所识别的威胁和漏洞的事件通知消息。可选择地,可以从计算机安全事件信息中心将事件通知消息广播到感兴趣的部门;为了接收事件通知消息,例如,CERT警告邮件列表,可要求变体蜜罐502向计算机安全事件信息中心注册。与通过其被仿效的服务改变变体蜜罐个性的活动并行,响应来自计算机安全事件信息中心554的信息,事件通知管理器544可以更新变体蜜罐配置数据库524或漏洞数据库522。
风险管理系统556代表事件通知消息的另一个潜在来源。可能通过活动日志516内所记载的信息的分析,风险管理系统556具有关联、评估、和增强来自许多不同类型的计算机安全传感器如网络入侵探测系统、反病毒传感器、防火墙、或者其它传感器的告警/事件的能力。一个风险管理系统的例子为IBM Tivoli风险管理器,其使通过应用、操作系统、和网络装置所产生的大量安全事件相互关联并区分优先次序,以提供企业安全架构的全面审视。
图5A中示出的本发明的范例实施例阐明了用于实现变体蜜罐的组件的一般组织。在一个更加明确的例子中,本发明的技术可以应用于无线环境中,例如,如图5B中所示。应该注意到,尽管在下文所描述的本发明的例子基本上依赖于由电气和电子工程师协会(IEEE)所创建的IEEE 802标准,尤其是无线LANs规范的802.11族,但可以使用多种无线通信协议和技术实现本发明,其中可以在无线变体蜜罐内,挖掘那些无线通信协议和技术的漏洞。另外,该无线变体蜜罐系统可以同时使用多个无线技术;可以实现一个或多个无线变体蜜罐,以支持不同无线技术的硬件要求。然而,应该注意到,部署无线变体蜜罐的企业并不一定需要对其活动无线网络和无线变体蜜罐系统两者都使用相同的无线技术;无线变体蜜罐系统可以以重叠的方式使用不同的无线技术。
现在参照图5B,方框图描绘根据本发明的一个实施例,可以在支持无线变体蜜罐的系统内所使用的一组组件或模块。图5B与图5A类似,且相似的附图标记指的是相似的元件;在图5A中已示出,但是在图5B中未示出的其它元件可以假设为已实现但是在图5B中未示出。然而,图5B不同于图5A;根据本发明的一个不同的实施例,图5B通过包括无线功能,以产生无线变体蜜罐,来阐明变体蜜罐更加明确的实施例,然而图5A则阐明广泛意义上的变体蜜罐的例子。通过无线数据传递,可由恶意用户操作的可疑客户机560扮演探测、攻击、或危害无线变体蜜罐561的角色。
无线变体蜜罐561并不局限于监控下文所讨论的漏洞。下文所讨论的SSID和WEP漏洞为802.11协议所特定的,并且为了挖掘存在于其它无线技术内的其它漏洞,可以配置无线变体蜜罐,以扩展其性能。
另外,可以配置无线变体蜜罐,以挖掘普遍存在于许多无线技术中的其它漏洞。例如,许多无线技术支持包含MAC(媒体访问控制)地址的网络协议。大部分2层网络协议使用由IEEE管理的三个编号间隔中的一个:MAC-48TM、EUI-48TM、和EUI-64TM,其设计为全球唯一的,以致他们可以扮演关于网卡和其它网络相关的装置的唯一标识符的角色,尽管并不是所有的通信协议都使用MAC地址以及并不是所有的协议都要求这样的全球唯一标识符。假设MAC地址存在于所支持的协议中,许多网络接入装置通过应用MAC地址过滤器在传输数据包内对MAC地址进行初步的安全检查。通过维护被批准用于网络上的装置的已知MAC地址的列表或数据库,网络接入装置能够过滤数据包,以检查每个数据包都包含一个公认的MAC地址。
然而,对于MAC地址过滤的依赖呈现一个简单的漏洞。恶意用户能够通过在由恶意用户的客户机装置所传输的数据包内骗取一个已知经批准的装置的MAC地址,而迂回通过MAC地址过滤器。恶意用户能够通过嗅探已知经批准的装置的无线数据传输,很容易地获得已知经批准的装置的MAC地址;该恶意用户的可配置无线装置于是使用所获得的MAC地址,而不是最初分配给该无线装置的MAC地址。因为恶意用户的装置的无线传输中的数据包随后将包含公认的MAC地址,所以MAC地址过滤功能将不会标记或拒绝所接收的来自该恶意用户的数据包。无论如何,除了如下文进一步更加详细地讨论的以及如图5B所阐明的其它漏洞以外,本发明的大部分实现也都可以挖掘MAC地址漏洞。
无线变体蜜罐561使用802.11协议仿效模块562仿效802.11无线协议。针对由802.11协议仿效模块562所接收的每一个请求,被仿效的服务都产生一个响应;给定数据交换,将误导恶意用户认为该恶意用户正操作可疑客户机560以便与企业的活动无线网络通信。换句话说,无线变体蜜罐561扮演无线接入点装置或仿真器的角色,并且响应发现无线变体蜜罐561的无线接入点,为了试图访问文件或者可能发动指向网络内其它漏洞的攻击,可疑客户机560的恶意用户可能通过无线变体蜜罐561试图访问网络。
可以以多种方式实现漏洞数据库522;在图5B所示的例子中,组织漏洞数据库522,以包含漏洞元组526,其每一个都包括其中漏洞为可应用的操作系统的指示、具有可以被挖掘的漏洞的数据服务的版本的指示、以及关于该操作系统相关联的版本和数据服务相关联的版本的已知漏洞的指示。依赖于无线技术,不同操作系统上的不同软件包可以以引进漏洞的方式实现其对于无线技术的支持,从而向无线变体蜜罐系统提供对于不同的操作系统呈现不同的漏洞的额外程度的可变性。
在图5B所示的例子中,漏洞数据库522包含关于802.11协议的已知漏洞,如数据值563和564所指示的;在这个例子中,假设这些漏洞在使用802.11协议实现无线接入点的任何操作系统内呈现,如数据值565和566所指示的。指示数值567的SSID识别SSID(服务集标识符)的使用作为可以由无线变体蜜罐挖掘的802.11无线接入点的一个可能漏洞;802.11无线协议内的SSID代表关于802.11无线协议的一个可配置参数。指示数值568的WEP识别WEP(有线等效保密)加密机制的使用作为可以由无线变体蜜罐挖掘的802.11无线接入点的一个可能漏洞;802.11无线协议内的WEP密钥代表关于802.11无线协议的一个可配置参数。
SSID是作为配置参数输入参与相同的无线网络的所有无线接入点和无线客户机的混合符号码(alphanumeric code)。SSID扮演一类简单的工作组标识符的角色;任何知道SSID的实体都可以初步被看作属于可被提供有对网络的无线访问的实体组。在默认配置中,无线接入点将周期地广播SSID,从而允许无线客户机上的软件编译在该无线客户机附近的可利用的无线网络的列表。另外,商业上可利用的无线接入点的每个厂家都提供关于SSID的默认值。为了向在无线接入点后的网络提供安全的初步水平,网络管理员典型地改变SSID的默认值为某些其它的值,并禁止SSID的广播;然后用适当的SSID配置合法的用户和合法的客户机装置。假设无线接入点不广播SSID,可疑客户机将不会知道该唯一的SSID,从而使得该可疑客户机发现SSID更加困难。
