本發(fā)明涉及作為模擬環(huán)境的攻擊觀察裝置，其構(gòu)建為使攻擊者創(chuàng)建的惡意軟件等惡意程序動(dòng)作并觀察其行為和攻擊方法。

背景技術(shù)：

以往，已知有如下方式(以下稱(chēng)作模擬環(huán)境)：在構(gòu)建為使攻擊者創(chuàng)建的惡意軟件等惡意程序動(dòng)作并觀察其行為和攻擊方法的模擬網(wǎng)絡(luò)系統(tǒng)中，對(duì)在網(wǎng)絡(luò)系統(tǒng)內(nèi)動(dòng)作的終端或服務(wù)器進(jìn)行模擬。例如專(zhuān)利文獻(xiàn)1記載的那樣，已知有通過(guò)模擬程序進(jìn)行仿真的方式，該模擬程序?qū)膼阂廛浖母腥窘K端發(fā)送的通信數(shù)據(jù)作為輸入，根據(jù)其內(nèi)容確定并回送響應(yīng)數(shù)據(jù)。以下，將這樣的模擬環(huán)境稱(chēng)作低交互型蜜罐(honeypot)(低交互型模擬環(huán)境的一例)。

并且例如，如專(zhuān)利文獻(xiàn)2和非專(zhuān)利文獻(xiàn)1記載的那樣，還已知有如下方式：使虛擬機(jī)在利用市場(chǎng)售賣(mài)的產(chǎn)品的虛擬化環(huán)境上運(yùn)轉(zhuǎn)，將其用作模擬環(huán)境。以下，將這樣的模擬環(huán)境稱(chēng)作高交互型蜜罐(高交互型模擬環(huán)境的一例)。

現(xiàn)有技術(shù)文獻(xiàn)

專(zhuān)利文獻(xiàn)

專(zhuān)利文獻(xiàn)1：日本特開(kāi)2009-181335號(hào)公報(bào)

專(zhuān)利文獻(xiàn)2：日本特開(kāi)2012-212391號(hào)公報(bào)

非專(zhuān)利文獻(xiàn)

非專(zhuān)利文獻(xiàn)1：笠間貴弘、他、“疑似クライアントを用いたサーバ応答蓄積型マルウェア動(dòng)的解析システム、”情報(bào)処理學(xué)會(huì)、マルウェア対策研究人材ワークショップ2009(MWS2009)A7-2、(2009年10月).

技術(shù)實(shí)現(xiàn)要素：

發(fā)明要解決的課題

在低交互型蜜罐中，各模擬終端和服務(wù)器利用預(yù)先通過(guò)程序確定的方法，對(duì)接收到的通信分組的內(nèi)容回送響應(yīng)。由于僅對(duì)從惡意軟件發(fā)送的分組回送已確定的響應(yīng)即可，因此有處理的負(fù)荷輕、能夠同時(shí)模擬大量的終端和服務(wù)器的優(yōu)點(diǎn)，但相反地，在接收到包含程序無(wú)法處理的內(nèi)容(例如，未知的攻擊)的分組的情況下，存在無(wú)法與實(shí)物同樣地進(jìn)行響應(yīng)的問(wèn)題。此外，存在如下問(wèn)題：即使受到了伴隨惡意軟件感染的攻擊，也無(wú)法在模擬環(huán)境內(nèi)使惡意軟件動(dòng)作。

另一方面，在高交互型蜜罐中，還能夠應(yīng)對(duì)未知的攻擊、惡意軟件的感染這些之前的課題。但是，在使用這些高交互型蜜罐的模擬環(huán)境中，為了模擬1臺(tái)終端或服務(wù)器，需要與實(shí)物同等的資源(CPU、存儲(chǔ)器、HDD等)，因此存在如下問(wèn)題：例如在要對(duì)整個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行模擬時(shí)，必須準(zhǔn)備大量的終端和服務(wù)器。

如上所述，在現(xiàn)有技術(shù)中，存在無(wú)法精巧地模擬大規(guī)模的系統(tǒng)的課題。

本發(fā)明正是為了解決上述問(wèn)題而完成的，其目的在于，實(shí)現(xiàn)一種即使是業(yè)務(wù)系統(tǒng)等大的網(wǎng)絡(luò)系統(tǒng)，也能夠利用較少的計(jì)算機(jī)資源精巧地進(jìn)行模擬的攻擊觀察裝置。

用于解決課題的手段

為了解決上述課題，本發(fā)明的攻擊觀察裝置是使惡意軟件動(dòng)作來(lái)觀察所述惡意軟件的攻擊的環(huán)境，所述攻擊觀察裝置具有：低交互型模擬環(huán)境，其在終端上對(duì)來(lái)自所述惡意軟件的通信，執(zhí)行預(yù)先確定的響應(yīng)；高交互型模擬環(huán)境，其通過(guò)模擬所述終端的虛擬機(jī)，對(duì)來(lái)自所述惡意軟件的通信執(zhí)行響應(yīng)；以及通信管理部，其監(jiān)視所述低交互型模擬環(huán)境針對(duì)來(lái)自所述惡意軟件的通信的執(zhí)行狀態(tài)，根據(jù)所述低交互型模擬環(huán)境的所述執(zhí)行狀態(tài)，將來(lái)自所述惡意軟件的通信切換到所述高交互型模擬環(huán)境。

發(fā)明效果

根據(jù)本發(fā)明，最初通過(guò)低交互型蜜罐處理通信，僅在必要的情況下切換到高交互型蜜罐，從而能夠抑制高交互型蜜罐的使用，因此具有如下效果：能夠利用較少的計(jì)算機(jī)資源實(shí)現(xiàn)模擬了大規(guī)模的系統(tǒng)的攻擊觀察裝置。

