DE602005000898T2 - Verfahrung und Apparatus für die Bereitstellung von mobilen Honeypots - Google Patents

Verfahrung und Apparatus für die Bereitstellung von mobilen Honeypots Download PDF

Info

Publication number
DE602005000898T2
DE602005000898T2 DE602005000898T DE602005000898T DE602005000898T2 DE 602005000898 T2 DE602005000898 T2 DE 602005000898T2 DE 602005000898 T DE602005000898 T DE 602005000898T DE 602005000898 T DE602005000898 T DE 602005000898T DE 602005000898 T2 DE602005000898 T2 DE 602005000898T2
Authority
DE
Germany
Prior art keywords
traffic
honeypots
dark
prefixes
interest
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE602005000898T
Other languages
English (en)
Other versions
DE602005000898D1 (de
Inventor
Balachander 10003 Krishnamurthy
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AT&T Corp
Original Assignee
AT&T Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AT&T Corp filed Critical AT&T Corp
Publication of DE602005000898D1 publication Critical patent/DE602005000898D1/de
Application granted granted Critical
Publication of DE602005000898T2 publication Critical patent/DE602005000898T2/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

  • Die vorliegende Erfindung betrifft allgemein die Computersicherheit. Insbesondere betrifft die vorliegende Erfindung eine Vorrichtung und ein Verfahren zum Erfassen eines Urhebers feindlichen Traffics in einem Netzwerk.
  • Es sind mehrere Versuche unternommen worden, Urheber von Angriffspaketen in dem Netzwerk zu identifizieren. Ein Netzwerkteleskop stellt die Fähigkeit bereit, Opfer bestimmter Arten von Dienstangriffen oder mit Würmern infizierte Hosts und Fehlkonfigurationen aus einer Entfernung zu sehen. Es wurden Teergruben eingesetzt, um Ressourcen verdächtiger Angriffsquellen zu zerstören. Honeypots können die Identifikation verdächtiger IP-Adressen unterstützen.
  • Eine verbreitete Technik ist ein Honeypot-Mechanismus, der allgemein als eine Ressource definiert wird, deren Wert in ihrer nicht autorisierten Verwendung liegt. Ein einfacher Honeypot-Mechanismus beinhaltet das Bekanntmachen eines dunklen Adressraums (eine Gruppe von Internet-Protokoll-(IP)-Adressen, die gegenwärtig nicht in Gebrauch, d.h. aktiven Maschinen zugeordnet sind) und das Identifizieren von Urhebern von Traffic mit diesem Raum. Die Annahme ist, dass derartige Quellen verdächtig sind. Einige Honeypots hören einem solchen Traffic passiv zu. Weder die Bekanntmachungen dunkler Adressen noch das Abhören eingehenden Traffics ist besonders teuer. Andere Honeypots interagieren zu einem unterschiedlichen Grad mit dem Traffic. Einige antworten mit Bestätigungen auf die eingehenden Nachrichten oder ahmen eine Login-Sitzung nach. Im anderen Extremfall können einige Honeypots einen gesamten Kernel nachahmen. Abhängig von dem Grad des Zusammenwirkens können mehr Einzelheiten über den Angriffstraffic gesammelt werden. Für verschiedene Varianten von Sondierungsangriffen sind öffentliche Versionen von Honeypotcodes für verbreitete Betriebssysteme zusammen mit im Handel vertriebener Software verfügbar, was auf die Beliebtheit dieser Technik zum Identifizieren von Sondierungstraffic deutet. Die breite Anerkennung von Honeypots ist auch zum Lokalisieren von Urhebern von Spam-Emails verwendet worden, obwohl derartige Honeypots über mehr Infrastruktur verfügen müssen.
  • Da Honeypots an dem Ziel für Sondierungen und anderen ungewünschten Traffic Daten sammeln, sind sie nicht in der Lage, den genauen Eintrittspunkt derartigen Traffics zu lokalisieren; außerdem können einige der Quelladressen verfälscht sein. Aufgrund der Verzögerungen und der Schwierigkeiten, entlang des Wegs eines derartigen Traffics den Zustand aufrechtzuerhalten, ist die Rückverfolgung des Ursprung dieses Traffics schwierig. Schwerer wiegt, dass die autonomen Systeme (AS) auf dem zu dem Ziel führenden Weg keine Kenntnis darüber haben, dass die bekannt gemachte Vorsilbe dunkel ist. Somit tragen die AS auf dem Weg derartigen Traffic zu dem Ziel und profitieren nicht von der Kenntnis, dass die Urheber solchen Traffics potenziell verdächtig sind. Schließlich kann das AS, an dem derartiger Traffic seinen Ursprung nimmt, nicht von dem für die Einführung dieses Traffics verantwortlichen Link erfahren.
  • Daher besteht auf dem Gebiet der Bedarf nach einem Verfahren und einer Vorrichtung zum Erfassen eines Urhebers feindlichen Traffics näher an dem Eintrittspunkt derartigen Traffics.
  • Die vorliegende Erfindung betrifft allgemein ein Verfahren und eine Vorrichtung zum Erfassen eines Urhebers interessierenden Traffics, z.B. feindlichen Traffics.
  • Gemäß der vorliegenden Erfindung wird ein Verfahren zum Erfassen eines Urhebers (105) von interessierendem Traffic bereitgestellt, das das Einrichten eines oder mehrerer Honeypots und das Bereitstellen von Mobilität an den einen oder die mehreren Honeypots umfasst, dadurch gekennzeichnet, dass der eine oder die mehreren Honeypots durch eine oder mehrere dunkle Vorsilben (145, 150, 155), die einem oder mehreren Zielen zugeordnet sind, eingerichtet wird und durch Kommunizieren von der einen oder den mehreren dunklen Vorsilben (145, 150, 155) zugeordneten Informationen an mindestens ein autonomes System oder durch Variieren von Informationen bezüglich der einen oder den mehreren dunklen Vorsilben, das heißt durch Variieren einer Länge der einen oder der mehreren dunklen Vorsilben und/oder einer Dauer der einen oder der mehreren Vorsilben und/oder eines Schwellwerts für den interessierenden Traffic dem einen oder den mehreren Honeypots Mobilität bereitgestellt wird.
  • Für ein detailliertes Verständnis der oben genannten Merkmale der vorliegenden Erfindung kann eine eingehendere Beschreibung der oben kurz zusammengefassten Erfindung durch Bezugnahme auf Ausführungsformen erfolgen, von denen einige in den beigefügten Zeichnungen veranschaulicht sind. Es sei jedoch darauf hingewiesen, dass die beigefügten Zeichnungen nur typische Ausführungsformen dieser Erfindung veranschaulichen und daher nicht als ihren Schutzumfang einschränkend angesehen werden sollen, da die Erfindung andere gleichfalls effektive Ausführungsformen zulassen kann.
  • 1 veranschaulicht ein System in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung;
  • 2 veranschaulicht ein Flussdiagramm eines Verfahrens in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung; und
  • 3 veranschaulicht ein Blockdiagramm eines Allzweckcomputers in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung.
  • Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zum Erfassen einer Quelle von interessierendem Traffic, z.B. unerwünschten Traffic (z.B. Paketen) näher an dem Eintrittspunkt. Um Informationen über dunkle Vorsilben gemeinsam von stromaufwärtigen autonomen Systemen (AS) zu benutzen, werden mobile Honeypots mit dem Ziel bereitgestellt, unerwünschten Traffic erheblich näher an seinem Ursprung zu erfassen. Die Mobilität rührt von zwei Aspekten her. In einer Ausführungsform werden den stromaufwärtigen AS die Informationen über die Dunkelheit der Vorsilben verfügbar gemacht. Durch die Mobilität dieser Informationen können mehrere Teilnehmer früher über die Angriffsquellen Kenntnis haben. In einer weiteren Ausführungsform kann die Liste dunkler Vorsilben auch aperiodisch geändert werden und somit erscheinen die Honeypots aus dem Blickwinkel der Angreifer mobil.
