JP2019506797A - 自動ハニーポットプロビジョニングシステム - Google Patents

自動ハニーポットプロビジョニングシステム Download PDF

Info

Publication number
JP2019506797A
JP2019506797A JP2018536294A JP2018536294A JP2019506797A JP 2019506797 A JP2019506797 A JP 2019506797A JP 2018536294 A JP2018536294 A JP 2018536294A JP 2018536294 A JP2018536294 A JP 2018536294A JP 2019506797 A JP2019506797 A JP 2019506797A
Authority
JP
Japan
Prior art keywords
network
provisioning
traffic
honeypot
honeynet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018536294A
Other languages
English (en)
Inventor
ジェイ. ビンガム、スカイラー
ジェイ. ビンガム、スカイラー
アール. シャーリー、マーク
アール. シャーリー、マーク
Original Assignee
レベル スリー コミュニケーションズ,エルエルシー
レベル スリー コミュニケーションズ,エルエルシー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by レベル スリー コミュニケーションズ,エルエルシー, レベル スリー コミュニケーションズ,エルエルシー filed Critical レベル スリー コミュニケーションズ,エルエルシー
Publication of JP2019506797A publication Critical patent/JP2019506797A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Peptides Or Proteins (AREA)

Abstract

ハニーネットを自動的にプロビジョニングするためのシステムおよび方法を開示する。ハニーネットは、不正ユーザによるネットワークの脅威または攻撃を示す、ハニーネットネットワーク内で伝送中、処理中、アクセス中および/または実行中の不正ネットワークトラフィックおよび/または他の情報を連続的に集め、捕捉する。

