虛擬蜜罐的制作方法
【專利摘要】一種虛擬蜜罐通過(guò)配置與該虛擬蜜罐相關(guān)聯(lián)的一個(gè)或多個(gè)網(wǎng)絡(luò)地址而被配置在安全裝置內(nèi)�。該安全裝置接收發(fā)送至與該虛擬蜜罐相關(guān)聯(lián)的一個(gè)或多個(gè)網(wǎng)絡(luò)地址的、去往該虛擬蜜罐的網(wǎng)絡(luò)業(yè)務(wù)�����,以及向該遠(yuǎn)程蜜罐轉(zhuǎn)發(fā)該業(yè)務(wù)�,以使得該遠(yuǎn)程蜜罐看上去是連接至該安全裝置本地的網(wǎng)絡(luò)。
【專利說(shuō)明】虛擬蜜罐
【技術(shù)領(lǐng)域】
[0001]本發(fā)明總體上涉及計(jì)算機(jī)網(wǎng)絡(luò)安全�,并且更具體地涉及計(jì)算機(jī)網(wǎng)絡(luò)蜜罐。
【背景技術(shù)】
[0002]計(jì)算機(jī)是有價(jià)值的工具����,在于其能力的很大部分用于與其它計(jì)算機(jī)系統(tǒng)進(jìn)行通信并且通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)交換信息。網(wǎng)絡(luò)通常包括通過(guò)線路����、光纖、無(wú)線電或其它數(shù)據(jù)傳輸手段進(jìn)行鏈接的計(jì)算機(jī)的互連群組�����,以向計(jì)算機(jī)提供在計(jì)算機(jī)之間傳輸信息的能力����?����;ヂ?lián)網(wǎng)可能是最為眾所周知的計(jì)算機(jī)網(wǎng)絡(luò)��,并且使得數(shù)以百萬(wàn)計(jì)的人們能夠諸如通過(guò)觀看網(wǎng)頁(yè)��、發(fā)送電子郵件或者通過(guò)執(zhí)行其它計(jì)算機(jī)至計(jì)算機(jī)的通信而接入到數(shù)以百萬(wàn)計(jì)的其它計(jì)算機(jī)���。
[0003]由于互聯(lián)網(wǎng)的大小非常龐大并且互聯(lián)網(wǎng)用戶的興趣非常多樣化,所以嘗試以對(duì)其它用戶構(gòu)成危險(xiǎn)的方式而與其它用戶的計(jì)算機(jī)進(jìn)行通信的惡意用戶或惡作劇者也并不少見(jiàn)��。例如���,黑客可能會(huì)嘗試登錄到公司計(jì)算機(jī)中以竊取����、刪除或改變信息�。計(jì)算機(jī)病毒、蠕蟲(chóng)和/或特洛伊木馬程序可能會(huì)分布到其它計(jì)算機(jī)��,或者被計(jì)算機(jī)用戶無(wú)意下載或執(zhí)行�����。另夕卜���,企業(yè)內(nèi)的計(jì)算機(jī)用戶可能會(huì)偶然嘗試執(zhí)行非授權(quán)的網(wǎng)絡(luò)通信��,諸如運(yùn)行文件共享程序或者將企業(yè)網(wǎng)絡(luò)內(nèi)部的秘密傳送至互聯(lián)網(wǎng)�����。
[0004]出于這些原因��,網(wǎng)絡(luò)管理員會(huì)在易受攻擊的網(wǎng)絡(luò)內(nèi)部署誘餌計(jì)算機(jī)系統(tǒng)或“蜜罐”�,其被設(shè)計(jì)為吸引入侵者的注意并且收集和報(bào)告與入侵相關(guān)的信息�。也就是說(shuō),蜜罐是部署在企業(yè)網(wǎng)絡(luò)內(nèi)模仿諸如數(shù)據(jù)庫(kù)��、應(yīng)用和/或其它服務(wù)的網(wǎng)絡(luò)服務(wù)的服務(wù)器�,其表現(xiàn)出吸引惡意業(yè)務(wù)以收集有關(guān)攻擊模式和(多個(gè))入侵來(lái)源的信息以便識(shí)別出受到感染的網(wǎng)絡(luò)設(shè)備和可疑攻擊方。
【發(fā)明內(nèi)容】
[0005]通常�����,虛擬蜜罐使用安全裝置而暴露于網(wǎng)絡(luò)����,該安全裝置將指向虛擬蜜罐的網(wǎng)絡(luò)業(yè)務(wù)從該安全裝置中繼至服務(wù)器以便進(jìn)行處理�。在一些示例中�,對(duì)企業(yè)或其它私有網(wǎng)絡(luò)進(jìn)行保護(hù)的安全裝置向網(wǎng)絡(luò)暴露接口。該安全裝置將可能包括暴露于私有網(wǎng)絡(luò)的網(wǎng)絡(luò)地址的接口映射到隧道�����,該隧道以執(zhí)行蜜罐功能但是處于該私有網(wǎng)絡(luò)外部的服務(wù)器(“遠(yuǎn)程蜜罐”)為終端����。該安全裝置在所暴露的接口處接收可能包括惡意業(yè)務(wù)的網(wǎng)絡(luò)業(yè)務(wù)并且在所映射的隧道上將該網(wǎng)絡(luò)業(yè)務(wù)轉(zhuǎn)發(fā)至遠(yuǎn)程蜜罐以便進(jìn)行處理。該遠(yuǎn)程蜜罐就如同其位于私有網(wǎng)絡(luò)內(nèi)那樣處理經(jīng)隧道后的網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行以進(jìn)行記錄�����、分析�,并且在一些情況下用響應(yīng)網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行響應(yīng),該遠(yuǎn)程蜜罐將該響應(yīng)網(wǎng)絡(luò)業(yè)務(wù)經(jīng)由隧道返回至安全裝置�����。根據(jù)經(jīng)由隧道接收到響應(yīng)網(wǎng)絡(luò)業(yè)務(wù)����,安全裝置就從接口轉(zhuǎn)發(fā)(或“代理”)該響應(yīng)網(wǎng)絡(luò)業(yè)務(wù)以便模仿私有網(wǎng)絡(luò)上蜜te的存在。
[0006]在一個(gè)示例中���,如本文中所描述的遠(yuǎn)程蜜罐可以由第三方提供商在不接入私有網(wǎng)絡(luò)的情況下進(jìn)行配置和持續(xù)維護(hù)��。使用所描述的技術(shù)將惡意業(yè)務(wù)轉(zhuǎn)發(fā)至這樣的遠(yuǎn)程蜜罐以便進(jìn)行處理可以減輕網(wǎng)絡(luò)管理員的負(fù)擔(dān)并且降低在動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境中建立和維護(hù)蜜罐所花費(fèi)的運(yùn)營(yíng)成本���。在另一個(gè)示例中,使用安全裝置來(lái)建立虛擬蜜罐并且來(lái)利用遠(yuǎn)程蜜罐代理去往該虛擬蜜罐的業(yè)務(wù)擴(kuò)展了該安全裝置操作的范圍并且可以允許網(wǎng)絡(luò)管理員對(duì)現(xiàn)有網(wǎng)絡(luò)裝置進(jìn)行權(quán)衡以執(zhí)行資源密集型安全操作(例如�����,蜜罐相關(guān)操作)而替代于部署又一個(gè)網(wǎng)絡(luò)裝置及其所伴隨的資金和運(yùn)營(yíng)支出���。
[0007]在另一個(gè)示例中�����,安全裝置配置與位于受保護(hù)網(wǎng)絡(luò)外部的遠(yuǎn)程蜜罐相關(guān)聯(lián)的暴露的網(wǎng)絡(luò)地址�。該安全裝置接收去往與遠(yuǎn)程蜜罐相關(guān)聯(lián)的網(wǎng)絡(luò)地址的網(wǎng)絡(luò)業(yè)務(wù)����,并且向遠(yuǎn)程蜜罐轉(zhuǎn)發(fā)該網(wǎng)絡(luò)業(yè)務(wù)。
[0008]在另一個(gè)示例中��,安全裝置包括安全管理模塊����,其可操作以在該安全裝置本地的受保護(hù)網(wǎng)絡(luò)中防止不希望的網(wǎng)絡(luò)業(yè)務(wù)���。該安全裝置還包括遠(yuǎn)程蜜罐模塊,其可操作以配置與位于受保護(hù)網(wǎng)絡(luò)外部的遠(yuǎn)程蜜罐相關(guān)聯(lián)的一個(gè)或多個(gè)暴露的網(wǎng)絡(luò)地址��。該安全裝置還包括流管理模塊�,其可操作以接收去往與遠(yuǎn)程蜜罐相關(guān)聯(lián)的網(wǎng)絡(luò)地址的網(wǎng)絡(luò)業(yè)務(wù),并且向遠(yuǎn)程蜜罐轉(zhuǎn)發(fā)去往與遠(yuǎn)程蜜罐相關(guān)聯(lián)的網(wǎng)絡(luò)地址的網(wǎng)絡(luò)業(yè)務(wù)�,以使得該遠(yuǎn)程蜜罐看上去是連接至該安全裝置本地的網(wǎng)絡(luò)。