  • Die mobile Honeypot-Technik ist ein kostengünstiger, zuverlässiger Mechanismus, der durch feindliche Gruppen im Internet nicht leicht umgekehrt oder angegriffen werden kann. Die aus verdächtigem Traffic gesammelten Informationen werden dynamisch an ein Netzwerk freundlicher AS mitgeteilt. Jedes AS, das von Vorsilben erfährt, die für die Erzeugung signifikanter Mengen unerwünschten Traffics verantwortlich sind, kann von sich aus Abhilfemaßnahmen treffen. Wenn die AS entlang des Weges beispielsweise wissen, dass es sich bei dem Ziel, an das Traffic getragen wird, um einen Honeypot handelt, können sie solchen Traffic fallen lassen und stromabwärtige AS unter Verwendung eines Außer-Band-Mechanismus über diese Adressen informieren.
  • Aus verschiedenen Gründen könnten AS nicht motiviert sein, mit einem derartigen Mechanismus zusammenzuwirken. Informationen über Quellen, die eine signifikante Menge von Sondierungstraffic oder anderem Traffic erzeugen, können beispielsweise von jedem der AS entlang des Weges verwendet werden. Sie könnten sich entscheiden, den Traffic dieser Quellen auf eine graue Liste zu setzen oder fallen zu lassen, wenn er an ihre Kunden gerichtet ist. Quellenbasiertes Filtern wird in der Regel nicht ausgeführt, da es ein größeres Risiko mit sich bringt. Wenn sich Informationen über wiederholte Sondierungen verbreiten, können die Quellinformationen gezielt von AS entlang des Weges verwendet werden, um ihre Richtlinien zu beeinflussen. Jedes der an dem Schema mitwirkenden AS kann die Bekanntmachungen dunkler Vorsilben verstärken. Da jedes mitwirkende AS an der frühestmöglichen stromaufwärtigen Position Traffic herausfiltert und Informationen über Quell-IP-Adressen weitergibt, besteht eine potenzielle Verringerung unerwünschten Traffics, der durch eines der mitwirkenden Netzwerke von AS in das Internet eintritt. Da AS, die den Quellen solchen unerwünschten Traffics näher sind, über die verdächtigen Aktivitäten informiert werden, ist es nun außerdem möglich, die Ursprungsquelle solchen unerwünschten Traffics genauer zu identifizieren.
  • Ein AS kann mehrere Vorsilben besitzen. Dieses AS kann eine Untergruppe der Vorsilben aufnehmen und der Außenwelt, d.h. benachbarten AS, über Bekanntmachungen mitteilen, dass es beabsichtigt, Traffic zuzulassen, der sich an diese Vorsilben richtet. Eine oder mehrere der bekannt gemachten Vorsilben können von dem AS als dunkle Vorsilben gekennzeichnet sein. Wenn die benachbarten AS diese Bekanntmachungen empfangen, achten sie dann auf Traffic, der sich an die in den dunklen Vorsilben enthaltenen IP-Adressen richtet, und wenn Traffic vorliegt, wird dieser an das AS, das die Bekanntmachungen durchgeführt hat, weitergeleitet.
  • 1 veranschaulicht ein System in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung. In 1 wird eine Vielzahl autonomer Systeme (AS) gezeigt, d.h. AS 90210, AS 10003, AS 666, AS 7, AS 4, AS 314 und AS 1239. Ein autonomes System (AS) ist eine Einheit einer Routerrichtlinie, entweder ein einzelnes Netzwerk oder eine Gruppe von Netzwerken, die von einem gemeinsamen Netzwerkadministrator (oder einer Gruppe von Administratoren) im Auftrag einer einzelnen administrative Gruppe (wie einer Universität, eines Wirtschaftsunternehmens oder einer Wirtschaftsabteilung) gesteuert wird. Ein autonomes System wird manchmal auch als Routingbereich bezeichnet. Einem autonomen System wird eine global eindeutige Nummer zugewiesen, die manchmal als Autonome-System-Nummer (ASN) bezeichnet wird. Netzwerke in einem autonomen System kommunizieren unter Verwendung eines Internen Gatewayprotokolls (IGP) Routinginformationen miteinander. Ein autonomes System benutzt unter Verwendung des Weiteren Gatewayprotokolls (Broader Gateway Protocol, BGP) Routinginformationen zusammen mit anderen autonomen Systemen.
  • Es wird eine Vielzahl von Honeypots eingerichtet. Honeypots sind Informationsressourcen, deren Wert in der nicht autorisierten oder illegalen Verwendung dieser Ressource liegt. Durch die Elemente 145, 150, 155 werden bekannt gemachte dunkle Vorsilben angezeigt. In einer Ausführungsform hören (nicht gezeigte) Maschinen, z.B. Server, dem an die dunklen Vorsilben gerichteten Traffic zu, um die Quelle des unerwünschten Traffics zu bestimmen. In einem veranschaulichenden Beispiel tritt der interessierende Traffic, z.B. Sondierungstraffic eines Angreifers 105 über AS 90210 ein. Es wird gezeigt, dass AS 7 Bekanntmachungen mobiler Honeypots an AS 4 sendet. AS 4 leitet die Bekanntmachungen mobiler Honeypots weiter an AS 314 und AS 1239, die beide an dem Schema teilnehmen, obwohl sie ihre eigenen dunklen Vorsilben nicht bekannt machen. AS 666 wird (sozusagen) dadurch umgangen, dass das Proxy-Gemeinschafts-Attribut verwendet wird, um AS 10003 Traffic an die dunkle Vorsilbe 150 von AS 7 überwachen zu lassen.
  • 2 veranschaulicht ein Flussdiagramm eines Verfahrens 200 in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung. Verfahren 200 startet bei Schritt 205.
  • In Schritt 210 werden ein oder mehrere Honeypots eingerichtet. Das Einrichten der Honeypots umfasst das Einrichten in einem AS einer oder mehrerer dunkler Vorsilben (z.B. Adressraum, der auf interessierenden Traffic, z.B. unerwünschten Traffic, hin überwacht werden kann), welche einem oder mehreren Zielen zugeordnet sind. Die eine oder die mehreren dunklen Vorsilben werden in mindestens einem AS bekannt gemacht. Es werden Daten gesammelt, die dem Traffic (z.B. Paketen) zugeordnet sind, welcher von dem einen oder mehreren Zielen empfangen wird und sich auf die dunklen Vorsilben richtet.
  • In Schritt 215 wird dem einen oder den mehreren Honeypots Mobilität bereitgestellt. Die Mobilität der Honeypots bezieht sich auf die Bewegung von Informationen, die den dunklen Vorsilben zugeordnet sind, sowie auf Änderungen in der Gruppe bekannt gemachter dunkler Vorsilben.
  • In einer Ausführungsform werden mobile Honeypots dadurch bereitgestellt, dass die Gruppe bekannt gemachter dunkler Vorsilben geändert wird. In einer Ausführungsform werden Änderungen in der Gruppe bekannt gemachter dunkler Adressen bereitgestellt, indem es einem AS ermöglicht wird, an dem mobilen Honeypot-Schema teilzunehmen, um die Wirkung dreier Parameter genau abzustimmen: die Vorsilbenlänge, die Dauer der Bekanntmachung und der Schwellwert der Paketzählung.