漏洞数据库522包含识别SSID机制作为能够由无线变体蜜罐5 61挖掘以吸引恶意用户的漏洞的指示符567。变体蜜罐配置数据库524包含提供关于在无线变体蜜罐561内激活或禁止SSID漏洞的使用的可解释表达的监控条件规则569。变体蜜罐配置数据库524也包含用于确定何时和/或如何改变SSID的漏洞改变规则570。变体蜜罐配置数据库524进一步包含SSID产生算法571,其为提供用来确定或改变所使用的SSID的值的算法的用户可选择参数。无线变体蜜罐561包含当SSID漏洞被激活时,根据SSID产生算法571,使用SSID产生算法571产生SSID的可变SSID产生单元572。当无线变体蜜罐561探测到可疑客户机560正积极地挖掘SSID漏洞时,如在下文进一步的例子中所解释的,无线变体蜜罐561通知风险管理系统556,其具有指示风险管理系统556响应所探测到的事件而将要发布中等水平的警报的配置参数573。
为了防止可疑客户机通过嗅探无线传输至和从无线接入点而发现重要数据,802.11协议提供可选择的WEP加密机制,其中使用数字的、对称的密钥,以加密传输的数据。由于密钥管理的原因,WEP机制可能会有问题。如果没有用于管理和分配密钥给无线接入点和客户机的某些集中机制,系统管理员在改变WEP密钥上将面临相当大量的工作,因为为了适当地保证网络环境安全,系统管理员必须改变所有无线接入点和所有客户机上的密钥。WEP密钥对于未知的无线客户机或恶意用户不应该是已知的。用本发明的无线蜜罐,WEP机制能够被挖掘为漏洞,以吸引和捕获恶意用户的活动。
漏洞数据库522包含识别WEP机制作为能够由无线变体蜜罐561挖掘以吸引恶意用户的漏洞的指示符568。变体蜜罐配置数据库524包含提供关于在无线变体蜜罐561内激活或禁止WEP机制使用的可解释表达的监控条件规则574。变体蜜罐配置数据库524也包含用于确定何时和/或如何改变WEP密钥的漏洞改变规则575。变体蜜罐配置数据库524进一步包含的WEP密钥产生算法576,其为提供用来确定或改变所使用的WEP密钥的值的算法的用户可选择参数。无线变体蜜罐561包含当WEP密钥漏洞被激活时,根据WEP密钥产生算法576,使用WEP密钥产生算法576产生WEP密钥的可变WEP密钥产生单元577。当无线变体蜜罐561探测到可疑客户机560正积极地挖掘WEP密钥漏洞时,如在下文进一步的例子中所解释的,无线变体蜜罐561通知风险管理系统556,其具有指示风险管理系统556响应所探测到的事件,而将要发布高级水平的严重警报的配置参数578。
无线变体蜜罐561也包含用于产生无线变体蜜罐561在伪广播(fakebroadcast)中传输的数据的伪传输数据发生器579;如在下文进一步的例子中所解释的,伪传输数据允许可疑客户机560嗅探数据。可以实现虚拟客户机(dummy client)580,以发送数据请求至无线变体蜜罐561,该无线变体蜜罐用伪传输数据响应,从而提供了一种更加现实的可由可疑客户机560嗅探的双向数据传递。
入侵探测系统552包含响应所探测到的事件以试图物理地定位和追踪可疑客户机560的三角测量单元581。另外,入侵探测系统552包含物理安全系统接口582,用于提供允许操作员通过使用物理资产,以定位和追踪可疑客户机560的信息,如下文进一步关于在图10中所阐明的例子所解释的。
现在参照图6,流程图描绘用于操作变体蜜罐以报导可疑的刺探事件,以及用于自动地改变由变体蜜罐所呈现的漏洞的总体过程。该过程由在被仿效的服务内设置漏洞而开始(步骤602),以致恶意用户可挖掘所选择的漏洞。然后该变体蜜罐监控被仿效的服务,以获得由恶意用户操作的可疑客户机正试图在该被仿效的服务中挖掘已知漏洞的指示(步骤604)。
如果探测到刺探,即,刺探操作(步骤606),则变体蜜罐向适当的子系统报导该事件,以便进一步的行动(步骤608)。在探测到可疑客户机之后,该过程可以循环返回到步骤602;例如,为了吸引其它恶意用户的刺探操作,被仿效的服务可选择使用新的漏洞,在此之后变体蜜罐重复该过程。
如果在步骤606未探测到刺探活动,即,刺探操作,则变体蜜罐确定可配置参数是否指示变体蜜罐应该重新配置自己以呈现不同的漏洞(步骤610)。如果确定重新配置,则该过程循环返回到步骤602,以选择不同的漏洞;如果确定不重新配置,则例如,根据可配置参数或响应来自系统管理员用户的请求,变体蜜罐确定它是否应该关闭(步骤612)。如果不关闭,则变体蜜罐循环返回到步骤604,以继续监控可疑活动;如果关闭,则中断变体蜜罐,从而结束该过程。以这样的方式,变体蜜罐在一个连续的循环内进行其监控操作和重新配置操作,直到被指示做其它事情。
现在参照图7A,流程图描绘用于根据所监控的条件,动态地确定何时改变指示变体蜜罐具有易受攻击的特征的信息的过程。从例如监控规则数据库或与变体蜜罐相关联的某些其它数据库中,获得监控规则而开始该过程(步骤702)。所检索的监控规则可应用于一个或多个被仿效的服务,但是假设所检索的监控规则可应用于一种特殊类型的被仿效的服务,则检索该适当被仿效的服务的操作条件,如监控规则中所指示的(步骤704)。该操作条件可包括关于该被仿效的服务的活动日志,但是该操作条件也可包括被仿效的服务或与该被仿效的服务通信的监控管理器所维护的信息。例如,该操作条件可包括关于被仿效的服务最近的重新配置或关于变体蜜罐内在的其它操作的时间戳;相反,活动日志可仅指示关于变体蜜罐的外部实体所出现的行动。
同样检索可应用于所检索的监控规则的任何用户指定的参数(步骤706)。监控规则可以被配置为带有变量的表达,并且在评估表达之前,用户指定的参数可以用作表达的输入。照此,可以像模板一样存储一组监控规则,并且用户指定的参数配置关于特殊蜜罐的监控规则。
然后关于被仿效的服务的操作条件是否满足所评估那样的所检索的监控规则作出确定(步骤708)。如果不满足,则该过程结束。
可以假设,图7A中所示出的过程仅仅是一个较大过程的一部分。例如,可以在变体蜜罐初始化期间加载来自监控规则数据库的一组监控规则。此后,更新数据库内的监控规则,并且如需要,则变体蜜罐将动态地更新其监控规则的拷贝。例如,可以允许管理员用户通过适当的接口,动态地增加或删除监控规则。
另外,变体蜜罐可以不断地在所有的监控规则之内循环,从而关于所有的监控规则实行图7A中所示的过程。而且,变体蜜罐可以提供用于设置或重置与监控规则相关联或指示特殊的监控规则是活动的还是非活动的活动标记的接口;而不是当监控规则为活动时,从数据库插入和删除监控规则。