附圖說(shuō)明

圖1是示出實(shí)施方式1的攻擊觀察裝置的一個(gè)結(jié)構(gòu)例的結(jié)構(gòu)圖。

圖2是詳細(xì)說(shuō)明通信管理部112和網(wǎng)絡(luò)111的結(jié)構(gòu)的圖。

圖3是詳細(xì)說(shuō)明低交互型蜜罐部106的結(jié)構(gòu)的圖。

圖4是示出蜜罐執(zhí)行狀態(tài)管理部115中存儲(chǔ)的蜜罐執(zhí)行狀態(tài)數(shù)據(jù)的一例的圖。

圖5是示出終端狀態(tài)轉(zhuǎn)變場(chǎng)景蓄積部110中存儲(chǔ)的終端狀態(tài)轉(zhuǎn)變場(chǎng)景的一例的圖。

圖6是示出高交互型蜜罐執(zhí)行指令蓄積部116中存儲(chǔ)的高交互型蜜罐執(zhí)行指令定義表的一例的圖。

圖7是示出終端狀態(tài)蓄積部109的一個(gè)結(jié)構(gòu)例的圖。

圖8是示出通信管理部112與其它終端之間進(jìn)行的通信和在通信管理部112內(nèi)執(zhí)行的處理的序列圖。

圖9是示出通信協(xié)議的狀態(tài)轉(zhuǎn)變的一例的圖。

圖10是示出低交互型蜜罐802的動(dòng)作流程的流程圖。

圖11是示出通信處理程序303內(nèi)的動(dòng)作流程的流程圖。

圖12是示出終端狀態(tài)管理部108的動(dòng)作流程的流程圖。

圖13是示出能夠在終端狀態(tài)管理部112中執(zhí)行的指令的例子的圖。

圖14是示出終端狀態(tài)轉(zhuǎn)變場(chǎng)景執(zhí)行部107的動(dòng)作流程的流程圖。

圖15是示出實(shí)施方式2的通信管理部112外圍的系統(tǒng)結(jié)構(gòu)的一例的圖。

圖16是示出本實(shí)施方式3的通信管理部112外圍的系統(tǒng)結(jié)構(gòu)的一例的圖。

圖17是示出ARP響應(yīng)分組的一例的圖。

圖18是示出本實(shí)施方式4的通信管理部112外圍的系統(tǒng)結(jié)構(gòu)的一例的圖。

圖19是示出本實(shí)施方式4的低交互型蜜罐部106的結(jié)構(gòu)的一例的圖。

圖20是示出實(shí)施方式4的低交互型蜜罐部106的動(dòng)作流程的流程圖。

圖21是示出實(shí)施方式4的通信處理程序的動(dòng)作流程的流程圖。

圖22是示出實(shí)施方式5的通信管理部112外圍的系統(tǒng)結(jié)構(gòu)的一例的圖。

具體實(shí)施方式

實(shí)施方式1

圖1是示出實(shí)施方式1的攻擊觀察裝置的一個(gè)結(jié)構(gòu)例的結(jié)構(gòu)圖。

在圖1中，作為攻擊觀察裝置的蜜罐系統(tǒng)101由以下部件構(gòu)成：作為高交互型模擬環(huán)境的高交互型蜜罐部103、作為低交互型模擬環(huán)境的低交互型蜜罐部106、終端狀態(tài)轉(zhuǎn)變場(chǎng)景執(zhí)行部107、終端狀態(tài)管理部108、終端狀態(tài)蓄積部109、終端狀態(tài)轉(zhuǎn)變場(chǎng)景蓄積部110、通信管理部112、作為執(zhí)行狀態(tài)管理部的蜜罐執(zhí)行狀態(tài)管理部115以及作為執(zhí)行指令蓄積部的高交互型蜜罐執(zhí)行指令蓄積部116。以下，將高交互型蜜罐部103和低交互型蜜罐部106統(tǒng)稱(chēng)作蜜罐。

高交互型蜜罐部103存儲(chǔ)作為高交互型蜜罐發(fā)揮功能的虛擬機(jī)組104以及執(zhí)行該虛擬機(jī)組104的虛擬機(jī)執(zhí)行環(huán)境105。低交互型蜜罐部106作為低交互型蜜罐進(jìn)行動(dòng)作。終端狀態(tài)轉(zhuǎn)變場(chǎng)景執(zhí)行部107將在蜜罐系統(tǒng)101內(nèi)模擬的各終端內(nèi)自發(fā)地產(chǎn)生的文件等的狀態(tài)變化，命令給終端狀態(tài)管理部108。終端狀態(tài)管理部108按照來(lái)自終端狀態(tài)轉(zhuǎn)變場(chǎng)景執(zhí)行部107或低交互型蜜罐部106的指令，取得和變更各終端內(nèi)的文件等的狀態(tài)。終端狀態(tài)轉(zhuǎn)變場(chǎng)景蓄積部110蓄積終端狀態(tài)轉(zhuǎn)變場(chǎng)景，該終端狀態(tài)轉(zhuǎn)變場(chǎng)景表示各終端的狀態(tài)轉(zhuǎn)變的場(chǎng)景。通信管理部112對(duì)蜜罐間或蜜罐與外部網(wǎng)絡(luò)102之間的通信進(jìn)行中繼和管理。蜜罐執(zhí)行狀態(tài)管理部115管理蜜罐執(zhí)行狀態(tài)數(shù)據(jù)，該蜜罐執(zhí)行狀態(tài)數(shù)據(jù)表示蜜罐的當(dāng)前執(zhí)行狀態(tài)。高交互型蜜罐執(zhí)行指令蓄積部116蓄積高交互型蜜罐執(zhí)行指令定義表，該高交互型蜜罐執(zhí)行指令定義表對(duì)在高交互型蜜罐部103上再現(xiàn)終端狀態(tài)轉(zhuǎn)變場(chǎng)景時(shí)起動(dòng)的指令等進(jìn)行定義。通信管理部112通過(guò)網(wǎng)絡(luò)111與虛擬機(jī)組104連接，通過(guò)網(wǎng)絡(luò)113與低交互型蜜罐部106連接。還通過(guò)網(wǎng)絡(luò)114與外部網(wǎng)絡(luò)102連接。

