RU2761542C1 - Система и способ формирования системы ресурсов-ловушек - Google Patents
Система и способ формирования системы ресурсов-ловушек Download PDFInfo
- Publication number
- RU2761542C1 RU2761542C1 RU2021106663A RU2021106663A RU2761542C1 RU 2761542 C1 RU2761542 C1 RU 2761542C1 RU 2021106663 A RU2021106663 A RU 2021106663A RU 2021106663 A RU2021106663 A RU 2021106663A RU 2761542 C1 RU2761542 C1 RU 2761542C1
- Authority
- RU
- Russia
- Prior art keywords
- computing system
- computing
- virtual environment
- data
- virtual
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 230000000694 effects Effects 0.000 claims abstract description 14
- 238000011160 research Methods 0.000 claims abstract 3
- 238000012546 transfer Methods 0.000 claims description 19
- 238000004891 communication Methods 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 6
- 230000006870 function Effects 0.000 claims description 5
- 238000011835 investigation Methods 0.000 claims description 2
- 239000000126 substance Substances 0.000 abstract 1
- 238000004458 analytical method Methods 0.000 description 20
- 238000010586 diagram Methods 0.000 description 12
- 238000001514 detection method Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 6
- 230000002155 anti-virotic effect Effects 0.000 description 5
- 230000015572 biosynthetic process Effects 0.000 description 5
- 238000013459 approach Methods 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 235000012907 honey Nutrition 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- YOBAEOGBNPPUQV-UHFFFAOYSA-N iron;trihydrate Chemical compound O.O.O.[Fe].[Fe] YOBAEOGBNPPUQV-UHFFFAOYSA-N 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Настоящее техническое решение относится к области вычислительной техники. Технический результат заключается в решении задач формирования ловушек для вредоносных программ и прочих вредоносных объектов без значительных ограничений в работе вычислительных систем. Технический результат достигается за счёт системы формирования системы вычислительных систем, предназначенных для того, чтобы подвергнуться атаке или несанкционированному исследованию и собрать данные об указанной активности (далее - ресурсы-ловушки), которая содержит по меньшей мере два средства сбора, каждое из которых установлено на отдельной вычислительной системе, средство формирования, предназначенное для формирования по меньшей мере двух виртуальных сред, каждая из которых содержит средство эмуляции, средство распределения, а также способа формирования системы вычислительных систем, предназначенных для того, чтобы подвергнуться атаке или несанкционированному исследованию и собрать данные об указанной активности. 2 н. и 12 з.п. ф-лы, 5 ил.
Description
Область техники
Изобретение относится к области анализа данных, а более конкретно к системам и способам формирования систем ресурсов-ловушек и выявления вредоносных объектов.
Уровень техники
Бурное развитие компьютерных технологий в последнее десятилетие, а также широкое распространение разнообразных вычислительных устройств (персональных компьютеров, ноутбуков, планшетов, смартфонов и т.д.) стали мощным стимулом для использования упомянутых устройств в разнообразных сферах деятельности и для огромного количества задач (от интернет-серфинга до банковских переводов и ведения электронного документооборота). Параллельно с ростом количества вычислительных устройств и объема программного обеспечения, работающего на этих устройствах, быстрыми темпами росло и количество вредоносных программ, а также способов несанкционированного доступа к данным, обрабатываемым указанными устройствами, и мошеннических способов использования этих данных.
В настоящий момент существует огромное количество разновидностей вредоносных программ. Одни крадут с устройств пользователей их персональные и конфиденциальные данные (например, логины и пароли, банковские реквизиты, электронные документы). Другие формируют из устройств пользователей так называемые бот-сети (англ. botnet) для таких атак на вычислительные системы, как отказ в обслуживании (англ. DDoS - Distributed Denial of Service), или для перебора паролей методом грубой силы (англ. bruteforce). Третьи предлагают пользователям платный контент через навязчивую рекламу, платные подписки, отправку CMC на платные номера и т.д.
Для борьбы с вредоносными программами, включающими в себя обнаружение вредоносных программ, предотвращение заражения и восстановление работоспособности вычислительных устройств, зараженных вредоносными программами, применяются специализированные программы - антивирусы. Для обнаружения всего многообразия вредоносных программ антивирусные программы используют разнообразные технологии, такие как: статический анализ, сигнатурный анализ, списки разрешенных и запрещенных приложений и адресов, динамический анализ, эвристический анализ, проактивная защита и т.д.
Для эффективного применения описанных выше технологий обнаружения вредоносных программ в частности и вредоносной активности в целом необходимо получение новых экземпляров вредоносных программ или журналов вредоносной активности. С этой задачей хорошо справляются специальные системы - ресурсы-ловушки (от англ. honeypot - горшочек с медом), специально настроенные вычислительные системы с активными уязвимостями, представляющие собой хорошие цели для вредоносных атак.
Одним из недостатков ресурсов-ловушек может служить то, что зачастую они требуют для своей работы или отдельных компьютеров, или значительных вычислительных ресурсов, или сложной настройки и управления, что может затруднить их использование в задачах, связанных с информационной безопасностью.
В публикации US 9906538 B2 описана технология обнаружения сетевых атак с помощью систем-ловушек (ресурсов-ловушек). С этой целью на специально выделенной вычислительной системе формируется система, способствующая тому, что на нее будет совершена сетевая атака - за счет подготовки соответствующих ловушек (файлов и программного обеспечения, являющихся целью сетевой атаки). Выявление сетевых атак становится возможным за счет того, что заранее известно состояние вычислительной системы до начала ее функционирования в качестве ловушки. Таким образом, отслеживаются изменения в файловой системе и активности программного обеспечения на указанной вычислительной системе, в том числе активности вредоносных приложений или любой активности, связанной с сетевыми атаками.
Хотя описанные технологии хорошо справляются с формированием среды-ловушки для обнаружения вредоносных программ, они формируют указанные среды-ловушки на заданных вычислительных устройствах, тем самым снижая их эффективность работы с остальными задачами, а зачастую и делая невозможной такую работу (на вычислительной системе, служащей ловушкой для вредоносных программ, не может безопасно работать пользователь).
Настоящее изобретение позволяет решать задачу формирования ловушек для вредоносных программ и прочих вредоносных объектов (ресурсы-ловушки) без значительных ограничений в работе вычислительных систем, которые служат указанными ловушками, путем формирования системы ресурсов-ловушек.
Раскрытие изобретения
Изобретение предназначено для анализа данных.