如果在步骤708,被仿效的服务的操作条件满足所检索的监控规则,则检索适当的漏洞改变规则(步骤710)。漏洞改变规则指导变体蜜罐的变体活动,以致该变体蜜罐从呈现一种个性转向呈现另一种个性。更准确地说,漏洞改变规则指引下一组将要被仿效的服务所呈现的漏洞信息的选择。被仿效的服务的操作条件无论何时被探测到,如监控规则所指示的,则该被仿效的服务根据漏洞改变规则改变其个性。
可选择地,不是使用单个漏洞改变规则,而是可以将多个漏洞改变规则与先前所检索的监控规则相关联;换句话说,先前所检索的监控规则也指示当满足监控规则时应该使用的一组规则。如果指示了一组漏洞改变规则,则可以根据用户指定的参数和/或其它信息评估该组漏洞改变规则,以选择具有最高关联值的漏洞改变规则,即每个漏洞改变规则也可具有评估以指示选择那个特殊的漏洞改变规则的适当性的表达。
以与监控规则类似的方式,每个漏洞改变规则都可以被配置为带有变量的表达,并且在评估表达之前,用户指定的参数可以用作表达的输入。照此,连同指示下一个将要被仿效的服务所使用的漏洞的表达,可以存在选择漏洞改变规则的表达,。
检索可应用于所选择的漏洞改变规则的用户指定的参数(步骤712),并且根据所选择的漏洞改变规则从漏洞数据库中选择下一个漏洞(步骤714)。然后根据新的漏洞重新配置被仿效的服务(步骤716),并且关于特殊的监控规则,该过程完成。
现在参照图7B,流程图描绘根据所监控的条件,动态地确定何时改变指示无线变体蜜罐具有易受攻击的特征的信息的更加明确的过程。图7B与图7A类似,尽管图7B不同于图7A,因为图7B阐明根据本发明的不同实施例,无线变体蜜罐更加明确的过程,而图7A阐明由广泛意义上的的变体蜜罐所进行的过程。
该过程由根据先前所实现的及活动的漏洞,例如,从监控规则数据库或与该无线变体蜜罐相关联的某些其它数据库获得关于无线变体蜜罐的监控规则而开始(步骤752)。换句话说,无线变体蜜罐当前正通过在无线变体蜜罐的数据传输内呈现特殊的SSID、WEP密钥、MAC地址、等等给潜在的可疑客户机,而实现特殊的漏洞。所检索的监控规则可应用于一个或多个被仿效的无线协议或功能,但是以与使用802.11无线通信协议作为例子的图5B类似的方式,则检索802.11被仿效的服务的操作条件,如监控规则中所指示的(步骤754)。监控规则的操作条件指示无线变体蜜罐继续使用当前活动的漏洞,直到关于所探测到的操作满足给定的一组标准。例如,操作条件可指示无线变体蜜罐继续操作,直到可疑事件被探测到和报导,在这个时刻无线变体蜜罐的操作可暂时关闭,以阻止可疑客户机的恶意用户的任何进一步的入侵,从而允许系统管理员物理地调查可疑客户机的位置和身份。
检索也可应用于所检索的监控规则的任何用户指定的参数(步骤756),例如,改变当前所选择的SSID或当前所选择的WEP密钥的计划表。然后确定关于被仿效的802.11服务的操作条件是否满足所评估那样的所检索的监控规则(步骤758)。如果不满足,则该过程完成;换句话说,因为无线变体蜜罐当前的操作条件不需要任何如监控规则所指示的更改,所以无线变体蜜罐将要继续使用当前活动的漏洞。可以再次假设图7B中所示的过程仅仅是一个较大过程的一部分。例如,无线变体蜜罐可不断地在多个监控规则内循环,从而执行关于代表已经由系统管理员用户配置的一系列场景的多个监控规则的,如图7B中所示的过程。
如果在步骤758,被仿效的802.11服务的操作条件满足所检索的监控规则,则检索适当的漏洞改变规则(步骤760)。如先前所提及的,漏洞改变规则指导无线变体蜜罐的变体活动,以致该无线变体蜜罐从呈现一个漏洞或个性转向呈现另一个漏洞或个性。关于无线变体蜜罐的特定操作,漏洞改变规则可指示将要改变当前所选择的SSID、当前所选择的WEP密钥、或当前所选择的MAC地址。
检索可应用于所选择的漏洞改变规则的用户指定的参数(步骤762)。例如,在无线变体蜜罐的情形,SSID或WEP密钥产生算法可以允许用户指定的输入参数,从而给系统管理员提供在一组已知SSID或一组已知WEP密钥内循环的能力,而不是随机地使用唯一的SSID或WEP密钥。根据所选择的漏洞改变规则选择新的漏洞(步骤764),例如,如由根据SSID产生算法或WEP密钥产生算法计算的新SSID或WEP密钥所代表的。然后根据新的漏洞重新配置无线变体蜜罐中的被仿效的服务(步骤766),并且关于特殊的监控规则该过程完成。
现在参照图8A,流程图描绘一些可由变体蜜罐所考虑的监控条件。图7A中所示的过程执行监控规则的评估继之以漏洞改变规则的评估。图8A与图7A类似,因为图8A提供变体条件的例子;这些条件的处理的描述结合评估监控条件的各方面连同选择要由变体蜜罐呈现的新漏洞的各方面一起。
该过程从确定是否已经达到将要触发预定的重新配置的时刻点开始(步骤802)。例如,管理员用户可以为变体蜜罐在管理设施内选择许多选项。这些选项中的一些可以提供为该变体条件选择不同的临时参数的能力;临时参数的例子可包括:用于改变变体蜜罐个性的可重复循环、该变体蜜罐将改变其行为的特殊日期和时刻、用于呈现新漏洞的多个日期和时刻的计划表、或者某些其它与时间相关的值。该条件可以由先前创建的软件定时器的终止来触发。如果匹配了关于监控规则的计划条件,则如果需要,将相关联的定时器复位(步骤804),并且获得下一个漏洞(步骤806)。该计划条件可具有在一组选择的或预定的漏洞之中重复的漏洞改变规则。然后重新配置适当的服务,以呈现反映不同漏洞的信息(步骤808),并且该过程完成。
如果在步骤802未触发计划的重新配置,则关于是否已经触发了一个条件作确定,其中变体蜜罐确定由该变体蜜罐所记载的活动在关于先前所配置的时间总量的阈值之下(步骤810)。在这个场景,管理员用户依赖于所记载的活动的总量作为变体蜜罐对恶意用户的吸引的指示符。另外,假设若改变蜜罐易受攻击的特征以匹配恶意用户所寻找的漏洞,该变体蜜罐能够受到更多的刺探、更多的试图攻击、或者更多的实际攻击。可以由先前所创建的软件定时器的终止来触发该条件,在这个时刻变体蜜罐检查全部被仿效的服务、被仿效的服务的子集、或者单个被仿效的服务的活动。可以使用不同的探试性方法来确定活动的水平是否不足,从而触发重新配置操作;也可以将这些探试性的方法以表达的形式存储,其中使用根据一个或多个活动日志的活动相关的参数来评估该表达。如果该条件匹配,则在步骤804,如果需要,可以将定时器值复位,并且在步骤806获得下一个漏洞。然后在步骤808重新配置适当的服务以呈现反映不同漏洞的信息,并且该过程完成。