Description

[関連出願の相互参照]
本特許協力条約(PCT)特許出願は、2016年2月10日に出願された、「自動ハニーポットプロビジョニングシステム」と題する米国仮出願第62/293,561号に関連し、それに基づく優先権を主張し、その全体がこれにより参照によって組み込まれる。
本開示の態様はハニーネットネットワークを含み、特には、ハニーネットネットワークおよび対応するコンポーネントの自動プロビジョニングおよび構成を含む。
コンピューティングシステムおよび/またはコンピューティングネットワークのモニタリングに使用される、ファイアウォールまたは侵入検出システムなどの従来のセキュリティ技術は、通常、大量のデータを生成する。あらゆる攻撃または不正アクティビティを特定するべく、システム管理者は、データの全てを注意深く調べ、データが意味のある、不正な攻撃を特定中であることを確認すること、および/または、攻撃を解釈し、優先順位をつけることを行わなくてはならない。そのようなことを行うのは、時間がかかり、多大な労力を要し、費用がかかる。とりわけ、これらの概念を念頭に置いた上で、本開示の様々な態様が考えられた。
本明細書において記載されている本開示の前述のおよび他の目的、特徴、および利点が、添付の図面において例示されているように、それらの発明の概念の特定の実施形態の以下の説明から明らかになるであろう。また、図面では、同様の参照符号は種々の図を通して同じ部分を指し得る。図面は、本開示の典型的な実施形態のみを描写しており、したがって、範囲を限定するものとはみなされない。
本開示の態様に係る、ハニーネットネットワークを示すブロック図である。 本開示の態様に係る、ハニーネットネットワークを示すブロック図である。
本開示の態様に係る、ハニーネットネットワークを自動的にプロビジョニングするための例示的なプロセスを示すフローチャートである。
本開示の態様に係る、ハニーポットを示す図である。
本開示の態様に係る、ハニーネットネットワークを自動的にプロビジョニングするコンピューティングデバイスを示すブロック図である。
本開示の態様は、脅威を検出するためのシステム、方法、および非一時的コンピュータ可読媒体を含む。当該システム、方法、および非一時的コンピュータ可読媒体は、通信ネットワーク内にデプロイされたネットワークデバイスのクラスタのうちの少なくとも1つのネットワークデバイス上のサービスにアクセスしようと試みる不正ネットワークトラフィックをモニタリングするようハニーネットネットワークをプロビジョニングすることを含む。ハニーネットネットワークは、不正ネットワークトラフィックのログをとるための、ハニカムなどの少なくとも1つの処理デバイスと、不正トラフィックを受信し、不正トラフィックに対応する第1のログセットを生成するための、ハニーウォールなどの少なくとも1つのゲートウェイデバイスとを備える。ハニーネットネットワークは、ゲートウェイデバイスからの不正トラフィックを受信するための少なくとも1つのハニーポットをさらに備える。ハニーポットは、サービスのインスタンスであり、ハニーポットは、サービス上の不正ネットワークトラフィックをモニタリングし、不正トラフィックに対応する第2のログセットを生成する。
本開示の態様は、本明細書において「ハニーネット」ネットワーク環境と称される拡張可能な冗長のソフトウェア環境を自動的にプロビジョニングし、構成し、動作させるシステムおよび方法を含む。ハニーネットネットワーク環境は、不正ユーザ(例えば攻撃者)によるネットワークの脅威または攻撃を示す、ハニーネットネットワーク内で伝送中、処理中、アクセス中、および/または実行中のデータ、ネットワークトラフィック、イベント、および/または他の情報を(例えばリアルタイムで)連続的に集め、捕捉する。
一般的に言えば、ハニーネットは、攻撃者がインタラクトする現実のシステム、アプリケーション、および/またはサービスを提供する特定のタイプのネットワークを表す。ハニーネットネットワークは、攻撃者の関心を引いてハニーネットネットワークへ入り込もうと試みるよう仕向ける意図的な脆弱性をもって故意に確立され、それによって、攻撃者のアクティビティおよび方法を捕捉、処理、および分析することを可能にする。例えば、よく見られる脆弱性は、サーバなどの様々なコンピューティングコンポーネントのパッチおよび/または更新の欠如を含み、それらは、ネットワークへの未認証コマンドプロンプトまたは他のバックドアパスを許容してしまう。他の脆弱性は、ネットワークへの不正アクセスを可能にする、誤って構成されたファイアウォールルールベースを含む。脆弱性は、アプリケーションが、バッファにそれが保持できる量より多くのデータを入れようと試みるときに起こるバッファオーバーフローを含み得る。バッファに割り当てられた空間外への書き込みにより、隣接するメモリブロックの内容を攻撃者が上書きすることが可能になり、データの破損、プログラムのクラッシュ、または勝手な悪意あるコードの実行を引き起こす。他の脆弱性は、電子メールクライアントなどの、欠陥のあるおよび/またはバグの多いアプリケーションを含むことができ、勝手なコードが実行される、トロイの木馬が埋め込まれる、などのことが行われ得る。
ハニーネットによって捕捉された任意のデータ、ネットワークトラフィック、イベント、および/または他の情報が、ハニーネットネットワークの様々なアーキテクチャコンポーネント内において統合され、視覚化されてよい。他の態様において、潜在的なセキュリティ問題を特定および/または定量化する1または複数の分析の形式の捕捉データにユーザがアクセスすることを可能にする、1または複数の対話型インタフェース、グラフィカルユーザインタフェース、ダッシュボード、および/またはポータルが生成されてよい。あるいは、捕捉データ、イベント、および/または他の情報は、自動分析のために、ネットワーキングデバイスのクラスタへとセキュアに伝送し戻されてよい。
本出願は、本明細書において明記された概念の様々な実施形態を示すための例として、遠隔通信ネットワークおよびサービスを使用する。しかしながら、本出願は、遠隔通信サービスに限定されるものではなく、ネットワーク攻撃、サービス妨害攻撃(「DOS攻撃」)、分散型サービス妨害攻撃(「DDOS攻撃」)、および/または脆弱なネットワークサービスの不当利用等の対象となりやすい他の業界およびサービスに適用可能である。
図1Aは、例示的な通信ネットワーク100を示す。通信ネットワーク100は、様々なネットワークデバイス110〜112と1または複数のクラスタ104、106、および108とを備え、その一部は不正ユーザによる攻撃の対象となりやすい場合がある。通信ネットワーク100は、遠隔通信ネットワーク、インターネット、イントラネット、ローカルエリアネットワーク、無線ローカルネットワーク、もしくは任意の他のタイプの通信ネットワーク、またはネットワークの組み合わせであってよい。通信ネットワーク100は、インターネットの一部、イントラネット、ローカルエリアネットワーク、無線ローカルネットワーク、コンテンツ配信ネットワーク、もしくは任意の他のタイプの通信ネットワーク、またはネットワークの組み合わせからのIPベースの遠隔通信ネットワークであってよい。例えば、特定の一実施形態において、通信ネットワーク100は、様々なネットワーク要素の間の光ファイバパスを含む遠隔通信ネットワークであってよい。当該様々なネットワーク要素は、当該様々な要素の間でのおよびネットワークのユーザの間での情報の送受信を可能にするべく相互接続されるサーバ、スイッチ、ルータ、ボックス、および/または、他の光遠隔通信ネットワークデバイスなどである。本明細書において使用されるとき、「ボックス」は、サーバ、サーバアプリケーションなどのような1または複数のアプリケーションを実行可能な、1または複数のプロセッサ、ディスクドライブ、メモリ、コントローラなどを含む物理ユニット/マシンを指す。ボックスはまた、ハードウェアコンポーネントおよびソフトウェアコンポーネントの両方を含むものとして概して説明されてよく、サーバとして概して説明されてよい。通信ネットワークはまた、多くのそのようなネットワークデバイスが存在するデータセンタを含んでよい。
クラスタ104、106、および/または108の各々は、共通の目的を共有し、特定の機能を果たし、および/または、何らかの協調方式で一緒に実行されてよい、スイッチ、ルータ、サーバなどのような様々なコンピューティングリソースおよび/またはネットワークデバイスの論理的な方向性または配置を表す。例えば、サーバのクラスタは、コンテンツ配信および管理などの特定のサービスを提供するために、遠隔通信において使用されることが多い。よく見られるタイプのコンテンツ配信は、標準キャッシング、ストリーミング、およびセキュアソケット層によって保護されたデータ伝送等を含む。クラスタを使用してそのようなサービスを提供することで、単一サーバなどの単一のコンピューティングリソースに比べて性能および可用性が改善される。
ネットワークデバイス110〜112、ならびに/またはクラスタ104、106、および/もしくは108は、通信ネットワーク100のコンポーネントを表す。これらのコンポーネントは、通常、機密データのアクセスを提供するため、不正ユーザによる1または複数の攻撃の対象となりやすい場合がある。例えば、遠隔通信環境において、そのようなデバイスは、独自のシステム構成および/または同様のものを必要とする機密データおよびコンテンツ(例えば、顧客データ)を含み得る。攻撃がネットワークデバイスならびに/またはクラスタ104、106、および/もしくは108にアクセスすることを阻止するべく、様々なネットワークデバイス110〜112、ならびに/またはクラスタ104、106、および/もしくは108の機能をエミュレートするハニーネットがデプロイされてよく、その後、不正ユーザがハニーネットにアクセスしたとき、ハニーネットは自動的に、不正な攻撃について広範なデータおよび情報を捕捉する。