圖2是詳細(xì)說(shuō)明通信管理部112和網(wǎng)絡(luò)111的結(jié)構(gòu)的圖。

在圖2中，通信管理部112由以下部件構(gòu)成：分組接收部207，其接收發(fā)往通信管理部112的分組；從通信管理部112發(fā)送分組的分組發(fā)送部208；回送針對(duì)ARP(Address Resolution Protocol：地址解析協(xié)議)的偽裝響應(yīng)的ARP響應(yīng)部209；對(duì)通信進(jìn)行中繼的網(wǎng)關(guān)部210；以及通信恢復(fù)用數(shù)據(jù)蓄積部211，其蓄積在模擬終端的執(zhí)行狀態(tài)轉(zhuǎn)變時(shí)，在轉(zhuǎn)變后的模擬終端上重新構(gòu)建轉(zhuǎn)變前的通信狀態(tài)所需的數(shù)據(jù)。此外，通信管理部112通過(guò)網(wǎng)絡(luò)113與低交互型蜜罐106連接，通過(guò)網(wǎng)絡(luò)114與蜜罐系統(tǒng)外連接。

圖1中的網(wǎng)絡(luò)111在圖2中由以下部分構(gòu)成：高交互型蜜罐部103內(nèi)的虛擬交換機(jī)205、按照每個(gè)虛擬機(jī)201～202而在與虛擬交換機(jī)205之間鋪設(shè)的VLAN(Virtual Local Area Network：虛擬局域網(wǎng))203～204以及對(duì)虛擬交換機(jī)205和通信管理部112進(jìn)行trunk(中繼)連接的網(wǎng)絡(luò)206。

圖3是詳細(xì)說(shuō)明低交互型蜜罐部106的結(jié)構(gòu)的圖。

在圖3中，低交互型蜜罐部106具有通信處理程序執(zhí)行部301、通信處理程序蓄積部302。通信處理程序執(zhí)行部301進(jìn)行TCP/IP(Transmission Control Protocol/Internet Protocol：傳輸控制協(xié)議/網(wǎng)際協(xié)議)或TLS(Transport Layer Security：傳輸層安全性)這樣的公共的通信協(xié)議的處理、以及對(duì)應(yīng)用層通信進(jìn)行處理的通信處理程序的執(zhí)行。通信處理程序蓄積部302存儲(chǔ)一個(gè)以上的通信處理程序303。另外，各通信處理程序303能夠按照程序名稱(chēng)進(jìn)行識(shí)別。

圖4是示出蜜罐執(zhí)行狀態(tài)管理部115中存儲(chǔ)的蜜罐執(zhí)行狀態(tài)數(shù)據(jù)的一例的圖。

在圖4中，蜜罐執(zhí)行狀態(tài)數(shù)據(jù)由終端ID 401、通信處理程序名稱(chēng)402、文件系統(tǒng)名稱(chēng)403、IP地址404、執(zhí)行狀態(tài)405、VLAN ID 406構(gòu)成。

圖5是示出終端狀態(tài)轉(zhuǎn)變場(chǎng)景蓄積部110中存儲(chǔ)的終端狀態(tài)轉(zhuǎn)變場(chǎng)景的一例的圖。

在圖5中，終端狀態(tài)轉(zhuǎn)變場(chǎng)景由場(chǎng)景的實(shí)施時(shí)刻501、表示作為實(shí)施對(duì)象的模擬終端的ID的終端ID 502以及為了產(chǎn)生狀態(tài)轉(zhuǎn)變而實(shí)施的指令503構(gòu)成。

圖6是示出高交互型蜜罐執(zhí)行指令蓄積部116中存儲(chǔ)的高交互型蜜罐執(zhí)行指令定義表的一例的圖。

在圖6中，高交互型蜜罐執(zhí)行指令定義表由如下部分構(gòu)成：指令名稱(chēng)601、實(shí)施指令的終端的終端ID 602、在實(shí)施指令時(shí)起動(dòng)的起動(dòng)程序603以及具有實(shí)施操作時(shí)的用戶權(quán)限的用戶ID 604。在起動(dòng)程序603中，如605所示，能夠指定參照由起動(dòng)程序603的指令給出的自變量的變量(圖6中，為$1)。

圖7是示出終端狀態(tài)蓄積部109的一個(gè)結(jié)構(gòu)例的圖。

圖7中，在終端狀態(tài)蓄積部109中存儲(chǔ)有各模擬終端的虛擬機(jī)鏡像701～702。虛擬機(jī)鏡像將各模擬終端的文件系統(tǒng)的鏡像作為文件進(jìn)行保存。將這樣的文件系統(tǒng)的鏡像作為文件進(jìn)行保存的方法能夠如下容易地實(shí)現(xiàn)：例如基本OS的dd指令那樣，依次讀取HDD內(nèi)的各扇區(qū)并保存到文件中等。

接著，對(duì)實(shí)施方式1的攻擊觀察裝置的動(dòng)作進(jìn)行說(shuō)明。

首先，說(shuō)明整體的動(dòng)作概要。在本實(shí)施方式1的蜜罐系統(tǒng)101內(nèi)被模擬的終端在低交互型蜜罐狀態(tài)、高交互型蜜罐狀態(tài)的兩種執(zhí)行狀態(tài)之間轉(zhuǎn)變。

在發(fā)生了以在本系統(tǒng)內(nèi)模擬的對(duì)象的終端為發(fā)送目的地的通信的情況下，通信管理部112根據(jù)該終端的執(zhí)行狀態(tài)，將通信數(shù)據(jù)中繼到低交互型蜜罐部106或高交互型蜜罐部103內(nèi)的虛擬機(jī)組104。

在低交互型蜜罐部106中，按照通信處理程序303，回送針對(duì)發(fā)送來(lái)的通信數(shù)據(jù)的響應(yīng)。在由于發(fā)生了對(duì)處理方法未定義的通信的情況等理由，通信處理程序303判斷為需要切換到高交互型蜜罐的情況下，在高交互型蜜罐部103內(nèi)起動(dòng)模擬發(fā)送目的地終端的虛擬機(jī)，該終端的執(zhí)行狀態(tài)轉(zhuǎn)變成高交互型蜜罐狀態(tài)。之后的通信被通信管理部112傳送到虛擬機(jī)。