如果在步骤810未违反不活动阈值,则关于是否已经从特殊的客户机系统探测到刺探作确定(步骤812)。在这种场景,变体蜜罐可以随时追踪来自特殊的客户机系统的可疑请求。例如,客户机系统可以由IP地址识别,并且能够配置被仿效的服务以扫描特殊的IP地址。如果从先前识别的IP地址接收到随后的请求,则被仿效的服务能够通知变体蜜罐内的监控引擎,其然后确定是否由来自特殊的客户机系统的请求的接收触发了监控规则。在触发了这个特殊的监控规则之后,变体蜜罐可试图呈现先前已被呈现给该客户机系统的相同的漏洞,以努力诱惑恶意用户认为,自先前的刺探以来,该被仿效的服务未改变其行为。在图8A中所示的过程中,变体蜜罐设置下一个漏洞为先前已呈现给这个特殊的客户机系统的漏洞(步骤814),当记载先前的刺探时,其已经被存储在活动日志数据库中。此后,在步骤806,变体蜜罐得到下一个漏洞,且然后在步骤808重新配置适当的服务以呈现反映不同漏洞的信息,并且该过程完成。
可选择地,优于试图呈现先前已呈现给客户机系统的相同漏洞,变体蜜罐可以呈现漏洞信息给该客户机系统,以努力诱惑恶意用户认为响应先前的刺探或攻击,被仿效的服务已经明确地改变了其行为。
例如,基于生产系统中已发现的漏洞,恶意用户可试图从特殊的客户机系统攻击该典型生产系统。响应这一点,管理员用户可安装众所周知的用来修补该漏洞的特殊的操作系统补丁。然而,新近安装的操作系统补丁可能具有能够被恶意用户挖掘的不同漏洞,并且该恶意用户可能期望参与一系列的行动或反对的行动,其中响应该恶意用户的刺探或攻击而更新生产系统。
可以配置变体蜜罐,以迎合恶意用户的期望;变体蜜罐能够引诱恶意用户认为,响应该恶意用户的活动,先前呈现的漏洞已被明确地修补了。能够配置变体蜜罐,以致一系列漏洞改变规则能够遵循特殊一列已知的漏洞和修补。如此,变体蜜罐在恶意用户看来为一个不断升级的系统,从而引诱恶意用户在该变体蜜罐上活动,而隐藏该蜜罐的真实本质。
如果在步骤814未探测到特殊的客户机系统的刺探,则确定是否探测到特殊类型的刺探(步骤816)。如果为探测到,该过程完成,在这之后变体蜜罐可履行其它的职责,例如存储活动日志,并且在稍后的某个时刻将再次起动评估监控规则的过程。另外,变体蜜罐可以是多线程的,以致通过专用的线程不断地评估不同的监控条件。
如上文所提及的,通过使用反转的“指纹”识别,在步骤816中可以探测特殊类型的刺探,。通过分析一个或多个请求或者一个或多个数据包,变体蜜罐可以确定客户机系统正在刺探特殊形式的漏洞,特殊在变体蜜罐不在生产系统上实现以及不应该接收任何合法的数据通信的场景。
如果探测到特殊类型的刺探,则变体蜜罐搜寻并定位下一个漏洞,该漏洞可吸引与所探测到的该类型的刺探相关联的恶意用户或工具(步骤818)。此后,在步骤806,变体蜜罐得到下一个漏洞,且然后在步骤808重新配置适当的服务,以呈现反映不同漏洞的信息,并且该过程完成。
现在参照图8B,流程图描绘一些可能由无线变体蜜罐所考虑的更加明确的监控条件。该过程由是否已经到达了在被仿效的无线协议服务,例如802.11内,将要触发预定的重新配置的时刻点的确定而开始(步骤852)。例如,管理员用户可为无线变体蜜罐,在管理设施内选择许多选项,并且可以由先前所创建的软件定时器的终止来触发该条件。如果匹配关于监控规则的计划条件,则如果需要,则将相关联的定时器复位(步骤854),并且获得下一个漏洞(步骤856)。该计划条件可具有在一组选择的或预定的漏洞内重复的漏洞改变规则。然后重新配置适当的服务,以呈现反映不同漏洞的信息(步骤858),并且该过程完成。
在第一可供选择的方法中,用户指定的参数可代表由无线变体蜜罐所使用的用于广播SSID的计划表,从而控制在何时广播SSID,以致能够控制该无线变体蜜罐仅在使用该无线变体蜜罐的企业的非工作时间期间进行这个操作。在第二可供选择的方法中,用户指定的参数可代表用于改变SSID的计划表,从而允许每周、每日地、等等,或者可根据存储在历史数据库内关于先前所探测到的的可疑客户机的入侵事件的模式的识别,来改变SSID。
在第三可供选择的方法中,用户指定的参数可代表用于广播伪数据传输的计划表,在该伪数据传输中,内容数据用先前所选择的WEP密钥弱加密。另外,基于计划表,能够命令该无线变体蜜罐改变伪数据传输的加密内容。
在第四可供选择的方法中,用户指定的参数可代表用于改变WEP密钥的计划表。例如,如果很长一段时间都未探测到可疑的刺探事件,就可以改变WEP密钥,从而呈现给正在嗅探数据传输的可能的恶意用户以增强的安全的表面现象。针对当前实现的漏洞或漏洞集,可在监控规则上放置额外的或可供选择的操作条件。
如果在步骤852未触发预定的重新配置,则关于是否已经触发了一个条件作出确定,其中无线变体蜜罐确定由该无线变体蜜罐所记载的活动在关于先前所配置的时间总量的先前所配置的阈值之下(步骤860)。如果匹配该条件,则在步骤854,如果需要,可将定时器值复位,并且在步骤856获得下一个漏洞。然后在步骤858重新配置适当的服务,以呈现反映不同漏洞的信息,并且该过程完成。照此,根据所探测到的可疑事件的不活动性的当前观测或当前模式,能够动态地将无线变体蜜罐的操作中的预定变更随机化。
如果在步骤860未违反不活动阈值,则关于是否探测到使用先前所使用的SSID或WEP密钥的刺探作确定(步骤862)。在触发了这个特殊的监控规则之后,无线变体蜜罐可试图呈现先前已呈现给客户机系统的相同SSID或WEP密钥,以努力诱惑恶意用户认为,自该恶意用户先前的活动以来,该被仿效的服务还未改变其行为。在图8B中所示的过程中,变体蜜罐设置下一个漏洞,其使用先前已呈现给这个特殊的客户机系统,且该客户机当前正试图使用的先前的SSID或WEP密钥(步骤864),其已经由无线变体蜜罐存储在活动日志数据库或历史数据库内。此后,在步骤856,无线变体蜜罐得到下一个漏洞,且然后在步骤858重新配置适当的服务,以呈现反映不同漏洞的信息,并且该过程完成。
如上文所提及的,无线变体蜜罐可以广播伪数据传输,其中内容数据用先前所选择或产生的WEP密钥弱加密;无线变体蜜罐可以与虚拟客户机协同操作,例如,与在图5B中所示的虚拟客户机580类似,以致至和从该无线变体蜜罐产生数据传输,从而使得伪数据传输对于恶意用户看起来更加真实。另外,基于计划表,能够命令无线变体蜜罐改变伪数据传输的加密内容。