より具体的には、通信ネットワーク100内に配置され、および/または通信ネットワーク100に通信可能に接続されたプロビジョニングシステム126が、ハニーネットネットワークを既存のハードウェアのネットワーク内においてプロビジョニングおよびデプロイするためのコントローラ128を含んでよい。プロビジョニングシステム126は、構成ファイルを記憶および取り出すためのデータベース131をさらに含んでよい。当該構成ファイルのうちの任意のものが、特定のハニーネットネットワークをプロビジョニング、および/またはそうでなければ構成するために使用されてよい。図1Aのデータベース130は、プロビジョニングシステム126内に配置されるように描写されているが、データベース130は遠隔位置などのプロビジョニングシステム126の外部に配置されてよく、プロビジョニングシステム126と通信してよいことが考えられる。
様々な実施形態において、プロビジョニングシステム126は、ハニーネットネットワークをデプロイする要求を受信し、それに応答して、完全なハニーネットネットワークを自動的にプロビジョニングしてよい。図1Bは、一実施形態に係るハニーネットネットワーク120の説明図を提供する。示されるように、ハニーネットネットワーク120は、ハニークイーンサーバ130、ハニーウォール132、ハニカム134、および1または複数のハニーポット136〜140を備える。各コンポーネント(例えば、ハニークイーン、ハニカム、および1または複数のハニーポット)には、各コンポーネントがハニーポットネットワーク120内においてどのように機能するべきかを示すロールが割り当てられてよい。
一般的に言えば、ハニークイーンサーバ130は、ハニーネットネットワーク120を制御および/または管理するサーバデバイスを表す。より具体的には、ハニークイーンサーバ130は、ハニーウォール132および1または複数のハニーポット136〜140と論理的に通信して、データの収集およびモニタリングをオーケストレーションおよび自動化する。言い方を変えれば、ハニークイーンサーバ130は、ハニーネットネットワーク120内において(例えば、ハニーウォール132またはハニーポット136〜140において)収集されたデータを管理およびモニタリングする。例えば、ハニークイーンサーバ130は、ハニーポット136〜140またはハニーウォール132において発生する不正トラフィックを示す最新のデータを連続的に抽出、またはそうでなければ受信してよい。そのようなデータは、攻撃者数、送信元および送信先のIPアドレス、ならびに送信元および送信先のポートなどを特定するのに十分な情報を提供してよい。いくつかの実施形態において、ハニークイーンサーバ130は、データを整理してハニーポット136〜140またはハニーウォール132のアクティビティの概要(例えば、グラフまたはチャート)を提示するグラフィカルユーザインタフェースを生成、またはそうでなければ供給してよい。
ハニーウォール132は、ハニーポット136〜140を通信ネットワーク100のネットワーク世界の残りのものから分離するゲートウェイデバイスを表す。言い方を変えれば、ハニーウォール132は、ハニーポット136〜140を含むハニーネットネットワーク120への入口および出口として機能するネットワークポイントである。ゆえに、(例えば攻撃者142からの)1または複数のハニーポット136〜140にアクセスしようと試みるいずれのネットワークトラフィックも、ハニーポット136〜140のいずれかに接触する前にハニーウォール132を通ってルーティングされる。
各ハニーポット136〜140は、1または複数のクラスタ104、106、および108の不正な使用を検出する、および/またはそうでなければかわすために確立された、あるタイプのコンピュータセキュリティメカニズムを表す。1つの実施形態において、各ハニーポット136〜140は、正規のものに見えるが、実際には切り離され、モニタリングされるデータ、ソフトウェア、サービス、および/または、機能の組み合わせからなっていてよい。言い方を変えれば、各ハニーポットは、クラスタ104、106、および108、ならびに/またはネットワークデバイス110〜112のうちの1または複数において、おとりの形で、所与のソフトウェア、オペレーティングシステム、および/またはサービスの挙動をエミュレートする。例えば、ハニーポットは、一見正規のウェブサーバを実装および実行するためのオペレーティングシステムおよび対応するソフトウェアを含んでよい。別の例として、ハニーポットは、特定のネットワークポートに対して指定された1または複数のネットワークサービスをシミュレートするためのソフトウェアを含んでよい。
攻撃者は、ハニーポットにおいて動作している様々なソフトウェアおよびサービスを不当利用するのに使用され得る脆弱なサービスをハニーポットが実行中であると推測し、ハニーポットに不正ネットワークトラフィックを送信する。ハニーポット136〜140は、リアルタイムのまたは後の分析のために、攻撃者142からハニーポット136〜140に送信された不正なトラフィックおよびデータをモニタリングし、捕捉する。例えば、不正なトラフィックおよびデータは、将来の攻撃および不当利用についての早期の予兆を特定するために分析され得る。不正なトラフィックおよびデータは、ハニーポット136〜140のソフトウェアシステムおよび/またはハードウェアシステム内に存在する、デプロイ時には知られていなかった未知の脆弱性を特定するために分析され得る。不正なトラフィックおよびデータは、まだ理解されていない脆弱性を検出するために使用され得る特定のキーストローク情報および/またはセッション署名情報を含んでよい。例えば、たとえ不当利用の手段が以前には見つかったことがない場合であっても、ハニーポット136〜140を離れるデータを分析することによって脆弱性および/または危殆化が検出され得る。
ハニカム134は、処理および分析のために、ハニークイーンサーバ130、ならびに/または、通信ネットワーク100のクラスタ104、106、および108、および/もしくはネットワークデバイス110〜112のうちの1または複数に、ハニーポット136〜140において捕捉された不正ネットワークトラフィックを伝送する役割を担う処理デバイスである。特定の一実施形態において、ハニカム134は、メッセージバスと、ハニカム134が、メッセージバス内の捕捉された不正トラフィックをクラスタに返送するためにキューに入れることを可能にするネットワークファイルシステムとを含んでよい。あるいは、不正トラフィックは、大きいバイナリファイルとしてネットワークファイルシステムに記憶されて、クラスタ104、106、および108、ならびに/またはネットワークデバイス110〜112のうちの1または複数に返送されてよい。
図3は、一実施形態に係るハニーポット300の実例を提供する。示された実施形態は、ネットワークレベルで仮想コンピューティングシステムをシミュレートする仮想ハニーポットを描写している。ハニーポットは、正規のネットワークコンポーネントであるように見え、ゆえに、実際のネットワークコンポーネントに類似した様々なコンピューティング層および仮想化を含むが、それらの全ては切り離され、モニタリングされる。したがって、図3において、ハニーポット300は、何らかのタイプの有用なアプリケーションおよび/またはサービスを実行可能な仮想化環境内にデプロイされる。ハニーポット300は、仮想マシン層342における構成可能コンピューティングコンポーネントおよび/または仮想マシンと、仮想環境(例えば、仮想オペレーティングシステムおよびアプリケーション)をホストするハイパーバイザなどの仮想化コンポーネント334とを備え、それらの全ては、サーバなどの何らかタイプの物理層336と通信する。仮想マシン層342、仮想化コンポーネント334、および物理層336の各々は、不正アクティビティを捕捉するためのモニタリングメカニズム343によってモニタリングされてよい。
ここで図2を参照し、図1Aおよび図1Bを全体的に参照して、ハニーネットネットワークを自動的にプロビジョニングおよびデプロイするための例示的なプロセス200が提供される。示されるように、プロセス200は、ハニーネットネットワークのコンポーネントをどのように初期設定およびデプロイするかを定義する、プロビジョニングシステムにおいて記憶されたプロビジョニングデータに基づいて、ハニークイーンサーバを自動的にプロビジョニングする段階(動作202)で開始する。図1Aを参照すると、プロビジョニングシステム126のコントローラ128は、プロビジョニングシステム126において記憶されたプロビジョニングデータにしたがってハニークイーンサーバを自動的にプロビジョニングする。例えば、プロビジョニングデータは、コンポーネント(例えばサーバデバイス)に適切なシステム、データ、およびソフトウェアを準備し、ネットワークオペレーションに備えて当該コンポーネントの準備を整えるための情報を含んでよい。プロビジョニングデータはさらに、プロビジョニングされたコンポーネントへアクセスするための権利および特権を定義するセキュリティメカニズムおよび対応するセキュリティデータを定義してよい、またはそうでなければ含んでよい。例えば、プロビジョニングデータは、アプリケーションプログラミングインタフェースキー、セキュアシェルキー、および/または認証パラメータ等のうちの少なくとも1つを含んでよく、そのいずれかが、プロビジョニングされたコンポーネントへのいずれのアクセスも、定義されたアクセス特権に従っていることを保証するために使用されてよい。特定の一実施形態において、プロビジョニングされたハニーネットネットワークコンポーネントがひとたびデプロイされると、プロビジョニングデータは、当該コンポーネントによってアクセス可能でない場合がある。それにより、ハニーネットネットワークが不正トラフィックにさらされている場合、当該トラフィックは、ハニーネットネットワークをプロビジョニングするために使用されたセキュリティ定義およびメカニズムを取得することも、それらにアクセスすることもできない。
ハニークイーンのプロビジョニングに加えて、プロビジョニングシステム126は、プロビジョニングデータに基づいて、より大きなハニーネットネットワークに含まれるべき1または複数のハニーウォール、ハニカム、およびハニーポットをプロビジョニングしてよい(動作204)。例えば、プロビジョニングデータは、ハニーポット、ハニカム、およびハニークイーンなどの物理ハードウェア、オペレーティングシステム、地理的位置、サービスロール、および/またはサービス構成パラメータ等を初期設定するために使用されてよい。
再び図2を参照すると、ひとたびプロビジョニングされると、ハニーネットネットワークのハニークイーンサーバおよびその他のコンポーネントは、ハニーネットネットワークのハニークイーンサーバおよび他のコンポーネントのプロビジョニング中にプロビジョニングシステムから取得された構成データにしたがって構成される(動作206)。1つの実施形態において、構成データは、とりわけ、ハニークイーンの名称、コンポーネントの数およびタイプ(例えばサーバ数)、ネットワーク位置(例えばどのネットワークプロバイダか)などの構成パラメータを含む。別の実施形態において、構成データは、1)インストール用に、アプリケーションまたはサービスを含み、および/またはそうでなければアプリケーションまたはサービスを特定してよく、および、2)具体的にどのようにして当該アプリケーションまたはサービスをハニーネットネットワークのハニークイーンサーバまたは他のコンポーネントにインストールするかに関する命令を含む1または複数のファイルを含んでよい。言い方を変えれば、構成データは、ハニークイーンサーバまたは他のハニーネットネットワークコンポーネントにインストールされるアプリケーションのための特定のパラメータおよび初期設定を含んでよい。特定の一実施形態において、構成データは、ハニークイーンを最初にプロビジョニングしたプロビジョニングシステム126によってアクセス可能でない場合がある。構成ファイルは、使用前に生成されてよく、プロビジョニングシステム126のデータベース131に事前に記憶され、プロビジョニング中にハニークイーン(または他のハニーネットネットワークコンポーネント)に伝送されてよい。あるいは、ユーザが、プロビジョニングシステム126によって生成されるユーザインタフェースとインタラクトして、構成データおよびファイルを生成、および/または構成データおよびファイルを修正してよいことが考えられる。1つの実施形態において、プロビジョニング中にハニーネットネットワークのハニークイーンサーバおよび/またはその他のコンポーネントにひとたび伝送されると、構成データは、プロビジョニングシステム126によってアクセス可能でない場合がある。それにより、ハニーネットネットワークが不正トラフィックにさらされている場合、不正トラフィックは、構成データを取得および使用してプロビジョニングシステム126を特定することができない。いくつかの実施形態において、ハニークイーン130は、1または複数のハニカム、1または複数のハニーポット、および/または1または複数のハニーウォールを含むその他のハニーネットネットワークコンポーネントの構成を管理するために使用されてよい。言い方を変えれば、1または複数のハニーポットおよび/または1または複数のハニーウォールは、ハニークイーンサーバ130にアクセスして、更新された構成、新たな構成などを取得してよいが、プロビジョニングシステム126からはいかなる構成データも取得できない。
新たにプロビジョニングされた1または複数のハニークイーン、1または複数のハニーポット、および/または1または複数のハニーウォールは、脅威を示し得る、ハニーポットネットワーク内の不正なネットワークトラフィックおよびデータを、同時に、連続的に、および/または自動的に捕捉し、ログをとり、ログをとったネットワークトラフィックデータの全てをハニカムに伝送する(動作208)。いくつかの実施形態において、ハニーネットネットワークの様々なコンポーネントとインタラクトするとき、ログデータは、悪意ある挙動と関連付けられるマシン、ボット、ボットネットネットワーク、および/または他のタイプのデバイス(例えばIPアドレス)を特定する情報と、攻撃者の行為の概略を示す情報とを含んでよい。他の実施形態において、捕捉された不正なトラフィックおよびデータは、侵入検出システムまたはファイアウォールなどの他のタイプのモニタリングシステムにとっては利用可能でない情報を含んでよい。1つの特定の例において、ハニーネットの様々なコンポーネント、特にハニーポットは、様々なハニーポットにおいて実行される、および/またはそうでなければ行われる全ての接続、コマンド、ダウンロードファイル、および/またはマルウェアのログをとってよい。例えば、セキュアな接続が(例えば、介入者攻撃を介して)容易には攻撃され得ない例では、アプリケーションレベルの詳細のみが、ハニーポットレベルにおいて取得されてよい。そのような例において、セキュアシェル(SSH)接続のキーストロークデータと、カスタム暗号化アルゴリズムを使用して暗号化チャネルを介して送信されたデータとがハニーポットによって取得されてよい。
ハニカム(または他のハニーネットコンポーネント)は、通知、処理、および分析のために、ログデータおよび他の出力を様々なネットワークデバイス110〜112ならびに/または1もしくは複数のクラスタ104、106、および108に伝送する(動作210)。1つの実施形態において、ログをとられたイベントのいずれかおよび/または他の情報が、ハニーネットネットワークの様々なアーキテクチャコンポーネント内に統合され、視覚化され、および/または、通信ネットワーク100のネットワークデバイス110〜112ならびに/または1もしくは複数のクラスタ104、106、および108に伝送し戻されてよい。例えば、データは、通信ネットワーク100のアーキテクチャコンポーネントの既存のインタフェースにしたがって視覚化されてよい。別の実施形態において、ユーザがログデータにアクセスすることを可能にする1または複数の対話型インタフェース、グラフィカルユーザインタフェース、ダッシュボード、および/またはポータルが生成されてよい。さらに別の実施形態において、処理のために、データは、様々なネットワークデバイス110〜112および/またはネットワーククラスタ104〜108に、直接的かつ自動的に、セキュアに伝送されてよい。図1は、ログデータおよび他の出力を受信する遠隔通信デバイスのクラスタを示すが、そのようなデータは、データを取り込み、処理し、分析することが可能な任意のシステムに提供されてよく、またはそうでなければ任意のシステムにおいて受信されてよいことが考えられる。
1つの実施形態において、特定された脅威は、既存のアーキテクチャコンポーネントと統合される前、または、処理のためにネットワークデバイス110〜112および/またはネットワーククラスタ104〜108に伝送される前に、高度、中度、または低度として優先順位をつけられてよい。より具体的には、データが捕捉されたとき、データは、ハニーネットの様々なコンポーネントが不正トラフィックを継続的に捕捉した結果、動的に優先順位をつけられてよい。例えば、捕捉データから同じ脅威が検出されるか、またはそうでなければ特定された場合、当該脅威は、高度の脅威として優先順位をつけられてよい。当該システムは、イベントの目新しさ、イベントの重大性、特定のイベントタイプの相関などを含む多数の異なる要因について脅威に優先順位をつけてよい。例えば、マルウェアサンプルがダウンロードされるか、または未知の攻撃が検出された場合、システムは、これらの脅威をより高い優先度で示してよい。他の実施形態において、捕捉データは、クラスタ104〜108によってリアルタイムのセキュリティのイベントおよびメトリクスを生成するために処理されてよい。例えば、攻撃の過程において、1または複数のハニーポットは、様々なコマンドの実行を可能にするブルートフォース技術を使用してポートスキャンされ、ログインされる場合があり、その全ては、イベントに優先順位をつけるために使用され得るログデータを生成する。
図4は、図1A〜図3において説明された本開示の様々な態様を実装するために使用されてよい適切なコンピューティングおよびネットワーキング環境400の例を示す。示されるように、コンピューティングおよびネットワーキング環境400は、汎用コンピューティングデバイス400を含むが、ネットワーキング環境400は、パーソナルコンピュータ、サーバコンピュータ、携帯用デバイスまたはラップトップデバイス、タブレットデバイス、マルチプロセッサシステム、マイクロプロセッサベースシステム、セットトップボックス、プログラム可能民生用電子デバイス、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、デジタル信号プロセッサ、ステートマシン、論理回路、および、上記コンピューティングシステムまたはデバイスのいずれかを含む分散型コンピューティング環境等のような1または複数の他のコンピューティングシステムを含んでよいことが考えられる。
コンピュータ400のコンポーネントは、処理ユニット402、データ記憶装置404(例えばシステムメモリ)、およびコンピュータ400の様々なシステムコンポーネントを処理ユニット402に結合するシステムバス406などの様々なハードウェアコンポーネントを備えてよい。システムバス406は、メモリバスまたはメモリコントローラ、周辺機器用バス、および、様々なバスアーキテクチャのいずれかを使用するローカルバスを含むいくつかのタイプのバス構造のいずれかであってよい。例えば、そのようなアーキテクチャは、Industry Standard Architecture(ISA)バス、Micro Channel Architecture(MCA)バス、Enhanced ISA(EISA)バス、Video Electronics Standards Association(VESA)ローカルバス、およびMezzanineバスとしても知られるPeripheral Component Interconnect(PCI)バスを含んでよい。
コンピュータ400は、リムーバブル/非リムーバブル媒体および揮発性/不揮発性媒体を含むが、一時的伝搬信号を除く様々なコンピュータ可読媒体408をさらに備えてよい。コンピュータ可読媒体408はまた、コンピュータ記憶媒体および通信媒体を含んでよい。コンピュータ記憶媒体は、コンピュータ可読命令、データ構造、プログラムモジュールまたは他のデータなどの情報を記憶するための任意の方法または技術で実装される、所望の情報/データを記憶するために使用され得て、かつコンピュータ400によってアクセスされ得るRAM、ROM、EEPROM、フラッシュメモリもしくは他のメモリ技術、CD−ROM、デジタル多用途ディスク(DVD)もしくは他の光ディスク記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置もしくは他の磁気記憶デバイス、または任意他の媒体などのリムーバブル/非リムーバブル媒体および揮発性/不揮発性媒体を含む。通信媒体は、搬送波などの変調データ信号または他のトランスポートメカニズムにおいてコンピュータ可読命令、データ構造、プログラムモジュール、または他のデータを含み、任意の情報配信媒体を含む。「変調データ信号」という用語は、信号の特性のうちの1または複数が、信号内の情報を符号化するように設定または変化されたものを意味する。例えば、通信媒体は、有線ネットワークもしくは直接有線接続(direct−wired connection)などの有線媒体、ならびに、音波、RF、赤外線、および/もしくは他の無線媒体などの無線媒体、またはそれらの何らかの組み合わせを含んでよい。コンピュータ可読媒体は、コンピュータ記憶媒体に記憶されたソフトウェアなどのコンピュータプログラム製品として具現化されてよい。
データ記憶装置またはシステムメモリ404は、リードオンリメモリ(ROM)およびランダムアクセスメモリ(RAM)などの揮発性/不揮発性メモリの形態のコンピュータ記憶媒体を含む。(例えば起動中に)コンピュータ400内の要素間での情報の転送を助ける基本ルーチンを含む基本入出力システム(BIOS)は、通常ROMに記憶される。RAMは通常、処理ユニット402にとって直ちにアクセス可能な、および/または処理ユニット402によって現在動作させられているデータおよび/またはプログラムモジュールを含む。例えば、1つの実施形態において、データ記憶装置404は、オペレーティングシステム、アプリケーションプログラム、ならびに他のプログラムモジュールおよびプログラムデータを保持する。
データ記憶装置404はまた、他のリムーバブル/非リムーバブルの揮発性/不揮発性のコンピュータ記憶媒体を含んでよい。例えば、データ記憶装置404は、非リムーバブルの不揮発性磁気媒体に対して読み書きを行うハードディスクドライブ、リムーバブルの不揮発性磁気ディスクに対して読み書きを行う磁気ディスクドライブ、および/または、CD−ROMもしくは他の光媒体などのリムーバブルの不揮発性光ディスクに対して読み書きを行う光ディスクドライブであってよい。他のリムーバブル/非リムーバブルの揮発性/不揮発性コンピュータ記憶媒体は、磁気テープカセット、フラッシュメモリカード、デジタル多用途ディスク、デジタルビデオテープ、ソリッドステートRAM、およびソリッドステートROM等を含んでよい。上述のおよび図4に示されたドライブおよびそれらの関連付けられるコンピュータ記憶媒体は、コンピュータ400のためのコンピュータ可読命令、データ構造、プログラムモジュール、および他のデータの記憶を提供する。
ユーザは、ユーザインタフェース410、または、タブレット、電子デジタイザ、マイク、キーボード、および/もしくは一般にマウス、トラックボール、またはタッチパッドと称されるポインティングデバイスなどの他の入力デバイスを通じてコマンドおよび情報を入力してよい。他の入力デバイスは、ジョイスティック、ゲームパッド、サテライトディッシュ、またはスキャナ等を含んでよい。加えて、音声入力、(例えば手または指による)ジェスチャ入力、または他のナチュラルユーザインタフェースも、マイク、カメラ、タブレット、タッチパッド、グローブ、または他のセンサなどの適切な入力デバイスとともに使用されてよい。これらのおよび他の入力デバイスは、システムバス406に結合されたユーザインタフェース410を通じて処理ユニット402に接続されることが多いが、パラレルポート、ゲームポート、またはユニバーサルシリアルバス(USB)などの他のインタフェースおよびバス構造によって接続されてよい。モニタ412または他のタイプのディスプレイデバイスも、ビデオインタフェースなどのインタフェースを介してシステムバス406に接続される。モニタ412はまた、タッチスクリーンパネルまたは同様のものと統合されてよい。
コンピュータ400は、ネットワークインタフェースまたはアダプタ414の、リモートコンピュータなどの1または複数のリモートデバイスへの論理接続を使用して、ネットワーク化された環境またはクラウドコンピューティング環境において動作してよい。リモートコンピュータは、パーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ピアデバイス、または他のよく見られるネットワークノードであってよく、コンピュータ400に関連して上述された要素のうちの多くのまたは全ての要素を通常は含む。図4に描写された論理接続は、1または複数のローカルエリアネットワーク(LAN)および1または複数のワイドエリアネットワーク(WAN)を含むが、他のネットワークも含んでよい。そのようなネットワーキング環境は、オフィス規模、企業規模のコンピュータネットワーク、イントラネット、およびインターネットにおいてよく見られる。
ネットワーク化された環境またはクラウドコンピューティング環境において使用されるとき、コンピュータ400は、ネットワークインタフェースまたはアダプタ414を通じてパブリックネットワークおよび/またはプライベートネットワークに接続されてよい。そのような実施形態では、ネットワークを通じた通信を確立するためのモデムまたは他の手段が、ネットワークインタフェースもしくはアダプタ414または他の適切なメカニズムを介してシステムバス406に接続される。インタフェースおよびアンテナを含む無線ネットワーキングコンポーネントが、アクセスポイントまたはピアコンピュータなどの適切なデバイスを通じてネットワークに結合されてよい。ネットワーク化された環境において、コンピュータ400に関連して描写されたプログラムモジュールまたはそれらの一部が、リモートのメモリ記憶デバイスに記憶されてよい。
前述されたものは、本開示の原理を示したものに過ぎない。本明細書の教示を考慮すれば、説明された実施形態に対する様々な修正および変更が当業者には明らかであろう。ゆえに、本明細書においては明示的に示されても説明されてもいないが、本開示の原理を具現化し、ゆえに、本開示の主旨および範囲内である多数のシステム、配置、および方法を当業者であれば案出できることが理解されよう。上記説明および図面から、示され、説明された特定の実施形態は例示のみを目的としており、本開示の範囲を限定することは意図されていないことを当業者は理解するであろう。特定の実施形態の詳細を参照することは、本開示の範囲を限定することを意図しない。
前述されたものは、本開示の原理を示したものに過ぎない。本明細書の教示を考慮すれば、説明された実施形態に対する様々な修正および変更が当業者には明らかであろう。ゆえに、本明細書においては明示的に示されても説明されてもいないが、本開示の原理を具現化し、ゆえに、本開示の主旨および範囲内である多数のシステム、配置、および方法を当業者であれば案出できることが理解されよう。上記説明および図面から、示され、説明された特定の実施形態は例示のみを目的としており、本開示の範囲を限定することは意図されていないことを当業者は理解するであろう。特定の実施形態の詳細を参照することは、本開示の範囲を限定することを意図しない。
[項目1]
通信ネットワークに含まれる第1のサーバコンピューティングデバイスを備えた、脅威を検出するためのシステムであって、
上記第1のサーバコンピューティングデバイスは、
上記第1のサーバコンピューティングデバイスに記憶されたプロビジョニングデータに基づいて、上記通信ネットワークにおいてハニーネットネットワークとしてデプロイするためのコンポーネントをプロビジョニングし、上記プロビジョニングデータは、上記ハニーネットネットワークとしてひとたびデプロイされた上記プロビジョニングされたコンポーネントによってアクセス可能ではなく、上記ハニーネットネットワークは、上記ハニーネットネットワーク内で実行されるサービスにアクセスしようと試みる不正ネットワークトラフィックをモニタリングし、
上記ハニーネットネットワークの上記プロビジョニングされたコンポーネントは、
上記不正ネットワークトラフィックのログをとる処理デバイスと、
上記不正トラフィックの第1の部分を受信し、上記不正トラフィックに対応する第1のログセットを生成するゲートウェイデバイスと、
上記不正トラフィックの第2の部分を受信するハニーポットであって、上記ハニーポットは、上記サービスのインスタンスを実行し、上記ハニーポットは、上記サービスの上記不正ネットワークトラフィックをモニタリングし、上記モニタリングされた不正トラフィックに対応する第2のログセットを生成する、ハニーポットと、
第2のサーバコンピューティングデバイスであって、上記第2のサーバコンピューティングデバイスは、上記第2のサーバに記憶された構成データに基づいて、上記ゲートウェイデバイス、上記処理デバイス、および上記ハニーポットを自動的に構成し、上記構成データは、上記第1のサーバによってアクセス可能ではない、第2のサーバコンピューティングデバイスと
を備える、
システム。
[項目2]
上記プロビジョニングデータは、1つの上記処理デバイス、上記ゲートウェイデバイス、上記ハニーポット、および上記第2のサーバのプロビジョニング中に使用されるアプリケーションプログラミングインタフェースキー、セキュアシェルキー、および認証パラメータのうちの少なくとも1つを含む、
項目1に記載のシステム。
[項目3]
上記構成データは、アプリケーションと、上記アプリケーションをインストールするための命令を定義する1または複数のファイルとを含み、上記処理デバイス、上記ゲートウェイデバイス、および上記ハニーポットを自動的に構成することは、上記命令に基づいて、上記処理デバイス、上記ゲートウェイデバイス、および上記ハニーポットのうちの少なくとも1つに上記アプリケーションをインストールすることを含む、
項目2に記載のシステム。
[項目4]
上記サービスは、上記通信ネットワークのネットワークデバイス上で実行されるものと同一のサービスの挙動をエミュレートして、上記不正ネットワークトラフィックを上記ハニーネットネットワークに誘導する、
項目1に記載のシステム。
[項目5]
上記処理デバイスはさらに、上記不正ネットワークトラフィックからの脅威を特定し、上記脅威が上記ネットワークトラフィックから特定された回数に基づいて上記脅威に優先順位をつけるよう構成される、
項目1に記載のシステム。
[項目6]
上記処理デバイスはさらに、上記通信ネットワークの少なくとも1つのネットワークデバイスに対して、上記第1のログセットおよび上記第2のログセットへのアクセスを提供するよう構成される、
項目1に記載のシステム。
[項目7]
上記ハニーネットネットワークは独立であり、上記通信ネットワークの外部にある、
項目1に記載のシステム。
[項目8]
脅威を検出するための方法であって、
プロビジョニングデータに基づいて、通信ネットワークにおいてハニーネットネットワークとしてデプロイするためのコンポーネントをプロビジョニングする段階であって、上記プロビジョニングデータは、上記ハニーネットネットワークとしてひとたびデプロイされた上記プロビジョニングされたコンポーネントによってアクセス可能ではなく、上記ハニーネットネットワークは、上記通信ネットワーク内にデプロイされたネットワークデバイスのクラスタのうちの一ネットワークデバイス上のサービスにアクセスしようと試みる不正ネットワークトラフィックをモニタリングする、段階
を備え、上記プロビジョニングする段階は、
上記不正ネットワークトラフィックのログをとる処理デバイスをプロビジョニングする段階と
上記不正トラフィックの第1の部分を受信し、上記不正トラフィックに対応する第1のログセットを生成するゲートウェイデバイスをプロビジョニングする段階と、
上記不正トラフィックの第2の部分を受信するハニーポットをプロビジョニングする段階であって、上記ハニーポットは、上記サービスのインスタンスを実行し、上記ハニーポットは、上記サービスの上記不正ネットワークトラフィックをモニタリングし、上記モニタリングされた不正トラフィックに対応する第2のログセットを生成する、段階と、
第2のサーバに記憶された構成データに基づいて、上記処理デバイス、上記ゲートウェイデバイス、および上記ハニーポットを自動的に構成する上記第2のサーバをプロビジョニングする段階であって、上記構成データは、上記第1のサーバによってアクセス可能ではない、段階と
を有する、
方法。
[項目9]
上記プロビジョニングデータは、1つの上記処理デバイス、上記ゲートウェイデバイス、上記ハニーポット、および上記第2のサーバのプロビジョニング中に使用されるアプリケーションプログラミングインタフェースキー、セキュアシェルキー、および認証パラメータのうちの少なくとも1つを含む、
項目8に記載の方法。
[項目10]
上記構成データは、アプリケーションと、上記アプリケーションをインストールするための命令を定義する1または複数のファイルとを含み、上記処理デバイス、上記ゲートウェイデバイス、および上記ハニーポットを自動的に構成することは、上記命令に基づいて、上記処理デバイス、上記ゲートウェイデバイス、および上記ハニーポットのうちの少なくとも1つに上記アプリケーションをインストールすることを含む、
項目9に記載の方法。
[項目11]
上記サービスは、上記通信ネットワークのネットワークデバイス上で実行されるものと同一のサービスの挙動をエミュレートして、上記不正ネットワークトラフィックを上記ハニーネットネットワークに誘導する、
項目8に記載の方法。
[項目12]
上記処理デバイスはさらに、上記不正ネットワークトラフィックからの脅威を特定し、上記脅威が上記ネットワークトラフィックから特定された回数に基づいて上記脅威に優先順位をつけるよう構成される、
項目8に記載の方法。
[項目13]
上記処理デバイスはさらに、上記通信ネットワークの少なくとも1つのネットワークデバイスに対して、上記第1のログセットおよび上記第2のログセットへのアクセスを提供するよう構成される、
項目8に記載の方法。
[項目14]
上記ハニーネットネットワークは独立であり、上記通信ネットワークの外部にある、
項目8に記載の方法。
[項目15]
脅威を検出するための命令を有して符号化される非一時的コンピュータ可読媒体であって、上記命令はプロセッサによって実行可能であり、上記命令は、
プロビジョニングデータに基づいて、通信ネットワークにおいてハニーネットネットワークとしてデプロイするためのコンポーネントをプロビジョニングすることであって、上記プロビジョニングデータは、上記ハニーネットネットワークとしてひとたびデプロイされた上記プロビジョニングされたコンポーネントによってアクセス可能ではなく、上記ハニーネットネットワークは、上記通信ネットワーク内にデプロイされたネットワークデバイスのクラスタのうちの一ネットワークデバイス上のサービスにアクセスするよう試みる不正ネットワークトラフィックをモニタリングする、プロビジョニングすること
を含み、上記プロビジョニングすることは、
上記不正ネットワークトラフィックのログをとる処理デバイスをプロビジョニングすることと、
上記不正トラフィックの第1の部分を受信し、上記不正トラフィックに対応する第1のログセットを生成するゲートウェイデバイスをプロビジョニングすることと、
上記不正トラフィックの第2の部分を受信するハニーポットをプロビジョニングすることであって、上記ハニーポットは、上記サービスのインスタンスを実行し、上記ハニーポットは、上記サービスの上記不正ネットワークトラフィックをモニタリングし、上記モニタリングされた不正トラフィックに対応する第2のログセットを生成する、プロビジョニングすることと、
第2のサーバに記憶された構成データに基づいて、上記処理デバイス、上記ゲートウェイデバイス、および上記ハニーポットを自動的に構成する上記第2のサーバをプロビジョニングすることであって、上記構成データは、上記第1のサーバによってアクセス可能ではない、プロビジョニングすることと
を有する、
非一時的コンピュータ可読媒体。
[項目16]
上記プロビジョニングデータは、1つの上記処理デバイス、上記ゲートウェイデバイス、上記ハニーポット、および上記第2のサーバのプロビジョニング中に使用されるアプリケーションプログラミングインタフェースキー、セキュアシェルキー、および認証パラメータのうちの少なくとも1つを含む、
項目15に記載の非一時的コンピュータ可読媒体。
[項目17]
上記構成データは、アプリケーションと、上記アプリケーションをインストールするための命令を定義する1または複数のファイルとを含み、上記処理デバイス、上記ゲートウェイデバイス、および上記ハニーポットを自動的に構成することは、上記命令に基づいて、上記処理デバイス、上記ゲートウェイデバイス、および上記ハニーポットのうちの少なくとも1つに上記アプリケーションをインストールすることを含む、
項目16に記載の非一時的コンピュータ可読媒体。
[項目18]
上記サービスは、上記通信ネットワークのネットワークデバイス上で実行されるものと同一のサービスの挙動をエミュレートして、上記不正ネットワークトラフィックを上記ハニーネットネットワークに誘導する、
項目15に記載の非一時的コンピュータ可読媒体。
[項目19]
上記処理デバイスはさらに、上記不正ネットワークトラフィックからの脅威を特定し、上記脅威が上記ネットワークトラフィックから特定された回数に基づいて上記脅威に優先順位をつけるよう構成される、
項目15に記載の非一時的コンピュータ可読媒体。
[項目20]
上記処理デバイスはさらに、上記通信ネットワークの少なくとも1つのネットワークデバイスに対して、上記第1のログセットおよび上記第2のログセットへのアクセスを提供するよう構成される、
項目15に記載の非一時的コンピュータ可読媒体。
[項目21]
上記ハニーネットネットワークは独立であり、上記通信ネットワークの外部にある、
項目15に記載の非一時的コンピュータ可読媒体。

Claims (21)

  1. 通信ネットワークに含まれる第1のサーバコンピューティングデバイスを備えた、脅威を検出するためのシステムであって、
    前記第1のサーバコンピューティングデバイスは、
    前記第1のサーバコンピューティングデバイスに記憶されたプロビジョニングデータに基づいて、前記通信ネットワークにおいてハニーネットネットワークとしてデプロイするためのコンポーネントをプロビジョニングし、前記プロビジョニングデータは、前記ハニーネットネットワークとしてひとたびデプロイされた前記プロビジョニングされたコンポーネントによってアクセス可能ではなく、前記ハニーネットネットワークは、前記ハニーネットネットワーク内で実行されるサービスにアクセスしようと試みる不正ネットワークトラフィックをモニタリングし、
    前記ハニーネットネットワークの前記プロビジョニングされたコンポーネントは、
    前記不正ネットワークトラフィックのログをとる処理デバイスと、
    前記不正トラフィックの第1の部分を受信し、前記不正トラフィックに対応する第1のログセットを生成するゲートウェイデバイスと、
    前記不正トラフィックの第2の部分を受信するハニーポットであって、前記ハニーポットは、前記サービスのインスタンスを実行し、前記ハニーポットは、前記サービスの前記不正ネットワークトラフィックをモニタリングし、前記モニタリングされた不正トラフィックに対応する第2のログセットを生成する、ハニーポットと、
    第2のサーバコンピューティングデバイスであって、前記第2のサーバコンピューティングデバイスは、前記第2のサーバに記憶された構成データに基づいて、前記ゲートウェイデバイス、前記処理デバイス、および前記ハニーポットを自動的に構成し、前記構成データは、前記第1のサーバによってアクセス可能ではない、第2のサーバコンピューティングデバイスと
    を備える、
    システム。
  2. 前記プロビジョニングデータは、1つの前記処理デバイス、前記ゲートウェイデバイス、前記ハニーポット、および前記第2のサーバのプロビジョニング中に使用されるアプリケーションプログラミングインタフェースキー、セキュアシェルキー、および認証パラメータのうちの少なくとも1つを含む、
    請求項1に記載のシステム。
  3. 前記構成データは、アプリケーションと、前記アプリケーションをインストールするための命令を定義する1または複数のファイルとを含み、前記処理デバイス、前記ゲートウェイデバイス、および前記ハニーポットを自動的に構成することは、前記命令に基づいて、前記処理デバイス、前記ゲートウェイデバイス、および前記ハニーポットのうちの少なくとも1つに前記アプリケーションをインストールすることを含む、
    請求項2に記載のシステム。
  4. 前記サービスは、前記通信ネットワークのネットワークデバイス上で実行されるものと同一のサービスの挙動をエミュレートして、前記不正ネットワークトラフィックを前記ハニーネットネットワークに誘導する、
    請求項1に記載のシステム。
  5. 前記処理デバイスはさらに、前記不正ネットワークトラフィックからの脅威を特定し、前記脅威が前記ネットワークトラフィックから特定された回数に基づいて前記脅威に優先順位をつけるよう構成される、
    請求項1に記載のシステム。
  6. 前記処理デバイスはさらに、前記通信ネットワークの少なくとも1つのネットワークデバイスに対して、前記第1のログセットおよび前記第2のログセットへのアクセスを提供するよう構成される、
    請求項1に記載のシステム。
  7. 前記ハニーネットネットワークは独立であり、前記通信ネットワークの外部にある、
    請求項1に記載のシステム。
  8. 脅威を検出するための方法であって、
    プロビジョニングデータに基づいて、通信ネットワークにおいてハニーネットネットワークとしてデプロイするためのコンポーネントをプロビジョニングする段階であって、前記プロビジョニングデータは、前記ハニーネットネットワークとしてひとたびデプロイされた前記プロビジョニングされたコンポーネントによってアクセス可能ではなく、前記ハニーネットネットワークは、前記通信ネットワーク内にデプロイされたネットワークデバイスのクラスタのうちの一ネットワークデバイス上のサービスにアクセスしようと試みる不正ネットワークトラフィックをモニタリングする、段階
    を備え、前記プロビジョニングする段階は、
    前記不正ネットワークトラフィックのログをとる処理デバイスをプロビジョニングする段階と
    前記不正トラフィックの第1の部分を受信し、前記不正トラフィックに対応する第1のログセットを生成するゲートウェイデバイスをプロビジョニングする段階と、
    前記不正トラフィックの第2の部分を受信するハニーポットをプロビジョニングする段階であって、前記ハニーポットは、前記サービスのインスタンスを実行し、前記ハニーポットは、前記サービスの前記不正ネットワークトラフィックをモニタリングし、前記モニタリングされた不正トラフィックに対応する第2のログセットを生成する、段階と、
    第2のサーバに記憶された構成データに基づいて、前記処理デバイス、前記ゲートウェイデバイス、および前記ハニーポットを自動的に構成する前記第2のサーバをプロビジョニングする段階であって、前記構成データは、前記第1のサーバによってアクセス可能ではない、段階と
    を有する、
    方法。
  9. 前記プロビジョニングデータは、1つの前記処理デバイス、前記ゲートウェイデバイス、前記ハニーポット、および前記第2のサーバのプロビジョニング中に使用されるアプリケーションプログラミングインタフェースキー、セキュアシェルキー、および認証パラメータのうちの少なくとも1つを含む、
    請求項8に記載の方法。
  10. 前記構成データは、アプリケーションと、前記アプリケーションをインストールするための命令を定義する1または複数のファイルとを含み、前記処理デバイス、前記ゲートウェイデバイス、および前記ハニーポットを自動的に構成することは、前記命令に基づいて、前記処理デバイス、前記ゲートウェイデバイス、および前記ハニーポットのうちの少なくとも1つに前記アプリケーションをインストールすることを含む、
    請求項9に記載の方法。
  11. 前記サービスは、前記通信ネットワークのネットワークデバイス上で実行されるものと同一のサービスの挙動をエミュレートして、前記不正ネットワークトラフィックを前記ハニーネットネットワークに誘導する、
    請求項8に記載の方法。
  12. 前記処理デバイスはさらに、前記不正ネットワークトラフィックからの脅威を特定し、前記脅威が前記ネットワークトラフィックから特定された回数に基づいて前記脅威に優先順位をつけるよう構成される、
    請求項8に記載の方法。
  13. 前記処理デバイスはさらに、前記通信ネットワークの少なくとも1つのネットワークデバイスに対して、前記第1のログセットおよび前記第2のログセットへのアクセスを提供するよう構成される、
    請求項8に記載の方法。
  14. 前記ハニーネットネットワークは独立であり、前記通信ネットワークの外部にある、
    請求項8に記載の方法。
  15. 脅威を検出するための命令を有して符号化される非一時的コンピュータ可読媒体であって、前記命令はプロセッサによって実行可能であり、前記命令は、
    プロビジョニングデータに基づいて、通信ネットワークにおいてハニーネットネットワークとしてデプロイするためのコンポーネントをプロビジョニングすることであって、前記プロビジョニングデータは、前記ハニーネットネットワークとしてひとたびデプロイされた前記プロビジョニングされたコンポーネントによってアクセス可能ではなく、前記ハニーネットネットワークは、前記通信ネットワーク内にデプロイされたネットワークデバイスのクラスタのうちの一ネットワークデバイス上のサービスにアクセスするよう試みる不正ネットワークトラフィックをモニタリングする、プロビジョニングすること
    を含み、前記プロビジョニングすることは、
    前記不正ネットワークトラフィックのログをとる処理デバイスをプロビジョニングすることと、
    前記不正トラフィックの第1の部分を受信し、前記不正トラフィックに対応する第1のログセットを生成するゲートウェイデバイスをプロビジョニングすることと、
    前記不正トラフィックの第2の部分を受信するハニーポットをプロビジョニングすることであって、前記ハニーポットは、前記サービスのインスタンスを実行し、前記ハニーポットは、前記サービスの前記不正ネットワークトラフィックをモニタリングし、前記モニタリングされた不正トラフィックに対応する第2のログセットを生成する、プロビジョニングすることと、
    第2のサーバに記憶された構成データに基づいて、前記処理デバイス、前記ゲートウェイデバイス、および前記ハニーポットを自動的に構成する前記第2のサーバをプロビジョニングすることであって、前記構成データは、前記第1のサーバによってアクセス可能ではない、プロビジョニングすることと
    を有する、
    非一時的コンピュータ可読媒体。
  16. 前記プロビジョニングデータは、1つの前記処理デバイス、前記ゲートウェイデバイス、前記ハニーポット、および前記第2のサーバのプロビジョニング中に使用されるアプリケーションプログラミングインタフェースキー、セキュアシェルキー、および認証パラメータのうちの少なくとも1つを含む、
    請求項15に記載の非一時的コンピュータ可読媒体。
  17. 前記構成データは、アプリケーションと、前記アプリケーションをインストールするための命令を定義する1または複数のファイルとを含み、前記処理デバイス、前記ゲートウェイデバイス、および前記ハニーポットを自動的に構成することは、前記命令に基づいて、前記処理デバイス、前記ゲートウェイデバイス、および前記ハニーポットのうちの少なくとも1つに前記アプリケーションをインストールすることを含む、
    請求項16に記載の非一時的コンピュータ可読媒体。
  18. 前記サービスは、前記通信ネットワークのネットワークデバイス上で実行されるものと同一のサービスの挙動をエミュレートして、前記不正ネットワークトラフィックを前記ハニーネットネットワークに誘導する、
    請求項15に記載の非一時的コンピュータ可読媒体。
  19. 前記処理デバイスはさらに、前記不正ネットワークトラフィックからの脅威を特定し、前記脅威が前記ネットワークトラフィックから特定された回数に基づいて前記脅威に優先順位をつけるよう構成される、
    請求項15に記載の非一時的コンピュータ可読媒体。
  20. 前記処理デバイスはさらに、前記通信ネットワークの少なくとも1つのネットワークデバイスに対して、前記第1のログセットおよび前記第2のログセットへのアクセスを提供するよう構成される、
    請求項15に記載の非一時的コンピュータ可読媒体。
  21. 前記ハニーネットネットワークは独立であり、前記通信ネットワークの外部にある、
    請求項15に記載の非一時的コンピュータ可読媒体。
JP2018536294A 2016-02-10 2017-02-09 自動ハニーポットプロビジョニングシステム Pending JP2019506797A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201662293561P 2016-02-10 2016-02-10
US62/293,561 2016-02-10
PCT/US2017/017227 WO2017139489A1 (en) 2016-02-10 2017-02-09 Automated honeypot provisioning system

Publications (1)

Publication Number Publication Date
JP2019506797A true JP2019506797A (ja) 2019-03-07

Family

ID=59496582

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018536294A Pending JP2019506797A (ja) 2016-02-10 2017-02-09 自動ハニーポットプロビジョニングシステム

Country Status (7)

Country Link
US (1) US10560434B2 (ja)
EP (1) EP3414663A1 (ja)
JP (1) JP2019506797A (ja)
CN (1) CN108701066A (ja)
CA (1) CA3013924A1 (ja)
SG (1) SG11201805986TA (ja)
WO (1) WO2017139489A1 (ja)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10771478B2 (en) * 2016-02-18 2020-09-08 Comcast Cable Communications, Llc Security monitoring at operating system kernel level
US9979750B2 (en) 2016-04-26 2018-05-22 Acalvio Technologies, Inc. Tunneling for network deceptions
US10326796B1 (en) * 2016-04-26 2019-06-18 Acalvio Technologies, Inc. Dynamic security mechanisms for mixed networks
US10476858B2 (en) * 2017-05-08 2019-11-12 Dell Products L.P. System and method to remotely secure a compromised information handling system
US10521584B1 (en) * 2017-08-28 2019-12-31 Amazon Technologies, Inc. Computer threat analysis service
US10880319B2 (en) 2018-04-26 2020-12-29 Micro Focus Llc Determining potentially malware generated domain names
CN108809950B (zh) * 2018-05-21 2020-10-16 中国科学院信息工程研究所 一种基于云端影子系统的无线路由器保护方法和系统
CN110875904A (zh) * 2018-08-31 2020-03-10 阿里巴巴集团控股有限公司 实现攻击处理的方法、蜜罐部署方法及介质和设备
CN109547250B (zh) * 2018-11-26 2022-08-09 深信服科技股份有限公司 云蜜网装置及云蜜网配置方法、系统、设备、计算机介质
US11271963B2 (en) 2018-12-20 2022-03-08 Micro Focus Llc Defending against domain name system based attacks
US11057428B1 (en) * 2019-03-28 2021-07-06 Rapid7, Inc. Honeytoken tracker
US11876833B2 (en) * 2019-08-15 2024-01-16 Uchicago Argonne, Llc Software defined networking moving target defense honeypot
TWI703467B (zh) * 2019-08-29 2020-09-01 國立成功大學 具有高互動組合工控誘捕系統及其方法
US11750651B2 (en) * 2019-09-04 2023-09-05 Oracle International Corporation Honeypots for infrastructure-as-a-service security
US11494493B1 (en) * 2019-09-23 2022-11-08 Amazon Technologies, Inc. Software verification for network-accessible applications
US11271907B2 (en) 2019-12-19 2022-03-08 Palo Alto Networks, Inc. Smart proxy for a large scale high-interaction honeypot farm
US11265346B2 (en) 2019-12-19 2022-03-01 Palo Alto Networks, Inc. Large scale high-interactive honeypot farm
CN111464528A (zh) * 2020-03-30 2020-07-28 绿盟科技集团股份有限公司 网络安全防护方法、系统、计算设备和存储介质
US11689568B2 (en) * 2020-05-08 2023-06-27 International Business Machines Corporation Dynamic maze honeypot response system
CN111901325B (zh) * 2020-07-20 2022-11-15 杭州安恒信息技术股份有限公司 蜜罐节点的服务扩展方法、装置、电子装置和存储介质
US11824894B2 (en) 2020-11-25 2023-11-21 International Business Machines Corporation Defense of targeted database attacks through dynamic honeypot database response generation
CN112578761B (zh) * 2021-02-03 2023-05-26 山东云天安全技术有限公司 一种工业控制蜜罐安全防护装置及方法
US11736306B1 (en) 2021-04-13 2023-08-22 Amdocs Development Limited System, method, and computer program for using artificial intelligence for online charging
US11818172B1 (en) 2021-08-24 2023-11-14 Amdocs Development Limited System, method, and computer program for a computer attack response service
CN113904852A (zh) * 2021-10-11 2022-01-07 北京知道创宇信息技术股份有限公司 蜜罐动态部署方法、装置、电子设备和可读存储介质
CN116032596A (zh) * 2022-12-25 2023-04-28 哈尔滨工程大学 一种工业互联网设备虚拟化诱骗平台
CN115833922B (zh) * 2023-02-16 2023-04-25 北京航天驭星科技有限公司 卫星地面站任务计划的数据处理方法、系统、设备、介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8429746B2 (en) * 2006-05-22 2013-04-23 Neuraliq, Inc. Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems
KR100868207B1 (ko) * 2006-07-19 2008-11-11 현대자동차주식회사 차량용 7속 자동 변속기의 유압제어장치
US8015174B2 (en) * 2007-02-28 2011-09-06 Websense, Inc. System and method of controlling access to the internet
US8856869B1 (en) * 2009-06-22 2014-10-07 NexWavSec Software Inc. Enforcement of same origin policy for sensitive data

Also Published As

Publication number Publication date
WO2017139489A1 (en) 2017-08-17
US10560434B2 (en) 2020-02-11
US20170230336A1 (en) 2017-08-10
CA3013924A1 (en) 2017-08-17
SG11201805986TA (en) 2018-08-30
CN108701066A (zh) 2018-10-23
EP3414663A1 (en) 2018-12-19

Similar Documents

Publication Publication Date Title
US10560434B2 (en) Automated honeypot provisioning system
US10091238B2 (en) Deception using distributed threat detection
US10666686B1 (en) Virtualized exploit detection system
Lal et al. NFV: Security threats and best practices
US10567431B2 (en) Emulating shellcode attacks
US9942270B2 (en) Database deception in directory services
US9609019B2 (en) System and method for directing malicous activity to a monitoring system
US9294442B1 (en) System and method for threat-driven security policy controls
US11489853B2 (en) Distributed threat sensor data aggregation and data export
TW201642618A (zh) 用於威脅驅動安全性政策控制之系統及方法
WO2016199129A2 (en) Managing dynamic deceptive environments
US20210344690A1 (en) Distributed threat sensor analysis and correlation
US11258812B2 (en) Automatic characterization of malicious data flows
WO2016081561A1 (en) System and method for directing malicious activity to a monitoring system
dos Santos et al. Leveraging operational technology and the Internet of things to attack smart buildings
Cusack et al. Evaluating IP surveillance camera vulnerabilities
US20210344726A1 (en) Threat sensor deployment and management
US20240022547A1 (en) System and method for midserver facilitation of mass scanning network traffic detection and analysis
Mudgerikar et al. Iot attacks and malware
Vidal-González et al. Analyzing IoT-based botnet malware activity with distributed low interaction honeypots
Ngongang Cloud Computing Security
TWI761122B (zh) 網路資安威脅防護系統及相關的前攝性可疑網域示警系統
Mihanjo et al. Isolation of DDoS Attacks and Flash Events in Internet Traffic Using Deep Learning Techniques
Foo Network Isolation and Security Using Honeypot
WO2021221930A1 (en) Threat sensor deployment and management

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180914