終端狀態(tài)轉(zhuǎn)變場(chǎng)景執(zhí)行部107通過(guò)操作終端狀態(tài)管理部108，按照?qǐng)鼍皩?shí)施各模擬終端內(nèi)的自發(fā)的狀態(tài)變更。自發(fā)的狀態(tài)變更是指與向模擬終端的通信無(wú)關(guān)地發(fā)生的狀態(tài)變化即文件的變更，其目的是為了看起來(lái)好像正規(guī)的用戶正在模擬終端上進(jìn)行活動(dòng)那樣。

接著，說(shuō)明攻擊觀察裝置的各部的詳細(xì)動(dòng)作。首先，參照?qǐng)D8說(shuō)明通信管理部112的動(dòng)作。

圖8是示出通信管理部112與其它終端之間進(jìn)行的通信和在通信管理部112內(nèi)執(zhí)行的處理的序列圖。

在圖8中，首先，在終端1(801)向模擬終端(IP地址為IP2)進(jìn)行通信的情況下，終端1以IP2為發(fā)送目的地而發(fā)送連接請(qǐng)求(803)。連接請(qǐng)求被通信管理部112的分組接收部207接收，并轉(zhuǎn)交給網(wǎng)關(guān)部210。在網(wǎng)關(guān)部210中，建立與發(fā)送方之間的連接。以發(fā)送目的地IP地址為關(guān)鍵字，檢索蜜罐執(zhí)行狀態(tài)管理部115內(nèi)的蜜罐執(zhí)行狀態(tài)數(shù)據(jù)(圖4)，在確認(rèn)該終端是模擬終端時(shí)，從通信管理部112對(duì)低交互型蜜罐802進(jìn)行連接請(qǐng)求，建立連接(804)。即，從終端向另一終端的連接被通信管理部112內(nèi)的網(wǎng)關(guān)部210終止，成為2根的連接。不僅在TCP構(gòu)建的會(huì)話中，而且在TLS(Transport Layer Security：傳輸層安全性)等更上層的協(xié)議構(gòu)建的會(huì)話中，也由通信管理部112終止。

然后，終端1(801)與低交互型蜜罐(802)在被通信管理部112中繼通信的同時(shí)進(jìn)行通信(805～815)。通信管理部112對(duì)通信進(jìn)行中繼，并且監(jiān)視正在中繼的通信的應(yīng)用層的通信狀態(tài)變化，將發(fā)生了狀態(tài)轉(zhuǎn)變時(shí)的通信保存到通信恢復(fù)用數(shù)據(jù)蓄積部211。

例如，設(shè)圖8中例示的通信對(duì)應(yīng)用層協(xié)議進(jìn)行了中繼，該應(yīng)用層協(xié)議進(jìn)行由圖9所示的狀態(tài)轉(zhuǎn)變圖表示的狀態(tài)轉(zhuǎn)變。

圖9是示出通信協(xié)議的狀態(tài)轉(zhuǎn)變的一例的圖。

在圖9的狀態(tài)轉(zhuǎn)變的情況下發(fā)生了登錄(904)通信時(shí)，可知通信狀態(tài)從已連接(903)轉(zhuǎn)變成已登錄(905)。因此，在808中登錄成功后，在809中將登錄數(shù)據(jù)保存到通信恢復(fù)用數(shù)據(jù)蓄積部211。另外，在登錄后中繼的指令符合圖9的906的轉(zhuǎn)變，由于不引起狀態(tài)轉(zhuǎn)變，因此不被保存到通信恢復(fù)用數(shù)據(jù)蓄積部211中。

接著，在815中向低交互型蜜罐802傳送指令#n的通信后，當(dāng)從低交互型蜜罐802送來(lái)蜜罐的切換請(qǐng)求816時(shí)，通信管理部112將蜜罐執(zhí)行狀態(tài)管理部115內(nèi)的蜜罐執(zhí)行狀態(tài)數(shù)據(jù)(圖4)內(nèi)的模擬終端的執(zhí)行狀態(tài)變更成高交互型蜜罐狀態(tài)(817)。然后，在高交互型蜜罐部103內(nèi)起動(dòng)新的虛擬機(jī)，使用與其它虛擬機(jī)獨(dú)立的VLAN，與虛擬交換機(jī)連接(819)。

然后，通信管理部112對(duì)已起動(dòng)的虛擬機(jī)進(jìn)行連接(820)，為了使通信狀態(tài)恢復(fù)至緊前在低交互型蜜罐802與終端1(801)之間進(jìn)行的通信的狀態(tài)，使用保存在通信恢復(fù)用數(shù)據(jù)蓄積部211中的登錄數(shù)據(jù)，發(fā)送登錄請(qǐng)求(821)并接收登錄響應(yīng)(822)。另外，在821～822的通信狀態(tài)恢復(fù)中，恢復(fù)蜜罐切換緊前的通信狀態(tài)，因此不將指令#1～指令#n-1作為恢復(fù)對(duì)象。然后，發(fā)送最后發(fā)送到低交互型蜜罐802的指令#n(823)，將作為其響應(yīng)的指令#n結(jié)果(824)傳送到終端1(801)(825)。

這樣，雖然作為配置于兩終端間，與各個(gè)終端進(jìn)行獨(dú)立的連接并在兩個(gè)連接之間傳送數(shù)據(jù)的裝置，已知代理服務(wù)器等，但是，作為本實(shí)施方式1與這些公知的實(shí)施例的不同點(diǎn)，可列舉以下一點(diǎn)：本實(shí)施方式1中的通信管理部112偽裝IP地址，由此不論從哪個(gè)終端都無(wú)法識(shí)別通信對(duì)方是通信管理部112。該動(dòng)作如下實(shí)現(xiàn)：在開(kāi)始對(duì)各模擬終端的通信時(shí)，針對(duì)通信方終端廣播對(duì)方的MAC(Media Access Control：介質(zhì)訪問(wèn)控制)地址的ARP(Address Resolution Protocol：地址解析協(xié)議)請(qǐng)求，通信管理部112的ARP響應(yīng)部209響應(yīng)通信管理部112的MAC地址。

在本實(shí)施方式1中，通信管理部112的分組發(fā)送部208需要決定必須將分組傳播到哪個(gè)網(wǎng)絡(luò)上。因此，分組發(fā)送部208參照蜜罐執(zhí)行狀態(tài)管理部115中存儲(chǔ)的蜜罐執(zhí)行狀態(tài)數(shù)據(jù)，確認(rèn)與發(fā)送目的地IP對(duì)應(yīng)的模擬終端的執(zhí)行狀態(tài)。如果執(zhí)行狀態(tài)是低交互型，則將分組發(fā)送到與低交互型蜜罐802連接的網(wǎng)絡(luò)(圖2中，是113)上，如果是高交互型，則從蜜罐執(zhí)行狀態(tài)數(shù)據(jù)中取得連接有該模擬終端的VLAN ID，為了到達(dá)該VLAN，將VLAN ID存儲(chǔ)到作為標(biāo)簽而存儲(chǔ)到L2幀(標(biāo)簽VLAN)并發(fā)送分組。

接著，參照?qǐng)D10說(shuō)明低交互型蜜罐802的動(dòng)作。

圖10是示出低交互型蜜罐802的動(dòng)作流程的流程圖。

首先，在步驟S101中，低交互型蜜罐802等待分組的到達(dá)。

接著，在步驟S102中，在分組到達(dá)低交互型蜜罐802時(shí)，低交互型蜜罐802取得發(fā)送目的地IP。

然后，在步驟S103中，低交互型蜜罐802將已取得的發(fā)送目的地IP作為關(guān)鍵字，檢索執(zhí)行狀態(tài)管理部115中存儲(chǔ)的蜜罐執(zhí)行狀態(tài)數(shù)據(jù)，取得登記在該數(shù)據(jù)中的終端ID和通信處理程序名稱(chēng)。

接著，在步驟S104中，低交互型蜜罐802將已取得的終端ID作為參數(shù)給出，執(zhí)行通信處理程序303。

這里，通信處理程序303內(nèi)的處理詳情根據(jù)該程序模擬的協(xié)議而變化，但是，處理流程如圖11的流程圖所示。

圖11是示出通信處理程序303內(nèi)的動(dòng)作流程的流程圖。

首先，在步驟S201中，通信處理程序303從通信處理程序執(zhí)行部301接收到達(dá)的分組的數(shù)據(jù)。

接著，在步驟S202中，通信處理程序303進(jìn)行接收到的數(shù)據(jù)的分析，決定是回送響應(yīng)、是結(jié)束處理、還是切換到高交互型蜜罐。

然后，在步驟S202中分析數(shù)據(jù)的結(jié)果是需要切換到高交互型蜜罐這樣的結(jié)果的情況下，在步驟S203中，通信處理程序303分支到步驟S204，對(duì)執(zhí)行結(jié)果設(shè)置“切換請(qǐng)求”而結(jié)束程序。

接著，在步驟S202中分析數(shù)據(jù)的結(jié)果是決定結(jié)束處理的情況下，在步驟S205中，通信處理程序303分支到步驟S206，對(duì)執(zhí)行結(jié)果設(shè)置“結(jié)束”而結(jié)束程序。此外，在步驟S202中分析數(shù)據(jù)的結(jié)果是回送響應(yīng)的情況下，分支到步驟S207。

接著，在步驟S207中，通信處理程序303在生成對(duì)接收到的數(shù)據(jù)的響應(yīng)后，判定是否需要參照或變更終端狀態(tài)。例如，符合的有如下情況等：需要在響應(yīng)中存儲(chǔ)模擬終端內(nèi)的某些文件的內(nèi)容，或者接收到的數(shù)據(jù)是請(qǐng)求變更某些文件的指令。在判斷為需要參照或變更終端狀態(tài)的情況下，分支到步驟S208，終端狀態(tài)管理部108調(diào)用終端ID和指令作為參數(shù)，實(shí)施必要的參照或變更。

最后，在步驟S209中，通信處理程序303生成響應(yīng)數(shù)據(jù)并發(fā)送到通信管理部112。發(fā)送的數(shù)據(jù)通過(guò)通信管理部112的網(wǎng)關(guān)部210被傳送到發(fā)送目的地終端。然后，通信處理程序303再次返回步驟S201，等待下一數(shù)據(jù)到達(dá)。

在通信處理程序結(jié)束后，處理返回到圖10的步驟S105。

在步驟S105中，低交互型蜜罐802確認(rèn)通信處理程序的執(zhí)行結(jié)果，在是“切換請(qǐng)求”的情況下分支到步驟S106，向通信管理部112通知蜜罐切換請(qǐng)求。然后，低交互型蜜罐802再次返回到步驟S101。

接著，參照?qǐng)D12說(shuō)明終端狀態(tài)管理部108的動(dòng)作。

圖12是示出終端狀態(tài)管理部108的動(dòng)作流程的流程圖。

首先，在步驟S301中，終端狀態(tài)管理部108接收終端ID和指令。

接著，在步驟S301中，終端狀態(tài)管理部108將接收到的該終端ID作為關(guān)鍵字，取得執(zhí)行狀態(tài)管理部115中存儲(chǔ)的文件系統(tǒng)名稱(chēng)。

接著，在步驟S301中，終端狀態(tài)管理部108根據(jù)已取得的文件系統(tǒng)名稱(chēng)，選擇并調(diào)用如下函數(shù)，該函數(shù)用于執(zhí)行在存儲(chǔ)有該文件系統(tǒng)的虛擬機(jī)鏡像上給出的指令。例如基本OS的mount指令那樣，如果使用將文件應(yīng)用于能夠作為虛擬的文件系統(tǒng)進(jìn)行操作的指令的技術(shù)，則能夠生成這樣的函數(shù)。

另外，在本實(shí)施方式1中，對(duì)于函數(shù)，作為函數(shù)被安裝到終端狀態(tài)管理部108，但是，還能夠劃分成模塊，并按照文件系統(tǒng)名稱(chēng)對(duì)要加載的模塊進(jìn)行切換。

此外，在本實(shí)施方式1中，說(shuō)明能夠在終端狀態(tài)管理部112中執(zhí)行的指令的例子。

圖13是示出能夠在終端狀態(tài)管理部112中執(zhí)行的指令的例子的圖。

如圖13所示，有的指令需要作為操作對(duì)象的文件名稱(chēng)等參數(shù)。該情況下，指令名稱(chēng)和所需的參數(shù)成為一個(gè)完整的指令。另外，能夠在終端狀態(tài)管理部112中執(zhí)行的指令不限于圖13示出的例子。

最后，在步驟S304中，終端狀態(tài)管理部108將執(zhí)行函數(shù)的處理結(jié)果回送到調(diào)用方而結(jié)束處理。

接著，參照?qǐng)D14說(shuō)明終端狀態(tài)轉(zhuǎn)變場(chǎng)景執(zhí)行部107的處理。

圖14是示出終端狀態(tài)轉(zhuǎn)變場(chǎng)景執(zhí)行部107的動(dòng)作流程的流程圖。

首先，在步驟S401中，終端狀態(tài)轉(zhuǎn)變場(chǎng)景執(zhí)行部107在系統(tǒng)起動(dòng)時(shí)，從終端狀態(tài)轉(zhuǎn)變場(chǎng)景蓄積部110加載終端狀態(tài)轉(zhuǎn)變場(chǎng)景。如圖5所示，終端狀態(tài)轉(zhuǎn)變場(chǎng)景由表形式構(gòu)成，該表形式將實(shí)施時(shí)刻501、終端ID 502、指令503作為要素。

接著，在步驟S402中，終端狀態(tài)轉(zhuǎn)變場(chǎng)景執(zhí)行部107取得當(dāng)前的時(shí)刻。

然后，在步驟S403中，終端狀態(tài)轉(zhuǎn)變場(chǎng)景執(zhí)行部107調(diào)查在終端狀態(tài)轉(zhuǎn)變場(chǎng)景中是否存在記載有與在步驟S402中取得的時(shí)刻一致的實(shí)施時(shí)刻501的實(shí)施場(chǎng)景。如果沒(méi)有，則返回步驟S402。

接著，在步驟S404中，終端狀態(tài)轉(zhuǎn)變場(chǎng)景執(zhí)行部107取得該場(chǎng)景的終端ID 502和指令503。

然后，在步驟S405中，終端狀態(tài)轉(zhuǎn)變場(chǎng)景執(zhí)行部107將已取得的終端ID作為關(guān)鍵字來(lái)檢索執(zhí)行狀態(tài)管理部115，取得該ID的終端的執(zhí)行狀態(tài)。

接著，在步驟S406中，終端狀態(tài)轉(zhuǎn)變場(chǎng)景執(zhí)行部107確認(rèn)由該終端ID表示的模擬終端的執(zhí)行狀態(tài)是否是高交互型蜜罐。如果是高交互型蜜罐，則分支到步驟S407。

接著，在步驟S407中，終端狀態(tài)轉(zhuǎn)變場(chǎng)景執(zhí)行部107將指令名稱(chēng)和終端ID作為關(guān)鍵字，對(duì)高交互型蜜罐執(zhí)行指令蓄積部116中存儲(chǔ)的高交互型蜜罐執(zhí)行指令定義表(圖6)進(jìn)行檢索，取得符合操作的起動(dòng)程序603和用戶ID 604。在起動(dòng)程序603中，記載有在虛擬機(jī)上起動(dòng)的程序名稱(chēng)和在起動(dòng)時(shí)給出的自變量。圖6中被記作$1的部分是指令包含的參數(shù)中的、指示第一個(gè)值的變量。在該虛擬機(jī)上，通過(guò)已取得的用戶ID的權(quán)限，起動(dòng)已取得的起動(dòng)程序603。這樣的虛擬機(jī)內(nèi)的程序起動(dòng)是在已有的虛擬機(jī)執(zhí)行環(huán)境的產(chǎn)品中也已提供的功能，容易實(shí)現(xiàn)。

最后，在步驟S408中，終端狀態(tài)轉(zhuǎn)變場(chǎng)景執(zhí)行部107向終端狀態(tài)管理部108轉(zhuǎn)交終端ID和從場(chǎng)景取得的指令，并返回到步驟S402。

如上所述，在本實(shí)施方式1的發(fā)明中，由通信管理部112切換傳送目的地蜜罐，由此，最初通過(guò)低交互型蜜罐處理通信，僅在必要的情況下切換到高交互型蜜罐，從而能夠抑制高交互型蜜罐的使用，因此具有如下效果：能夠利用較少的計(jì)算機(jī)資源實(shí)現(xiàn)模擬了大規(guī)模的系統(tǒng)的攻擊觀察裝置。

此外，作為存儲(chǔ)于終端狀態(tài)蓄積部109的終端狀態(tài)，使用虛擬機(jī)的鏡像文件，進(jìn)而由終端狀態(tài)管理部108對(duì)該文件進(jìn)行操作，由此，能夠使低交互型蜜罐和高交互型蜜罐的執(zhí)行狀態(tài)同步。

此外，由通信管理部112追蹤應(yīng)用層的協(xié)議狀態(tài)轉(zhuǎn)變，蓄積狀態(tài)恢復(fù)所需的數(shù)據(jù)，在切換蜜罐時(shí)進(jìn)行用于恢復(fù)通信狀態(tài)的通信，由此，能夠在不引起通信的狀態(tài)不匹配等的情況下切換蜜罐。

此外，在通信管理部112內(nèi)終止通信，由此，即使是使用了TCP或TLS這些協(xié)議的通信，也能夠切換蜜罐。

此外，通信管理部112對(duì)針對(duì)全部模擬終端IP的ARP請(qǐng)求回送ARP響應(yīng)，進(jìn)而在將虛擬機(jī)連接到各自不同的VLAN上的狀態(tài)下進(jìn)行起動(dòng)，由此，能夠保證全部通信經(jīng)由通信管理部112。

此外，按照終端狀態(tài)轉(zhuǎn)變場(chǎng)景變更終端狀態(tài)，由此，能夠在模擬終端內(nèi)再現(xiàn)好像用戶正在執(zhí)行業(yè)務(wù)那樣的狀態(tài)。

此外，在使高交互型蜜罐進(jìn)行按照終端狀態(tài)轉(zhuǎn)變場(chǎng)景的狀態(tài)轉(zhuǎn)變時(shí)，在虛擬機(jī)內(nèi)起動(dòng)進(jìn)程，由此，能夠進(jìn)一步偽裝成好像用戶正在執(zhí)行業(yè)務(wù)。

實(shí)施方式2

在以上的實(shí)施方式1中，是通信管理部112向低交互型蜜罐和高交互型蜜罐傳送通信，接著，在本實(shí)施方式2中，說(shuō)明利用通信管理部112的網(wǎng)關(guān)部210使低交互型蜜罐進(jìn)行動(dòng)作的情況。

圖15是示出實(shí)施方式2的通信管理部112外圍的系統(tǒng)結(jié)構(gòu)的一例的圖。

將圖15與圖2比較可知，不再有低交互型蜜罐部106，取而代之，網(wǎng)關(guān)部210成為網(wǎng)關(guān)部兼低交互型蜜罐部1501。

接著，說(shuō)明本實(shí)施方式2中的網(wǎng)關(guān)部兼低交互型蜜罐部1501的動(dòng)作。網(wǎng)關(guān)部兼低交互型蜜罐部1501在接收到來(lái)自終端的通信時(shí)，與實(shí)施方式1的網(wǎng)關(guān)部210同樣地保存通信恢復(fù)用的數(shù)據(jù)，并且利用低交互型蜜罐部處理通信。這樣的處理能夠如下容易地實(shí)現(xiàn)：替代在實(shí)施方式1的網(wǎng)關(guān)部210上傳送通信，而是向?qū)嵤┓绞?中公開(kāi)的通信處理程序303輸入數(shù)據(jù)。在通信處理程序303回送了蜜罐的切換請(qǐng)求的情況下，利用與實(shí)施方式1相同的方法，進(jìn)行高交互型蜜罐的起動(dòng)以及通信狀態(tài)的恢復(fù)。之后與實(shí)施方式1同樣，向已起動(dòng)的高交互型蜜罐傳送通信。

如上所述，在本實(shí)施方式2的發(fā)明中，在通信管理部112上實(shí)施低交互型蜜罐的處理，由此具有以下效果：不再有向低交互型蜜罐傳送通信的開(kāi)銷(xiāo)，能夠降低針對(duì)通信的響應(yīng)延遲。

實(shí)施方式3

在以上的實(shí)施方式1、2中，使高交互型蜜罐部103內(nèi)的各虛擬機(jī)分別與獨(dú)立的VLAN連接，接著，在本實(shí)施方式3中說(shuō)明如下情況：不使用VLAN而在通信管理部112上設(shè)定各虛擬機(jī)的ARP高速緩存，由此能夠得到同等的效果。

圖16是示出本實(shí)施方式3的通信管理部112外圍的系統(tǒng)結(jié)構(gòu)的一例的圖。

將圖16與圖2比較可知，虛擬機(jī)201、202以及通信管理部112被連接到同一LAN。此外，將在實(shí)施方式1的通信管理部112內(nèi)為ARP響應(yīng)部209的結(jié)構(gòu)置換成ARP高速緩存設(shè)定部1601。

接著，說(shuō)明本實(shí)施方式3中的通信管理部112的動(dòng)作。在本實(shí)施方式3中，通信管理部112對(duì)起動(dòng)中的各虛擬機(jī)定期地發(fā)送ARP響應(yīng)分組，該ARP響應(yīng)分組表示與全部模擬終端的IP對(duì)應(yīng)的MAC地址是分配給與網(wǎng)絡(luò)206連接的通信管理部112的接口的MAC地址。

圖17是示出ARP響應(yīng)分組的一例的圖。

如圖17所示，在分組中，使用通信管理部112的MAC地址，作為針對(duì)各虛擬機(jī)IP(1702)的MAC地址(1701)。由此，對(duì)于各虛擬機(jī)，即使通信對(duì)方是相鄰的虛擬機(jī)，也不直接向該虛擬機(jī)發(fā)送通信而向通信管理部112發(fā)送分組。

如上所述，在本實(shí)施方式3的發(fā)明中，通過(guò)偽裝ARP響應(yīng)并發(fā)送到各虛擬機(jī)，不再需要通過(guò)VLAN分離各虛擬機(jī)，存在能夠簡(jiǎn)化系統(tǒng)結(jié)構(gòu)的效果。

另外，本實(shí)施方式3中公開(kāi)的方式不僅能夠適用于實(shí)施方式1，當(dāng)然也同樣能夠適用于實(shí)施方式2。

實(shí)施方式4

在以上的實(shí)施方式1～3中，是將通信狀態(tài)恢復(fù)所需的數(shù)據(jù)全部保存到通信管理部112中，在通信狀態(tài)恢復(fù)時(shí)，通信管理部112與已起動(dòng)的虛擬機(jī)進(jìn)行通信，接著，在本實(shí)施方式4中，說(shuō)明針對(duì)應(yīng)用層的通信狀態(tài)恢復(fù)使用低交互型蜜罐的情況。

圖18是示出本實(shí)施方式4的通信管理部112外圍的系統(tǒng)結(jié)構(gòu)的一例的圖。

圖18與實(shí)施方式1的圖2相比，不再有通信恢復(fù)用數(shù)據(jù)蓄積部211，并且附加有應(yīng)用層恢復(fù)用通信傳送部1801，該應(yīng)用層恢復(fù)用通信傳送部1801將來(lái)自低交互型蜜罐的用于恢復(fù)應(yīng)用層通信狀態(tài)的通信傳送到虛擬機(jī)。

圖19是示出本實(shí)施方式4的攻擊觀察裝置的低交互型蜜罐部106的結(jié)構(gòu)的一例的圖。

圖19與表示實(shí)施方式1的低交互型蜜罐部106的結(jié)構(gòu)的圖3相比，附加有如下部件：應(yīng)用層通信恢復(fù)用數(shù)據(jù)蓄積部1901，其蓄積用于恢復(fù)應(yīng)用層通信的數(shù)據(jù)；以及通信狀態(tài)恢復(fù)用程序蓄積部1902，其蓄積用于恢復(fù)應(yīng)用層的通信的恢復(fù)程序1903。