照此,可以引诱恶意用户认为,无线变体蜜罐为在与经授权的无线客户机进行真实通信的活动无线接入点。在这种印象之下,恶意用户可以占用(engage)被动的客户机(passive client),以进行嗅探操作来记录无线数据传输。在稍后的某个时刻,恶意用户将试图通过不同的密钥解密算法来发现用来加密所记录的数据传输的WEP密钥。假设伪数据为弱加密的,并且恶意用户能够发现该WEP密钥,可以假设该恶意用户可在稍后某个时刻使用一个客户机,以利用所发现的WEP密钥与无线变体蜜罐通信。可以假设无线变体蜜罐具有适当的速度和计算资源,以分析在先前某个时刻由无线变体蜜罐所使用的WEP密钥加密的内容的意外接收到的数据传输,例如,试图用先前所使用的WEP密钥解密数据传输。当无线变体蜜罐探测到先前所使用的WEP密钥的采用时,该无线变体蜜罐将报导该可疑事件;另外,这个特殊的可疑事件将为触发监控规则的操作条件,例如,在如图7B所示的步骤758中或在图8B所示的步骤862中,以改变当前所选择的WEP密钥为先前所采用的WEP密钥,例如,通过图7B中的步骤760-766或图8B中的步骤864、856、和858,以致在进一步的数据传输中,无线变体蜜罐能够占用该可疑客户机。既然无线变体蜜罐能够实现多个变体被仿效的服务,该无线变体蜜罐也可以遍及模拟网(simulated network)或遍及仅为了蜜罐目的而部署的有限网(limitednetwork)内,提供对重要数据库的明显的访问。照此,可以引导恶意用户相信,他或她能够操作该可疑客户机,以访问数据库或其它资源,从而使得该恶意用户继续占用该无线变体蜜罐,而正操作该无线变体蜜罐的企业采用其它的安全资源或人员,以物理地研究该可疑客户机的位置和身份以及该试图由计算机刺探事件的本质。
如果在步骤862未探测到采用先前所使用的SSID或WEP密钥的刺探,则对无线变体蜜罐是否探测到一个刺探作出确定,其中该刺探或可疑活动以意外的方式采用特殊类型的无线技术或协议(步骤866)。在步骤866,通过以特殊的频率收听足够强度的广播的无线电信号分析器的使用,可以探测特殊类型的刺探。通过分析一个或多个数据传输,无线变体蜜罐可以确定客户机系统正在刺探局部无线接入点,特殊在无线变体蜜罐不应该接收任何合法数据通信的场景。如果探测到特殊类型的刺探,则该无线变体蜜罐搜寻并找到下一个可吸引恶意用户的漏洞或者与所探测到的刺探类型相关联的工具(步骤868)。此后,在步骤856,无线变体蜜罐选择下一个漏洞,且然后在步骤858重新配置适当的无线协议服务,以呈现反映不同漏洞的信息,并且该过程完成。如果在步骤866,无线变体蜜罐未探测到刺探,其中该刺探或可疑活动以意外的方式采用特殊类型的无线技术或协议,则该过程完成,在其之后,该无线变体蜜罐可履行其它职责,例如存储活动日志,并且在稍后的某个时刻,将再次起动评估监控规则的过程。另外,无线变体蜜罐可以是多线程的,以致通过专用的线程不断地评估不同的监控条件。
现在参照图9,流程图描绘根据事件通知,动态地确定何时改变指示蜜罐具有易受攻击的特征的信息的过程。当接收来自如入侵探测系统的事件通知消息时,该过程开始(步骤902)。变体蜜罐获得来自如变体蜜罐配置数据库或与该变体蜜罐相关联的某个其它数据库的一组事件过滤规则(步骤904)。然后从事件通知消息中提取事件信息(步骤906)。如上文所记录的,为了多种目的,可以从多种来源接收事件通知消息;因此,事件信息可包括不同类型的信息,例如,一类操作系统和一类服务的指示。
同样检索可应用于所检索的事件过滤规则的任何用户指定的参数(步骤908)。可以将每个事件过滤规则配置为带有变量的表达,并且用户指定的参数可以用作在评估表达之前对表达的输入。照此,可以像模块一样存储一组事件过滤规则,并且用户指定的参数如管理员用户所希望的那样配置关于特殊蜜罐的事件过滤规则。
然后确定事件通知是否触发了所检索的事件过滤规则中的任何一个(步骤910)。如果否,则该过程完成。
可以假设,图9中所示的过程仅仅为一个较大过程的一部分。例如,在变体蜜罐初始化期间,可以加载来自事件过滤规则数据库的一组事件过滤规则。此后,在该数据库内更新事件过滤规则,并且如果需要,变体蜜罐可以动态地更新其事件过滤规则的拷贝。例如,可以允许管理员用户通过适当的接口动态地添加或删除事件过滤规则。
如果在步骤910,所接收的事件通知满足所检索的事件过滤规则,则检索适当的漏洞改变规则(步骤912)。无论何时事件通知触发事件过滤规则,如由事件过滤规则所指示的,则根据漏洞改变规则,被仿效的服务改变其个性。以上文所描述的关于监控规则相类似的方式,可以将多个漏洞改变规则与先前所检索的事件过滤规则相关联。
同样检索可应用于所选择的漏洞改变规则的任何用户指定的参数(步骤914),并且根据所选择的漏洞改变规则,从漏洞数据库中选择下一个漏洞(步骤916)。然后根据新的漏洞,重新配置被仿效的服务(步骤918)。
虽然变体蜜罐改变个性以响应所监控的条件和事件是理想的,但是防止变体蜜罐的个性改变太过频繁也是理想的。既然接收到来自变体蜜罐外部的系统或应用的事件通知消息,则可以配置变体蜜罐,以致事件过滤规则优先于任何活动监控规则。在这个例子中,响应事件通知,在变体蜜罐个性改变之后的一段可配置的时间段内,禁止任何活动监控规则(步骤920),并且该过程完成。
现在参照图10,方框图阐明一种方式,其中采用无线变体蜜罐,以便物理地定位并追踪可能正在试图使用无线协议中的已知漏洞来刺探企业的计算资产的可疑客户机装置。以与图1A中所示的网络101类似的方式,企业网络1002支持合法的无线接入点1004和1006,其使得客户机1008-1018能够相互之间以及与服务器、数据库、和其它未阐明的数据处理系统组件通信。部署无线变体蜜罐1020和1022,以保护企业资产免遭讨厌的窃听,即数据传输嗅探或监控;或更重要地,以保护企业计算资产免遭讨厌的入侵和恶意活动。除呈现无线漏洞之外,无线变体蜜罐1020也可以呈现动态可配置被仿效的服务和/或相关联的漏洞,其可不同于由无线变体蜜罐1022所呈现的那些。
可以相对于有效无线接入点1004和1006来明确地空间定位无线变体蜜罐1020和1022为威慑周界,例如,在企业建筑或校园边界周围,其基于无线变体蜜罐1020和1022所呈现的较强的无线电信号的吸引力,扮演吸引恶意用户与无线变体蜜罐1020和1022互相作用,而不是与有效无线接入点1004和1006相互作用的角色。在使用802.11无线技术的计算环境中,配置客户机1008-1018,以与合法的无线接入点1004和1006操作,例如,通过在802.11协议内使用有效的SSIDs和WEP密钥;因此,客户机1008-1018将忽视无线变体蜜罐1020和1022的可用性。
以与上文所描述的类似的方式,无线变体蜜罐1020和/或1022探测来自可疑客户机1024的不适当活动,并且向入侵探测系统1026报导该不适当活动。可疑客户机1024可试图与合法的无线接入点1004和1006互相作用,而不是与无线变体蜜罐1020和1022互相作用;然而,可以假设,合法的无线接入点1004和1006已被配置为有很强的安全性,以阻止恶意活动,至少关于在所部署的无线协议中利用漏洞。