[0009]在另一個(gè)示例中����,位于受保護(hù)網(wǎng)絡(luò)外部的遠(yuǎn)程蜜罐從向受保護(hù)網(wǎng)絡(luò)提供安全服務(wù)的安全裝置接收網(wǎng)絡(luò)業(yè)務(wù),處理接收的網(wǎng)絡(luò)業(yè)務(wù)以生成響應(yīng)網(wǎng)絡(luò)業(yè)務(wù)�����,并且向安全裝置發(fā)送響應(yīng)網(wǎng)絡(luò)業(yè)務(wù)以使得遠(yuǎn)程蜜罐看上去是位于受保護(hù)網(wǎng)絡(luò)內(nèi)部���。
[0010]在另一個(gè)示例中�,遠(yuǎn)程蜜罐包括通信模塊����,其可操作以從安全裝置接收去往虛擬蜜罐的網(wǎng)絡(luò)業(yè)務(wù)�。該遠(yuǎn)程蜜罐進(jìn)一步包括遠(yuǎn)程蜜罐虛擬機(jī)�����,其可操作以處理接收的網(wǎng)絡(luò)業(yè)務(wù)���,并且響應(yīng)于接收的網(wǎng)絡(luò)業(yè)務(wù)以及經(jīng)由通信模塊向安全裝置發(fā)送網(wǎng)絡(luò)業(yè)務(wù),以使得遠(yuǎn)程蜜罐虛擬機(jī)看上去是連接至該安全裝置本地的網(wǎng)絡(luò)���。
[0011]本發(fā)明的一個(gè)或多個(gè)示例的細(xì)節(jié)在附圖和以下的描述中給出�����。從該描述和附圖以及從權(quán)利要求將明顯看出其它的特征�、目標(biāo)和優(yōu)勢(shì)��。
【專利附圖】
【附圖說(shuō)明】
[0012]圖1是根據(jù)一些示例實(shí)施例的示出經(jīng)由安全裝置提供的虛擬蜜罐的網(wǎng)絡(luò)框圖��。
[0013]圖2是根據(jù)一些示例實(shí)施例的可操作以提供虛擬遠(yuǎn)程蜜罐的安全裝置的框圖����。
[0014]圖3是根據(jù)一些示例實(shí)施例的圖示可操作以向安全裝置提供服務(wù)的遠(yuǎn)程虛擬蜜罐的框圖。
[0015]圖4是根據(jù)一些示例實(shí)施例的操作安全裝置以使用遠(yuǎn)程蜜罐服務(wù)器提供虛擬蜜罐的方法的流程圖。
[0016]圖5是根據(jù)一些示例實(shí)施例的操作遠(yuǎn)程蜜罐服務(wù)器以向安全裝置提供虛擬蜜罐服務(wù)的方法的流程圖����。
[0017]圖6是根據(jù)一些示例實(shí)施例的集成了可操作以提供虛擬蜜罐的安全裝置的路由器的框圖。
【具體實(shí)施方式】
[0018]諸如防火墻和防病毒軟件的安全系統(tǒng)在典型網(wǎng)絡(luò)環(huán)境中提供了顯著的保護(hù)����,在該環(huán)境中防火墻針對(duì)私有網(wǎng)絡(luò)的非授權(quán)接入提供了防御,并且防病毒軟件針對(duì)個(gè)體計(jì)算機(jī)系統(tǒng)被病毒���、特洛伊�����、根程序病毒和其它威脅感染提供了防御�。雖然這樣的安全系統(tǒng)針對(duì)許多類型的計(jì)算機(jī)攻擊提供了防御����,但是即使對(duì)其事件日志進(jìn)行仔細(xì)檢查,所提供的與攻擊如何裝載相關(guān)的信息也非常有限�。
[0019]出于諸如此類的原因,有時(shí)采用被稱作蜜罐的誘餌系統(tǒng)來(lái)收集與攻擊方或入侵者相關(guān)的信息����。蜜罐可以設(shè)置在私有網(wǎng)絡(luò)內(nèi)部或外部,并且諸如通過(guò)使用被配置為看上去與易受攻擊的系統(tǒng)相同的定制軟件,或者通過(guò)使用諸如Windows?服務(wù)器���、數(shù)據(jù)庫(kù)服務(wù)器或其它這樣的系統(tǒng)的可能對(duì)攻擊方具有吸引力的目標(biāo)的標(biāo)準(zhǔn)操作系統(tǒng)和軟件�����,蜜罐通常被配置成表現(xiàn)為易受攻擊的聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)����。典型地����,蜜罐系統(tǒng)進(jìn)一步包括使得用戶活動(dòng)能夠被記錄或追蹤的軟件工具�,這使得蜜罐的主機(jī)能夠收集與攻擊方的身份和方法相關(guān)的信息。
[0020]但是���,蜜罐系統(tǒng)的配置和安裝是一項(xiàng)復(fù)雜的任務(wù)���。所期望的是,蜜罐模仿對(duì)攻擊方具有吸引力的實(shí)際服務(wù)器����,這涉及這樣的系統(tǒng)的安裝、配置和維護(hù),并且可能包括諸如電子郵件����、數(shù)據(jù)庫(kù)條目或其它這樣的錯(cuò)誤數(shù)據(jù)之類的“虛假”信息。期望對(duì)追蹤軟件進(jìn)行設(shè)置以提供對(duì)攻擊方在蜜罐系統(tǒng)上的活動(dòng)的追蹤�。經(jīng)常還期望其它配置修改,諸如限制外出業(yè)務(wù)以防止蜜罐被用來(lái)攻擊其它計(jì)算機(jī)系統(tǒng)�,這導(dǎo)致了稍顯復(fù)雜的安裝。另外���,在蜜罐感染或攻擊之后進(jìn)行清理以將蜜罐恢復(fù)到攻擊前的狀態(tài)也是一項(xiàng)耗時(shí)的任務(wù)��。
[0021]因此��,本文中所給出的一些示例提供了一種遠(yuǎn)程部署并且經(jīng)由防火墻或其它安全裝置提供至本地網(wǎng)絡(luò)的蜜罐�。在一個(gè)更詳細(xì)的示例中�,安全裝置使用到遠(yuǎn)程蜜罐系統(tǒng)的隧道或虛擬私有網(wǎng)絡(luò)(VPN)連接來(lái)提供看上去是該安全裝置本地的虛擬蜜罐。遠(yuǎn)程蜜罐可以由第三方提供商諸如使用若干標(biāo)準(zhǔn)配置中的一個(gè)來(lái)進(jìn)行配置����,這減輕了安全裝置操作人員在設(shè)置和操作蜜罐時(shí)的負(fù)擔(dān)。
[0022]圖1是示出符合一些示例實(shí)施例的經(jīng)由安全裝置提供的虛擬遠(yuǎn)程蜜罐的網(wǎng)絡(luò)框圖�����。在圖1的示例中,安全裝置102在網(wǎng)絡(luò)100內(nèi)進(jìn)行操作�,并且經(jīng)由外部或公共網(wǎng)絡(luò)104耦合至一個(gè)或多個(gè)遠(yuǎn)程計(jì)算機(jī)106。公共網(wǎng)絡(luò)104進(jìn)一步連接安全裝置102到遠(yuǎn)程蜜罐108���,該遠(yuǎn)程蜜罐108可操作以向安全裝置102提供虛擬蜜罐系統(tǒng)��。
[0023]安全裝置102還耦合至內(nèi)部或私有網(wǎng)絡(luò)系統(tǒng)����,諸如計(jì)算機(jī)110���、112和114。安全裝置包括可操作以對(duì)安全裝置進(jìn)行配置和管理的服務(wù)平面116��,可操作以對(duì)諸如106的外部網(wǎng)絡(luò)計(jì)算機(jī)與內(nèi)部計(jì)算機(jī)系統(tǒng)110�、112和114之間的業(yè)務(wù)流進(jìn)行管控的轉(zhuǎn)發(fā)平面118。安全裝置提供了通過(guò)連接至遠(yuǎn)程蜜罐108而對(duì)本地虛擬蜜罐120進(jìn)行部署���,以使得安全裝置和遠(yuǎn)程蜜罐被配置為模仿本地蜜罐�,該本地蜜罐針對(duì)耦合至網(wǎng)絡(luò)的計(jì)算機(jī)表現(xiàn)為虛擬蜜罐120��。
[0024]內(nèi)部或私有網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)110����、112�、114以及虛擬蜜罐120在該示例中是受保護(hù)網(wǎng)絡(luò)122的一部分�,該受保護(hù)網(wǎng)絡(luò)122被安全裝置102所保護(hù)以免受公共網(wǎng)絡(luò)104影響。安全裝置通常對(duì)從公共網(wǎng)絡(luò)到受保護(hù)網(wǎng)絡(luò)的計(jì)算機(jī)的傳入網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行管控或過(guò)濾�,這防止了非授權(quán)接入、病毒��、惡意程序或其它這樣的威脅到達(dá)受保護(hù)網(wǎng)絡(luò)122的計(jì)算機(jī)�����。
[0025]在操作中���,安全裝置管理員對(duì)安全裝置102進(jìn)行配置以使用諸如基于云的蜜罐之類的遠(yuǎn)程部署蜜罐108來(lái)模仿本地操作的蜜罐系統(tǒng)����。安全裝置向網(wǎng)絡(luò)添加諸如互聯(lián)網(wǎng)協(xié)議(IP)地址的虛擬端點(diǎn)�����,這響應(yīng)于標(biāo)準(zhǔn)網(wǎng)絡(luò)發(fā)現(xiàn)嘗試����,諸如地址解析協(xié)議(ARP)請(qǐng)求��、互聯(lián)網(wǎng)控制消息協(xié)議(ICMP) ping命令以及經(jīng)常被用來(lái)尋找網(wǎng)絡(luò)上的系統(tǒng)并與之通信的其它這樣的網(wǎng)絡(luò)請(qǐng)求�。虛擬蜜罐120因此對(duì)諸如遠(yuǎn)程計(jì)算機(jī)106以及本地計(jì)算機(jī)110�����、112和114的其它系統(tǒng)表現(xiàn)為安全裝置的受保護(hù)網(wǎng)絡(luò)本地的系統(tǒng)�。安全裝置102將諸如這些去往虛擬蜜罐IP地址的業(yè)務(wù)從系統(tǒng)以隧道送至遠(yuǎn)程蜜罐108,該遠(yuǎn)程蜜罐108可操作以經(jīng)由隧道連接124提供看上去來(lái)自于本地虛擬蜜罐102的響應(yīng)�。遠(yuǎn)程蜜罐進(jìn)一步對(duì)蜜罐活動(dòng)進(jìn)行監(jiān)視和追蹤,并且向安全裝置102的管理員提供諸如活動(dòng)報(bào)告之類的活動(dòng)數(shù)據(jù)��,以使得管理員能夠使用該數(shù)據(jù)來(lái)獲知攻擊方如何嘗試獲得到計(jì)算機(jī)系統(tǒng)的接入���,并且能夠收集入侵取證證據(jù)(forensic evidence)來(lái)協(xié)助攻擊方的識(shí)別和指控��。進(jìn)一步地,蜜罐可以從實(shí)際基礎(chǔ)設(shè)施系統(tǒng)轉(zhuǎn)移攻擊,這有效地將危險(xiǎn)活動(dòng)轉(zhuǎn)移遠(yuǎn)離于敏感聯(lián)網(wǎng)資產(chǎn)��。
[0026]各個(gè)示例中的蜜罐包括郵件服務(wù)器��、數(shù)據(jù)庫(kù)服務(wù)器或者提供對(duì)攻擊方可能具有吸引力的信息的其它系統(tǒng)��。雖然一些蜜罐可能包括最小資源���,諸如僅包括最可能被攻擊方接入的那些資源����,但是使用標(biāo)準(zhǔn)操作系統(tǒng)和其它軟件,其它將看上去完全是操作的系統(tǒng)���,這使得攻擊方更加難以將它們辨認(rèn)為潛在的蜜罐�。
[0027]各個(gè)實(shí)施例中的虛擬蜜罐120可以位于如在120所示的安全裝置102的內(nèi)部或私有網(wǎng)絡(luò)側(cè)����,或者虛擬蜜罐120可以位于防火墻的外部或公共側(cè),諸如經(jīng)常是具有應(yīng)用或web服務(wù)器以及其它這樣的系統(tǒng)的情況����。在安全裝置120在內(nèi)部受保護(hù)網(wǎng)絡(luò)內(nèi)暴露虛擬蜜罐120的示例中,諸如圖1所示��,虛擬蜜罐還可以監(jiān)視諸如來(lái)自私有網(wǎng)絡(luò)上的另一計(jì)算機(jī)的病毒或特洛伊攻擊的內(nèi)部威脅����,該另一計(jì)算機(jī)諸如通過(guò)網(wǎng)絡(luò)連接126耦合至虛擬蜜罐的計(jì)算機(jī) 112。
[0028]因?yàn)樘摂M蜜罐系統(tǒng)由于其并不向典型用戶提供實(shí)際網(wǎng)絡(luò)服務(wù)而應(yīng)當(dāng)在內(nèi)部網(wǎng)絡(luò)上接收非常少的業(yè)務(wù)�����,所以從受感染計(jì)算機(jī)112到內(nèi)部虛擬蜜罐120的非尋常業(yè)務(wù)模式可以提供安全威脅的指示,該指示并未被諸如防病毒軟件之類的其它工具所識(shí)別�����,這使得網(wǎng)絡(luò)管理員能夠更快找出威脅并對(duì)威脅做出響應(yīng)��。此外���,雖然關(guān)于諸如入侵檢測(cè)和防護(hù)���、通用威脅管理和/或防火墻設(shè)備之類的安全裝置進(jìn)行了描述,但是該技術(shù)可以由其它類型的網(wǎng)絡(luò)服務(wù)所應(yīng)用�����,諸如路由器��、第三層(L3)交換機(jī)以及能夠以隧道將L3業(yè)務(wù)送至遠(yuǎn)程蜜罐108的其它設(shè)備����。
[0029]采用遠(yuǎn)程蜜罐來(lái)提供虛擬蜜罐使得能夠有效使用遠(yuǎn)程服務(wù)器資源來(lái)向若干不同的安全裝置提供虛擬蜜罐���,與很少被遠(yuǎn)程計(jì)算機(jī)所接入的其它虛擬蜜罐共享服務(wù)器資源�����。遠(yuǎn)程或基于云的蜜罐服務(wù)的使用進(jìn)一步將蜜罐的配置和管理從本地安全裝置或其它本地機(jī)器卸載至遠(yuǎn)程部署的系統(tǒng)�。該遠(yuǎn)程部署的蜜罐服務(wù)提供商因此能夠提供若干不同的標(biāo)準(zhǔn)基礎(chǔ)配置,消費(fèi)者可以從中進(jìn)行選擇并且如果需要其能夠作為用于進(jìn)一步定制的基礎(chǔ)配置�。
[0030]圖2是符合一些示例實(shí)施例的可操作以提供虛擬蜜罐的安全裝置的框圖。這里�,安全裝置200包括外部網(wǎng)絡(luò)接口 202、內(nèi)部網(wǎng)絡(luò)接口 204��、流管理模塊205以及作為轉(zhuǎn)發(fā)平面210的一部分的流表208�,該轉(zhuǎn)發(fā)流210可操作以對(duì)通過(guò)安全裝置的業(yè)務(wù)流進(jìn)行管理。操作系統(tǒng)內(nèi)核212��、安全管理模塊214�、規(guī)則數(shù)據(jù)庫(kù)216、用戶界面218和蜜罐模塊220包括在服務(wù)平面222中�,該服務(wù)平面222可操作以對(duì)安全裝置進(jìn)行管理。
[0031]管理員使用用戶界面218來(lái)接入并且配置安全管理模塊214�����,諸如更新或配置規(guī)則數(shù)據(jù)庫(kù)216中的配置規(guī)則���,以將來(lái)自規(guī)則數(shù)據(jù)庫(kù)216的各種規(guī)則應(yīng)用于分組流��,將各種應(yīng)用綁定至各個(gè)端口���,或者以其它方式對(duì)安全裝置220的操作進(jìn)行配置��。管理員還可以對(duì)安全裝置進(jìn)行配置以經(jīng)由遠(yuǎn)程蜜罐模塊220對(duì)遠(yuǎn)程蜜罐服務(wù)加以利用�。
[0032]轉(zhuǎn)發(fā)平面210通過(guò)流管理模塊206對(duì)外部網(wǎng)絡(luò)接口 202和內(nèi)部網(wǎng)絡(luò)接口 204之間的業(yè)務(wù)進(jìn)行監(jiān)視�����,該流管理模塊206使用來(lái)自規(guī)則數(shù)據(jù)庫(kù)216的規(guī)則��、與通過(guò)遠(yuǎn)程蜜罐模塊220所配置的虛擬蜜罐的所配置網(wǎng)絡(luò)地址相關(guān)的信息以及存儲(chǔ)在流表208中的其它這樣的配置信息來(lái)對(duì)通過(guò)安全設(shè)備的網(wǎng)絡(luò)業(yè)務(wù)的流進(jìn)行管控��。在一些更詳細(xì)的示例中�����,流管理模塊206進(jìn)一步提供對(duì)網(wǎng)絡(luò)分組的一些檢查����,諸如基于與各分組相關(guān)聯(lián)的網(wǎng)絡(luò)連接的分組的狀態(tài)性檢查,并且因此可操作以對(duì)具有各種網(wǎng)絡(luò)協(xié)議的分組進(jìn)行解碼和監(jiān)視����。
[0033]在各種示例中,圖2的各種安全裝置部件可以包括硬件��、固件和軟件的任意組合以用于執(zhí)行每個(gè)部件的各種功能����。例如,內(nèi)核212和安全管理模塊204可以包括在通用處理器上運(yùn)行的軟件指令����,而流管理模塊206則包括專用集成電路(ASIC)。在另一個(gè)示例中���,流管理模塊206作為處理連同安全管理模塊214��、內(nèi)核212和用戶界面218 —起在處理器上執(zhí)行��。在再其它的實(shí)施例中��,安全裝置200的各個(gè)部件可以包括離散的硬件單元�����,諸如數(shù)字信號(hào)處理器(DSP)���、專用集成電路(ASIC)����、現(xiàn)場(chǎng)可編程門陣列(FPGA)�,或者任意其它等同的集成或離散邏輯電路,或者硬件�、固件和/或軟件的任意其它組合。
[0034]通常���,流管理模塊206針對(duì)經(jīng)由輸入網(wǎng)絡(luò)接口 202接收的分組確定該分組所屬的分組流以及該分組流的特征���。當(dāng)分組流首次被接收時(shí),流管理模塊206構(gòu)建包括諸如五元組{源IP地址�,目的地IP地址,源端口�����,目的地端口�,協(xié)議}之類的與分組相關(guān)的信息的狀態(tài)更新,并且在一些示例中�����,該信息諸如是如何對(duì)事務(wù)加以區(qū)分的指示。流管理模塊206通過(guò)外部網(wǎng)絡(luò)接口 202接收入站業(yè)務(wù)并且識(shí)別該業(yè)務(wù)內(nèi)的網(wǎng)絡(luò)流�。每個(gè)網(wǎng)絡(luò)流表示網(wǎng)絡(luò)業(yè)務(wù)內(nèi)一個(gè)方向中的分組流并且至少由源地址、目的地地址和通信協(xié)議進(jìn)行識(shí)別���。流管理模塊206可以利用附加信息來(lái)指定網(wǎng)絡(luò)流,包括源媒體訪問(wèn)控制(MAC)地址�、目的地MAC地址、源端口和目的地端口����。其它示例可以使用其它信息來(lái)識(shí)別網(wǎng)絡(luò)流,諸如IP地址�����。
[0035]流管理模塊206將數(shù)據(jù)保存在流表208內(nèi)�,該流表208對(duì)網(wǎng)絡(luò)業(yè)務(wù)內(nèi)所出現(xiàn)的每個(gè)活動(dòng)的分組流進(jìn)行描述。流表208指定與每個(gè)活動(dòng)的分組流相關(guān)聯(lián)的網(wǎng)絡(luò)部件�����,S卩��,諸如源設(shè)備和目的地設(shè)備以及與分組流相關(guān)聯(lián)的端口之類的低級(jí)別信息���。此外�����,流表208標(biāo)識(shí)出共同形成客戶端和服務(wù)器之間的單個(gè)通信會(huì)話的分組流的配對(duì)或群組�����。例如���,針對(duì)共享至少一些共用網(wǎng)絡(luò)地址����、端口和協(xié)議的流����,流表208可以將通信會(huì)話指定為相反方向的分組流的配對(duì)。
[0036]另外的示例中的流管理模塊提供分組流的狀態(tài)性檢查以識(shí)別分組流內(nèi)的攻擊����。當(dāng)流管理模塊206檢測(cè)到攻擊時(shí),其執(zhí)行編程的響應(yīng)����,諸如向安全管理模塊214發(fā)送警報(bào)以便進(jìn)行記錄或進(jìn)一步分析�����、丟棄該分組流的分組或者結(jié)束與該分組流相對(duì)應(yīng)的網(wǎng)絡(luò)會(huì)話��。流管理模塊還可以阻止源自于具有與所確定的攻擊相關(guān)聯(lián)的標(biāo)識(shí)符的網(wǎng)絡(luò)設(shè)備的未來(lái)連接請(qǐng)求���。在另外的示例中,流管理模塊提供分組的應(yīng)用級(jí)檢查�,諸如允許來(lái)自web瀏覽的HTTP業(yè)務(wù)而阻止來(lái)自文件共享應(yīng)用的HTTP業(yè)務(wù)���。
[0037]管理員可以通過(guò)經(jīng)由用戶接口 218配置遠(yuǎn)程蜜罐模塊220而對(duì)安全裝置進(jìn)行配置以提供虛擬蜜罐�,諸如通過(guò)指定所期望虛擬蜜罐的網(wǎng)絡(luò)地址或者虛擬蜜罐的其它特征��。其它特征可以包括指定虛擬蜜罐要在網(wǎng)絡(luò)上進(jìn)行支持的網(wǎng)絡(luò)服務(wù)�����,例如ICMP�����、ARP�����。遠(yuǎn)程蜜罐模塊220創(chuàng)建具有安全裝置200本地的一個(gè)或多個(gè)網(wǎng)絡(luò)地址的虛擬蜜罐,并且建立到諸如圖1的108的遠(yuǎn)程蜜罐服務(wù)器的連接��。安全裝置使用流表208中所配置的規(guī)則經(jīng)由流管理模塊206而針對(duì)去往具有虛擬蜜罐的網(wǎng)絡(luò)地址的分組來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)視���,并且諸如經(jīng)由安全裝置200和遠(yuǎn)程蜜罐之間的網(wǎng)絡(luò)隧道連接或虛擬私有網(wǎng)絡(luò)(VPN)連接將這樣的業(yè)務(wù)轉(zhuǎn)發(fā)至遠(yuǎn)程蜜罐��。[0038]安全裝置因此可操作而使得在其它聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)看來(lái)該虛擬蜜罐是位于安全裝置200本地的實(shí)際服務(wù)器��,這使得其成為對(duì)攻擊方具有吸引力的目標(biāo)����。雖然虛擬蜜罐在圖1中在120被示為單個(gè)虛擬系統(tǒng)���,但是在其它示例中���,其可以是網(wǎng)絡(luò)分段或子網(wǎng),或者是被配置為吸引攻擊方注意力的精良的虛擬網(wǎng)絡(luò)環(huán)境����。
[0039]在許多示例中,圖2的示例中的安全裝置可能缺少用于利用該安全裝置執(zhí)行蜜罐的處理能力����、存儲(chǔ)或其它計(jì)算資源�����。如以上所描述的�,安全裝置200因此依賴于遠(yuǎn)程部署的蜜罐����。安全裝置200使用遠(yuǎn)程蜜罐模塊220對(duì)網(wǎng)絡(luò)地址進(jìn)行配置以使得其通過(guò)遠(yuǎn)程蜜罐看上去是存在于安全裝置200所保護(hù)的網(wǎng)絡(luò)本地。然而�����,在一些示例中�,安全裝置200并不針對(duì)虛擬蜜罐而提供完整的網(wǎng)絡(luò)連接范圍�����。雖然諸如200的安全裝置經(jīng)常被配置為對(duì)進(jìn)入本地系統(tǒng)的業(yè)務(wù)加以限制�����,但是該示例中的安全裝置可以被配置為對(duì)從虛擬蜜罐外出的業(yè)務(wù)進(jìn)行限制��,這防止了其在嘗試分布惡意程序、垃圾郵件或其它安全威脅時(shí)被接管���。在另一示例中�,在虛擬蜜罐上運(yùn)行的管理軟件進(jìn)行工作以防止可能對(duì)其它計(jì)算機(jī)系統(tǒng)造成威脅的外出網(wǎng)絡(luò)業(yè)務(wù)�����。在更詳細(xì)的示例中�,這樣的網(wǎng)絡(luò)業(yè)務(wù)阻止機(jī)制被配置為使得其通過(guò)網(wǎng)絡(luò)業(yè)務(wù)看上去能夠從蜜罐系統(tǒng)成功發(fā)送,由此使得其看上去是完全操作的網(wǎng)絡(luò)系統(tǒng)��。
[0040]圖3示出了符合示例實(shí)施例的可以被用來(lái)提供遠(yuǎn)程蜜罐的由計(jì)算機(jī)化系統(tǒng)的框圖��。圖3僅圖示了計(jì)算設(shè)備300的一個(gè)特定示例�,并且計(jì)算設(shè)備300的許多其它示例可以在其它實(shí)施例中被使用,諸如用來(lái)提供符合各個(gè)示例實(shí)施例的遠(yuǎn)程虛擬蜜罐或安全裝置����。
[0041]如圖3的具體示例中所示,計(jì)算設(shè)備300包括一個(gè)或多個(gè)處理器302�����、存儲(chǔ)器304、一個(gè)或多個(gè)輸入設(shè)備306���、一個(gè)或多個(gè)輸出設(shè)備308���、一個(gè)或多個(gè)通信模塊310,以及一個(gè)或多個(gè)存儲(chǔ)設(shè)備312�。在一個(gè)示例中,計(jì)算設(shè)備300進(jìn)一步包括可由計(jì)算設(shè)備300所執(zhí)行的操作系統(tǒng)316����。在各個(gè)示例中,操作系統(tǒng)包括諸如網(wǎng)絡(luò)服務(wù)318和虛擬機(jī)(VM)服務(wù)320的服務(wù)�。諸如虛擬機(jī)322的一個(gè)或多個(gè)虛擬機(jī)還存儲(chǔ)在存儲(chǔ)設(shè)備312上,并且可由計(jì)算設(shè)備300所執(zhí)行���。諸如322的每個(gè)虛擬機(jī)可以進(jìn)一步執(zhí)行蜜罐服務(wù)器324�����。組件302、304�、306、308,310和312中的每一個(gè)可以(物理��、通信和/或操作地)進(jìn)行互連以便諸如經(jīng)由一個(gè)或多個(gè)通信信道314進(jìn)行組件間的通信。在一些示例中�,通信信道314包括系統(tǒng)總線、網(wǎng)絡(luò)連接�����、處理間通信數(shù)據(jù)結(jié)構(gòu)或者用于傳輸數(shù)據(jù)的任意其它信道�����。諸如虛擬機(jī)322和操作系統(tǒng)316的應(yīng)用還可以相互傳輸信息以及與計(jì)算設(shè)備300中的其它組件傳輸信息�����。
[0042]在一個(gè)示例中�,處理器302被配置為實(shí)施功能和/或處理指令以便在計(jì)算設(shè)備300內(nèi)執(zhí)行。例如��,處理器302可以能夠?qū)Υ鎯?chǔ)設(shè)備312或存儲(chǔ)器304中所存儲(chǔ)的指令進(jìn)行處理��。處理器302的示例可以包括微處理器�、控制器、數(shù)字信號(hào)處理器(DSP)����、專用集成電路(ASIC)�、現(xiàn)場(chǎng)可編程門陣列(FPGA)中的任意一個(gè)或多個(gè)��,或者等同的離散或集成邏輯電路��。
[0043]一個(gè)或多個(gè)存儲(chǔ)設(shè)備312可以被配置為在操作期間存儲(chǔ)計(jì)算設(shè)備300內(nèi)的信息�。在一些示例中,存儲(chǔ)設(shè)備312被描述為計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)�����。在一些示例中�,存儲(chǔ)設(shè)備312是臨時(shí)存儲(chǔ)器,這意味著存儲(chǔ)設(shè)備312的主要用途并非長(zhǎng)期存儲(chǔ)�����。在一些示例中��,存儲(chǔ)設(shè)備312被描述為易失性存儲(chǔ)器��,這意味著存儲(chǔ)設(shè)備312并不在計(jì)算機(jī)關(guān)機(jī)時(shí)保存所存儲(chǔ)的內(nèi)容�。在其它示例中,在操作期間數(shù)據(jù)從存儲(chǔ)設(shè)備312加載到存儲(chǔ)器304中��。易失性存儲(chǔ)器的示例包括隨機(jī)訪問(wèn)存儲(chǔ)器(RAM)��、動(dòng)態(tài)隨機(jī)訪問(wèn)存儲(chǔ)器(DRAM)��、靜態(tài)隨機(jī)訪問(wèn)存儲(chǔ)器(SRAM)以及本領(lǐng)域已知的其它形式的易失性存儲(chǔ)器�����。在一些示例中����,存儲(chǔ)設(shè)備312被用來(lái)存儲(chǔ)程序指令以便由處理器302執(zhí)行。在各個(gè)示例中���,存儲(chǔ)設(shè)備312和存儲(chǔ)器304被計(jì)算設(shè)備300上運(yùn)行的軟件或應(yīng)用(例如����,虛擬機(jī)322)用來(lái)在程序執(zhí)行期間臨時(shí)地存儲(chǔ)信息���。
[0044]在一些示例中�,存儲(chǔ)設(shè)備312還包括一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)媒體�����。存儲(chǔ)設(shè)備312可以被配置為比易失性存儲(chǔ)器存儲(chǔ)更大量的信息�。存儲(chǔ)設(shè)備312可以進(jìn)一步被配置用于信息的長(zhǎng)期存儲(chǔ)���。在一些示例中,存儲(chǔ)設(shè)備312包括非易失性存儲(chǔ)部件��。這樣的非易失性存儲(chǔ)部件的示例包括磁性硬盤�����、光盤�����、軟盤�、閃存或者電可編程存儲(chǔ)器(EPROM)或電可擦除可編程(EEPROM)存儲(chǔ)器的形式。
[0045]在一些示例中�����,計(jì)算設(shè)備300還博阿凱一個(gè)或多個(gè)通信單元310���。在一個(gè)示例中�,計(jì)算設(shè)備300利用通信單元310經(jīng)由諸如一個(gè)或多個(gè)無(wú)線網(wǎng)絡(luò)的一個(gè)或多個(gè)網(wǎng)絡(luò)與外部設(shè)備進(jìn)行通信�����。通信單元310可以是諸如以太網(wǎng)卡的網(wǎng)絡(luò)接口卡、光學(xué)收發(fā)器�����、射頻收發(fā)器���,或者能夠發(fā)送和/或接收信息的任意其它類型的設(shè)備。這樣的網(wǎng)絡(luò)接口的其它示例可以包括藍(lán)牙����、3G和WiFi無(wú)線電計(jì)算機(jī)設(shè)備以及通用串行總線(USB)。在一些示例中�����,計(jì)算設(shè)備300利用通信單元310與諸如圖1的安全裝置102之類的外部設(shè)備或者任意其它計(jì)算設(shè)備進(jìn)行通信���。
[0046]在一個(gè)不例中��,計(jì)算設(shè)備300還包括一個(gè)或多個(gè)輸入設(shè)備306�����。在一些不例中����,輸入設(shè)備306被配置為通過(guò)觸覺(jué)、音頻或視頻反饋而接收來(lái)自用戶的輸入��。輸入設(shè)備306的示例包括觸摸屏顯示器�、鼠標(biāo)、鍵盤�����、語(yǔ)音響應(yīng)系統(tǒng)����、視頻相機(jī)、麥克風(fēng)或者用于檢測(cè)來(lái)自用戶的輸入的任意其它類型的設(shè)備���。
[0047]一個(gè)或多個(gè)輸出設(shè)備308也可以包括在計(jì)算設(shè)備300中����。在一些示例中�,輸出設(shè)備308被配置為使用觸覺(jué)、音頻或視頻刺激向用戶提供輸出����。在一個(gè)示例中���,輸出設(shè)備308包括存在敏感性(presence-sensitive)觸摸屏顯示器、聲卡��、視頻圖形適配卡,或者用于將信號(hào)轉(zhuǎn)換為人類或機(jī)器可理解的適當(dāng)形式的任意其它類型的設(shè)備���。輸出設(shè)備的附加示例包括揚(yáng)聲器、發(fā)光二極管(LED)顯示器��、液晶顯示器(IXD)����,或者能夠向用戶生成輸出的任意其它類型的設(shè)備。在一些示例中�,諸如設(shè)備306和/或輸出設(shè)備308被用來(lái)諸如經(jīng)由顯示器而提供操作系統(tǒng)服務(wù),諸如圖形用戶界面服務(wù)����。
[0048]計(jì)算設(shè)備300可以包括操作系統(tǒng)316。在一些示例中����,操作系統(tǒng)316對(duì)計(jì)算設(shè)備300的組件的操作進(jìn)行控制,并且提供從諸如虛擬機(jī)322之類的各種應(yīng)用到計(jì)算設(shè)備300的組件的接口。例如���,在一個(gè)示例中�����,操作系統(tǒng)316促進(jìn)虛擬機(jī)322與處理器302�����、通信單元310����、存儲(chǔ)設(shè)備312���、輸入設(shè)備306和輸出設(shè)備308的通信�。如圖3所示����,虛擬機(jī)322可以包括在其上執(zhí)行的如圖1中在108所示出的蜜罐324。諸如322的應(yīng)用均可以包括可由計(jì)算設(shè)備300執(zhí)行的程序指令和/或數(shù)據(jù)�。作為一個(gè)示例,虛擬機(jī)322和蜜罐324包括使得計(jì)算設(shè)備300執(zhí)行本文中所描述的一個(gè)或多個(gè)操作和動(dòng)作的指令�。
[0049]在各個(gè)示例中,各種不同的蜜罐324可以被配置為在單個(gè)服務(wù)器上運(yùn)行,或者跨不同服務(wù)器進(jìn)行分布����。在一些示例中,這是通過(guò)在服務(wù)器上執(zhí)行不同虛擬機(jī)322并且在每個(gè)虛擬機(jī)中執(zhí)行蜜罐的不同實(shí)例來(lái)實(shí)現(xiàn)的��。這使得遠(yuǎn)程蜜罐服務(wù)器能夠提供各種不同的虛擬蜜罐�,并且按照需要增加或去除不同虛擬蜜罐以支持各種不同企業(yè)消費(fèi)者的要求。
[0050]雖然計(jì)算設(shè)備300在該實(shí)例中為遠(yuǎn)程蜜罐服務(wù)器�,但是在其它示例中,其可以執(zhí)行本文中所描述的其它功能�,諸如執(zhí)行如圖2中所示出并描述的安全裝置的服務(wù)平面和轉(zhuǎn)發(fā)平面���。
[0051]本文中所描述的方法可以至少部分以硬件����、軟件��、固件或者其任意組合來(lái)實(shí)施���。例如����,所描述的方法可以在一個(gè)或多個(gè)處理器內(nèi)實(shí)施,包括一個(gè)或多個(gè)微處理器�����、數(shù)字信號(hào)處理器(DSP)�、專用集成電路(ASIC)、現(xiàn)場(chǎng)可編程門陣列(FPGA)或者任意其它等同的集成或離散邏輯電路��,以及這樣的組件的任意組合�。術(shù)語(yǔ)“處理器”或“處理電路”通常可以是指單獨(dú)或者與其它邏輯電路或者任意其它等同電路進(jìn)行組合的任意的以上邏輯電路���。包括硬件的控制單元也可以執(zhí)行本文中所描述的一種或多種方法�。
[0052]這樣的硬件�、軟件和固件可以在相同設(shè)備內(nèi)或單獨(dú)設(shè)備內(nèi)進(jìn)行實(shí)施以支持本文中所描述的各種方法。此外���,任意所描述的單元�����、模塊或組件可以一起實(shí)施���,或者作為離散但可協(xié)同操作的邏輯設(shè)備單獨(dú)實(shí)施��。不同特征作為模塊或單元的描述意在強(qiáng)調(diào)不同的功能而并非必然暗示這樣的模塊或單元必須由單獨(dú)的硬件���、固件或軟件組件來(lái)實(shí)現(xiàn)。相反�,與一個(gè)或多個(gè)模塊或單元相關(guān)聯(lián)的功能可以由單獨(dú)的硬件、固件或軟件組件來(lái)執(zhí)行��,或者集成在共用或單獨(dú)的硬件�、固件或軟件組件之內(nèi)。
[0053]本文中所描述的方法還可以在制造物品中得以體現(xiàn)或編碼����,該制造物品包括與指令一起編碼的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。諸如在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中所包括或編碼的指令由一個(gè)或多個(gè)處理器執(zhí)行時(shí)�����,在包括所編碼的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的制造物品中所嵌入或編碼的指令可以引起一個(gè)或多個(gè)可編程處理器或其它處理器實(shí)施本文中所描述的一種或多種技術(shù)��。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以包括隨機(jī)訪問(wèn)存儲(chǔ)器(RAM)�、只讀存儲(chǔ)器(ROM)��、可編程只讀存儲(chǔ)器(PR0M)����、可擦除可編程只讀存儲(chǔ)器(EPR0M)���、電可擦除可編程只讀存儲(chǔ)器(EEPROM)、閃存����、硬盤、致密盤ROM (CD-ROM)���、軟盤���、卡帶、磁性媒體�、光學(xué)媒體或者其它計(jì)算機(jī)可讀媒體。在一些示例中���,制造物品可以包括一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)媒體��。
[0054]在一些示例中�����,計(jì)算機(jī)可讀存儲(chǔ)媒體可以包括非瞬時(shí)介質(zhì)�。術(shù)語(yǔ)“非瞬時(shí)”可以指示該存儲(chǔ)介質(zhì)并非以載波或傳播信號(hào)來(lái)體現(xiàn)。在某些示例中��,非瞬時(shí)存儲(chǔ)介質(zhì)可以(例如����,在存儲(chǔ)器或非易失性存儲(chǔ)器中)存儲(chǔ)能夠隨時(shí)間變化的數(shù)據(jù)。
[0055]圖4是符合示例實(shí)施例的使用遠(yuǎn)程蜜罐服務(wù)器對(duì)安全裝置進(jìn)行操作以提供虛擬蜜罐的方法的流程圖����。在400對(duì)虛擬蜜罐的一個(gè)或多個(gè)網(wǎng)絡(luò)地址進(jìn)行配置,諸如一個(gè)或多個(gè)互聯(lián)網(wǎng)協(xié)議(IP)或媒體訪問(wèn)控制(MAC)地址����,這是安全裝置本地的網(wǎng)絡(luò)上的地址。在另外的示例中�����,該地址處于耦合至安全裝置的私有或內(nèi)部網(wǎng)絡(luò)之內(nèi)�����,或者處于耦合至安全裝置的公共或外部網(wǎng)絡(luò)上��。
[0056]安全裝置在402建立到遠(yuǎn)程蜜罐服務(wù)器的通信會(huì)話�,該遠(yuǎn)程蜜罐服務(wù)器諸如遠(yuǎn)程部署的蜜罐服務(wù)器、基于云的蜜罐服務(wù)或者其它類型的遠(yuǎn)程蜜罐系統(tǒng)��。諸如通過(guò)監(jiān)視去往在400被配置為與虛擬蜜罐相關(guān)聯(lián)的網(wǎng)絡(luò)地址的網(wǎng)絡(luò)業(yè)務(wù)����,安全裝置在404接收去往虛擬蜜罐的網(wǎng)絡(luò)業(yè)務(wù)。在另外的示例中�,該業(yè)務(wù)來(lái)自于潛在的攻擊計(jì)算機(jī)系統(tǒng),諸如圖1在106所示出的遠(yuǎn)程客戶端系統(tǒng)�����,或者來(lái)自如圖1在112和124所示的可能受到惡意程序感染或者以其它方式被用來(lái)裝載攻擊的本地系統(tǒng)�。安全裝置在406經(jīng)由在402所創(chuàng)建的該安全裝置和遠(yuǎn)程蜜罐之間的通信會(huì)話而將接收的去往虛擬蜜罐的網(wǎng)絡(luò)業(yè)務(wù)轉(zhuǎn)發(fā)至遠(yuǎn)程蜜罐。在各個(gè)示例中�,通信會(huì)話是網(wǎng)絡(luò)隧道、虛擬私有網(wǎng)絡(luò)或者其它這樣的網(wǎng)絡(luò)連接��。
[0057]遠(yuǎn)程蜜罐從安全裝置接收該網(wǎng)絡(luò)業(yè)務(wù)���,并且作為響應(yīng)發(fā)送安全裝置在408接收的網(wǎng)絡(luò)業(yè)務(wù)���。例如,進(jìn)行操作以至少部分地暴露電子郵件服務(wù)器的遠(yuǎn)程蜜罐可以響應(yīng)于電子郵件查詢而返回電子郵件賬戶信息���,進(jìn)行操作以至少部分暴露數(shù)據(jù)庫(kù)服務(wù)器的遠(yuǎn)程蜜罐可以響應(yīng)于數(shù)據(jù)庫(kù)查詢而返回?cái)?shù)據(jù)庫(kù)信息�����,或者遠(yuǎn)程蜜罐可以通過(guò)對(duì)通過(guò)響應(yīng)安全裝置接收的用戶界面命令或其它命令而使得用戶能夠登錄并探究可以在典型網(wǎng)絡(luò)環(huán)境中找到的配置����、日志和應(yīng)用。
[0058]安全裝置在410使用與虛擬蜜罐相關(guān)聯(lián)的網(wǎng)絡(luò)地址將從遠(yuǎn)程蜜罐響應(yīng)業(yè)務(wù)轉(zhuǎn)發(fā)至諸如潛在的攻擊計(jì)算機(jī)系統(tǒng)�����,以使得該遠(yuǎn)程蜜罐看上去是安全裝置本地的計(jì)算機(jī)系統(tǒng)���。也就是說(shuō)�,安全裝置利用該安全裝置暴露給網(wǎng)絡(luò)的虛擬蜜罐接口(例如����,網(wǎng)絡(luò)地址)來(lái)代理從遠(yuǎn)程蜜罐接收的業(yè)務(wù),以便模仿存在于由該安全裝置所保護(hù)的網(wǎng)絡(luò)之內(nèi)的蜜罐���。攻擊方因此簡(jiǎn)單地將安全裝置所提供的虛擬蜜罐視為網(wǎng)絡(luò)上的另一個(gè)服務(wù)器�,而并不知曉該服務(wù)器是遠(yuǎn)程蜜罐服務(wù)器經(jīng)由安全裝置所提供的虛擬蜜罐�����。
[0059]在另外的實(shí)施例中���,安全裝置可操作以執(zhí)行其它功能����,諸如向遠(yuǎn)程蜜罐發(fā)送配置設(shè)置��,從遠(yuǎn)程蜜罐接收?qǐng)?bào)告信息�����,并且選擇可用于配置的一種或多種類型的蜜罐服務(wù)器�����。
[0060]圖5是符合示例實(shí)施例的對(duì)遠(yuǎn)程蜜罐服務(wù)器進(jìn)行操作以向安全裝置提供虛擬蜜罐服務(wù)的方法的流程圖��。遠(yuǎn)程蜜罐被配置為在500向安全裝置提供蜜罐�����,諸如通過(guò)來(lái)自安全裝置的配置請(qǐng)求,接收與安全裝置或安全裝置管理員相關(guān)聯(lián)的針對(duì)蜜罐服務(wù)的訂購(gòu)和支付���,或者以其它方式接收期望將蜜罐鏈接至安全裝置的指示���。
[0061]在502在遠(yuǎn)程蜜罐和安全裝置之間建立持久網(wǎng)絡(luò)連接,諸如安全裝置和執(zhí)行遠(yuǎn)程蜜罐的虛擬機(jī)之間的隧道或虛擬私有網(wǎng)絡(luò)連接���。遠(yuǎn)程蜜罐在504接收去往安全裝置所持有的虛擬蜜罐的網(wǎng)絡(luò)業(yè)務(wù)�,諸如通過(guò)安全裝置接收去往安全裝置持有的虛擬蜜罐所提供的網(wǎng)絡(luò)地址或服務(wù)的業(yè)務(wù)�,并且向遠(yuǎn)程蜜罐轉(zhuǎn)發(fā)所接收的業(yè)務(wù)。
[0062]遠(yuǎn)程蜜罐在506對(duì)所接收的網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行處理��,諸如通過(guò)經(jīng)由圖形或命令行用戶界面提供交互式服務(wù)器���,提供諸如NetBIOS�����、互聯(lián)網(wǎng)控制消息協(xié)議(ICMP)ping命令�����、地址解析協(xié)議(ARP)請(qǐng)求��、MAC地址����、互聯(lián)網(wǎng)協(xié)議地址或Windows工作組服務(wù)之類的網(wǎng)絡(luò)服務(wù),或者提供諸如電子郵件服務(wù)器���、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器�����、web服務(wù)器或Windows服務(wù)器之類的服務(wù)器功能���。
[0063]遠(yuǎn)程蜜罐隨后在508響應(yīng)于所接收的業(yè)務(wù)而在持久連接上向安全裝置發(fā)送網(wǎng)絡(luò)業(yè)務(wù)��,諸如響應(yīng)于所接收的網(wǎng)絡(luò)業(yè)務(wù)而發(fā)送服務(wù)請(qǐng)求��、用戶界面輸入或其它服務(wù)器響應(yīng)的結(jié)果���。該響應(yīng)網(wǎng)絡(luò)業(yè)務(wù)有一定的格式以使得安全裝置可操作以接收來(lái)自遠(yuǎn)程蜜罐的業(yè)務(wù),并且將該業(yè)務(wù)提供至潛在攻擊方或者試圖接入經(jīng)由安全裝置所持有的虛擬蜜罐的其它系統(tǒng)��。
[0064]這使得安全裝置和遠(yuǎn)程蜜罐能夠一起工作以提供看上去連接至安全裝置本地的網(wǎng)絡(luò)的虛擬蜜罐��,以檢測(cè)并追蹤對(duì)經(jīng)由蜜罐系統(tǒng)所提供的各種資源或服務(wù)進(jìn)行接入的嘗試。該安全裝置可操作以通過(guò)捕捉往來(lái)于網(wǎng)絡(luò)地址���、資源名稱或者與虛擬蜜罐相關(guān)聯(lián)的其它標(biāo)識(shí)符的業(yè)務(wù)并且與遠(yuǎn)程蜜罐服務(wù)器交換信息來(lái)提供虛擬蜜罐����,從而看上去該蜜罐服務(wù)器是在安全裝置的本地進(jìn)行操作���。
[0065]圖6是根據(jù)一些示例實(shí)施例的集成了可操作以提供虛擬蜜罐的安全裝置的路由器的框圖�。這里����,示例路由器600包括控制單元602,其包括路由單元604�����、安全裝置606和轉(zhuǎn)發(fā)單元608���。路由單元604主要負(fù)責(zé)維護(hù)路由信息庫(kù)(RIB) 610以反映網(wǎng)絡(luò)的當(dāng)前拓?fù)湟约捌渌B接的其它網(wǎng)絡(luò)實(shí)體�。特別地����,路由單元604定期更新RIB610以準(zhǔn)確反映網(wǎng)絡(luò)拓?fù)浜推渌鼘?shí)體��。路由引擎604還包括執(zhí)行路由操作的路由協(xié)議612��,包括用于通過(guò)網(wǎng)絡(luò)建立諸如VPN及可選的LSP的隧道�。[0066]UI模塊614表示在路由單元604上執(zhí)行的(例如��,經(jīng)由shell或Telnet會(huì)話)軟件���,該軟件呈現(xiàn)命令行界面以便接收如本文中所描述的配置數(shù)據(jù),該配置數(shù)據(jù)包括定義用于路由器600呈現(xiàn)給網(wǎng)絡(luò)的虛擬蜜罐的一個(gè)或多個(gè)接口的配置數(shù)據(jù)以及供安全裝置606的服務(wù)卡616所應(yīng)用的配置數(shù)據(jù)���。路由單元604的網(wǎng)絡(luò)服務(wù)處理(NSP) 618與安全裝置606的程序服務(wù)卡616A-616M進(jìn)行通信�����。
[0067]根據(jù)RIB610�����,轉(zhuǎn)發(fā)單元608的轉(zhuǎn)發(fā)專用集成電路(ASIC)維護(hù)轉(zhuǎn)發(fā)信息庫(kù)(FIB)622��,其將網(wǎng)絡(luò)目的地或MPLS標(biāo)簽與具體的下一跳(next hop)以及相對(duì)應(yīng)的接口端口相關(guān)聯(lián)���。例如����,控制單元602對(duì)RIB610進(jìn)行分析并且根據(jù)RIB610生成FIB622���。路由器600包括接口卡624A-624N (“IFC”624)�,其分別經(jīng)由網(wǎng)絡(luò)鏈接626和628接收和發(fā)送分組����。IFC624可以經(jīng)由多個(gè)接口端口耦合至網(wǎng)絡(luò)鏈接626、628��。
[0068]在一些示例中���,路由單元604根據(jù)UI614接收的命令對(duì)FIB622進(jìn)行編程以包括用于虛擬蜜罐接口的轉(zhuǎn)發(fā)下一跳����。此外����,路由單元604對(duì)可以表示隧道PIC的服務(wù)卡616A進(jìn)行編程以利用遠(yuǎn)程蜜罐代理虛擬蜜罐業(yè)務(wù)。轉(zhuǎn)發(fā)ASIC620應(yīng)用FIB622以將IFC624所接收的并且去往虛擬蜜罐接口的業(yè)務(wù)指向服務(wù)卡616A����,其將該業(yè)務(wù)以隧道送至遠(yuǎn)程蜜罐��。服務(wù)卡616A接收響應(yīng)業(yè)務(wù)并且將該響應(yīng)業(yè)務(wù)轉(zhuǎn)發(fā)至轉(zhuǎn)發(fā)單元608以便經(jīng)由IFC624輸出�����。以這種方式��,路由器600可以結(jié)合遠(yuǎn)程蜜罐而提供高性能的蜜罐仿真��。在一些示例中�����,路由單元604對(duì)FIB622進(jìn)行編程以包括用于虛擬蜜罐業(yè)務(wù)的隧道接口,例如VPN接口�。結(jié)果,轉(zhuǎn)發(fā)ASIC620應(yīng)用FIB622以將虛擬蜜罐業(yè)務(wù)直接以隧道送至遠(yuǎn)程蜜罐����。
[0069]在一個(gè)實(shí)施例中,轉(zhuǎn)發(fā)單元608和路由單元604中的每一個(gè)可以包括一個(gè)或多個(gè)專用處理器�����、硬件����、ASIC等���,并且可以通過(guò)數(shù)據(jù)通信信道通信耦合。數(shù)據(jù)通信信道可以是高速網(wǎng)絡(luò)連接�、總線、共享存儲(chǔ)器或者其它數(shù)據(jù)通信機(jī)制�。路由器600可以進(jìn)一步包括用于容納控制單元602的底架(未示出)。該底架具有多個(gè)插槽(未示出)�����,用于接收包括IFC624和服務(wù)卡616在內(nèi)的卡的集合�。每個(gè)卡可以被插入該底架的相對(duì)應(yīng)插槽之中以便經(jīng)由總線、底板或其它電通信機(jī)制將該卡電耦合至控制單元602�����。
[0070]路由器600可以根據(jù)程序代碼進(jìn)行操作���,該程序代碼具有從計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)(未示出)所取得的可執(zhí)行指令�。這樣的媒體的示例包括隨機(jī)訪問(wèn)存儲(chǔ)器(RAM)����、只讀存儲(chǔ)器(ROM),非易失性隨機(jī)訪問(wèn)存儲(chǔ)器(NVRAM)�����、電可擦除可編程只讀存儲(chǔ)器(EEPROM)�����、閃存等�。路由器600的功能可以通過(guò)利用一個(gè)或多個(gè)處理器�����、離散硬件電路�、固件、在可編程處理器上執(zhí)行的軟件或者任意上述的組合來(lái)執(zhí)行計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的指令而得以實(shí)施�����。
[0071]本文中所給出的示例實(shí)施例闡明了如何經(jīng)由安全裝置和遠(yuǎn)程蜜罐來(lái)提供虛擬蜜罐以使得虛擬蜜罐看上去處于連接至安全裝置的網(wǎng)絡(luò)的本地����。雖然在本文中已經(jīng)圖示并描述了具體的實(shí)施例����,但是本領(lǐng)域技術(shù)人員將會(huì)意識(shí)到的是���,實(shí)現(xiàn)相同目的、結(jié)構(gòu)或功能的任意部署形式都可以替代所示出的具體實(shí)施例����。本申請(qǐng)意在覆蓋本文中所描述的本發(fā)明實(shí)施例的任意適應(yīng)和變化。本發(fā)明意在僅由權(quán)利要求及其等同形式的全部范圍所限定����。
【權(quán)利要求】
1.一種方法,包括: 在安全裝置中配置暴露的網(wǎng)絡(luò)地址�����,所述網(wǎng)絡(luò)地址與位于受保護(hù)網(wǎng)絡(luò)外部的遠(yuǎn)程蜜罐相關(guān)聯(lián)��; 接收去往與所述遠(yuǎn)程蜜罐相關(guān)聯(lián)的所述網(wǎng)絡(luò)地址的網(wǎng)絡(luò)業(yè)務(wù)��;以及 向所述遠(yuǎn)程蜜罐轉(zhuǎn)發(fā)所述網(wǎng)絡(luò)業(yè)務(wù)�。
2.根據(jù)權(quán)利要求1所述的方法,進(jìn)一步包括: 接收來(lái)自所述遠(yuǎn)程蜜罐的響應(yīng)�����;以及 向發(fā)起所述接收以及轉(zhuǎn)發(fā)的網(wǎng)絡(luò)業(yè)務(wù)的計(jì)算設(shè)備轉(zhuǎn)發(fā)所述響應(yīng),以使得所述遠(yuǎn)程蜜罐看上去是連接至所述安全裝置本地的網(wǎng)絡(luò)�。
3.根據(jù)權(quán)利要求1-2中任一項(xiàng)所述的方法,其中關(guān)于所述遠(yuǎn)程蜜罐的����、所述配置并且暴露的網(wǎng)絡(luò)地址包括所述受保護(hù)網(wǎng)絡(luò)的私有網(wǎng)絡(luò)地址或者暴露于公共網(wǎng)絡(luò)的公共網(wǎng)絡(luò)地址之一 O
4.根據(jù)權(quán)利要求1-3中任一項(xiàng)所述的方法,進(jìn)一步包括: 經(jīng)由所述安全裝置配置所述遠(yuǎn)程蜜罐中的一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)���;以及 配置所述遠(yuǎn)程蜜罐以提供一個(gè) 或多個(gè)服務(wù)器服務(wù)���。
5.根據(jù)權(quán)利要求4所述的方法, 其中所述一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)包括NetBIOS��、互聯(lián)網(wǎng)控制消息協(xié)議����、地址解析協(xié)議(ARP)和Windows工作組服務(wù)中的一個(gè)或多個(gè);以及 其中所述一個(gè)或多個(gè)服務(wù)器服務(wù)包括電子郵件服務(wù)器��、數(shù)據(jù)庫(kù)服務(wù)器�����、文件服務(wù)器�、web服務(wù)器或Windows服務(wù)器中的一個(gè)或多個(gè)。
6.根據(jù)權(quán)利要求1-5中任一項(xiàng)所述的方法����,進(jìn)一步包括在所述安全裝置中接收來(lái)自所述遠(yuǎn)程蜜罐的活動(dòng)報(bào)告,其中所述活動(dòng)報(bào)告列出關(guān)于與通過(guò)所述安全裝置指向所述遠(yuǎn)程蜜罐的所述網(wǎng)絡(luò)業(yè)務(wù)相關(guān)聯(lián)的所述遠(yuǎn)程蜜罐的活動(dòng)數(shù)據(jù)����。
7.根據(jù)權(quán)利要求1-6中任一項(xiàng)所述的方法,進(jìn)一步包括在所述安全裝置和所述遠(yuǎn)程蜜罐之間建立持久隧道以便由所述安全裝置對(duì)所述遠(yuǎn)程蜜罐進(jìn)行配置�����。
8.根據(jù)權(quán)利要求1-7中任一項(xiàng)所述的方法�����,進(jìn)一步包括: 在所述受保護(hù)網(wǎng)絡(luò)處部署虛擬蜜罐以模仿本地蜜罐�����;以及 從所述安全裝置向所述遠(yuǎn)程蜜罐轉(zhuǎn)發(fā)業(yè)務(wù)���,以使得所述遠(yuǎn)程蜜罐對(duì)于試圖接入所述受保護(hù)網(wǎng)絡(luò)的計(jì)算機(jī)而言看上去是本地連接至所述安全裝置的蜜罐�。
9.根據(jù)權(quán)利要求1所述的方法�,進(jìn)一步包括: 在位于所述受保護(hù)網(wǎng)絡(luò)外部的所述遠(yuǎn)程蜜罐中接收來(lái)自多個(gè)安全裝置的網(wǎng)絡(luò)業(yè)務(wù)��,每個(gè)安全裝置向多個(gè)不同受保護(hù)網(wǎng)絡(luò)提供安全服務(wù)��; 處理來(lái)自所述不同安全裝置中的每個(gè)安全裝置的所述接收的網(wǎng)絡(luò)業(yè)務(wù)��,以針對(duì)所述不同的受保護(hù)網(wǎng)絡(luò)生成相對(duì)應(yīng)的響應(yīng)網(wǎng)絡(luò)業(yè)務(wù)���,所述不同安全裝置具有在所述遠(yuǎn)程蜜罐內(nèi)執(zhí)行的多個(gè)虛擬機(jī)中的不同的、相對(duì)應(yīng)的一個(gè)虛擬機(jī)����;以及 從所述遠(yuǎn)程蜜罐向所述相對(duì)應(yīng)的安全裝置發(fā)送所述響應(yīng)網(wǎng)絡(luò)業(yè)務(wù),以使得所述遠(yuǎn)程蜜罐看上去位于每個(gè)所述受保護(hù)網(wǎng)絡(luò)的內(nèi)部����。
10.一種安全裝置,包括: 安全管理模塊�,其可操作以在所述安全裝置本地的受保護(hù)網(wǎng)絡(luò)中防止不希望的網(wǎng)絡(luò)業(yè)務(wù); 遠(yuǎn)程蜜罐模塊,其可操作以配置與位于所述受保護(hù)網(wǎng)絡(luò)外部的遠(yuǎn)程蜜罐相關(guān)聯(lián)的一個(gè)或多個(gè)暴露的網(wǎng)絡(luò)地址����;以及 流管理模塊,其可操作以接收去往與所述遠(yuǎn)程蜜罐相關(guān)聯(lián)的所述網(wǎng)絡(luò)地址的網(wǎng)絡(luò)業(yè)務(wù)���,并且向所述遠(yuǎn)程蜜罐轉(zhuǎn)發(fā)去往與所述遠(yuǎn)程蜜罐相關(guān)聯(lián)的所述網(wǎng)絡(luò)地址的所述網(wǎng)絡(luò)業(yè)務(wù)��,以使得所述遠(yuǎn)程蜜罐看上去是連接至所述安全裝置本地的網(wǎng)絡(luò)�。
11.根據(jù)權(quán)利要求10所述的安全裝置����,進(jìn)一步包括用于執(zhí)行權(quán)利要求1-8的任一方法的器件。
12.—種遠(yuǎn)程蜜罐,包括: 通信模塊���,其可操作以從安全裝置接收去往虛擬蜜罐的網(wǎng)絡(luò)業(yè)務(wù)�����; 遠(yuǎn)程蜜罐虛擬機(jī)��,其可操作以處理所述接收的網(wǎng)絡(luò)業(yè)務(wù)�,并且響應(yīng)于所述接收的網(wǎng)絡(luò)業(yè)務(wù)以及經(jīng)由所 述通信模塊向所述安全裝置發(fā)送網(wǎng)絡(luò)業(yè)務(wù)��,以使得所述遠(yuǎn)程蜜罐虛擬機(jī)看上去是連接至所述安全裝置本地的網(wǎng)絡(luò)�����。
13.根據(jù)權(quán)利要求12所述的遠(yuǎn)程蜜罐���,進(jìn)一步包括與具有用于執(zhí)行權(quán)利要求1-8的任一方法的器件的安全裝置進(jìn)行通信的器件����。
14.根據(jù)權(quán)利要求12-13中任一項(xiàng)所述的遠(yuǎn)程蜜罐, 其中所述通信模塊進(jìn)一步可操作以在所述安全裝置和所述遠(yuǎn)程蜜罐之間建立連接以從所述安全裝置接收針對(duì)所述虛擬蜜罐的一個(gè)或多個(gè)配置設(shè)置�, 其中所述遠(yuǎn)程蜜罐虛擬機(jī)進(jìn)一步可操作以提供一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)或服務(wù)器服務(wù),以及 所述遠(yuǎn)程蜜罐虛擬機(jī)可操作以向所述安全裝置發(fā)送活動(dòng)報(bào)告���。
15.根據(jù)權(quán)利要求12-14中任一項(xiàng)所述的遠(yuǎn)程蜜罐��,進(jìn)一步包括: 兩個(gè)或更多個(gè)遠(yuǎn)程蜜罐虛擬機(jī)��,所述兩個(gè)或更多個(gè)遠(yuǎn)程蜜罐虛擬機(jī)中的每個(gè)遠(yuǎn)程蜜罐虛擬機(jī)支持用于不同受保護(hù)網(wǎng)絡(luò)的不同安全裝置��, 其中所述兩個(gè)或更多個(gè)遠(yuǎn)程蜜罐虛擬機(jī)中的每個(gè)遠(yuǎn)程蜜罐虛擬機(jī)通過(guò)網(wǎng)絡(luò)管理員針對(duì)所述相應(yīng)所支持的受保護(hù)網(wǎng)絡(luò)單獨(dú)地可配置����。
【文檔編號(hào)】H04L12/46GK103746956SQ201310452903
【公開(kāi)日】2014年4月23日 申請(qǐng)日期:2013年9月27日 優(yōu)先權(quán)日:2012年9月28日
【發(fā)明者】B·伯恩斯, R·卡梅倫, O·伊巴圖林, D·奎因蘭, O·塔瓦科利 申請(qǐng)人:瞻博網(wǎng)絡(luò)公司