接著，對(duì)實(shí)施方式4的攻擊觀察裝置的動(dòng)作進(jìn)行說(shuō)明。在實(shí)施方式4中，如圖20那樣進(jìn)行低交互型蜜罐部106的動(dòng)作。

圖20是示出實(shí)施方式4的低交互型蜜罐部106的動(dòng)作流程的流程圖。

在圖20的流程圖中，到步驟S506之前與實(shí)施方式1相同，但是，在步驟S506中執(zhí)行蜜罐切換請(qǐng)求后，在步驟S507中取得通信恢復(fù)程序，使用該程序，在步驟S508中恢復(fù)應(yīng)用層的通信狀態(tài)。

在步驟S508中蓄積用于恢復(fù)應(yīng)用層的通信狀態(tài)所需的數(shù)據(jù)，因此，本實(shí)施方式4中的通信處理程序如圖21所示的流程圖那樣進(jìn)行動(dòng)作。

圖21是示出實(shí)施方式4的通信處理程序的動(dòng)作流程的流程圖。

在圖21的流程圖中，對(duì)實(shí)施方式1中示出的流程圖附加有步驟S607以及步驟S608。即，在通信處理程序內(nèi)判斷出為了恢復(fù)通信狀態(tài)而需要保存數(shù)據(jù)的情況下(例如，在實(shí)施方式1的圖8中，接收到應(yīng)用層協(xié)議上的登錄請(qǐng)求時(shí)等)，追加保存所需的數(shù)據(jù)的處理。

當(dāng)通信管理部112接收到蜜罐切換請(qǐng)求時(shí)，與實(shí)施方式1同樣地起動(dòng)虛擬機(jī)，恢復(fù)下位層的通信(例如TCP或TLS會(huì)話等)。然后，將從低交互型蜜罐內(nèi)的通信恢復(fù)程序發(fā)送來(lái)的通信恢復(fù)用應(yīng)用層數(shù)據(jù)在已恢復(fù)的通信連接上傳送到虛擬機(jī)。同樣，將來(lái)自虛擬機(jī)的響應(yīng)傳送到通信恢復(fù)程序。執(zhí)行以上的通信，直到通信恢復(fù)程序結(jié)束為止，從而通信的恢復(fù)結(jié)束。

如上所述，在本實(shí)施方式4的發(fā)明中，在通信管理部112中，負(fù)責(zé)至TCP或TLS這些應(yīng)用層以下的協(xié)議的恢復(fù)為止，應(yīng)用層的通信狀態(tài)恢復(fù)利用低交互型蜜罐上的通信恢復(fù)程序來(lái)執(zhí)行，由此具有如下效果：能夠使得通信管理部112不受到應(yīng)用層的協(xié)議變更的影響。另外，如在實(shí)施方式2中敘述的那樣，本實(shí)施方式4當(dāng)然也能夠在通信管理部112上進(jìn)行動(dòng)作。

實(shí)施方式5

在以上的實(shí)施方式1～4中，是根據(jù)來(lái)自低交互型蜜罐的請(qǐng)求切換到高交互型蜜罐，接著，在本實(shí)施方式5中說(shuō)明如下情況：在低交互型蜜罐內(nèi)或連接低交互型蜜罐與通信管理部112的網(wǎng)絡(luò)上設(shè)置入侵檢測(cè)裝置(IDS：Intrusion Detection System)，將IDS檢測(cè)到攻擊作為蜜罐切換的條件。

圖22是示出實(shí)施方式5的通信管理部112外圍的系統(tǒng)結(jié)構(gòu)的一例的圖。

在圖22中，IDS 2201監(jiān)視向低交互型蜜罐的通信，在檢測(cè)到攻擊的時(shí)刻通知給通信管理部112，執(zhí)行向高交互型蜜罐的切換。蜜罐的切換以及切換后的通信狀態(tài)恢復(fù)與實(shí)施方式1～4相同。

如上所述，本實(shí)施方式5的發(fā)明通過(guò)將IDS檢測(cè)到攻擊作為蜜罐切換的條件，不僅可以將未定義的通信到來(lái)的情況作為對(duì)象，而且可以將IDS能夠檢測(cè)的攻擊整體作為對(duì)象，網(wǎng)羅性地切換蜜罐，具有能夠更精巧地模擬大規(guī)模系統(tǒng)的效果。

標(biāo)號(hào)說(shuō)明

101：蜜罐系統(tǒng)(攻擊觀察裝置)；102：外部網(wǎng)絡(luò)；103：高交互型蜜罐部；104：虛擬機(jī)組；105：虛擬機(jī)執(zhí)行環(huán)境；106：低交互型蜜罐部；107：終端狀態(tài)轉(zhuǎn)變場(chǎng)景執(zhí)行部；108：終端狀態(tài)管理部；109：終端狀態(tài)蓄積部；110：終端狀態(tài)轉(zhuǎn)變場(chǎng)景蓄積部；112：通信管理部；115：蜜罐執(zhí)行狀態(tài)管理部；116：高交互型蜜罐執(zhí)行指令蓄積部；201～202：虛擬機(jī)；205：虛擬交換機(jī)；207：分組接收部；208：分組發(fā)送部；209：ARP響應(yīng)部；210：網(wǎng)關(guān)部；211：通信恢復(fù)用數(shù)據(jù)蓄積部；301：通信處理程序執(zhí)行部；302：通信處理程序蓄積部；303：通信處理程序；701～702：虛擬機(jī)鏡像；1501：網(wǎng)關(guān)部兼低交互型蜜罐部；1601：ARP高速緩存設(shè)定部；1801：應(yīng)用層恢復(fù)用通信傳送部；1901：應(yīng)用層通信恢復(fù)用數(shù)據(jù)蓄積部；1902：通信狀態(tài)恢復(fù)用程序蓄積部；1903：恢復(fù)程序；2201：IDS。