基于所报导的不适当活动,入侵探测系统1026使用其三角测量,即,位置探测,单元1028,以试图确定可疑客户机1024的空间位置。例如,如果仅无线变体蜜罐1020报导可疑活动,则可以确定可疑客户机在无线变体蜜罐1020附近某处。然而,如果接收到来自多个无线变体蜜罐的多个可疑活动的报导,则基于所报导的可疑活动的顺序,三角测量单元1028可确定可疑客户机1024相对于多个无线变体蜜罐的运动矢量。
入侵探测系统1026通过其物理安全系统接口1030发送近似的位置数据和/或近似的运动矢量数据给物理安全系统1032,为了试图获得有关可疑客户机1024的信息,该物理安全系统1032其能够采用该位置数据和/或运动矢量数据指挥其物理安全资产。在图10中所示的例子中,为了试图捕获恶意用户和/或可疑客户机1024的视频数据,物理安全系统1032安置安全摄像机1034-1038。如果恶意用户正从一个运动交通工具操作可疑客户机1024,例如,在已被称为驾驶攻击的活动中,其中当在乘坐具有专门客户机的运动交通工具中时,该客户机嗅探由某些无线协议和无线技术所使用的某些无线电频率上的数据传输,某人试图定位不安全的无线接入点的位置,物理安全系统1032也许能够捕获有关该可疑交通工具的辨识信息。可选择地,物理安全系统1032能够告警在可疑客户机1024附近的安全人员该可疑活动,从而物理地阻止该可疑活动。
如上文所记录的,配置客户机1008-1018以与合法的无线接入点1004和1006操作,从而忽视无线变体蜜罐1020和1022。然而,依赖于所配置的由无线变体蜜罐1020和1022呈现的漏洞,客户机1008-1018可试图与无线变体蜜罐1020和1022通信而不是与合法的无线接入点1004和1006通信,这是可能的,尤其依赖于涉及无线变体蜜罐1020和1022的客户机1008-1018中的一个用户的位置。
鉴于上文所提供的详细描述,本发明的优点应该是很明显的。本发明的无线变体蜜罐增加了恶意用户将蜜罐识别为恶毒的无线相互作用看似时机成熟的易受攻击的系统的可能性。该无线变体蜜罐能够改变其特征,以诱惑恶意用户到该恶意用户可认为更易受攻击的、可挖掘的、并且因此更有迷惑性的某事物上。如果计算机管理员能够使得恶意用户对无线蜜罐系统感兴趣,而同时提供时间,以确定该恶意用户的身份和位置,则分布式数据处理系统或网络的总体安全就增加了。而且,如果恶意用户完成了无线变体蜜罐的彻底使用,则管理员也许能够在企业内,使得攻击转移至特殊的系统,从而限制可引起的任何损害或可被危害的任何信息。通过结合无线变体蜜罐的行动和入侵探测系统所探测到的事件,向计算机管理员提供了进行有限的物理安全操作的工具。
注意到,尽管是在完全的功能数据处理系统的环境中描绘本发明的,本领域普通技术人员将领悟到,与本发明相关联的过程中的一些能够以计算机可读媒介中指令的形式和多种其它的形式被分配,而不管实际用来执行该分配的特殊类型的信号负载媒介,这是很重要的。计算机可读媒介的例子包括像EPROM、ROM、磁带、纸张、软盘、硬盘驱动器、RAM、和CD-ROMs那样的媒介以及传输型媒介,例如数字和模拟通信链接。
为了图解说明的目的呈现了本发明的描述,但并不意味着详尽的或局限于所公开的实施例。许多更改或变更对本领域普通技术人员而言将是很显然的。为了实现可适合于其它预期用途的,具有不同更改的不同的实施例,选择该实施例,以解释该发明的原理及其实际应用,并且使得本领域其他普通技术人员能够理解该发明。
Claims (18)
1.一种用于操作数据处理系统的方法,所述方法包括:
根据关于无线协议中可配置参数的用户指定的值,在所述数据处理系统内配置使用所述无线协议无线的接入点装置;
响应所述无线接入点装置的所探测的操作条件,获得用于改变关于所述无线协议中一个或多个可配置参数的一个或多个值的可配置规则;以及
根据可配置规则和所述无线接入点装置的所探测的操作条件,自动地改变关于所述无线协议中可配置参数的值。
2.如权利要求1所述的方法进一步包括:
响应所述无线接入点装置的所探测的操作条件,产生告警消息。
3.如权利要求1所述的方法进一步包括:
在一段时间期间内,探测作为所述无线接入点装置的操作条件的无线通信的接收,其中配置所述无线接入点装置产生关于所接收的无线通信的告警。
4.如权利要求1所述的方法进一步包括:
从所接收的无线通信中提取SSID(次要集标识符);以及
探测作为所述无线接入点装置的操作条件的所述提取的SSID与存储在SSIDH的历史数据库中的一个SSID相匹配。
5.如权利要求1所述的方法进一步包括:
从所接收的无线通信中提取SSID(次要集标识符);以及
探测作为所述无线接入点装置的操作条件的所述提取的SSID与当前正由所述无线接入点装置用于伪无线通信的一个SSID相匹配。
6.如权利要求1所述的方法进一步包括:
从所接收的无线通信中提取经加密的内容数据;
通过试图使用来自加密密钥历史数据库的加密密钥解密所述经加密的内容数据,来分析所述接收的无线通信;以及
探测作为所述无线接入点装置的操作条件的所述加密密钥解密所述经加密的内容数据。
7.如权利要求1所述的方法进一步包括:
从所接收的无线通信中提取经加密的内容数据;
通过试图使用当前正由所述无线接入点装置用于伪无线通信的加密密钥解密所述经加密的内容数据,来分析所述接收的无线通信;以及
探测作为所述无线接入点装置的操作条件的所述加密密钥解密所述经加密的内容数据。
8.如权利要求1所述的方法进一步包括:
在所述无线接入点装置方接收无线通信;
探测指示所述无线通信代表客户机的可疑活动的所述无线接入点装置的操作条件;以及
基于有关所述无线通信的信息和基于一个或多个无线接入点装置的位置,确定所述客户机的近似位置。
9.如权利要求8所述的方法进一步包括:
通知物理安全系统关于所述客户机的近似位置的数据。
10.如权利要求9所述的方法进一步包括:
试图通过所述物理安全系统获得所述客户机的视频数据。
11.如权利要求1所述的方法进一步包括:
仿效在服务器或所述无线接入点装置上的服务;
响应在所述被仿效的服务方接收请求,发送包括指示在所述服务器上一组易受攻击的特征的信息的响应;以及
自动地改变该组易受攻击的特征。
12.如权利要求11所述的方法进一步包括:
配置易受攻击的特征的数据库;
根据一类操作系统、一类可仿效的服务、或一类易受攻击的特征,从易受攻击的特征的所述数据库中选择该组易受攻击的特征。
13.如权利要求11所述的方法进一步包括:
由所述被仿效的服务记载活动;以及
根据由所述被仿效的服务所记载的活动,从易受攻击的特征的所述数据库中得到该组易受攻击的特征。