  • Jedes AS wählt zufällig eine veränderliche Untergruppe von Vorsilben unterschiedlicher Länge (z.B. in der Regel eine/24) aus und gibt diese bekannt. Die Bekanntmachung wird abhängig von einer Mindest- und Höchstzeitgrenze nach einer gewissen zufälligen Dauer zurückgezogen. Zusammen mit der Vorsilbe und mit der Länge variierend wird eine Schwellwertzählung von Paketen identifiziert. Wenn die Anzahl von an diesem Ziel empfangenen Paketen den Schwellwert während der Dauer der Bekanntmachung übersteigt, wird der Urheber als verdächtig angesehen. Dieser Schwellwert wird derart eingestellt, dass etwas gutartige Sondierung, die mit der Entdeckung neuer Vorsilben verbunden ist (durch Internetabbildungsgruppen und -forscher), zugelassen wird. Der Algorithmus zur Auswahl von Vorsilben, ihrer Live-Dauer und der Zählungsschwellwert werden alle unabhängig von den teilnehmenden AS auf der Basis ihrer Trafficmuster und der erwarteten Paketanzahl während eines Zeitintervalls bestimmt. Zusammen mit der Bekanntmachung wird ein optionales Feld verwendet, um es dem stromaufwärtigen AS zu ermöglichen, den Traffic fallen zu lassen, die Informationen über den Urheber aber durchzuleiten. Eigentliche BGP-Mechanismen für dieses optionale Feld werden im Folgenden ausführlicher erläutert.
  • Annehmbare dunkle Adressen werden unter Verwendung bestimmter Kriterien ausgewählt. Um die Identifizierung der Anzahl von Adressen, die als Honeypotquellen verwendet werden können, zu unterstützen, können synthetische Modelle eingesetzt werden. Die Ziele der Auswahl von Adressen sind vielfältig:
    • 1. Sollten die Angreifer in der Lage sein, eine der ausgewählten Adressen innerhalb der Live-Dauer der Vorsilbe zu erreichen (d.h. der Honeypot muss einige Bienen anziehen). Die Adressgruppe sollte groß genug sein, aber vorzugsweise nicht zu groß, um falsche Positive zu verringern;
    • 2. Die nicht zusammenwirkenden AS (oder auch die zusammenwirkenden AS) sollten nicht in der Lage sein, aus den bekannt gegebenen dunklen Vorsilben irgendetwas von Bedeutung abzuleiten. Aus wirtschaftlichen und Wettbewerbserwägungen ist dies eine Besorgnis der AS. Da ein AS die Bekanntmachung einer dunklen Vorsilbe nach Belieben zurückziehen kann und sie zu jedem zukünftigen Zeitpunkt einem Kunden zuweisen kann, werden die AS, die die Bekanntmachung gesehen haben, nicht in der Lage sein, aus ihnen irgendetwas von Wert abzuleiten.
    • 3. Wenn ein dunkler Adressraum später gültigen Kunden zugewiesen wird, sollte wenig Risiko bestehen, dass stromaufwärtige AS den Traffic fallen lassen.
  • In einer Ausführungsform werden mobile Honeypots dadurch bereitgestellt, dass den dunklen Vorsilben zugewiesene Informationen mitgeteilt werden. In einer Ausführungsform gibt es zwei Betriebsmodi für mobile Honeypots: nicht zusammenwirkend und zusammenwirkend. In dem nicht zusammenwirkenden Betriebsmodus muss das bekanntgebende AS stromaufwärtige AS nicht darüber informieren, dass eine Vorsilbe dunkel ist. Es wird eine Standard-BGP-Bekanntmachung über eine Vorsilbe verwendet und nach einer bestimmten Dauer zurückgezogen. Ein interner Schwellwert wird verwendet, um zu schließen, dass wenn der Traffic für die Vorsilbe den Schwellwert übersteigt, der Urheber solchen Traffics am Senden gefälschter Pakete beteiligt ist. In dem nicht zusammenwirkenden Modus wird der unerwünschte Traffic den gesamten Weg zurück zu dem Ankündiger der Bekanntmachung getragen. Die Informationen über den Urheber können erst später anderen auf dem Weg mitgeteilt werden.
  • In dem zusammenwirkenden Betriebsmodus fügen interessierte AS ein Tag an den Gemeinschaftsparameter in der BGP-Bekanntmachung an, so dass die stromaufwärtigen AS über die dunkle Natur der Vorsilbe Kenntnis haben. Stromaufwärtige AS filtern an diese dunklen Vorsilben gerichteten Traffic auf eine von zwei Arten aus: Stromaufwärtige AS können den Traffic identifizieren, die Informationen aufzeichen und weiterleiten; oder alternativ könnten die stromaufwärtigen AS den Traffic fallen lassen, aber die Informationen eintragen und sie unter Verwendung von Außer-Band-Mechanismen an die zusammenwirkende AS-Gruppe senden.
  • In dem nicht zusammenwirkenden Modus nehmen die nicht teilnehmenden AS Aktualisierungen (Bekanntmachungen und Zurückziehungen) über bestehende BGP-Verbindungen an und tragen jeden an diese Vorsilben gerichteten Traffic weiter. Es ist nicht wahrscheinlich, dass das Volumen solchen Traffics zu hoch ist und sie so beeinträchtigt, und hinsichtlich des wirtschaftlichen Aspekts gibt es keinen möglichen Nachteil. In dem zusammenwirkenden Modus, bei dem die AS eigentlich im Voraus wissen, dass an die dunklen Vorsilben gerichteter Traffic unerwünscht ist, können sie den Urheber aufzeichnen und solchen Traffic dann ausfiltern. Zusammenwirkende AS müssten beginnen, zusätzliche Prüfungen auf Traffic an eine Sammlung von Vorsilben durchzuführen, welcher während des Livefensters einen spezifizierten Schwellwert übersteigt. Sobald die AS die Quelladressen erfahren haben, können sie gegebenenfalls ihre Zugriffssteuerung modifizieren, um jeden an ihre eigenen Kunden gerichteten, von diesen Quelladressen stammenden Traffic zu untersuchen. AS können auch eine feiner eingeteilte Überwachung solcher Adressen abstimmen. Wenn die zusammenwirkenden AS Pakete aktiv fallen lassen (d.h. filtern), müssen die AS Zähler für die Live-Dauer der bekannt gegebenen dunklen Vorsilben installieren und sicherstellen, dass die AS die Informationen über die Zugriffssteuerungsliste (ACL) modifizieren können, um auf der Basis von Zieladressen Traffic auszufiltern. Dies würde es erforderlich machen, dass AS Techniken ähnlich dem entfernten Einrichten von schwarzen Löchern einsetzen. Wenn an eine Adresse gerichteter Traffic (z.B. Pakete) still fallen gelassen wird, wird das Ziel als ein schwarzes Loch angesehen. Normal fallen gelassene Nachrichten können jedoch eine Fehler- oder Rückkehrnachricht erzeugen während an schwarze Lacher gerichteter Traffic einfach verschwindet. Somit wird an schwarze Löcher gerichteter Traffic einfach verworfen, ohne dass Fehler erzeugt werden.
  • Jedes der mit dem Schema zusammenwirkenden AS kann die Bekanntmachungen dunkler Vorsilben gegebenenfalls mit ihren eigenen verstärken. Da jedes zusammenwirkende AS an der frühestmöglichen stromaufwärtigen Position Traffic ausfiltert und Informationen über Quell-IP-Adressen weitergibt, besteht eine potenzielle Verringerung unerwünschten Traffics, der durch irgendeines der zusammenwirkenden AS in das Internet eintritt. Zusammenwirkende AS können ihre Wahl dunkler Adressen, ihrer Länge und Dauer auf der Basis der dunklen Adressen, die sie von ihren Nachbarn sehen, abstimmen. Obwohl sie die Auswahl anderer AS nicht steuern können, besteht ein Potenzial für ein loses Zusammenwirken, um die Fähigkeit, Angreifer zu identifizieren, zu maximieren. Beispielsweise können die Auswahl von Adressbereichen eines Angreifers und die von einzelnen AS ausgewählten Schwellwerte mitgeteilt werden, um die Auswahl zukünftiger dunkler Vorsilben und Schwellwerte zu beeinflussen. Wenn eine AS-Gruppe in dem mobilen Honeypot-Schema mitwirkt, kann die Summe der erlangten Kenntnisse allen mitwirkenden Einheiten von großem Nutzen sein. Die positiven Netzwerkexternalitäten eines solchen Zusammenwirkens führen zu allen Teilnehmem bei geringen Kosten für die einzelnen AS verfügbaren Vorteile. Es sei darauf hingewiesen, dass ein solches Zusammenwirken bei verhältnismäßig geringen Kosten erhalten wird, ohne irgendwelche AS-spezifischen Informationen zu ergeben, die als empfindlich angesehen werden könnten. AS, die an dem Schema und an dem Rand des Netzwerks zusammenwirkender AS nicht teilnehmen, können als eine Quelle von Sendern unerwünschten Traffics angesehen werden. Die Kommunikation von solchen unmittelbaren Nachbarn kann degradiert werden, wenn ein solcher unerwünschter Traffic einen Schwellwert übersteigt. Da aus dem Lernen über Quellen unerwünschten Traffics nur Vorteile entstehen, haben die AS einen logischen Grund dafür, zusammenzuwirken, um auf Traffic an verschiedene dunkle Vorsilben zu achten. Als Steuermaßnahme kann der Urheber der bekannt gemachten dunklen Adressen de Effektivität dadurch testen, dass das Gemeinschaftstag in einigen der Bekanntmachungen eingefügt und es in anderen ausgelassen wird.