Технический результат настоящего изобретения заключается в формировании системы ресурсов-ловушек для выявления вредоносных объектов в сетевом трафике.
Данные результаты достигаются с помощью использования системы формирования системы ресурсов-ловушек, которая содержит по меньшей мере два средства сбора, каждое из которых установлено на отдельной вычислительной системе и предназначено для сбора данных о вычислительной системе, на которой установлено, и передачи собранных данных средству формирования и средству распределения; средство формирования, предназначенное для формирования по меньшей мере двух виртуальных сред, каждая из которых содержит средство эмуляции, предназначенное для эмуляции работы вычислительной системы в виртуальной среде, на основании собранных данных о вычислительных системах, и передачи данных о сформированных виртуальных средах средству распределения; средство распределения, предназначенное для выбора по меньшей мере одной виртуальной среды для каждой вычислительной системы и установления связи между указанной вычислительной системой и виртуальной средой.
В другом частном случае реализации системы в качестве данных о вычислительной системе выступают по меньшей мере: аппаратные характеристики вычислительной системы; информация о вычислительных ресурсах вычислительной системы; информация об установленном на вычислительной системе программном обеспечении; информация о сетевом окружении вычислительной системы; информация о физическом расположении вычислительной системы.
Еще в одном частном случае реализации системы формируемая виртуальная среда по меньшей мере: содержит программное обеспечение, обладающее тем же функционалом, что и программное обеспечение, установленное на вычислительной системе; обладает вычислительными ресурсами, схожими с вычислительными ресурсами вычислительной системы; обладает скоростью передачи данных от вычислительной системы до виртуальной среды выше заранее заданного порогового значения; функционирует с тем же сетевым окружением, что и вычислительная система; обладает заранее заданным набором уязвимостей.
В другом частном случае реализации системы выбор для вычислительной системы виртуальной среды осуществляется на основании обученной модели.
Еще в одном частном случае реализации системы выбор для вычислительной системы виртуальной среды осуществляется по меньшей мере таким образом, чтобы: использование вычислительных ресурсов виртуальной среды было меньше заранее заданного порога; скорость передачи данными от вычислительной системы до виртуальной среды выше заранее заданного порогового значения.
В другом частном случае реализации системы связь для передачи данных между вычислительной системой и средством эмуляции устанавливают с использованием защищенной виртуальной сети.
Еще в одном частном случае реализации системы средство распределения дополнительно предназначено для установления связи между вычислительной системой и виртуальной средой для передачи данных между вычислительной системой и средством эмуляции выбранной виртуальной среды.
Данные результаты достигаются с помощью использования способа формирования системы ресурсов-ловушек, при этом способ содержит этапы, которые реализуются с помощью средств из системы формирования системы ресурсов-ловушек и на которых: собирают данные о по меньшей мере двух вычислительных системах; формируют по меньшей мере две виртуальные среды, каждая из которых содержит по средству эмуляции, предназначенному для эмуляции работы вычислительной системы в виртуальной среде, на основании собранных данных о вычислительных системах; формируют систему ресурсов-ловушек, путем выбора для каждой описанной выше вычислительной системы по меньшей мере одной виртуальной среды на основании данных о сформированных виртуальных средах и установления связи между указанными вычислительной системой и виртуальной средой.
В другом частном случае реализации способа в качестве данных о вычислительной системе выступают по меньшей мере: аппаратные характеристики вычислительной системы; информация о вычислительных ресурсах вычислительной системы; информация об установленном на вычислительной системе программном обеспечении; информация о сетевом окружении вычислительной системы; информация о физическом расположении вычислительной системы.
Еще в одном частном случае реализации способа формируемая виртуальная среда по меньшей мере: содержит программное обеспечение, обладающее тем же функционалом, что и программное обеспечение, установленное на вычислительной системе; обладает вычислительными ресурсами, схожими с вычислительными ресурсами вычислительной системы; обладает скоростью передачи данных от вычислительной системы до виртуальной среды выше заранее заданного порогового значения; функционирует с тем же сетевым окружением, что и вычислительная система; обладает заранее заданным набором уязвимостей.
В другом частном случае реализации способа выбор для вычислительной системы виртуальной среды осуществляется на основании обученной модели.
Еще в одном частном случае реализации способа выбор для вычислительной системы виртуальной среды осуществляется по меньшей мере таким образом, чтобы: использование вычислительных ресурсов виртуальной среды было меньше заранее заданного порога; скорость передачи данными между от вычислительной системы до виртуальной среды выше заранее заданного порогового значения.
В другом частном случае реализации способа связь для передачи данных между вычислительной системой и средством эмуляции устанавливают с использованием защищенной виртуальной сети.
Еще в одном частном случае реализации способа устанавливают связь между вычислительной системой и виртуальной средой для передачи данных между вычислительной системой и средством эмуляции выбранной виртуальной среды.
Краткое описание чертежей
Фиг. 1 представляет структурную схему системы обнаружения вредоносного объекта в сетевом трафике.
Фиг. 2 представляет структурную схему способа обнаружения вредоносного объекта в сетевом трафике.
Фиг. 3 представляет структурную схему системы формирования системы ресурсов-ловушек.
Фиг. 4 представляет структурную схему способа формирования системы ресурсов-ловушек.
Фиг. 5 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер.
Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.
Введем ряд определений и понятий, которые будут использоваться при описании вариантов осуществления изобретения.
Ресурс-ловушка, honeypot (хонипот, с англ. - горшочек с медом) - вычислительная система, представляющая собой приманку для злоумышленников. Задача ресурса-ловушки - подвергнуться атаке или несанкционированному исследованию и собрать данные об указанной активности, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности.
В качестве вычислительной системы может выступать:
Например, веб-сервер, который не имеет имени и фактически никому не известен, не должен, соответственно, иметь и гостей, заходящих на него, поэтому все лица, которые пытаются на него проникнуть, являются потенциальными взломщиками. Ресурс-ловушка собирает информацию о характере поведения этих взломщиков и об их способах воздействия на сервер. После чего специалисты в области информационной безопасности разрабатывают стратегии отражения атак злоумышленников.
Виртуальная среда (или виртуальная машина, VM, от англ. virtual machine) - программная и/или аппаратная система, эмулирующая аппаратное обеспечение некоторой платформы (target - целевая, или гостевая платформа) и исполняющая программы для target-платформы на host-платформе (host - хост-платформа, платформа-хозяин) или виртуализирующая некоторую платформу и создающая на ней среды, изолирующие друг от друга программы и даже операционные системы.
Виртуализация - предоставление набора вычислительных ресурсов или их логического объединения, абстрагированное от аппаратной реализации и обеспечивающее при этом логическую изоляцию друг от друга вычислительных процессов, выполняемых на одном физическом ресурсе.
Примером использования виртуализации является возможность запуска нескольких операционных систем на одном компьютере: при том каждый из экземпляров таких гостевых операционных систем работает со своим набором логических ресурсов (процессорных, оперативной памяти, устройств хранения), предоставлением которых из общего пула, доступного на уровне оборудования, управляет хостовая операционная система - гипервизор.
Фиг. 1 представляет структурную схему системы обнаружения вредоносного объекта в сетевом трафике.
Структурная схема системы обнаружения вредоносного объекта в сетевом трафике состоит из сетевого трафика 100, который содержит вредоносный объект 101, вычислительной системы 110, которая содержит средство сбора 111, средство управления сетевым трафиком 112, средства распределения 120, виртуальной среды 130, которая содержит средство эмуляции 131, средство анализа 140.
Основное назначение системы обнаружения вредоносных объектов в сетевом трафике (далее - вредоносные объекты) заключается в обнаружении указанных вредоносных объектов, которые после передачи на вычислительную систему 110 устанавливаются в ней и начинают активно взаимодействовать с другим установленным программным обеспечением. Указанное обнаружение вредоносных объектов осуществляется путем эмуляции работы указанной вычислительной системы 110 в сформированной для этой цели виртуальной среде 130. Таким образом злоумышленник, атакуя вычислительную систему 110, инфицирует виртуальную среду-ловушку 130, которая выступает в качестве ресурса-ловушки.
В одном из вариантов реализации системы в качестве вредоносного объекта выступает по меньшей мере:
Например, в сетевом трафике 100 может передаваться:
Еще в одном примере сам сетевой трафик не содержит описанных выше сущностей (т.е. является безопасным или условно безопасным), однако сетевой трафик могут поступать из источников, распространяющих спам, вредоносные программы, навязчивую рекламу и т.д., например со специализированных серверов, арендованных мошенниками.
В одном из вариантов реализации системы в качестве вычислительной системы выступает компьютерная система, описанная на Фиг. 5.
В качестве вычислительной системы 110 выступает по меньшей мере:
Описываемая система обнаружения вредоносных объектов в сетевом трафике содержит по меньшей мере два средства сбора 111, каждое из которых функционирует на отдельной вычислительной системе 110.
В одном из вариантов реализации системы виртуальная среда 130 функционирует на сервере, не являющимся вычислительной системой 110.
Средство сбора 111 предназначено для сбора данных о вычислительной системе 110, на которой оно функционирует, и передаче собранных данных средству распределения 120.
Сбор данных о вычислительной системе 110 может осуществляться как до перехвата сетевого трафика 100 (например, во время загрузки операционной системы), так и в процессе перехвата сетевого трафика 100. Второй случай, хотя и требует больших вычислительных ресурсов, позволяет более эффективно формировать виртуальную среду 130 и, как следствие, позволяет более эффективно выявлять вредоносные объекты в сетевом трафике.
В одном из вариантов реализации системы в качестве данных о вычислительной системе 110 выступают по меньшей мере:
Например, в качестве данных о вычислительной системе могут выступать:
Еще в одном примере, если предполагается целевая атака (англ. APT, advanced persistent threat - развитая устойчивая угроза), то в качестве данных о вычислительной системе 110 может выступать непосредственно образ указанной вычислительной системы 110. На основании данного образа будет формироваться виртуальная среда 130 (на которой разворачивается данный образ). Таким образом, виртуальная среда 130 будет полностью эмулировать работу вычислительной системы 110, что в свою очередь будет способствовать обнаружению предназначенных исключительно для конкретной вычислительной системы 110 вредоносных объектов, которые не могли бы быть выявлены на виртуальной среде 130, сформированной на иных принципах (к примеру, на виртуальной среде, эмулирующей работу вычислительной системы среднестатистического пользователя).
Еще в одном из вариантов реализации системы средство сбора 111 дополнительно предназначено для сбора данных о работе приложений на вычислительной системе 110, включающих в том числе по меньшей мере:
Средство распределения 120 предназначено для выбора виртуальной среды 130 из по меньшей мере двух заранее сформированных виртуальных сред на основании собранных средством сбора 111 данных о вычислительной системе 110.
В одном из вариантов реализации системы выбирают виртуальную среду 130 из заранее сформированных виртуальных сред по меньшей мере:
с установленным программным обеспечением, обладающим тем же функционалом, что и программное обеспечение, установленное на вычислительной системе 110;
обладающую вычислительными ресурсами, схожими с вычислительными ресурсами вычислительной системы 110;
обладающую скоростью передачи данных от вычислительной системы 110 до виртуальной среды 130 выше заранее заданного порогового значения;
Например, для выявления вредоносных программ-шифровальщиков, которые шифруют электронные документы (к примеру, документы Microsoft Office) в виртуальной среде 130 должны быть установлены соответствующие приложения (к примеру, Microsoft Office). Для того, чтобы виртуальная среда 130 более точно соответствовала вычислительной системе 110, необходимо, чтобы в виртуальной среде 130 были установлены приложения тех же версий, что и на вычислительной системе 110 (к примеру, Microsoft Office 2016).
Еще в одном примере для выявления эксплойтов, т.е. исполняемого кода, использующего уязвимости операционной системы или приложений, в виртуальной среде 130 должна быть установлена такая же операционная система, что и на вычислительной системе 110, но с неисправленными уязвимостями. С одной стороны, такой подход позволяет максимально точно воспроизвести вычислительную систему 110 с минимальными затратами вычислительных ресурсов, а с другой стороны - с максимально возможной вероятностью получить в сетевом трафике 100 вредоносные объекты.
Еще в одном из вариантов реализации системы выбирают виртуальную среду 130 из заранее сформированных виртуальных сред на основе предварительно обученной модели.
Еще в одном из вариантов реализации системы указанная предварительно обученная модель представляет собой совокупность правил для по меньшей мере:
Обученная модель формируется с помощью методов машинного обучения (англ. machine learning) для чего используется по меньшей мере:
Частным примером обученной модели является обученная модель распределения 330, представленная при описании Фиг. 3.
Например, для разных типов вредоносных объектов могут быть заранее сформированы разные виртуальные среды 130 со своим программным обеспечением и характеристиками. Для выявления уязвимостей в виртуальной среде 130 устанавливается операционная система и программное обеспечение с неисправленными уязвимостями, для выявления программ-шифровальщиков - программное обеспечение для электронного документооборота и работы с медиа данными, для выявления спам-рассылок - программное обеспечение для работы с социальными сетями и т.д.
Еще в одном примере разным виртуальным средам 130 могут выделяться разные вычислительные ресурсы, такие как оперативная память, место на жестком диске или производительность процессора (регулируемая выделяемыми квантами процессорного времени). Таким образом, виртуальная среда 130, рассчитанная на выявление определенных типов вредоносных объектов, будет использовать минимально необходимое количество вычислительных ресурсов.
Такой подход позволяет сформировать и поддерживать работоспособность большего количества виртуальных сред 130 на одном сервере, что в свою очередь дает возможность более гибко осуществлять выбор между разными виртуальными средами 130 для заданной вычислительной системы 110.
Еще в одном примере, кроме формирования виртуальных сред 130 для заданных типов вредоносных объектов, могут формировать виртуальные среды 130 для определенных групп пользователей, таких как:
группа среднестатистических пользователей, т.е. пользователей, работающих с популярным программным обеспечением и выполняющих наиболее частые действия на вычислительных системах 110;
Такой подход наиболее эффективен для того, чтобы охватить наибольшее количество целевых аудиторий при минимальном использовании вычислительных ресурсов (выделяемых для функционирования виртуальных сред 130).
Кроме того, для конкретных пользователей, вычислительных систем 110 или действий, выполняемых пользователями на указанных вычислительных системах 110, могут формироваться отдельные виртуальные среды. Как указывалось выше, такой подход наиболее эффективен для выявления вредоносных объектов, используемых для целевых атак (APT).
Еще в одном из вариантов реализации системы средство распределения 120 дополнительно предназначено для выбора виртуальной среды 130 на основании характеристик перехваченного сетевого трафика 100.
Еще в одном из вариантов реализации системы в качестве характеристик перехваченного сетевого трафика выступает по меньшей мере:
унифицированный указатель ресурса (URL), с которого на вычислительную систему 110 поступает сетевой трафик 100;
Средство управления сетевым трафиком 112 предназначено для перехвата сетевого трафика 100 вычислительной системы 110 и передачи его средству эмуляции 131 на выбранной виртуальной среде 130.
В одном из вариантов реализации системы средство управления сетевым трафиком 112 представляет собой драйвер, работающий на вычислительной системе 110.
Еще в одном из вариантов реализации системы средство сбора 111 и средство управления сетевым трафиком 112 реализуются в виде тонкого клиента (англ. thin client).
Еще в одном из вариантов реализации системы средство управления сетевым трафиком 112 дополнительно передает перехваченный сетевой трафик 100 другому программному обеспечению, работающему на вычислительной системе 110. Таким образом, становится возможным перехватывать сетевой трафик 100 и использовать его для последующей эмуляции работы вычислительной системы 110 на виртуальной среде 130, при этом позволяя продолжать работать пользователю на вычислительной системе 110.
Еще в одном из вариантов реализации системы средство перехвата сетевого трафика 100 дополнительно предназначено для:
фильтрации сетевого трафика 100 на основании данных об источнике сетевого трафика 100, содержимом сетевого трафика 100 и т.д.;
последующей передачи сетевого трафика в зависимости от выбранной категории средству эмуляции 131, работающему в виртуальной среде 130, или другому программному обеспечению, работающему на вычислительной системе 110.
Например, все сетевые пакеты из сетевого трафика 100, источник которых известен и находится в списке разрешенных адресов, категоризируются как безопасные сетевые пакеты и передаются другому программному обеспечению, работающему на вычислительной системе 110, а все сетевые пакеты, источник которых неизвестен или находится в списке запрещенных адресов, категоризируются как потенциально опасные и передаются средству эмуляции 131, работающему в виртуальной среде 130.
Еще в одном примере пользователь с помощью браузера заходит на сайт и получает от сервера содержимое сайта. В сетевом трафике от сервера, хранящего страницы указанного сайта, содержатся как код страницы указанного сайта, так и ссылки на ресурсы, которые указанная страница использует, одной из ссылок является ссылка на вредоносный javascript-сценарий. Указанная ссылка распознается как небезопасная, в результате средство управления сетевым трафиком 112 передает браузеру данные из сетевого трафика 100 без данных из указанной ссылки, а средству эмуляции 131 передает сетевой трафик целиком.
Еще в одном из вариантов реализации системы перехваченный сетевой трафик 100 передают средству эмуляции 131 с использованием защищенной виртуальной сети (VPN).
Виртуальные среды 130 могут функционировать как на одном вычислительном устройстве (например, на одном сервере), так и на нескольких вычислительных устройствах (формировать распределенную систему вычислительных устройств и распределенную систему виртуальных сред 130).
Средство эмуляции 131 предназначено для эмуляции работы вычислительной системы 110 в виртуальной среде 130 на основании данных из перехваченного сетевого трафика 100 и передачи результатов эмуляции работы вычислительной системы средству анализа 140.
В одном из вариантов реализации системы в качестве средства эмуляции 131 выступает программное обеспечение для виртуализации.
Например, в качестве средства эмуляции 131 может выступать программное обеспечение «Microsoft Hyper-V», «VMware Server», «VMware Workstation», «VirtualBox» и т.д.
Средство анализа 140 предназначено для обнаружения вредоносного объекта 101 в виртуальной среде 130 на основании анализа результатов эмуляции работы вычислительной системы 110.
В одном из вариантов реализации системы в качестве средства анализа 140 выступает антивирусное программное обеспечение, использующее по меньшей мере одну из следующих технологий:
статический анализ - анализ программ на вредоносность на основании данных, содержащихся в файлах, составляющих анализируемые программы, при этом при статистическом анализе могут использоваться:
сигнатурный анализ - поиск соответствий какого-либо участка кода анализируемых программ известному коду (сигнатуре) из базы данных сигнатур вредоносных программ;
списки разрешенных и запрещенных приложений - поиск вычисленных контрольных сумм от анализируемых программ (или их частей) в базе данных контрольных сумм вредоносных программ (списки запрещенных программ) или базе данных контрольных сумм безопасных программ (списки разрешенных программ);
динамический анализ - анализ программ на вредоносность на основании данных, полученных в ходе исполнения или эмуляции работы анализируемых программ, при этом при динамическом анализе могут использоваться:
эвристический анализ - эмуляция работы анализируемых программ, создание журналов эмуляции (содержащих данные по вызовам API-функций, переданным параметрам, участкам кода анализируемых программ и т.д.) и поиск соответствий данных из созданных журналов с данными из базы данных поведенческих сигнатур вредоносных программ;
проактивная защита - перехват вызовов API-функций запущенных анализируемых программ, создание журналов поведения анализируемых программ (содержащих данные по вызовам API-функций, переданным параметрам, участкам кода анализируемых программ и т.д.) и поиск соответствий данных из созданных журналов с данными из базы данных вызовов вредоносных программ.
Еще в одном из вариантов реализации системы в результате работы средства анализа 140 по меньшей мере:
формируется поток атакующих URL/IP адресов, поставляемый известным из уровня техники внешним защитным решениям (антивирусному программному обеспечению, сетевым фильтрам и т.д.);
URL-адреса с вредоносным ПО добавляются в облачные сервисы для защиты пользователей, использующих антивирусные продукты и т.д.
Фиг. 2 представляет структурную схему способа обнаружения вредоносного объекта в сетевом трафике.
Структурная схема способа обнаружения вредоносного объекта в сетевом трафике содержит этап 200, на котором собирают данные о вычислительной системе, этап 210, на котором выбирают виртуальную среду, этап 220, на котором перехватывают сетевой трафик, этап 230, на котором эмулируют работу вычислительной системы, этап 240, на котором обнаруживают вредоносный объект.
На этапе 200 с помощью средства сбора 111 собирают данные о вычислительной системе 110.
На этапе 210 с помощью средства распределения 120 выбирают виртуальную среду 130 из по меньшей мере двух заранее сформированных виртуальных сред на основании собранных данных о вычислительной системе 110.
В одном из вариантов реализации способа этапы 200 и 210 выполняются по меньшей мере:
до начала выполнения этапа 220 (например, при загрузке операционной системы или запуске приложения, к примеру браузера);
в процессе выполнения этапа 220 (например, при работе приложения, которое активно генерирует сетевой трафик, к примеру браузера, при загрузке страницы сайта);
На этапе 220 с помощью средства управления сетевым трафиком 112 перехватывают сетевой трафик вычислительной системы 110.
На этапе 230 с помощью средства эмуляции 131 эмулируют работу вычислительной системы 110 в виртуальной среде 130 на основании данных из перехваченного сетевого трафика 100.
На этапе 240 с помощью средства анализа 140 обнаруживают вредоносный объект 101 в виртуальной среде 130 на основании анализа результатов эмуляции работы вычислительной системы 110.
Фиг. 3 представляет структурную схему системы формирования системы ресурсов-ловушек.
Структурная схема системы формирования системы ресурсов-ловушек состоит из средства формирования 310, базы виртуальных сред 320, модели распределения 330, средства распределения 340, вычислительных систем 110, каждое из которых содержит средство сбора 111 и средство управления сетевым трафиком 112, виртуальных сред 130, каждая из которых содержит средство эмуляции 131.
Одно из назначений системы формирования системы ресурсов-ловушек - реализация системы распределения виртуальных сред 130 между вычислительными системами 110, позволяющей эффективно обнаруживать вредоносные объекты 101 из сетевого трафика 100 поскольку каждой вычислительной системе 110 выделяется наиболее подходящая виртуальная среда 130, что с одной стороны снижает общее использование вычислительных ресурсов описываемой системой, а с другой стороны увеличивает эффективность (англ. detection rate) обнаружение вредоносных файлов 101 в специализированной для этой цели виртуальной среде 130. Более подробно см. ниже.
Система формирования системы ресурсов-ловушек содержит по меньшей мере две вычислительные системы 110.
Более подробно о вычислительной системе 110 описано на Фиг. 1.
В одном из вариантов реализации системы средство формирования 310, средство распределения 340 и виртуальные среды 130 функционируют на отдельных серверах.
Еще в одном из вариантов реализации системы средство формирования 310 и виртуальные среды 130 функционируют на одних и тех же серверах, а вычислительные системы 110 и средство распределения 340 - на других компьютерных системах, при этом вычислительная система 110 и средство распределения 340 могут работать на одной компьютерной системе.
Например, компьютер пользователя может представлять собой вычислительную систему 110, на которой функционирует средство распределения 340, которое устанавливает соединение с удаленным сервером, на котором функционирует средство формирования 310 и сформированная указанным средством виртуальная среда 130.
Предварительно собираются данные о каждой вычислительной системе 110 с помощью средства сбора 111.
В одном из вариантов реализации системы в качестве данных о вычислительной системе 110 выступают по меньшей мере:
Средство формирования 310 предназначено для формирования по меньшей мере двух виртуальных сред 130, каждая из которых содержит средство эмуляции 131, предназначенное для эмуляции работы вычислительной системы 110 в виртуальной среде 130, на основании собранных данных о вычислительных системах 110 и передачи данных о сформированных виртуальных средах средству распределения 340.
В одном из вариантов реализации системы формируемая виртуальная среда 130 по меньшей мере:
содержит программное обеспечение, обладающее тем же функционалом, что и программное обеспечение, установленное на вычислительной системе 110;
обладает скоростью передачи данных от вычислительной системы 110 до виртуальной среды 130 выше заранее заданного порогового значения;
Еще в одном из вариантов реализации системы формирование виртуальной среды 130 осуществляется по меньшей мере:
на основании элементов ранее сформированных виртуальных сред, хранящихся в базе виртуальных сред 320 (например, в виде образов), где в качестве элементов виртуальных сред выступают по меньшей мере:
Еще в одном из вариантов реализации системы формирование виртуальной среды 130 для одной вычислительной системы 110 влияет на формирование виртуальной среды 130 для другой вычислительной системы 110.
Например, виртуальные среды 130 для вычислительных систем 110 формируются таким образом, чтобы не превышать в своей работе выделенных вычислительных ресурсов сервера (при условии, что формируемые виртуальные среды 130 будут работать на одном сервере).
Средство формирования 310 дополнительно предназначено для обучения модели распределения 330 на основании данных о вычислительных системах 110 и сформированных виртуальных средах 130 таким образом, чтобы при последующем выборе с помощью средства распределения 340 с помощью модели распределения 330 виртуальных сред 130 для заданных вычислительных систем выполнялись задачи, в которых по меньшей мере:
эффективность обнаружения вредоносных объектов разных типов на выбираемых виртуальных средах 130 была максимальной;
время на передачу сетевого трафика 100 между вычислительными системами 110 и виртуальными средами 130 было минимальным;
нагрузка (т.е. использование вычислительных ресурсов, потребление машинного времени, потребление электроэнергии и т.д.) на виртуальную среду 130 была меньше заранее заданных пороговых значений.
Например, с помощью средства формирования 310 обучают модель распределения 330 на основании ранее сформированных виртуальных сред 130, которые использовались для обнаружения эксплойтов операционной системы Windows в сетевом трафике 100.
Еще в одном примере с помощью средства формирования 310 переобучают модель распределения 330 на основании результатов работы средства анализа 140 (см. Фиг. 1). К примеру, для снижения времени на передачу сетевого трафика 100 между вычислительными системами 110 и виртуальными средами 130 - для чего виртуальные среды 130 подбираются на более коротких сетевых расстояниях до вычислительных систем 110.
Формирование виртуальной среды 130 под конкретную вычислительную систему 110 (формирование виртуальной среды 130 на основании данных о работе вычислительной системы 110) позволяет более точно эмулировать работу указанной вычислительной системы 110, что в свою очередь повышает эффективность обнаружения вредоносных приложений 101.
Например, в случае целевой атаки на вычислительную систему 110 недостаточно точная эмуляция ее работы может не позволить сработать вредоносному функционалу вредоносного приложения 101, содержащегося в сетевом трафике 100, что в свою очередь не позволит обнаружить указанное вредоносное приложение. Чем точнее эмулируется работа вычислительной системы 110, тем выше шанс обнаружить вредоносное приложение, предназначенное для работы на указанной вычислительной системе и/или выше шанс определить вредоносный функционал указанного приложения.
Средство распределения 340 предназначено для формирования системы ресурсов-ловушек, что включает выбор для каждой вычислительной системы 110 по меньшей мере одной виртуальной среды 130 на основании данных о сформированных виртуальных средах 130 и установление связи между указанными вычислительной системой 110 и виртуальной средой 130 для передачи данных между указанной вычислительной системой 110 и средством эмуляции 131 выбранной виртуальной среды 130.
В одном из вариантов реализации системы выбор для вычислительной системы 110 виртуальной среды 130 осуществляется на основании обученной модели распределения 330.
Еще в одном из вариантов реализации системы выбор для вычислительной системы 110 виртуальной среды 130 осуществляется по меньшей мере таким образом, чтобы:
скорость передачи данными между от вычислительной системы 110 до виртуальной среды 130 было выше заранее заданного порогового значения.
Еще в одном из вариантов реализации системы виртуальная среда 130 для вычислительной системы 110 выбирается исходя из типов вредоносных объектов, которые ожидается обнаружить в сетевом трафике 100.
Например, для эффективного обнаружения вредоносных программ-шифровальщиков и эксплойтов требуется две специально сформированные виртуальные среды 130. Поэтому средство распределения 340 может выбрать для заданной вычислительной системы 110 сразу две виртуальные среды 130, на которые и будет передаваться перехваченный средством управления сетевым трафиком 112 сетевой трафик 100 (см. Фиг. 1).
Таким образом, в одном из вариантов реализации системы средство распределения 340 выполняет по меньшей мере следующие задачи:
выбирает для заданных вычислительных систем 110 виртуальные среды 130 такие, что эффективность обнаружения вредоносных объектов разных типов была максимальной;
выбирает для заданных вычислительных систем 110 такие виртуальные среды 130, чтобы время на передачу сетевого трафика 100 между вычислительными системами 110 и виртуальными средами 130 было минимальным;
выбирает для заданных вычислительных систем 110 такие виртуальные среды 130, чтобы нагрузка на виртуальные среды 130 (т.е. использование вычислительных ресурсов, потребление машинного времени, потребление электроэнергии и т.д.) было меньше заранее заданных пороговых значений.
Распределение виртуальных сред 130 между вычислительными системами 110 позволяет более эффективно распределять вычислительную нагрузку между задачами эмуляции работы вычислительных систем 110, тем самым можно использовать более сложные и ресурсоемкие алгоритмы эмуляции, что в свою очередь повышает эффективность (точность) эмуляции указанных вычислительных систем 110.
Еще в одном из вариантов реализации системы связь для передачи данных между указанной вычислительной системой 110 и средством эмуляции 131 устанавливают с использованием защищенной виртуальной сети (VPN).
Еще в одном из вариантов реализации системы дополнительно в зависимости от результата работы средства анализа 140 виртуальной среды 130 (см. Фиг. 1) с помощью средства формирования 310 принимают решение о переобучении модели распределения 330 таким образом, чтобы выбор виртуальных сред 130 для вычислительной системы 110 на основании данных о вычислительной системе 110 или сетевом трафике 100 более эффективно решал описанные выше задачи.
Фиг. 4 представляет структурную схему способа формирования системы ресурсов-ловушек.
Структурная схема способа формирования системы ресурсов-ловушек содержит этап 410, на котором собирают данные о вычислительных системах, этап 420, на котором формируют виртуальные среды, этап 430, на котором формируют систему ресурсов-ловушек.
На этапе 410 с помощью средства сбора 111 собирают данные о по меньшей мере двух вычислительных системах 110.
На этапе 420 с помощью средства формирования 310 формируют по меньшей мере две виртуальные среды 130, содержащие по средству эмуляции 131, предназначенному для эмуляции работы вычислительной системы 110 в виртуальной среде 130, на основании собранных данных о вычислительных системах 110.
На этапе 430 с помощью средства распределения 340 формируют систему ресурсов-ловушек, заключающуюся в выборе для каждой вычислительной системы 110 по меньшей мере одной виртуальной среды 130 на основании данных о сформированных виртуальных средах 130 и установлении связи между указанными вычислительной системой 110 и виртуальной средой 130 для передачи данных между указанной вычислительной системой 110 и средством эмуляции 131 выбранной виртуальной среды 130.
Фиг. 5 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 5. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.
Claims (44)
1. Система формирования системы вычислительных систем, предназначенных для того, чтобы подвергнуться атаке или несанкционированному исследованию и собрать данные об указанной активности (далее - ресурсы-ловушки), которая содержит:
а) по меньшей мере два средства сбора, каждое из которых установлено на отдельной вычислительной системе и предназначено для сбора данных о вычислительной системе, на которой установлено, и передачи собранных данных средству формирования и средству распределения;
б) средство формирования, предназначенное для формирования по меньшей мере двух виртуальных сред, каждая из которых содержит средство эмуляции, предназначенное для эмуляции работы вычислительной системы в виртуальной среде, на основании собранных данных о вычислительных системах, и передачи данных о сформированных виртуальных средах средству распределения;
в) средство распределения, предназначенное для формирования системы ресурсов-ловушек путём выбора по меньшей мере одной виртуальной среды для каждой вычислительной системы на основании полученных данных и установления связи между указанной вычислительной системой и виртуальной средой.
2. Система по п.1, в которой в качестве данных о вычислительной системе выступают по меньшей мере:
• аппаратные характеристики вычислительной системы;
• информация о вычислительных ресурсах вычислительной системы;
• информация об установленном на вычислительной системе программном обеспечении;
• информация о сетевом окружении вычислительной системы;
• информация о физическом расположении вычислительной системы.
3. Система по п.1, в которой формируемая виртуальная среда по меньшей мере:
• содержит программное обеспечение, обладающее тем же функционалом, что и программное обеспечение, установленное на вычислительной системе;
• обладает вычислительными ресурсами, схожими с вычислительными ресурсами вычислительной системы;
• обладает скоростью передачи данных от вычислительной системы до виртуальной среды выше заранее заданного порогового значения;
• функционирует с тем же сетевым окружением, что и вычислительная система;
• обладает заранее заданным набором уязвимостей.
4. Система по п.1, в которой выбор для вычислительной системы виртуальной среды осуществляется на основании обученной модели.
5. Система по п.1, в которой выбор для вычислительной системы виртуальной среды осуществляется по меньшей мере таким образом, чтобы:
• использование вычислительных ресурсов виртуальной среды было меньше заранее заданного порога;
• скорость передачи данных от вычислительной системы до виртуальной среды выше заранее заданного порогового значения.
6. Система по п.1, в которой связь для передачи данных между вычислительной системой и средством эмуляции устанавливают с использованием защищённой виртуальной сети.
7. Система по п.1, в которой средство распределения дополнительно предназначено для установления связи между вычислительной системой и виртуальной средой для передачи данных между вычислительной системой и средством эмуляции выбранной виртуальной среды.
8. Способ формирования системы вычислительных систем, предназначенных для того, чтобы подвергнуться атаке или несанкционированному исследованию и собрать данные об указанной активности (далее, ресурсы-ловушки), при этом способ содержит этапы, которые реализуются с помощью средств из системы по п.1 и на которых:
а) собирают данные о по меньшей мере двух вычислительных системах;
б) формируют по меньшей мере две виртуальные среды, каждая из которых содержит по средству эмуляции, предназначенному для эмуляции работы вычислительной системы в виртуальной среде, на основании собранных данных о вычислительных системах;
в) формируют систему ресурсов-ловушек путем выбора для каждой описанной выше вычислительной системы по меньшей мере одной виртуальной среды на основании данных о сформированных виртуальных средах и установления связи между указанными вычислительной системой и виртуальной средой.
9. Способ по п.8, по которому в качестве данных о вычислительной системе выступают по меньшей мере:
• аппаратные характеристики вычислительной системы;
• информация о вычислительных ресурсах вычислительной системы;
• информация об установленном на вычислительной системе программном обеспечении;
• информация о сетевом окружении вычислительной системы;
• информация о физическом расположении вычислительной системы.
10. Способ по п.8, по которому формируемая виртуальная среда по меньшей мере:
• содержит программное обеспечение, обладающее тем же функционалом, что и программное обеспечение, установленное на вычислительной системе;
• обладает вычислительными ресурсами, схожими с вычислительными ресурсами вычислительной системы;
• обладает скоростью передачи данных от вычислительной системы до виртуальной среды выше заранее заданного порогового значения;
• функционирует с тем же сетевым окружением, что и вычислительная система;
• обладает заранее заданным набором уязвимостей.
11. Способ по п.8, по которому выбор для вычислительной системы виртуальной среды осуществляется на основании обученной модели.
12. Способ по п.8, по которому выбор для вычислительной системы виртуальной среды осуществляется по меньшей мере таким образом, чтобы:
• использование вычислительных ресурсов виртуальной среды было меньше заранее заданного порога;
• скорость передачи данных от вычислительной системы до виртуальной среды выше заранее заданного порогового значения.
13. Способ по п.8, по которому связь для передачи данных между вычислительной системой и средством эмуляции устанавливают с использованием защищённой виртуальной сети.
14. Способ по п.8, по которому на этапе в) устанавливают связь между вычислительной системой и виртуальной средой для передачи данных между вычислительной системой и средством эмуляции выбранной виртуальной среды.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2021106663A RU2761542C1 (ru) | 2021-03-15 | 2021-03-15 | Система и способ формирования системы ресурсов-ловушек |
US17/645,530 US11916959B2 (en) | 2021-03-15 | 2021-12-22 | Systems and methods for building a honeypot system |
EP22161783.0A EP4060937A1 (en) | 2021-03-15 | 2022-03-14 | Systems and methods for building a honeypot system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2021106663A RU2761542C1 (ru) | 2021-03-15 | 2021-03-15 | Система и способ формирования системы ресурсов-ловушек |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2761542C1 true RU2761542C1 (ru) | 2021-12-09 |
Family
ID=79174338
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2021106663A RU2761542C1 (ru) | 2021-03-15 | 2021-03-15 | Система и способ формирования системы ресурсов-ловушек |
Country Status (2)
Country | Link |
---|---|
US (1) | US11916959B2 (ru) |
RU (1) | RU2761542C1 (ru) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11789743B2 (en) * | 2021-01-15 | 2023-10-17 | Tenable, Inc. | Host operating system identification using transport layer probe metadata and machine learning |
US20240015183A1 (en) * | 2022-07-11 | 2024-01-11 | Nvidia Corporation | Deception-based firewall enhancement |
CN118316745B (zh) * | 2024-06-12 | 2024-08-13 | 广州大学 | 一种蜜点生成方法及生成系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102882884B (zh) * | 2012-10-13 | 2014-12-24 | 国家电网公司 | 信息化生产环境下基于蜜网的风险预警系统及方法 |
US9906538B2 (en) * | 2014-12-03 | 2018-02-27 | Guardicore Ltd. | Automatic network attack detection and remediation using information collected by honeypots |
RU2690749C1 (ru) * | 2018-05-22 | 2019-06-05 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Способ защиты вычислительных сетей |
US10333977B1 (en) * | 2018-08-23 | 2019-06-25 | Illusive Networks Ltd. | Deceiving an attacker who is harvesting credentials |
US10666686B1 (en) * | 2015-03-25 | 2020-05-26 | Fireeye, Inc. | Virtualized exploit detection system |
RU2722693C1 (ru) * | 2020-01-27 | 2020-06-03 | Общество с ограниченной ответственностью «Группа АйБи ТДС» | Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника |
RU2743619C1 (ru) * | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система генерации списка индикаторов компрометации |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020046351A1 (en) | 2000-09-29 | 2002-04-18 | Keisuke Takemori | Intrusion preventing system |
US20040078592A1 (en) | 2002-10-16 | 2004-04-22 | At & T Corp. | System and method for deploying honeypot systems in a network |
US7412723B2 (en) | 2002-12-31 | 2008-08-12 | International Business Machines Corporation | Method and system for morphing honeypot with computer security incident correlation |
US8181250B2 (en) | 2008-06-30 | 2012-05-15 | Microsoft Corporation | Personalized honeypot for detecting information leaks and security breaches |
US20140096229A1 (en) | 2012-09-28 | 2014-04-03 | Juniper Networks, Inc. | Virtual honeypot |
US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
US9473520B2 (en) | 2013-12-17 | 2016-10-18 | Verisign, Inc. | Systems and methods for incubating malware in a virtual organization |
US9882929B1 (en) | 2014-09-30 | 2018-01-30 | Palo Alto Networks, Inc. | Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network |
US9495188B1 (en) | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
US9716727B1 (en) * | 2014-09-30 | 2017-07-25 | Palo Alto Networks, Inc. | Generating a honey network configuration to emulate a target network environment |
US9602536B1 (en) | 2014-12-04 | 2017-03-21 | Amazon Technologies, Inc. | Virtualized network honeypots |
EP3057283A1 (en) | 2015-02-16 | 2016-08-17 | Alcatel Lucent | A method for mitigating a security breach, a system, a virtual honeypot and a computer program product |
US10110629B1 (en) | 2016-03-24 | 2018-10-23 | Amazon Technologies, Inc. | Managed honeypot intrusion detection system |
US10454969B2 (en) | 2017-07-17 | 2019-10-22 | Sap Se | Automatic generation of low-interaction honeypots |
US11050787B1 (en) * | 2017-09-01 | 2021-06-29 | Amazon Technologies, Inc. | Adaptive configuration and deployment of honeypots in virtual networks |
CN111183612B (zh) | 2017-12-27 | 2023-08-29 | 西门子股份公司 | 一种网络流量的发送方法、装置及混合蜜罐系统 |
US10826939B2 (en) | 2018-01-19 | 2020-11-03 | Rapid7, Inc. | Blended honeypot |
US11271907B2 (en) * | 2019-12-19 | 2022-03-08 | Palo Alto Networks, Inc. | Smart proxy for a large scale high-interaction honeypot farm |
-
2021
- 2021-03-15 RU RU2021106663A patent/RU2761542C1/ru active
- 2021-12-22 US US17/645,530 patent/US11916959B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102882884B (zh) * | 2012-10-13 | 2014-12-24 | 国家电网公司 | 信息化生产环境下基于蜜网的风险预警系统及方法 |
US9906538B2 (en) * | 2014-12-03 | 2018-02-27 | Guardicore Ltd. | Automatic network attack detection and remediation using information collected by honeypots |
US10666686B1 (en) * | 2015-03-25 | 2020-05-26 | Fireeye, Inc. | Virtualized exploit detection system |
RU2690749C1 (ru) * | 2018-05-22 | 2019-06-05 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Способ защиты вычислительных сетей |
US10333977B1 (en) * | 2018-08-23 | 2019-06-25 | Illusive Networks Ltd. | Deceiving an attacker who is harvesting credentials |
RU2722693C1 (ru) * | 2020-01-27 | 2020-06-03 | Общество с ограниченной ответственностью «Группа АйБи ТДС» | Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника |
RU2743619C1 (ru) * | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система генерации списка индикаторов компрометации |
Also Published As
Publication number | Publication date |
---|---|
US20220294822A1 (en) | 2022-09-15 |
US11916959B2 (en) | 2024-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9954872B2 (en) | System and method for identifying unauthorized activities on a computer system using a data structure model | |
RU2761542C1 (ru) | Система и способ формирования системы ресурсов-ловушек | |
Modi et al. | A survey of intrusion detection techniques in cloud | |
US20190332771A1 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
US20160078229A1 (en) | System And Method For Threat Risk Scoring Of Security Threats | |
US11636208B2 (en) | Generating models for performing inline malware detection | |
US11374946B2 (en) | Inline malware detection | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
Trajanovski et al. | An automated and comprehensive framework for IoT botnet detection and analysis (IoT-BDA) | |
Hamed et al. | Intrusion detection in contemporary environments | |
EP3783857A1 (en) | System and method for detecting lateral movement and data exfiltration | |
Buchyk et al. | Devising a method of protection against zero-day attacks based on an analytical model of changing the state of the network sandbox | |
Al-Hammadi | Behavioural correlation for malicious bot detection | |
JP2024023875A (ja) | インラインマルウェア検出 | |
US12061696B2 (en) | Sample traffic based self-learning malware detection | |
Zhang et al. | Xen-based virtual honeypot system for smart device | |
US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
KR20240124354A (ko) | 악성 명령 및 제어 트래픽을 탐지하는 딥러닝 파이프라인 | |
EP4060937A1 (en) | Systems and methods for building a honeypot system | |
Zulkurnain et al. | Analysis of thug: A low-interaction client honeypot to identify malicious websites and malwares | |
Saini et al. | Defense Against Trojans Using Honeypots. | |
Saadi et al. | A Proposed Approach to Reduce the Vulnerability in a Cloud System | |
Pedersen et al. | AAU-Star and AAU Honeyjar: Malware Analysis Platforms Developed by Students | |
Rowe et al. | Decoy I/O Devices | |
Zhai et al. | Research on classification and technology of honeypots |