14.如权利要求13所述的方法进一步包括:
响应在可配置阈值之下的由所述被仿效的服务所记载的活动,触发自动改变该组易受攻击的特征。
15.一种用于在数据处理系统内处理无线通信的设备,所述设备包括:
用于根据关于无线协议中可配置参数的用户指定的值在使用所述无线协议的所述数据处理系统内配置无线接入点装置部件;
用于响应所述无线接入点装置的所探测的操作条件以获得用于改变关于所述无线协议中一个或多个可配置参数的一个或多个值的可配置规则的部件;以及
用于根据可配置的规则和所述无线接入点装置的所探测的操作条件,自动地改变关于所述无线协议中可配置参数的值的部件。
16.如权利要求15所述的设备进一步包括:
用于从所接收的无线通信中提取经加密的内容数据的部件;
用于通过试图使用来自加密密钥历史数据库的加密密钥解密所述经加密的内容数据来分析所述接收的无线通信的部件;以及
用于探测所述加密密钥解密所述经加密的内容数据作为所述无线接入点装置的操作条件的部件。
17.如权利要求15所述的设备进一步包括:
用于从所接收的无线通信中提取经加密的内容数据的部件;
用于通过试图使用当前正由所述无线接入点装置用于伪无线通信的加密密钥解密所述经加密的内容数据来分析所述接收的无线通信的部件;以及
用于探测所述加密密钥解密所述经加密的内容数据作为所述无线接入点装置的操作条件的部件。
18.一种在计算机可读媒介上的计算机程序产品,为了在用于处理无线通信的数据处理系统中使用,所述计算机程序产品包括:
用于执行所述前述权利要求的方法的任何方法的指令。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/086,715 | 2005-03-22 | ||
| US11/086,715 US20050166072A1 (en) | 2002-12-31 | 2005-03-22 | Method and system for wireless morphing honeypot |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1838671A true CN1838671A (zh) | 2006-09-27 |
| CN100568876C CN100568876C (zh) | 2009-12-09 |
Family
ID=37015923
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006100676433A Expired - Fee Related CN100568876C (zh) | 2005-03-22 | 2006-03-22 | 用于操作数据处理系统的方法和用于处理无线通信的设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100568876C (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101990200A (zh) * | 2009-07-31 | 2011-03-23 | 北京大学 | 一种收集移动终端恶意代码的方法 |
| CN102075927A (zh) * | 2011-01-11 | 2011-05-25 | 中国联合网络通信集团有限公司 | 无线网络设备安全配置方法和系统 |
| CN101567887B (zh) * | 2008-12-25 | 2012-05-23 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
| CN101548506B (zh) * | 2006-10-20 | 2013-01-16 | 诺基亚公司 | 用于确定安全性攻击的装置和安全性节点 |
| CN104025635A (zh) * | 2011-10-17 | 2014-09-03 | 迈克菲公司 | 移动风险评估 |
| CN112805637A (zh) * | 2018-09-28 | 2021-05-14 | 西门子股份公司 | 驱动设备的设计、配置和维护 |
| WO2023231019A1 (zh) * | 2022-06-02 | 2023-12-07 | Oppo广东移动通信有限公司 | 无线通信的方法及设备 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022197263A1 (en) * | 2021-03-17 | 2022-09-22 | Barikat Internet Guvenligi Bilisim Ticaret Anonim Sirketi | A honeypot for industrial control systems |
-
2006
- 2006-03-22 CN CNB2006100676433A patent/CN100568876C/zh not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101548506B (zh) * | 2006-10-20 | 2013-01-16 | 诺基亚公司 | 用于确定安全性攻击的装置和安全性节点 |
| CN101567887B (zh) * | 2008-12-25 | 2012-05-23 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
| CN101990200A (zh) * | 2009-07-31 | 2011-03-23 | 北京大学 | 一种收集移动终端恶意代码的方法 |
| CN102075927A (zh) * | 2011-01-11 | 2011-05-25 | 中国联合网络通信集团有限公司 | 无线网络设备安全配置方法和系统 |
| CN104025635A (zh) * | 2011-10-17 | 2014-09-03 | 迈克菲公司 | 移动风险评估 |
| CN104025635B (zh) * | 2011-10-17 | 2019-06-18 | 迈克菲有限责任公司 | 移动风险评估 |
| CN112805637A (zh) * | 2018-09-28 | 2021-05-14 | 西门子股份公司 | 驱动设备的设计、配置和维护 |