  • Das BGP-Protokoll wird zur Implementation mobiler Honeypots verwendet. Für die Implementation mobiler Honeypots sind vier Merkmale des BGP-Protokolls von Interesse. Die ersten beiden Merkmale sind Bestandteil des BGP-4-Standards, während die anderen beiden vorgeschlagene Erweiterungen sind. Bei dem ersten Merkmal handelt es sich um das Attributwertfeld in einer BGP-Bekanntmachung (eine BGP-Bekanntmachung besteht aus einer Vorsilbe und optionalen Attributwerten). Von den 256 möglichen Attributwerten werden ungefähr ein halbes Dutzend häufig verwendet (AS_PATH, NEXT_EOP, LOCALYREF, MULTLEXDISC, COMMUNITY, ORIGINATORJD und CLUSTER.LIST). Mobile Honeypots verwenden das COMMUNITY-Feld bzw. GEMEINSCHAFTS-Feld, da es keine vordefinierte Bedeutung aufweist, d.h. es kann für jeden experimentellen Zweck verwendet werden, ohne dass gegen eine bestehende Interpretation verstoßen wird. Mobile Honeypots verwenden das GEMEINSCHAFTS-Feld, um Bekanntmachungen dunkler Räume als solche mit einem Tag zu versehen. Die Gemeinschaftsfelder wurden zunehmend als eine Art von Signalgebung zwischen benachbarten und nicht benachbarten AS verwendet. Der zweite Aspekt ist einer dreier spezifischer reservierter Werte des Gemeinschaftsfelds: 0xFFFFFF02, der ein BGP-Nachbar informiert, den Gemeinschaftswert nicht weiter an seine Nachbarn zu leiten. Dies ermöglicht es jedem mit einem mobilen Honeypot kompatiblen AS, Bekanntmachungen dunkler Räume nur auf ihre unmittelbaren Nachbarn einzuschränken. Der dritte Aspekt ist der Proxy-Community-Gemeinschaftswertvorschlag (der als ein flexibler Gemeinschaftswert implementiert wird), welcher ermöglicht, ein AS aufzufordern, eine Gemeinschaft an einen bestimmten Nachbarn zu senden. Die Art, auf die die mobilen Honeypots diese Erweiterung nutzen besteht darin, sie genau auf ein bestimmtes AS abzustimmen, welches verdächtig ist, der Urheber unerwünschten Traffics zu sein (oder dem Urheber am nächsten zu sein). Wie der Proxy-Community-Vorschlag darlegt, kann das Ursprungs-AS die Auswahl des Wegs beeinflussen und ist eine Form von zielbasierter Trafficerstellung. Der letzte Aspekt ist ein Richtlinienmechanismus, durch den der BGP-Tabellenbefehl zur Klassifizierung von Vorsilben in der Routingtabelle durch BGP-Attribute verwendet werden kann. Die Paketzähler können auf einer pro Eingabebasis inkrementiert werden.
  • Ein AS, das an der Teilnahme an dem Honeypot-Schema interessiert ist, würde eine Gruppe dunkler Vorsilben unterschiedlicher Länge bestimmen, welche es als dunkle Vorsilben verwenden kann. Auf der Basis seiner vergangenen Trafficmuster kann es einen von einigen Dutzend bis einigen Hundert Paketen reichenden Schwellwert zum Kategorisieren von Traffic als Sondierungstraffic wählen. Der Schwellwert und der vergangene Traffic ermöglichen zusammen das Einführen des dritten Parameters: die Bekanntgebungsdauer der dunklen Vorsilbe. Sobald diese Werte ausgewählt sind, wird eine Routine-BGP-Bekanntmachung an eine oder mehrere zufällig ausgewählte dunkle Vorsilben aus der Sammlung gesendet. Das Gemeinschaftsattribut wird auf darkfake gesetzt. Das reservierte Feld von NOADVERSTISE (Oxffffff02) wird eingestellt, wenn die Bekanntmachung nur für die unmittelbar Gleichrangigen und nicht zum Weiterleiten bestimmt ist. Der optionale Wert des Abzielen nur auf ein entferntes AS wird bei Bedarf eingestellt. Die Bekanntmachung wird nach der bestimmten Dauer (in der Regel in der Größenordnung von einigen Stunden) zurückgezogen.
  • Auf der zugeordneten Honeypot-Maschine werden optional voreingestellte Antworten zurück an die sondierenden Pakete gesendet. Die Adressen werden aufgezeichnet und der Paketzähler wird überprüft und zu sehen, ob er den mit der Vorsilbe verbundenen Schwellwert überschritten hat. Sobald der Schwellwert überschritten wurde, wird die Adresse an die zusammenwirkende Gruppe von AS entweder im Huckepack-Verfahren mit der Zurückziehung oder unter Verwendung des Außer-Band-Mechanismus gesendet. Die gemeinsam zu benutzende Informationsmenge liegt in der Frequenz und Art vor, sie gemeinsam mit den interessierten AS zu verwenden.
  • Jeder neue Vorschlag, die in der BGP-Kommunikation ausgeführte Arbeit zu verstärken, wird als Zusatz an das BGP-Protokoll angefügt. Obwohl die mögliche Verringerung unerwünschten Traffics die Kosten ausgleicht, ist es weiter nützlich, die mit den mobilen Honeypots verbundenen Zusatzkosten zu untersuchen. Die Zusatzkosten bestehen aus dem Folgenden: 1. Die einmaligen Kosten zur Identifikation dunkler Vorsilben, des Schwellwerts und der Bekanntmachungsdauer; 2. Das Verarbeiten von Bekanntmachungen und Rücknahmen bezüglich mobiler Honeypots; 3. Das Berechnen von Paketzählwerten für jede bekannt gemachte dunkle Vorsilbe und das Bekanntmachen der Sondierungsadressen; 4. Das Identifizieren des mit den Sondierungsadressen verbundenen Links, wenn sie zu dem AS gehören; und 5. alle richtlinienbezogenen Zusatzkosten aus der Verwendung der Sondierungsadressen zur Änderung von ACLs in Routern oder der Feinabstimmung von anomaler Erfassung auf verdächtigen Links.
  • Die Zusatzkosten-Szenarios 1 und 2 weisen sehr geringe Kosten auf. Wenn es zu viele auf mobile Honeypots bezogene Aktualisierungen gibt, sollten sie kein AS überwältigen, da AS Gemeinschaftsattribute ignorieren können. Vorausgesetzt, dass keine neuen Verbindungen eingerichtet werden müssen (Bekanntmachungen und Rücknahmen erfolgen in bestehenden BGP-Sitzungen), gibt es keine signifikanten Netzwerkzusatzkosten. Die auf Szenario 3 bezogenen Kosten werden im Laufe der Zeit wahrscheinlich abgesenkt, da auf das für die Einführung des Traffics verantwortliche AS als dasjenige abgezielt werden kann, das die Berechnung ausführen muss. Die übrigen AS müssen die mit dieser Vorsilbe verbundenen Kosten nicht verfolgen. Die Kosten werden somit über die Gruppe teilnehmender AS verteilt und die Rand-AS, an deren Link der Sondierungstraffic eingetreten ist, werden die erforderliche Berechnung ausführen. Die Szenarios 4 und 5 sind Gelegenheitskosten und stellen maximalen Nutzen bereit, so dass sie verrechnet werden.
  • Routinemäßig tritt eine Vielzahl von Angriffen gegen Honeypots auf. Die Black-Hat-Community (d.h. Hacker mit schädlicher Absicht) tauschen Informationen aus, um einander beim Identifizieren von Honeypots zu unterstützen, um ihr Risiko, identifiziert zu werden, zu verringern. Die verbreitetste Technik ist die Verwendung von Zombiemaschinen oder Reflektoren. Andere Angriffswege gegen mobile Honeypots sind recht wahrscheinlich. Einige mögliche Angriffe mit hohem Potenzial werden im Folgenden untersucht.
  • Informationen über das Angreifen von Honeypots sind öffentlich verfügbar. Ein Hauptunterschied von mobilen Honeypots ist das Einrichten von Honeypot-Maschinen zum Rückverfolgen von Angreifern in der Nähe der Urheber anstelle des passiven Aufzeichnens von Informationen. Die Angreifer arbeiten über den Austausch von Informationen zusammen, welche nicht nur aus ihren Angriffen auf Opfer, sondern auch Fallen, Honeypots und anderen Anomalie-Erfassungssystemen gewonnen werden. Es wurden kommerzielle Werkzeuge geschaffen, um Honeypots zu identifizieren, welche eine Vielzahl von Host- und Portkombinationen testen, um sie als Honeypot zu klassifizieren oder nicht. Schwarze Umkehrlisten wurden erstellt, so dass andere Angreifer den Besuch von Seiten vermeiden können, auf denen Honeypots laufen. Bei mobilen Honeypots müssen die Angreifer die Vorsilben während der Live-Dauer der Bekanntmachung lokalisieren, somit müssen sie die Bekanntmachungen fortwährend überwachen. Auch wenn sie in der Lage sind, die bekannt gemachten dunklen Vorsilben in Erfahrung zu bringen und sie bei zukünftigen Scans zu vermeiden, können diese Vorsilben später legitim an gültige Kunden zugewiesen werden. Anders als Domains, die eigens zum Erfassen von Spam-Emails und somit Sondierern vorgesehen sind, sind die Bekanntmachungen trasient, zufällig und variieren, was es den Angreifern viel schwerer macht, die Informationen zu verwenden. Außerdem erhöht dies die Kosten für die Angreifer dadurch, dass sie gezwungen sind, zusätzliche Arbeit von begrenztem Wert auszuführen. Sondierungstechniken, die die Sammlung dunkler Vorsilben über eine Zeitdauer berücksichtigen, ständen immer noch dem Risiko gegenüber, durch irgendein der an den mobilen Honeypot-Schema teilnehmenden AS entdeckt zu werden. Jede sondierende IP-Adresse, welche entdeckt wird, wird an alle teilnehmenden AS mitgeteilt.
  • Eine verbreitete Besorgnis besteht darin, dass auch wenn der Urheber von Scan-Traffic oder anderen unerwünschten Traffics identifiziert wurde, die Quelladresse verfälscht sein könnte. Es ist bekannt, dass es zu Reflektorangriffen kommen kann: Mittels einer verfälschten Quelladresse SS1, SYN oder ging werden Pakete an ein Opfer V1 gesendet, welches dann an SS1 (eine RST/SYN-ACK oder eine Ping- Antwort) antwortet. Die Wahrscheinlichkeit der Verwendung einer dunklen Adresse als SS1 ist verhältnismäßig gering und somit ist die Wahrscheinlichkeit des falschen Identifizieren von V1 als Urheber solcher Angriffe nicht sehr hoch. Da die Live-Dauer der bekannt gemachten dunklen Vorsilbe ein Parameter ist, der unter der Kontrolle des Bekanntgebers steht und oftmals eine kurze Zeitdauer ist, ist das Potenzial der Identifizierung einer signifikanten Anzahl von Opfern außerdem geringer. Auch wenn ein mobiler Honeypot nur zur Identifizierung von verfälschten Quelladressen in der Lage ist, sind die Informationen dennoch wertvoll. Wenn eine signifikante Anzahl von verfälschten Adressen Traffik über einen bestimmten Link in einem AS senden, kann das AS den Link genauer überwachen. Wenn eine signifikante Anzahl von verfälschtem Traffic seinen Ursprung in einem AS hat, können diese Informationen als ein Weg verwendet werden, um die Verbindungen zu diesem AS durch seine Peers zu degradieren. Ein Grund für das Fehlen eines breiten Einsatzes von Rückverfolgungsmechanismen sind ihre Kosten. Wenn es möglich ist, verfälschte Adressen erheblich näher an ihrem Ursprung zu identifzieren, könnte dies das in Frage stehende AS dazu veranlassen, Maßnahmen zu treffen. Eine alternative Weise der Rückverfolgung verfälschter Ardessen kann mittels Cisco-Express-Weiterleitung erfolgen.
  • Ein oder mehrere der AS, die nicht zusammenwirken, kann ein Black-Hat-AS sein. Die Existenz von Black-Hat-AS ist bekannt und Informationen von ihnen können als verdächtig angesehen werden. Black-Hat-AS sind möglicherweise nicht gewillt, zusammenzuwirken und in diesem Fall können seine Peers die Verbindungen zu ihm degradieren. Wenn Black-Hat-AS aktiv zusammenwirken und in Kenntnis der dunklen Zielvorsilben falsche Quelladressen zuführen, würden diese AS immer noch als problematisch angesehen. Das Zuführen falscher Quelladressen einschließlich derer, die zu einer der zusammenwirkenden Gruppe von AS gehören, würde ihre Demaskierung unterstützen. Der Nachteil ist somit für Black-Hat-AS größer. Alternativ können Black-Hat-AS Informationen über aktuelle Listen dunkler Vorsilben an sondierende Einheiten senden. Dies erfordert, dass sie fortwährend mit all ihren ,Freunden' in Kontakt sind und eine unterschiedliche Gruppe von sich ändernden Vorsilben kontinuierlich aktualisieren.
  • Es besteht außerdem ein Problem darin, dass Black-Hat-AS einige andere AS-Vorsilben bekannt machen (oder zurücknehmen). Viele ISPs filtern erfolgreich alle von ihnen Kunden kommenden Informationen und die Schicht-1-ISPs leiten Filterbekanntmachungen in ihren Peer-Sitzungen weiter. Mobile Honeypots verschlimmern das Problem nicht. Wenn jedoch eine Bekanntmachung mittels Markierung bestimmter Vorsilben als dunkel gesendet wird, werden sorgfältige ISPs in der Lage sind, das Black-Hat-As zu erfassen.
  • 3 zeigt ein Blockdiagramm eines Allzweckcomputers, der sich zur Ausführung der hier beschriebenen Funktionen eignet. Wie in 3 gezeigt, umfasst das System 300 ein Prozessorelement 302 (z.B. eine CPU), einen Speicher 304, z.B. einen Direktzugriffsspeicher (RAM) und/oder einen Nur-Lese-Speicher (ROM), ein mobiles Honeypot-Modul 305 und verschiedene Eingabe/Ausgabe-Vorrichtungen 306 (z.B. Speichervorrichtungen, einschließlich, jedoch nicht beschränkt auf ein Bandlaufwerk, ein Diskettenlaufwerk, eine Festplatte oder eine Compact-Disk-Laufwerk, einen Empfänger, einen Sender, einen Lautsprecher, eine Anzeige, einen Sprachsynthesizser, einen Ausgangsport und eine Nutzereingabevorrichtung (wie eine Tastatur, ein Tastenfeld, eine Maus und dergleichen)).
  • Es sei darauf hingewiesen, dass die vorliegende Erfindung in Software und/oder in einer Kombination aus Software und Hardware implementiert werden kann, z.B. unter Verwendung von anwendungsspezifischen integrierten Schaltungen (ASIC), eines Allzweckcomputers oder jedem anderen Hardwareäquivalent. In einer Ausführungsform kann das mobile Honeypot-Modul 305 in Speicher 304 geladen und von dem Prozessor 302 ausgeführt werden, um die oben erläuterten Funktionen auszuführen. Somit kann das mobile Honeypot-Modul 305 (einschließlich zugeordneter Datenstrukturen) der vorliegenden Erfindung auf einem computerlesbaren Medium, z.B. einem RAM-Speicher, einem magnetischem oder optischen Laufwerk oder Diskette und dergleichen gespeichert werden.
  • Während das Vorstehende sich auf die Ausführungsformen der vorliegenden Erfindung richtet, können andere und weitere Ausführungsformen ersonnen werden, ohne von ihrem grundlegenden Schutzumfang abzuweichen, und der Schutzumfang wird in den folgenden Ansprüchen festgelegt.

Claims (15)

  1. Verfahren zum Detektieren eines Urhebers (105) von interessierendem Traffic, umfassend: Einrichten eines oder mehrerer Honeypots; und Bereitstellen von Mobilität für den einen oder die mehreren Honeypots; dadurch gekennzeichnet, dass der eine oder die mehreren Honeypots durch eine oder mehrere dunkle Vorsilben (145, 150, 155), die einem oder mehreren Zielen zugeordnet sind, eingerichtet wird und durch Kommunizieren von der einen oder den mehreren dunklen Vorsilben (145, 150, 155) zugeordneten Informationen an mindestens ein autonomes System oder durch Variieren von Informationen bezüglich der einen oder den mehreren dunklen Vorsilben, das heißt durch Variieren einer Länge der einen oder der mehreren dunklen Vorsilben und/oder einer Dauer der einen oder der mehreren Vorsilben und/oder eines Schwellwerts für den interessierenden Traffic dem einen oder den mehreren Honeypots Mobilität bereitgestellt wird.
  2. Verfahren nach Anspruch 1, wobei das Einrichten des einen oder der mehreren Honeypots Folgendes umfasst: Bekanntmachen der einen oder der mehreren dunklen Vorsilben; und Sammeln von Daten, die dem von dem einen oder den mehreren Zielen empfangenen Traffic zugeordnet sind.
  3. Verfahren nach Anspruch 1 oder 2, wobei das eine oder die mehreren Ziele an den Urheber des interessierenden Traffics voreingestellte Antworten sendet.
  4. Verfahren nach Anspruch 1, 2 oder 3, wobei die Informationen einem Netzwerk zusammenwirkender autonomer Systeme dynamisch mitgeteilt werden.
  5. Verfahren nach Anspruch 4, wobei die zusammenwirkenden autonomen Systeme auf der Basis der Informationen Abhilfemaßnahmen treffen.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei eine Klassifizierung des Urhebers des interessierenden Traffics in Übereinstimmung mit einem Paketzählschwellwert bestimmt wird.
  7. Verfahren nach einem der vorhergehenden Ansprüche, wobei die mobilen Honeypots in mindestens einem zusammenwirkenden und/oder einem nicht zusammenwirkenden Modus betrieben werden.
  8. Verfahren nach Anspruch 7, wobei in dem nicht zusammenwirkenden Modus ein autonomes System andere autonome Systeme nicht darüber informiert, dass die Vorsilbe dunkel ist.
  9. Verfahren nach Anspruch 7, sofern direkt oder indirekt an Anspruch 2 angehängt, wobei in dem zusammenwirkenden Modus ein optionales Feld zusammen mit der bekannt gemachten dunklen Vorsilbe verwendet wird, so dass andere autonome Systeme von der bekannt gemachten dunklen Vorsilbe Kenntnis haben.
  10. Verfahren nach Anspruch 9, wobei in Reaktion auf das optionale Feld andere autonome Systeme den interessierenden Traffic fallen lassen und stattdessen Informationen über den Urheber des interessierenden Traffics kommunizieren.
  11. Verfahren nach Anspruch 9, wobei in Reaktion auf das optionale Feld andere Systeme den interessierenden Traffic identifizieren, Informationen über den Urheber des interessierenden Traffics aufzeichnen und den Durchlass des interessierenden Traffics zulassen.
  12. Verfahren nach Anspruch 9, 10 oder 11, wobei autonome Systeme in dem zusammenwirkenden Modus zusätzliche Prüfungen hinsichtlich einen Schwellwert überschreitenden Traffic führen.
  13. Verfahren nach einem der vorhergehenden Ansprüche, wobei Informationen über den interessierenden Traffic nachfolgend anderen autonomen Systemen mitgeteilt wird.
  14. Computerlesbares Medium (307) mit einer darauf gespeicherten Vielzahl von Befehlen, wobei die Vielzahl von Befehlen Befehle einschließt, die, wenn sie von einem Prozessor (302) ausgeführt werden, bewirken, dass der Prozessor die Schritte eines Verfahrens zum Detektieren eines Urhebers von interessierendem Traffic durchführt, umfassend: Einrichten eines oder mehrerer Honeypots; und Bereitstellen von Mobilität für den einen oder die mehreren Honeypots; dadurch gekennzeichnet, dass der eine oder die mehreren Honeypots durch eine oder mehrere dunkle Vorsilben (145, 150, 155), die einem oder mehreren Zielen zugeordnet sind, eingerichtet wird und durch Kommunizieren von der einen oder den mehreren dunklen Vorsilben (145, 150, 155) zugeordneten Informationen an mindestens ein autonomes System oder durch Variieren von Informationen bezüglich der einen oder den mehreren dunklen Vorsilben, das heißt durch Variieren einer Länge der einen oder der mehreren dunklen Vorsilben und/oder einer Dauer der einen oder der mehreren Vorsilben und/oder eines Schwellwerts für den interessierenden Traffic dem einen oder den mehreren Honeypots Mobilität bereitgestellt wird.
  15. Vorrichtung (300) zum Erfassen eines Urhebers von interessierendem Traffic, umfassend: Mittel (302) zum Einrichten eines oder mehrerer Honeypots; und Mittel zum Bereitstellen von Mobilität für den einen oder die mehreren Honeypots; dadurch gekennzeichnet, dass der eine oder die mehreren Honeypots durch eine oder mehrere dunkle Vorsilben (145, 150, 155), die einem oder mehreren Zielen zugeordnet sind, eingerichtet wird und durch Kommunizieren von der einen oder den mehreren dunklen Vorsilben (145, 150, 155) zugeordneten Informationen an mindestens ein autonomes System oder durch Variieren von Informationen bezüglich der einen oder den mehreren dunklen Vorsilben, das heißt durch Variieren einer Länge der einen oder der mehreren dunklen Vorsilben und/oder einer Dauer der einen oder der mehreren Vorsilben und/oder eines Schwellwerts für den interessierenden Traffic dem einen oder den mehreren Honeypots Mobilität bereitgestellt wird.
DE602005000898T 2004-03-16 2005-03-15 Verfahrung und Apparatus für die Bereitstellung von mobilen Honeypots Active DE602005000898T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US55383604P 2004-03-16 2004-03-16
US553836 2004-03-16

Publications (2)

Publication Number Publication Date
DE602005000898D1 DE602005000898D1 (de) 2007-05-31
DE602005000898T2 true DE602005000898T2 (de) 2008-01-17

Family

ID=34837589

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602005000898T Active DE602005000898T2 (de) 2004-03-16 2005-03-15 Verfahrung und Apparatus für die Bereitstellung von mobilen Honeypots

Country Status (5)

Country Link
US (1) US8156556B2 (de)
EP (1) EP1578082B1 (de)
CA (1) CA2500847C (de)
DE (1) DE602005000898T2 (de)
HK (1) HK1075554A1 (de)

Families Citing this family (51)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8819285B1 (en) 2002-10-01 2014-08-26 Trustwave Holdings, Inc. System and method for managing network communications
US7506360B1 (en) 2002-10-01 2009-03-17 Mirage Networks, Inc. Tracking communication for determining device states
US7469418B1 (en) 2002-10-01 2008-12-23 Mirage Networks, Inc. Deterring network incursion
US9197533B1 (en) * 2005-05-09 2015-11-24 Cisco Technology, Inc. Technique for maintaining and enforcing relative policies with thresholds
JP4557815B2 (ja) * 2005-06-13 2010-10-06 富士通株式会社 中継装置および中継システム
WO2007050244A2 (en) 2005-10-27 2007-05-03 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
US7873993B2 (en) 2005-11-09 2011-01-18 Cisco Technology, Inc. Propagating black hole shunts to remote routers with split tunnel and IPSec direct encapsulation
US8661102B1 (en) * 2005-11-28 2014-02-25 Mcafee, Inc. System, method and computer program product for detecting patterns among information from a distributed honey pot system
WO2007110093A1 (en) * 2006-03-27 2007-10-04 Telecom Italia S.P.A. A method and system for identifying malicious messages in mobile communication networks, related network and computer program product therefor
US7962756B2 (en) * 2006-10-31 2011-06-14 At&T Intellectual Property Ii, L.P. Method and apparatus for providing automatic generation of webpages
US8949986B2 (en) 2006-12-29 2015-02-03 Intel Corporation Network security elements using endpoint resources
US8504622B1 (en) * 2007-11-05 2013-08-06 Mcafee, Inc. System, method, and computer program product for reacting based on a frequency in which a compromised source communicates unsolicited electronic messages
US8667582B2 (en) * 2007-12-10 2014-03-04 Mcafee, Inc. System, method, and computer program product for directing predetermined network traffic to a honeypot
US8413238B1 (en) * 2008-07-21 2013-04-02 Zscaler, Inc. Monitoring darknet access to identify malicious activity
US10027688B2 (en) 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
US8732296B1 (en) * 2009-05-06 2014-05-20 Mcafee, Inc. System, method, and computer program product for redirecting IRC traffic identified utilizing a port-independent algorithm and controlling IRC based malware
US8578497B2 (en) 2010-01-06 2013-11-05 Damballa, Inc. Method and system for detecting malware
US8826438B2 (en) 2010-01-19 2014-09-02 Damballa, Inc. Method and system for network-based detecting of malware from behavioral clustering
US8752174B2 (en) 2010-12-27 2014-06-10 Avaya Inc. System and method for VoIP honeypot for converged VoIP services
US9922190B2 (en) 2012-01-25 2018-03-20 Damballa, Inc. Method and system for detecting DGA-based malware
US10547674B2 (en) 2012-08-27 2020-01-28 Help/Systems, Llc Methods and systems for network flow analysis
US10084806B2 (en) 2012-08-31 2018-09-25 Damballa, Inc. Traffic simulation to identify malicious activity
US9894088B2 (en) 2012-08-31 2018-02-13 Damballa, Inc. Data mining to identify malicious activity
US9152808B1 (en) * 2013-03-25 2015-10-06 Amazon Technologies, Inc. Adapting decoy data present in a network
US9537888B1 (en) 2013-04-08 2017-01-03 Amazon Technologies, Inc. Proxy server-based malware detection
US9571511B2 (en) * 2013-06-14 2017-02-14 Damballa, Inc. Systems and methods for traffic classification
US9178899B2 (en) * 2013-08-28 2015-11-03 Bank Of America Corporation Detecting automated site scans
US11507663B2 (en) 2014-08-11 2022-11-22 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US9710648B2 (en) 2014-08-11 2017-07-18 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US9930065B2 (en) 2015-03-25 2018-03-27 University Of Georgia Research Foundation, Inc. Measuring, categorizing, and/or mitigating malware distribution paths
US9923908B2 (en) 2015-04-29 2018-03-20 International Business Machines Corporation Data protection in a networked computing environment
US9954870B2 (en) 2015-04-29 2018-04-24 International Business Machines Corporation System conversion in a networked computing environment
US9462013B1 (en) 2015-04-29 2016-10-04 International Business Machines Corporation Managing security breaches in a networked computing environment
US10476891B2 (en) 2015-07-21 2019-11-12 Attivo Networks Inc. Monitoring access of network darkspace
US10447734B2 (en) * 2016-11-11 2019-10-15 Rapid7, Inc. Monitoring scan attempts in a network
US10425445B2 (en) 2016-12-15 2019-09-24 Interwise Ltd Deception using screen capture
US11616812B2 (en) 2016-12-19 2023-03-28 Attivo Networks Inc. Deceiving attackers accessing active directory data
US11695800B2 (en) 2016-12-19 2023-07-04 SentinelOne, Inc. Deceiving attackers accessing network data
WO2019032728A1 (en) 2017-08-08 2019-02-14 Sentinel Labs, Inc. METHODS, SYSTEMS AND DEVICES FOR DYNAMICALLY MODELING AND REGROUPING END POINTS FOR ONBOARD NETWORKING
US10812509B2 (en) * 2017-10-30 2020-10-20 Micro Focus Llc Detecting anomolous network activity based on scheduled dark network addresses
US10956575B2 (en) 2017-11-20 2021-03-23 Hewlett Packard Enterprise Development Lp Determine malware using firmware
US11470115B2 (en) 2018-02-09 2022-10-11 Attivo Networks, Inc. Implementing decoys in a network environment
US10944783B2 (en) * 2018-07-12 2021-03-09 At&T Intellectual Property I, L.P. Dynamic denial of service mitigation system
US11038920B1 (en) 2019-03-28 2021-06-15 Rapid7, Inc. Behavior management of deception system fleets
EP3973427A4 (de) 2019-05-20 2023-06-21 Sentinel Labs Israel Ltd. Systeme und verfahren zur ausführbaren codedetektion, automatische merkmalsextraktion und positionsunabhängige codedetektion
US11509690B2 (en) * 2019-11-21 2022-11-22 Arbor Networks, Inc. Management of botnet attacks to a computer network
CN112491817B (zh) * 2020-11-12 2023-04-18 中国联合网络通信集团有限公司 一种基于蜜罐技术的溯源方法、装置及蜜罐设备
US11579857B2 (en) 2020-12-16 2023-02-14 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
US20220247660A1 (en) * 2021-01-29 2022-08-04 Tigera, Inc. Collection and aggregation of statistics for observability in a container based network
US11899782B1 (en) 2021-07-13 2024-02-13 SentinelOne, Inc. Preserving DLL hooks
CN114285660B (zh) * 2021-12-28 2023-11-07 赛尔网络有限公司 蜜网部署方法、装置、设备及介质

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7240368B1 (en) * 1999-04-14 2007-07-03 Verizon Corporate Services Group Inc. Intrusion and misuse deterrence system employing a virtual network
US6487204B1 (en) * 1999-05-12 2002-11-26 International Business Machines Corporation Detectable of intrusions containing overlapping reachabilities
US7296274B2 (en) * 1999-11-15 2007-11-13 Sandia National Laboratories Method and apparatus providing deception and/or altered execution of logic in an information system
US6772196B1 (en) * 2000-07-27 2004-08-03 Propel Software Corp. Electronic mail filtering system and methods
US7149778B1 (en) * 2000-08-24 2006-12-12 Yahoo! Inc. Unsolicited electronic mail reduction
US7367051B1 (en) * 2002-07-18 2008-04-29 Art Technology Group, Inc. Automated methods and processes for establishing media streaming connections through firewalls and proxy servers and countermeasures thereto
JP3794491B2 (ja) * 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
US7437766B2 (en) * 2002-10-03 2008-10-14 Sandia National Laboratories Method and apparatus providing deception and/or altered operation in an information system operating system
US7549166B2 (en) * 2002-12-05 2009-06-16 International Business Machines Corporation Defense mechanism for server farm
US7412723B2 (en) * 2002-12-31 2008-08-12 International Business Machines Corporation Method and system for morphing honeypot with computer security incident correlation
US7383578B2 (en) * 2002-12-31 2008-06-03 International Business Machines Corporation Method and system for morphing honeypot
US7631099B2 (en) * 2003-04-16 2009-12-08 Pine Valley Investments, Inc. Proxy support of mobile IP
US7333461B2 (en) * 2003-06-05 2008-02-19 Cisco Technology, Inc. Arrangement in a router of a mobile network for generating a local router prefix for anonymous route connections
US8127356B2 (en) * 2003-08-27 2012-02-28 International Business Machines Corporation System, method and program product for detecting unknown computer attacks
US8146148B2 (en) * 2003-11-19 2012-03-27 Cisco Technology, Inc. Tunneled security groups
US20050120019A1 (en) * 2003-11-29 2005-06-02 International Business Machines Corporation Method and apparatus for the automatic identification of unsolicited e-mail messages (SPAM)
US7392262B1 (en) * 2004-02-11 2008-06-24 Aol Llc Reliability of duplicate document detection algorithms
US7631044B2 (en) * 2004-03-09 2009-12-08 Gozoom.Com, Inc. Suppression of undesirable network messages

Also Published As

Publication number Publication date
EP1578082A1 (de) 2005-09-21
HK1075554A1 (en) 2005-12-16
DE602005000898D1 (de) 2007-05-31
CA2500847A1 (en) 2005-09-16
US20050210534A1 (en) 2005-09-22
US8156556B2 (en) 2012-04-10
EP1578082B1 (de) 2007-04-18
CA2500847C (en) 2009-12-22

Similar Documents

Publication Publication Date Title
DE602005000898T2 (de) Verfahrung und Apparatus für die Bereitstellung von mobilen Honeypots
DE60124295T2 (de) Flussbasierte erfassung eines eindringens in ein netzwerk
DE10394008B4 (de) System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen
Katti et al. Collaborating against common enemies
DE60210269T2 (de) Methode und system zur bekämpfung von robots und rogues
Collins et al. Using uncleanliness to predict future botnet addresses
DE102005010923B4 (de) System, computerverwendbares Medium und Verfahren zum Überwachen einer Netzwerkaktivität
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
DE60210408T2 (de) Ueberwachung des Datenflusses zur Verbesserung des Netzwerksicherheitsschutzes
DE10249842A1 (de) Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz
EP2975801B1 (de) Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk
WO2012164336A1 (en) Distribution and processing of cyber threat intelligence data in a communications network
DE112013002272T5 (de) ARP/ND-Cache vor Denial-Of-Service-Angriffen schützen
CN105915532A (zh) 一种失陷主机的识别方法及装置
Lee et al. Defending against spoofed DDoS attacks with path fingerprint
Schlamp et al. A forensic case study on as hijacking: The attacker's perspective
US20120271809A1 (en) Data collection system
Einwechter An introduction to distributed intrusion detection systems
DE112021006405T5 (de) System und Verfahren zur Eindringungserkennung von Malware-Datenverkehr
US20120272314A1 (en) Data collection system
Dressler et al. Attack detection using cooperating autonomous detection systems (CATS)
Krishnamurthy Mohonk: Mobile honeypots to trace unwanted traffic early
DE102016100692A1 (de) Netzwerkschutzentität und Verfahren zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten
Gandage An efficient review of IDS in MANET using PSO
Alsaleh et al. Improving security visualization with exposure map filtering

Legal Events

Date Code Title Description
8364 No opposition during term of opposition