| WO2023231019A1 (zh) * | 2022-06-02 | 2023-12-07 | Oppo广东移动通信有限公司 | 无线通信的方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100568876C (zh) | 2009-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Chen et al. | Uncovering the face of android ransomware: Characterization and real-time detection | |
| US7412723B2 (en) | Method and system for morphing honeypot with computer security incident correlation | |
| CN110677408B (zh) | 攻击信息的处理方法和装置、存储介质及电子装置 | |
| US7383578B2 (en) | Method and system for morphing honeypot | |
| US20050166072A1 (en) | Method and system for wireless morphing honeypot | |
| JP6878445B2 (ja) | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム | |
| CN100568876C (zh) | 用于操作数据处理系统的方法和用于处理无线通信的设备 | |
| EP1495616B1 (en) | Detecting and countering malicious code in enterprise networks | |
| CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
| US20100251369A1 (en) | Method and system for preventing data leakage from a computer facilty | |
| CN106022113A (zh) | 经由沙盒检测恶意文件感染 | |
| US20080141376A1 (en) | Determining maliciousness of software | |
| CN112738071B (zh) | 一种攻击链拓扑的构建方法及装置 | |
| JP7204247B2 (ja) | 脅威対応自動化方法 | |
| Monge et al. | A novel self-organizing network solution towards crypto-ransomware mitigation | |
| Arfeen et al. | Endpoint detection & response: A malware identification solution | |
| CN115277068B (zh) | 一种基于欺骗防御的新型蜜罐系统及方法 | |
| Wang et al. | Using honeypots to model botnet attacks on the internet of medical things | |
| Zou et al. | An approach for detection of advanced persistent threat attacks | |
| Whitham | Automating the generation of fake documents to detect network intruders | |
| CN116260628A (zh) | 一种基于蜜网主动溯源方法 | |
| Underbrink | Effective cyber deception | |
| JP2021536088A (ja) | ゲームエンジンベースコンピュータセキュリティ | |
| Ojugo et al. | Forging A Smart Dependable Data Integrity And Protection System Through Hybrid-Integration Honeypot In Web and Database Server | |
| CN115134166A (zh) | 一种基于蜜洞的攻击溯源方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: IBM (CHINA) CO., LTD. Free format text: FORMER OWNER: INTERNATIONAL BUSINESS MACHINES CORP. Effective date: 20101101 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: NEW YORK, UNITED STATES TO: 201203 7/F, BUILDING 10, ZHANGJIANG INNOVATION PARK, NO.399, KEYUAN ROAD, HIGH-TECH PARK, ZHANGJIANG, PUDONG NEW DISTRICT, SHANGHAI |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20101101 Address after: 201203 Shanghai city Pudong New Area Keyuan Road No. 399 Zhang Jiang Zhang Jiang high tech Park Innovation Park 10 Building 7 layer Patentee after: International Business Machines (China) Co., Ltd. Address before: American New York Patentee before: International Business Machines Corp. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091209 Termination date: 20170322 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |