專利名稱:用于操作數(shù)據(jù)處理系統(tǒng)的方法和用于處理無線通信的設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種改進(jìn)的數(shù)據(jù)處理系統(tǒng)���,具體來講�����,涉及一種用于計(jì)算機(jī)安全的方法和設(shè)備�����。
背景技術(shù):
互聯(lián)網(wǎng)的連通性給惡意用戶提供了在全世界范圍內(nèi)刺探數(shù)據(jù)處理系統(tǒng)并對計(jì)算機(jī)網(wǎng)絡(luò)發(fā)動(dòng)攻擊的能力�。盡管計(jì)算機(jī)安全工具提供用于限制惡意用戶引起對計(jì)算機(jī)系統(tǒng)的危害的能力的防御機(jī)制����,但計(jì)算機(jī)管理員在其使用攻擊性機(jī)制的能力上法定地受到限制����。盡管入侵檢測系統(tǒng)能夠告警管理員有可疑活動(dòng)�,以致該管理員能夠采取行動(dòng)以追蹤該可疑活動(dòng),并更改系統(tǒng)和網(wǎng)絡(luò)來防止安全破壞�,但這些系統(tǒng)典型地僅能夠聚集有關(guān)可能的安全事件的信息。
蜜罐(Honeypot)已經(jīng)作為一種工具被開發(fā)�,以幫助計(jì)算機(jī)安全分析員和管理員在極小的程度上對付惡意計(jì)算機(jī)活動(dòng)。蜜罐已被定義為具有被刺探���、攻擊��、或損害的值的資源���。資源可以是一個(gè)應(yīng)用程序、對象����、文檔����、版面、文件����、其它數(shù)據(jù)����、可執(zhí)行代碼��、其它計(jì)算資源���、或某個(gè)其它類型的通信型資源��。例如�����,蜜罐可包括服務(wù)器的網(wǎng)絡(luò)���;蜜罐服務(wù)器有時(shí)被稱為誘捕服務(wù)器。
典型的蜜罐為一個(gè)計(jì)算機(jī)服務(wù)器����,其具有有限的或無產(chǎn)值;換句話說�����,典型的蜜罐除了監(jiān)控活動(dòng)以外,在企業(yè)內(nèi)不進(jìn)行重要的工作�����。既然蜜罐不具有重要的產(chǎn)值����,其重要價(jià)值在于它扮演引誘惡意的用戶或電腦黑客來刺探或攻擊它的誘餌的角色的事實(shí)。同時(shí)�����,希望惡意用戶將忽略在企業(yè)內(nèi)具有真實(shí)價(jià)值的生產(chǎn)系統(tǒng)����。另外,蜜罐收集有關(guān)刺探或攻擊的信息�。從這點(diǎn)來看,蜜罐提供具有很小的攻擊性能力的工具����,理想地�,蜜罐維持惡意用戶的興趣,以致能夠聚集有關(guān)該惡意用戶的操作的方法以及是否發(fā)現(xiàn)了需要即刻的管理關(guān)注的任何計(jì)算機(jī)安全缺陷的重要信息�����。
通常采取預(yù)防性措施,以致惡意用戶不會(huì)發(fā)現(xiàn)蜜罐的真實(shí)本質(zhì)��;否則��,該惡意用戶將忽略蜜罐并且開始刺探其它系統(tǒng)���。例如���,通常采取步驟在計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)隱藏有關(guān)蜜罐存在的任何管理信息,以致惡意用戶不會(huì)捕獲和讀取該蜜罐的配置�����,例如�,活動(dòng)日志或特別的文件名。因此�����,配置蜜罐作為具有少許活動(dòng)的相對簡單的系統(tǒng)是一個(gè)普遍實(shí)踐����,以致老練的����、惡意用戶不會(huì)探測到可引導(dǎo)這種類型的用戶懷疑正被刺探的系統(tǒng)為蜜罐的任何活動(dòng)����。為了這個(gè)原因,典型地將蜜罐脫機(jī)��,以管理地分析和手動(dòng)重新配置����。當(dāng)提供一些效用時(shí),典型的蜜罐保持為具有有限效用的被動(dòng)工具���。
大部分計(jì)算機(jī)安全事件由惡意用戶通過互聯(lián)網(wǎng)發(fā)動(dòng)��,其在惡意用戶和正被刺探或攻擊的計(jì)算機(jī)資源之間提供心理和物理緩沖區(qū)�。盡管通過物理地遠(yuǎn)離被惡意地作為窺探目標(biāo)的計(jì)算機(jī)資源典型的惡意用戶獲得一些優(yōu)勢�����,但計(jì)算機(jī)安全分析員和管理員也從惡意用戶獲得一些利益��。當(dāng)刺探或攻擊目標(biāo)計(jì)算機(jī)資源時(shí),可以以某些方式記載通過惡意用戶和目標(biāo)計(jì)算機(jī)之間的中間網(wǎng)絡(luò)的物理網(wǎng)絡(luò)連接和/或較高水平的通信會(huì)話��,從而產(chǎn)生該惡意用戶行動(dòng)的電子證據(jù)�。然而�����,當(dāng)惡意用戶更加直接地通過無線網(wǎng)絡(luò)將計(jì)算資源作為目標(biāo)時(shí)�,來自中間網(wǎng)絡(luò)和通信會(huì)話的電子證據(jù)是有些簡化的;這潛在地既是有利的�����,又是不利的�,因?yàn)殡娮幼C據(jù)的數(shù)量和范圍被簡化了。
盡管通過物理網(wǎng)絡(luò)可以更經(jīng)常地發(fā)動(dòng)計(jì)算機(jī)安全事件�����,通過那些無線網(wǎng)絡(luò)對計(jì)算機(jī)資源的刺探和攻擊已經(jīng)伴隨著無線網(wǎng)絡(luò)的日益普遍部署而來���,且當(dāng)應(yīng)付基于無線網(wǎng)絡(luò)的刺探和攻擊時(shí)���,計(jì)算機(jī)安全分析員和管理員面臨無線特定的優(yōu)勢和劣勢。即使無線網(wǎng)絡(luò)提供一些優(yōu)勢,因?yàn)橛脩魪奈锢磉B接斷開���,無線網(wǎng)絡(luò)的部署也引進(jìn)安全漏洞���。這種情形經(jīng)常地存在,因?yàn)橹圃焐痰湫偷匕惭b已被配置的無線網(wǎng)絡(luò)裝置��,以致大部分用戶能夠迅速并容易地設(shè)置無線網(wǎng)絡(luò)���;然而��,這些初始配置一般是不安全的�。不幸地���,無線網(wǎng)絡(luò)常常保持為以不安全的配置部署�。能夠?qū)嵭性S多措施���,來提高無線網(wǎng)絡(luò)的安全性��,但是依靠惡意用戶所投入的努力的總量�����,堅(jiān)定的惡意用戶仍然可以通過其無線接入點(diǎn)獲得對無線網(wǎng)絡(luò)的訪問����。因此,由于不經(jīng)意地提高的惡意用戶刺探或攻擊通過那些無線網(wǎng)絡(luò)可接入的計(jì)算機(jī)資源的能力����,計(jì)算機(jī)資源變得更加易受攻擊���。
因此�����,以更具攻擊性的角色使用蜜罐��,用于幫助系統(tǒng)管理員探測惡意活動(dòng)�����,將是很有利的���。實(shí)現(xiàn)無線蜜罐,用于探測通過無線網(wǎng)絡(luò)發(fā)動(dòng)的惡意活動(dòng)�,將是特別有利的。
發(fā)明內(nèi)容
呈現(xiàn)了一種方法、系統(tǒng)����、設(shè)備、或計(jì)算機(jī)程序產(chǎn)品���,用于在動(dòng)態(tài)和可配置的基礎(chǔ)上變體或改變無線蜜罐系統(tǒng)的特征�����。根據(jù)關(guān)于無線協(xié)議中可配置參數(shù)的用戶指定的值���,配置無線接入點(diǎn)裝置,以使用該無線協(xié)議����。響應(yīng)該無線接入點(diǎn)裝置的所探測的操作條件,獲得可配置規(guī)則��,用于改變關(guān)于該無線協(xié)議中一個(gè)或多個(gè)可配置參數(shù)的一個(gè)或多個(gè)值�����。根據(jù)可配置規(guī)則和無線接入點(diǎn)裝置的所探測的操作條件����,自動(dòng)地改變關(guān)于無線協(xié)議中的可配置參數(shù)的值��。操作條件可包括客戶機(jī)對存儲(chǔ)在SSIDA的歷史數(shù)據(jù)庫中的SSID或當(dāng)前正由無線接入點(diǎn)裝置用于偽無線通信的SSID的使用���。操作條件可包括客戶機(jī)對存儲(chǔ)在加密密鑰的歷史數(shù)據(jù)庫中的加密密鑰或當(dāng)前正由無線接入點(diǎn)裝置用于偽無線通信的加密密鑰的使用。
在所附權(quán)利要求中闡明了本發(fā)明的新穎特點(diǎn)和所公認(rèn)的特征���。當(dāng)結(jié)合附圖,參考下列詳細(xì)描述����,將極好地理解本發(fā)明本身及其進(jìn)一步的目的和優(yōu)勢,其中圖1A描繪其中可以實(shí)現(xiàn)本發(fā)明的典型的分布式數(shù)據(jù)處理系統(tǒng)�����;圖1B描繪其中可以實(shí)現(xiàn)本發(fā)明的數(shù)據(jù)處理系統(tǒng)內(nèi)可以使用的典型的計(jì)算機(jī)結(jié)構(gòu)�;圖2描繪關(guān)于已知漏洞的數(shù)據(jù)庫的一組大小��;圖3描繪關(guān)于典型的蜜罐的操作的一組模式的示圖����;圖4描繪關(guān)于本發(fā)明的變體蜜罐的操作的一組模式的示圖�;圖5A描繪根據(jù)本發(fā)明的實(shí)施例��,可以在支持變體蜜罐的系統(tǒng)內(nèi)使用的一組組件或模塊的框圖�����;圖5B描繪根據(jù)本發(fā)明的實(shí)施例��,可以在支持無線變體蜜罐的系統(tǒng)內(nèi)使用的一組組件或模塊的框圖��;圖6描繪關(guān)于用于操作變體蜜罐���,以報(bào)導(dǎo)可疑的刺探事件��,以及用于自動(dòng)地改變由變體蜜罐所展現(xiàn)的漏洞的全部過程的流程圖�;圖7A描繪用于根據(jù)所監(jiān)控的條件����,動(dòng)態(tài)地確定何時(shí)改變指示變體蜜罐具有易受攻擊的特征的信息的流程圖;圖7B描繪用于根據(jù)所監(jiān)控的條件����,動(dòng)態(tài)地確定何時(shí)改變指示無線變體蜜罐具有易受攻擊的特征的信息的更明確的流程圖;
圖8A描繪示出可以在變體蜜罐的操作期間被評估的一些監(jiān)控條件的流程圖�����;圖8B描繪示出可以由無線變體蜜罐所考慮的一些監(jiān)控條件的更明確的流程圖;圖9描繪示出用于根據(jù)事件通知����,動(dòng)態(tài)地確定何時(shí)改變指示蜜罐具有易受攻擊的特征的信息的過程的流程圖;以及圖10描繪闡明可以其使用無線變體蜜罐����,以便物理地定位并追蹤可正試圖使用無線協(xié)議中的已知漏洞來刺探企業(yè)的計(jì)算資產(chǎn)的可疑客戶機(jī)裝置的方式的框圖。
具體實(shí)施例方式
通常���,可包含或涉及本發(fā)明的裝置包括多種數(shù)據(jù)處理技術(shù)。因此��,作為背景技術(shù)���,在更加詳細(xì)地描述本發(fā)明之前�,描述分布式數(shù)據(jù)處理系統(tǒng)內(nèi)硬件和軟件組件的典型組織��。
現(xiàn)在參照附圖�����,圖1A描繪數(shù)據(jù)處理系統(tǒng)的典型網(wǎng)絡(luò),其每一個(gè)可以實(shí)現(xiàn)本發(fā)明的一部分��。分布式數(shù)據(jù)處理系統(tǒng)100包含網(wǎng)絡(luò)101���,其為分布式數(shù)據(jù)處理系統(tǒng)100內(nèi)可以用來提供不同的裝置和連接在一起的計(jì)算機(jī)之間的通信鏈接的媒介���。網(wǎng)絡(luò)101可包括如電線或光纖電纜的永久連接,或者通過電話或無線通信形成的臨時(shí)連接��。在所描繪的例子中��,服務(wù)器102和服務(wù)器103�,連同存儲(chǔ)單元104,都連接到網(wǎng)絡(luò)101����。另外,客戶機(jī)105-107也連接到網(wǎng)絡(luò)101���?�?蛻魴C(jī)105-107和服務(wù)器102-103可以由多種計(jì)算裝置來代表��,例如大型機(jī)�����、個(gè)人計(jì)算機(jī)���、個(gè)人數(shù)字助手(PDA)��,等等�����。分布式數(shù)據(jù)處理系統(tǒng)100可包括未示出的另外的服務(wù)器����、客戶機(jī)�����、路由器����、其它裝置�,以及對等結(jié)構(gòu)。
在所描繪的例子中����,分布式數(shù)據(jù)處理系統(tǒng)100可包括具有網(wǎng)絡(luò)101的因特網(wǎng)�,代表使用不同的協(xié)議來彼此通信的網(wǎng)絡(luò)和網(wǎng)關(guān)的世界性聚集的互聯(lián)網(wǎng)�����,例如輕權(quán)目錄訪問協(xié)議(LDAP)����、傳輸控制協(xié)議/因特網(wǎng)協(xié)議(TCP/IP)、文件傳輸協(xié)議(FTP)��、超文本傳輸協(xié)議(HTTP)�����、無線應(yīng)用協(xié)議(WAP)����,等等。當(dāng)然��,分布式數(shù)據(jù)處理系統(tǒng)100也可包括許多不同類型的網(wǎng)絡(luò)�����,例如,網(wǎng)絡(luò)���、局域網(wǎng)(LAN)�、或廣域網(wǎng)(WAN)���。例如���,服務(wù)器102直接支持客戶機(jī)109和網(wǎng)絡(luò)110,其并入無線通信鏈接���。網(wǎng)絡(luò)使能電話111通過無線鏈接112連接到網(wǎng)絡(luò)110�����,以及PDA113通過無線鏈接114連接到網(wǎng)絡(luò)110����。電話111和PDA113也能夠使用適當(dāng)?shù)募夹g(shù)通過無線鏈接115在它們之間直接傳遞數(shù)據(jù)�,例如藍(lán)牙(Bluetooth)無線技術(shù)�,以創(chuàng)建所謂的個(gè)人域網(wǎng)(PAN)或個(gè)人自組網(wǎng)。以類似的方式,PDA113能夠通過無線通信鏈接116傳遞數(shù)據(jù)至PDA107��。
能夠在多種硬件平臺上實(shí)現(xiàn)本發(fā)明���;圖1A意欲作為不同種類計(jì)算環(huán)境的例子����,而不作為關(guān)于本發(fā)明的結(jié)構(gòu)上的限制��。
現(xiàn)在參照圖1B��,其描繪典型的計(jì)算機(jī)數(shù)據(jù)處理系統(tǒng)結(jié)構(gòu)����,所述數(shù)據(jù)處理系統(tǒng)如圖1A中所示的那些一樣,可以實(shí)現(xiàn)本發(fā)明�����。數(shù)據(jù)處理系統(tǒng)120包含一個(gè)或多個(gè)連接到內(nèi)部系統(tǒng)總線123的中央處理單元(CPUs)122��,該內(nèi)部系統(tǒng)總線123使隨機(jī)存取存儲(chǔ)器(RAM)124����、只讀存儲(chǔ)器126、和輸入/輸出適配器128互相連接,該輸入/輸出適配器128支持不同的I/O裝置�,例如打印機(jī)130、磁盤單元132�����、或其它未示出的裝置��,例如音頻輸出系統(tǒng)��,等等����。系統(tǒng)總線123也連接提供對通信鏈接136訪問的通信適配器134。用戶接口適配器148連接不同的用戶裝置���,例如鍵盤140和鼠標(biāo)142����;或者其它未示出的裝置�,例如觸摸屏、唱針��、麥克風(fēng)�,等等����。顯示適配器144連接系統(tǒng)總線123到顯示裝置146����。
本領(lǐng)域普通技術(shù)人員將理解到���,圖1B中的硬件可以依賴于系統(tǒng)實(shí)現(xiàn)而改變�。例如����,該系統(tǒng)可具有一個(gè)或多個(gè)處理器,例如基于英特爾奔騰(IntelPentium)的處理器和數(shù)字信號處理器(DSP)���,以及一個(gè)或多個(gè)類型的易失性或非易失性存儲(chǔ)器��。除圖1B中所描繪的硬件之外��,或代替圖1B中所描繪的硬件��,可以使用其它外圍裝置�����。所描繪的例子并不意味著暗指關(guān)于本發(fā)明的結(jié)構(gòu)上的限制��。
除了能夠在多種硬件平臺上實(shí)現(xiàn)之外�����,本發(fā)明還可以在多種軟件環(huán)境中實(shí)現(xiàn)�����??梢允褂玫湫偷牟僮飨到y(tǒng)來控制每個(gè)數(shù)據(jù)處理系統(tǒng)內(nèi)的程序執(zhí)行。例如���,一個(gè)裝置可運(yùn)行Unix操作系統(tǒng)����,而另一個(gè)裝置則包含簡單的Java運(yùn)行時(shí)間環(huán)境����。代表性的計(jì)算機(jī)平臺可包括瀏覽器,其為熟知的用于訪問各種格式的超文本文檔的軟件應(yīng)用�����,例如圖形文件、文字處理文件����、可擴(kuò)展標(biāo)記語言(XML)、超文本標(biāo)記語言(HTML)���、手持設(shè)備標(biāo)記語言(HDML)、無線標(biāo)記語言(WML)��、以及不同其它格式和類型的文件��。
可以在多種硬件和軟件平臺上實(shí)現(xiàn)本發(fā)明����,如上文關(guān)于圖1A和圖1B所描述的。然而更準(zhǔn)確地說����,本發(fā)明用以操作變體蜜罐(morphing honeypot),將結(jié)合剩下的附圖對其更加詳細(xì)地描述���。
現(xiàn)在參照圖2���,附圖描繪關(guān)于已知漏洞(vulnerability)的典型數(shù)據(jù)庫的一組大小��。眾所周知�,能夠通過經(jīng)驗(yàn)觀測���,編譯已知漏洞的數(shù)據(jù)庫����。能夠?qū)⒂嘘P(guān)多重操作系統(tǒng)202的信息連同由操作系統(tǒng)支持執(zhí)行的一組相關(guān)聯(lián)的服務(wù)204一起���,存儲(chǔ)在漏洞數(shù)據(jù)庫中��。在使用不同的代碼庫的不同操作系統(tǒng)下����,實(shí)現(xiàn)特殊類型的服務(wù)�,例如FTP服務(wù)器,并且特殊類型服務(wù)的每次實(shí)現(xiàn)都具有其自身的一組已知漏洞206�����。服務(wù)中的漏洞典型地通過事故���、通過經(jīng)由合法測試程序的反復(fù)試驗(yàn)��、或者通過經(jīng)由惡意嘗試以破壞服務(wù)的反復(fù)試驗(yàn)�,來發(fā)現(xiàn)該服務(wù)中的漏洞。與這些漏洞相關(guān)的信息在不同的用戶組或組織中存儲(chǔ)���、編譯���、以及共享;試圖保護(hù)系統(tǒng)免于漏洞的人常常被稱為“白客”�����,而試圖通過挖掘漏洞以損害系統(tǒng)的人常常被稱為“黑客”�。
例如���,當(dāng)在請求消息或數(shù)據(jù)包內(nèi)發(fā)送特殊參數(shù)的無效值(或者關(guān)于多個(gè)參數(shù)的一組值����,其中值的組合卻以某種方式無效時(shí))至特殊服務(wù)時(shí)����,或者意外地或者惡意地,漏洞可能被發(fā)現(xiàn)��。當(dāng)該服務(wù)試圖處理包含該無效值的消息或數(shù)據(jù)包時(shí),該服務(wù)可表現(xiàn)為不穩(wěn)定或錯(cuò)誤地�����,這可能因?yàn)闆]有編程序以處理由該無效值引起的異常�����。該服務(wù)的不正確行為在操作系統(tǒng)或一般性的系統(tǒng)內(nèi)引起某些形式的問題����,可能迫使該操作系統(tǒng)進(jìn)行某些形式的異常處理。在某些情形��,漏洞采用一種緩沖區(qū)溢出技術(shù)����,其中服務(wù)接受溢出該存儲(chǔ)緩沖區(qū)的大量數(shù)據(jù),該服務(wù)捕獲進(jìn)入的數(shù)據(jù)至該存儲(chǔ)緩沖區(qū)����。然而,進(jìn)入的數(shù)據(jù)實(shí)際上是接收系統(tǒng)的可執(zhí)行代碼����,并且操縱該系統(tǒng)進(jìn)入執(zhí)行所接收的可執(zhí)行代碼�����。在某些情形���,能夠操縱系統(tǒng)進(jìn)入辨認(rèn)所接收的可執(zhí)行代碼為該服務(wù)自身的可執(zhí)行代碼。假設(shè)事實(shí)為因?yàn)樗窍到y(tǒng)級的服務(wù)�,所以服務(wù)常常在操作系統(tǒng)下以較高的優(yōu)先權(quán)級別或者以專門的特權(quán)執(zhí)行,所接收的可執(zhí)行代碼此后能夠以系統(tǒng)級別的特權(quán)進(jìn)行極大范圍內(nèi)的可具有破壞性后果的操作�����。從那點(diǎn)向前��,惡意用戶可以拷貝機(jī)密信息�����、破壞數(shù)據(jù)�����、重新配置系統(tǒng)�、隱藏所謂的后門程序、并進(jìn)行多種其它惡毒活動(dòng)���。
特殊的漏洞存在于特殊的操作系統(tǒng)和服務(wù)內(nèi)�����。更準(zhǔn)確地說�����,因?yàn)椴僮飨到y(tǒng)和服務(wù)不斷地通過修補(bǔ)漏洞的補(bǔ)丁得以改良���,或者升級以包含新的特征;所以特殊的漏洞存在于操作系統(tǒng)的特殊版本和/或服務(wù)的特殊版本中����。因此,挖掘漏洞的特殊技術(shù)相對于有限數(shù)量的操作系統(tǒng)和服務(wù)的配置����,可能僅只相對于操作系統(tǒng)的特殊版本上的服務(wù)的特殊版本的唯一結(jié)合而言是成功的。
假設(shè)用于挖掘已知漏洞的特殊技術(shù)僅針對某一系統(tǒng)配置是成功的�,惡意用戶通常試圖刺探特殊的服務(wù)。在識別操作系統(tǒng)的特殊版本�����、在所刺探的系統(tǒng)處的服務(wù)的特殊版本、或其它信息的嘗試中�����,通過發(fā)送給服務(wù)一組消息或不良數(shù)據(jù)包��,并且然后觀察和分析響應(yīng)來典型地刺探服務(wù)��。在某些情形中�����,在響應(yīng)中清楚地提供這種信息���。在其它情形���,通過將這些值與已知為由特殊的服務(wù)或服務(wù)的版本返回的值相匹配從自系統(tǒng)返回的參數(shù)的值中搜集這種信息。在任何情形����,特殊系統(tǒng)的響應(yīng)所返回的信息提供有關(guān)那個(gè)系統(tǒng)的配置的信息����,并且假設(shè)事實(shí)上操作系統(tǒng)和/或相關(guān)聯(lián)的服務(wù)的特殊配置可具有漏洞���,特殊系統(tǒng)的響應(yīng)所返回的信息也提供有關(guān)那個(gè)系統(tǒng)的易受攻擊的特征的信息。系統(tǒng)的易受攻擊的特征的集合能夠被稱為該系統(tǒng)的個(gè)性�����;換句話說����,響應(yīng)某些請求,系統(tǒng)展示某些行為的方式包含該系統(tǒng)的個(gè)性����。
將來自服務(wù)響應(yīng)的內(nèi)容與已知值相匹配的過程稱為“指紋”識別。這些已知值也已經(jīng)被編譯成數(shù)據(jù)庫����,并且存在不同的設(shè)施,用于對系統(tǒng)進(jìn)行“指紋”識別����。為了識別系統(tǒng)提供有關(guān)其易受攻擊的特征的信息的事實(shí),這些“指紋”識別設(shè)施能夠被用于合法的目的��;或者為了收集有關(guān)惡意用戶期望攻擊的系統(tǒng)的信息,這些“指紋”識別設(shè)施能夠被用于惡毒的活動(dòng)�����。假設(shè)惡意用戶通常期望逃避關(guān)于非法活動(dòng)的探測和起訴�����,則惡意用戶典型地在攻擊系統(tǒng)之前刺探該系統(tǒng)�,以致該惡意用戶能夠確定該系統(tǒng)是否具有能夠被挖掘的漏洞。否則���,該惡意用戶就會(huì)冒關(guān)于發(fā)動(dòng)不能成功的攻擊的探測和起訴的危險(xiǎn)�。在接收到有關(guān)系統(tǒng)的特殊的易受攻擊的特征的信息之后�����,該惡意用戶能夠通過對該系統(tǒng)的攻擊選擇用于挖掘該系統(tǒng)的易受攻擊的特征的特殊技術(shù)�。
優(yōu)于通過發(fā)送特殊請求主動(dòng)地對系統(tǒng)進(jìn)行“指紋”識別,也能夠通過觀察或追蹤對合法請求的響應(yīng)被動(dòng)地對系統(tǒng)進(jìn)行“指紋”識別�����。另外�,“指紋”識別也能夠以相反的方式工作,通過反轉(zhuǎn)的“指紋”識別過程���,追蹤來自系統(tǒng)的請求���。通過分析進(jìn)入的請求消息或數(shù)據(jù)包內(nèi)的參數(shù)值,識別請求系統(tǒng)的配置信息是可以的����。而且,因?yàn)橐粋€(gè)給定的�����、公開可利用的“指紋”識別設(shè)施操作的方式是眾所周知的�����,所以通過在其“指紋”識別操作期間產(chǎn)生不良請求或數(shù)據(jù)包的方式�����,識別“指紋”識別設(shè)施也是可以的��。
現(xiàn)在參照圖3���,其描繪關(guān)于典型蜜罐的操作的一組模式�����。關(guān)于蜜罐的典型生命周期能夠歸類為一系列操作階段或一系列操作模式�。管理員用戶在配置階段期間(步驟302)配置蜜罐,其可包括依賴于將被操作的特殊蜜罐的多種步驟�����。在初始化之后�,在仿真階段內(nèi)(步驟304),蜜罐開始操作�,在該仿真階段期間,仿效一個(gè)或多個(gè)服務(wù)����,而同時(shí)收集和記載有關(guān)對那些服務(wù)的請求的信息。在一段時(shí)間之后�,使得蜜罐脫機(jī),且然后在分析階段期間(步驟306)����,檢查所記載的信息。分析可以包括在仿真階段期間,系統(tǒng)被刺探的確定�����。在任何情形�,管理員用戶確定在重新配置階段期間(步驟308)是否應(yīng)該改變蜜罐的配置����,例如響應(yīng)先前的刺探。在進(jìn)行任何所需要或期望的重新配置之后�,重新使得蜜罐聯(lián)機(jī),并且只要管理員認(rèn)為需要�,該周期循環(huán)重復(fù)。
現(xiàn)在參照圖4���,附圖描繪關(guān)于本發(fā)明的變體蜜罐的操作的一組模式�。以與圖3所示的過程類似的方式���,變體蜜罐經(jīng)歷配置階段(步驟402)���。然而,與圖3中所示的過程對比��,當(dāng)分析操作(步驟406)連同自動(dòng)重新配置操作(步驟408)一起自動(dòng)地進(jìn)行時(shí)����,關(guān)于本發(fā)明的變體仿真階段(步驟404)繼續(xù)����,下文將更加詳細(xì)地解釋���。
現(xiàn)在參照圖5A�,方框圖描繪根據(jù)本發(fā)明的實(shí)施例����,可以在支持變體蜜罐的系統(tǒng)內(nèi)使用的一組組件或模塊。惡意用戶500扮演刺探����、攻擊、或危害變體蜜罐502的角色��,該變體蜜罐502在這個(gè)例子中仿效兩種不同的服務(wù)動(dòng)態(tài)可配置被仿效的服務(wù)504和動(dòng)態(tài)可配置被仿效的服務(wù)506�����。由變體蜜罐仿效的該組服務(wù)代表基礎(chǔ)系統(tǒng)上的一類表面(facade)�����。該表面可包括惡意用戶可利用以檢索和/或操縱的虛擬目錄和文件。對于被仿效的服務(wù)所接收的每個(gè)請求��,該被仿效的服務(wù)產(chǎn)生包含有關(guān)變體蜜罐502的信息的響應(yīng)�。以生產(chǎn)系統(tǒng)所期望的方式,變體蜜罐的被仿效的服務(wù)呈現(xiàn)有關(guān)該變體蜜罐易受攻擊的特征的信息���,好像它是支持操作系統(tǒng)的特殊版本連同在那個(gè)操作系統(tǒng)上執(zhí)行的服務(wù)的特殊版本的一個(gè)生產(chǎn)系統(tǒng)。換句話說���,響應(yīng)由那些被仿效的服務(wù)所接收的請求�,由被仿效的服務(wù)所返回的信息允許惡意用戶500對該被仿效的服務(wù)進(jìn)行“指紋”識別����。響應(yīng)對變體蜜罐502上的被仿效的服務(wù)進(jìn)行“指紋”識別,該惡意用戶將確定具有類似“指紋”的其它系統(tǒng)所典型地?fù)碛械囊粋€(gè)或多個(gè)漏洞�,在其之后,惡意用戶500可發(fā)動(dòng)指向那些漏洞的攻擊�。
依賴于操作系統(tǒng)和在變體蜜罐502上執(zhí)行的相關(guān)聯(lián)的一組服務(wù),變體蜜罐502可以或者不可以真實(shí)地?fù)碛兴甘镜穆┒吹娜魏我粋€(gè)�。然而,所返回的信息將被惡意用戶解釋為指示該變體蜜罐上的一組易受攻擊的特征��。
通過一組參數(shù)配置每個(gè)被仿效的服務(wù),例如關(guān)于被仿效的服務(wù)504的配置數(shù)據(jù)集508和關(guān)于被仿效的服務(wù)506的配置數(shù)據(jù)集510����;每組都指示相關(guān)聯(lián)的被仿效的服務(wù)的行為。由于每個(gè)被仿效的服務(wù)都響應(yīng)請求����,服務(wù)的活動(dòng)被記載,或者局部地載入局部數(shù)據(jù)集中���,例如用于被仿效的服務(wù)504的活動(dòng)日志數(shù)據(jù)集512和用于被仿效的服務(wù)506的活動(dòng)日志數(shù)據(jù)集514����,或者通過活動(dòng)記載模塊518系統(tǒng)范圍地載入活動(dòng)日志數(shù)據(jù)庫516���?;顒?dòng)日志或數(shù)據(jù)集可具有有關(guān)由變體蜜罐502支持的任何服務(wù)所接收的任何請求的內(nèi)容的信息����,包括被仿效的服務(wù)504和506,那些請求接收的時(shí)間和條件����,以及有關(guān)由被仿效的服務(wù)或變體蜜罐總體上所采取的行動(dòng)的信息�,包括關(guān)于給定的請求所返回的響應(yīng)��。也可以記載其它活動(dòng)���,例如代表管理員用戶通過管理接口模塊520所進(jìn)行的任何操作��,管理接口模塊520可僅僅只是控制變體蜜罐502的管理設(shè)施的一個(gè)接口�,或者可包括用于扮演控制變體蜜罐502的管理設(shè)施的角色的功能��。
管理接口模塊520允許管理員用戶來管理變體蜜罐502的操作以及在變體蜜罐502所使用的任何數(shù)據(jù)庫內(nèi)存儲(chǔ)的信息���,例如活動(dòng)日志數(shù)據(jù)庫516、漏洞數(shù)據(jù)庫522����、和變體蜜罐配置數(shù)據(jù)庫524?��?梢杂勺凅w蜜罐502創(chuàng)建漏洞數(shù)據(jù)庫522��,或者可以通過其它方法獲得漏洞數(shù)據(jù)庫522��;例如�����,如上文所描述的�,可以通過其它設(shè)施或工具產(chǎn)生漏洞數(shù)據(jù)庫,或者可以從用戶組或可能從傳播有關(guān)計(jì)算機(jī)安全警告信息的安全信息中心���,例如由卡內(nèi)基梅隆大學(xué)運(yùn)作的CERT協(xié)調(diào)中心(CERT/CC)獲得漏洞數(shù)據(jù)庫�����。漏洞數(shù)據(jù)庫可具有不同形式的信息�����;漏洞數(shù)據(jù)庫522被組織為包含漏洞元組526��,其每一個(gè)包括操作系統(tǒng)528的一個(gè)版本的指示��、計(jì)算機(jī)服務(wù)530的一個(gè)版本的指示��、以及關(guān)于該操作系統(tǒng)相關(guān)聯(lián)的版本和計(jì)算機(jī)服務(wù)相關(guān)聯(lián)的版本的已知漏洞532的指示���。
變體蜜罐配置數(shù)據(jù)庫524包含監(jiān)控條件規(guī)則534、漏洞改變規(guī)則536����、和用戶選擇參數(shù)538�,其由變體蜜罐結(jié)合數(shù)據(jù)庫內(nèi)的規(guī)則使用或者以某些其它方式使用��。通過管理接口模塊520���,管理員用戶可以操縱��、創(chuàng)建����、或刪除監(jiān)控條件規(guī)則534和漏洞改變規(guī)則536���。監(jiān)控管理器540使用規(guī)則引擎542在監(jiān)控條件規(guī)則534內(nèi)評估表達(dá)����,以在被仿效的服務(wù)內(nèi)探測用戶指定的監(jiān)控條件��。在探測到用戶指定的監(jiān)控條件之后�,監(jiān)控管理器540使用規(guī)則引擎542在漏洞改變規(guī)則536內(nèi)評估表達(dá)�,以確定將要由被仿效的服務(wù)呈現(xiàn)的下一組易受攻擊的特征。監(jiān)控管理器540從漏洞數(shù)據(jù)庫522中獲得那組易受攻擊的特征的信息�����,即,將由被仿效的服務(wù)呈現(xiàn)的��,用以指示變體蜜罐502擁有特殊漏洞的信息�。該信息被寫入用于適當(dāng)?shù)谋环滦У姆?wù)的適當(dāng)配置數(shù)據(jù)集中;被仿效的服務(wù)然后將可配置信息放置在其關(guān)于所接收的請求所返回的響應(yīng)中����。
如上文所指出的,可通過多種方法發(fā)現(xiàn)計(jì)算機(jī)安全漏洞���,并且可以假設(shè)有關(guān)漏洞的信息既傳播到惡意用戶�,也傳播到計(jì)算機(jī)安全管理員����。然而,在了解到了新近發(fā)現(xiàn)的漏洞之后不久�,惡意用戶常常設(shè)法挖掘該新近發(fā)現(xiàn)的漏洞。
本發(fā)明的變體蜜罐向計(jì)算機(jī)系統(tǒng)管理員提供一種通過呈現(xiàn)有關(guān)新近發(fā)現(xiàn)的漏洞的信息作為該變體蜜罐的一個(gè)特征來提高該蜜罐對惡意用戶的吸引力的能力���;目的是利用惡意用戶將要獵取具有新近發(fā)現(xiàn)的漏洞的系統(tǒng)的期望��,將惡意用戶吸引到該變體蜜罐上���。
另外�,惡意用戶組傳播有關(guān)挖掘計(jì)算機(jī)漏洞的方式的信息��。因此����,許多惡意用戶設(shè)法在許多不同的系統(tǒng)上挖掘特殊的漏洞。而且����,特殊的惡意用戶可在單一網(wǎng)絡(luò)內(nèi)反復(fù)地設(shè)法在許多系統(tǒng)上利用特殊的漏洞。
本發(fā)明的變體蜜罐向計(jì)算機(jī)系統(tǒng)管理員提供一種通過呈現(xiàn)有關(guān)新近發(fā)現(xiàn)的漏洞的信息作為該變體蜜罐的一個(gè)特征來提高該蜜罐對惡意用戶的吸引力的能力�����;目的是利用惡意用戶在了解到該漏洞之后不久��,將要搜尋具有新近發(fā)現(xiàn)的漏洞的系統(tǒng)的期望���,將惡意用戶吸引到該變體蜜罐上。
作為可更多被利用的特點(diǎn)�����,本發(fā)明的變體蜜罐也向計(jì)算機(jī)系統(tǒng)管理員提供一種通過在確定惡意用戶已經(jīng)試圖在不同的系統(tǒng)上利用相同的漏洞之后來呈現(xiàn)有關(guān)該變體蜜罐上的特殊漏洞的信息,而具有提高該蜜罐對惡意用戶的吸引力的能力����。再次,目的是利用惡意用戶將繼續(xù)搜尋具有特殊漏洞的系統(tǒng)的期望��,將惡意用戶吸引到該變體蜜罐上。
通過結(jié)合不同的方法��,以獲得�、檢索�、或者接收在變體蜜罐外部產(chǎn)生的事件通知消息,本發(fā)明的變體蜜罐提供在這些場景提高其吸引力的能力����。事件通知消息提供有關(guān)新近發(fā)現(xiàn)的漏洞或新近探測到的刺探或攻擊的消息;變體蜜罐配置其自身��,以展示新近發(fā)現(xiàn)的漏洞或新近探測到的刺探或攻擊的特征�����,以試圖引誘惡意用戶在該變體蜜罐上活動(dòng)���。
變體蜜罐502包括進(jìn)行一些類似于監(jiān)控管理器540的操作的事件通知管理器544�����。事件通知管理器544將變體蜜罐502與能夠發(fā)送事件通知消息至變體蜜罐502的不同可配置事件探測系統(tǒng)結(jié)合�。事件通知消息通知事件通知管理器544特殊類型的事件;事件通知消息的格式和內(nèi)容可依賴于事件探測系統(tǒng)的類型��。事件通知管理器544的行動(dòng)和事件通知消息的接收也可以記入活動(dòng)數(shù)據(jù)庫516�;事件通知消息的數(shù)目和類型超時(shí)可導(dǎo)致變體蜜罐顯示的個(gè)性的改變。盡管圖5A示出一些不同來源的事件通知消息的例子���,變體蜜罐還可以與多種或者指導(dǎo)變體蜜罐的操作或者幫助變體蜜罐操作的外部系統(tǒng)結(jié)合�����。
事件通知管理器544解釋事件通知消息����,其可被加密及數(shù)字化標(biāo)記��,以保護(hù)其數(shù)據(jù)完整性�����。事件通知管理器544具有解析消息及過濾消息的能力。在一個(gè)實(shí)施例中���,變體蜜罐502可以與事件通知消息的來源緊密結(jié)合;響應(yīng)特殊事件通知消息的接收�,變體蜜罐502響應(yīng)事件通知消息內(nèi)信息的接收,可改變其個(gè)性����。換句話說,產(chǎn)生事件通知消息的源系統(tǒng)發(fā)送直接被監(jiān)控管理器540所使用以控制被仿效的服務(wù)的信息�。在這種場景,源系統(tǒng)已經(jīng)確定要求變體蜜罐個(gè)性改變的條件��,并且也可能已經(jīng)確定變體蜜罐將要在被仿效的服務(wù)內(nèi)呈現(xiàn)的新漏洞���。事件通知管理器544使用事件通知消息內(nèi)的信息作為將要被放置在被仿效的服務(wù)的配置數(shù)據(jù)集內(nèi)的信息���。
在一個(gè)可選擇的實(shí)施例中,事件通知管理器544以與監(jiān)控管理器540內(nèi)被滿足的監(jiān)控條件所使用的類似方式使用事件通知消息內(nèi)的信息��,即�����,好似源系統(tǒng)已經(jīng)確定了要求變體蜜罐個(gè)性改變的條件。然而��,在這種場景����,事件通知管理器544使用漏洞改變規(guī)則536來確定變體蜜罐將要在被仿效的服務(wù)內(nèi)呈現(xiàn)的新漏洞。
在另一個(gè)實(shí)施例中�,事件通知管理器544使用事件通知消息內(nèi)的信息作為監(jiān)控管理器540的輸入,然后當(dāng)在監(jiān)控條件規(guī)則內(nèi)評估表達(dá)時(shí)����,其使用該事件僅僅作為一個(gè)參數(shù)。在這種情形�,事件的通知僅僅只是要求變體蜜罐個(gè)性改變的條件的一部分。在這種場景���,監(jiān)控管理器540使用漏洞改變規(guī)則536來確定當(dāng)滿足監(jiān)控條件規(guī)則時(shí)�,變體蜜罐將要在被仿效的服務(wù)內(nèi)呈現(xiàn)的新漏洞���。
還有在另一個(gè)實(shí)施例中���,事件通知管理器544使用事件通知消息內(nèi)的信息作為用于在事件過濾規(guī)則546內(nèi)評估表達(dá)的參數(shù),其與監(jiān)控條件規(guī)則類似�����,但是可主要應(yīng)用于所探測的事件。因?yàn)樗綔y的事件可能為數(shù)眾多��,所以為每一個(gè)所探測的事件都改變變體蜜罐的個(gè)性可能是不理想的�,而僅依賴于事件的特殊結(jié)合的探測來改變變體蜜罐的個(gè)性可能是很理想的�。事件過濾規(guī)則546提供用于確定響應(yīng)事件通知消息何時(shí)改變變體蜜罐的個(gè)性的表達(dá)。
通過活動(dòng)日志516內(nèi)所記載的信息的分析��,入侵探測系統(tǒng)552可探測網(wǎng)絡(luò)���、系統(tǒng)�、或應(yīng)用內(nèi)的可能入侵�。例如,入侵探測系統(tǒng)552可代表監(jiān)控系統(tǒng)的病毒滲透的反病毒應(yīng)用��。作為另一個(gè)例子�����,入侵探測系統(tǒng)552可為Cisco安全入侵探測系統(tǒng)的一個(gè)實(shí)例���,其包括從直接源自網(wǎng)絡(luò)的數(shù)據(jù)中探測未經(jīng)授權(quán)的活動(dòng)的網(wǎng)絡(luò)嗅探器����;Cisco安全入侵探測系統(tǒng)是可配置的,以向不同的目的地發(fā)送不同類型的告警/事件消息��。
計(jì)算機(jī)安全事件信息中心554提供有關(guān)廣泛分布的計(jì)算機(jī)安全問題的警告和事件注釋�,例如上文所提及的CERT協(xié)調(diào)中心(CERT/CC)。關(guān)于特殊的產(chǎn)業(yè)或組織����,存在不同的計(jì)算機(jī)安全事件信息中心。例如��,金融服務(wù)信息共享與分析中心(FS-ISAC)提供關(guān)于金融機(jī)構(gòu)的電子安全威脅����、漏洞、事故���、和解決方案的產(chǎn)業(yè)范圍的數(shù)據(jù)庫��。聯(lián)邦計(jì)算機(jī)事件響應(yīng)中心(FedCIRC)是處理影響聯(lián)邦政府的內(nèi)政機(jī)構(gòu)和部門的計(jì)算機(jī)安全相關(guān)的問題的中心協(xié)調(diào)與分析設(shè)施機(jī)構(gòu)�����。
可以從由計(jì)算機(jī)安全事件信息中心所維護(hù)的數(shù)據(jù)庫中���,例如�,CERT知識庫��,檢索關(guān)于所識別的威脅和漏洞的事件通知消息�����?����?蛇x擇地�����,可以從計(jì)算機(jī)安全事件信息中心將事件通知消息廣播到感興趣的部門��;為了接收事件通知消息�����,例如���,CERT警告郵件列表���,可要求變體蜜罐502向計(jì)算機(jī)安全事件信息中心注冊。與通過其被仿效的服務(wù)改變變體蜜罐個(gè)性的活動(dòng)并行���,響應(yīng)來自計(jì)算機(jī)安全事件信息中心554的信息���,事件通知管理器544可以更新變體蜜罐配置數(shù)據(jù)庫524或漏洞數(shù)據(jù)庫522。
風(fēng)險(xiǎn)管理系統(tǒng)556代表事件通知消息的另一個(gè)潛在來源��?���?赡芡ㄟ^活動(dòng)日志516內(nèi)所記載的信息的分析,風(fēng)險(xiǎn)管理系統(tǒng)556具有關(guān)聯(lián)�、評估、和增強(qiáng)來自許多不同類型的計(jì)算機(jī)安全傳感器如網(wǎng)絡(luò)入侵探測系統(tǒng)�、反病毒傳感器、防火墻���、或者其它傳感器的告警/事件的能力�����。一個(gè)風(fēng)險(xiǎn)管理系統(tǒng)的例子為IBM Tivoli風(fēng)險(xiǎn)管理器�,其使通過應(yīng)用、操作系統(tǒng)���、和網(wǎng)絡(luò)裝置所產(chǎn)生的大量安全事件相互關(guān)聯(lián)并區(qū)分優(yōu)先次序����,以提供企業(yè)安全架構(gòu)的全面審視��。
圖5A中示出的本發(fā)明的范例實(shí)施例闡明了用于實(shí)現(xiàn)變體蜜罐的組件的一般組織�。在一個(gè)更加明確的例子中,本發(fā)明的技術(shù)可以應(yīng)用于無線環(huán)境中�����,例如�����,如圖5B中所示����。應(yīng)該注意到���,盡管在下文所描述的本發(fā)明的例子基本上依賴于由電氣和電子工程師協(xié)會(huì)(IEEE)所創(chuàng)建的IEEE 802標(biāo)準(zhǔn)���,尤其是無線LANs規(guī)范的802.11族���,但可以使用多種無線通信協(xié)議和技術(shù)實(shí)現(xiàn)本發(fā)明,其中可以在無線變體蜜罐內(nèi)��,挖掘那些無線通信協(xié)議和技術(shù)的漏洞���。另外�,該無線變體蜜罐系統(tǒng)可以同時(shí)使用多個(gè)無線技術(shù)����;可以實(shí)現(xiàn)一個(gè)或多個(gè)無線變體蜜罐,以支持不同無線技術(shù)的硬件要求���。然而���,應(yīng)該注意到,部署無線變體蜜罐的企業(yè)并不一定需要對其活動(dòng)無線網(wǎng)絡(luò)和無線變體蜜罐系統(tǒng)兩者都使用相同的無線技術(shù)���;無線變體蜜罐系統(tǒng)可以以重疊的方式使用不同的無線技術(shù)���。
現(xiàn)在參照圖5B��,方框圖描繪根據(jù)本發(fā)明的一個(gè)實(shí)施例����,可以在支持無線變體蜜罐的系統(tǒng)內(nèi)所使用的一組組件或模塊�����。圖5B與圖5A類似�����,且相似的附圖標(biāo)記指的是相似的元件����;在圖5A中已示出,但是在圖5B中未示出的其它元件可以假設(shè)為已實(shí)現(xiàn)但是在圖5B中未示出�。然而�,圖5B不同于圖5A;根據(jù)本發(fā)明的一個(gè)不同的實(shí)施例���,圖5B通過包括無線功能�,以產(chǎn)生無線變體蜜罐,來闡明變體蜜罐更加明確的實(shí)施例��,然而圖5A則闡明廣泛意義上的變體蜜罐的例子�����。通過無線數(shù)據(jù)傳遞��,可由惡意用戶操作的可疑客戶機(jī)560扮演探測����、攻擊、或危害無線變體蜜罐561的角色���。
無線變體蜜罐561并不局限于監(jiān)控下文所討論的漏洞��。下文所討論的SSID和WEP漏洞為802.11協(xié)議所特定的�,并且為了挖掘存在于其它無線技術(shù)內(nèi)的其它漏洞���,可以配置無線變體蜜罐����,以擴(kuò)展其性能�����。
另外,可以配置無線變體蜜罐�,以挖掘普遍存在于許多無線技術(shù)中的其它漏洞。例如�����,許多無線技術(shù)支持包含MAC(媒體訪問控制)地址的網(wǎng)絡(luò)協(xié)議����。大部分2層網(wǎng)絡(luò)協(xié)議使用由IEEE管理的三個(gè)編號間隔中的一個(gè)MAC-48TM、EUI-48TM�����、和EUI-64TM�����,其設(shè)計(jì)為全球唯一的�����,以致他們可以扮演關(guān)于網(wǎng)卡和其它網(wǎng)絡(luò)相關(guān)的裝置的唯一標(biāo)識符的角色�����,盡管并不是所有的通信協(xié)議都使用MAC地址以及并不是所有的協(xié)議都要求這樣的全球唯一標(biāo)識符�����。假設(shè)MAC地址存在于所支持的協(xié)議中���,許多網(wǎng)絡(luò)接入裝置通過應(yīng)用MAC地址過濾器在傳輸數(shù)據(jù)包內(nèi)對MAC地址進(jìn)行初步的安全檢查����。通過維護(hù)被批準(zhǔn)用于網(wǎng)絡(luò)上的裝置的已知MAC地址的列表或數(shù)據(jù)庫���,網(wǎng)絡(luò)接入裝置能夠過濾數(shù)據(jù)包�,以檢查每個(gè)數(shù)據(jù)包都包含一個(gè)公認(rèn)的MAC地址�。
然而,對于MAC地址過濾的依賴呈現(xiàn)一個(gè)簡單的漏洞����。惡意用戶能夠通過在由惡意用戶的客戶機(jī)裝置所傳輸?shù)臄?shù)據(jù)包內(nèi)騙取一個(gè)已知經(jīng)批準(zhǔn)的裝置的MAC地址,而迂回通過MAC地址過濾器����。惡意用戶能夠通過嗅探已知經(jīng)批準(zhǔn)的裝置的無線數(shù)據(jù)傳輸�����,很容易地獲得已知經(jīng)批準(zhǔn)的裝置的MAC地址����;該惡意用戶的可配置無線裝置于是使用所獲得的MAC地址���,而不是最初分配給該無線裝置的MAC地址�。因?yàn)閻阂庥脩舻难b置的無線傳輸中的數(shù)據(jù)包隨后將包含公認(rèn)的MAC地址��,所以MAC地址過濾功能將不會(huì)標(biāo)記或拒絕所接收的來自該惡意用戶的數(shù)據(jù)包����。無論如何,除了如下文進(jìn)一步更加詳細(xì)地討論的以及如圖5B所闡明的其它漏洞以外�����,本發(fā)明的大部分實(shí)現(xiàn)也都可以挖掘MAC地址漏洞���。
無線變體蜜罐561使用802.11協(xié)議仿效模塊562仿效802.11無線協(xié)議�����。針對由802.11協(xié)議仿效模塊562所接收的每一個(gè)請求�����,被仿效的服務(wù)都產(chǎn)生一個(gè)響應(yīng)����;給定數(shù)據(jù)交換��,將誤導(dǎo)惡意用戶認(rèn)為該惡意用戶正操作可疑客戶機(jī)560以便與企業(yè)的活動(dòng)無線網(wǎng)絡(luò)通信�����。換句話說����,無線變體蜜罐561扮演無線接入點(diǎn)裝置或仿真器的角色,并且響應(yīng)發(fā)現(xiàn)無線變體蜜罐561的無線接入點(diǎn)�����,為了試圖訪問文件或者可能發(fā)動(dòng)指向網(wǎng)絡(luò)內(nèi)其它漏洞的攻擊��,可疑客戶機(jī)560的惡意用戶可能通過無線變體蜜罐561試圖訪問網(wǎng)絡(luò)����。
可以以多種方式實(shí)現(xiàn)漏洞數(shù)據(jù)庫522���;在圖5B所示的例子中,組織漏洞數(shù)據(jù)庫522�����,以包含漏洞元組526�����,其每一個(gè)都包括其中漏洞為可應(yīng)用的操作系統(tǒng)的指示���、具有可以被挖掘的漏洞的數(shù)據(jù)服務(wù)的版本的指示����、以及關(guān)于該操作系統(tǒng)相關(guān)聯(lián)的版本和數(shù)據(jù)服務(wù)相關(guān)聯(lián)的版本的已知漏洞的指示�。依賴于無線技術(shù),不同操作系統(tǒng)上的不同軟件包可以以引進(jìn)漏洞的方式實(shí)現(xiàn)其對于無線技術(shù)的支持����,從而向無線變體蜜罐系統(tǒng)提供對于不同的操作系統(tǒng)呈現(xiàn)不同的漏洞的額外程度的可變性。
在圖5B所示的例子中,漏洞數(shù)據(jù)庫522包含關(guān)于802.11協(xié)議的已知漏洞�����,如數(shù)據(jù)值563和564所指示的�;在這個(gè)例子中,假設(shè)這些漏洞在使用802.11協(xié)議實(shí)現(xiàn)無線接入點(diǎn)的任何操作系統(tǒng)內(nèi)呈現(xiàn)��,如數(shù)據(jù)值565和566所指示的���。指示數(shù)值567的SSID識別SSID(服務(wù)集標(biāo)識符)的使用作為可以由無線變體蜜罐挖掘的802.11無線接入點(diǎn)的一個(gè)可能漏洞;802.11無線協(xié)議內(nèi)的SSID代表關(guān)于802.11無線協(xié)議的一個(gè)可配置參數(shù)���。指示數(shù)值568的WEP識別WEP(有線等效保密)加密機(jī)制的使用作為可以由無線變體蜜罐挖掘的802.11無線接入點(diǎn)的一個(gè)可能漏洞�����;802.11無線協(xié)議內(nèi)的WEP密鑰代表關(guān)于802.11無線協(xié)議的一個(gè)可配置參數(shù)����。
SSID是作為配置參數(shù)輸入?yún)⑴c相同的無線網(wǎng)絡(luò)的所有無線接入點(diǎn)和無線客戶機(jī)的混合符號碼(alphanumeric code)���。SSID扮演一類簡單的工作組標(biāo)識符的角色��;任何知道SSID的實(shí)體都可以初步被看作屬于可被提供有對網(wǎng)絡(luò)的無線訪問的實(shí)體組���。在默認(rèn)配置中�,無線接入點(diǎn)將周期地廣播SSID���,從而允許無線客戶機(jī)上的軟件編譯在該無線客戶機(jī)附近的可利用的無線網(wǎng)絡(luò)的列表��。另外����,商業(yè)上可利用的無線接入點(diǎn)的每個(gè)廠家都提供關(guān)于SSID的默認(rèn)值�。為了向在無線接入點(diǎn)后的網(wǎng)絡(luò)提供安全的初步水平,網(wǎng)絡(luò)管理員典型地改變SSID的默認(rèn)值為某些其它的值���,并禁止SSID的廣播�;然后用適當(dāng)?shù)腟SID配置合法的用戶和合法的客戶機(jī)裝置����。假設(shè)無線接入點(diǎn)不廣播SSID,可疑客戶機(jī)將不會(huì)知道該唯一的SSID����,從而使得該可疑客戶機(jī)發(fā)現(xiàn)SSID更加困難。
漏洞數(shù)據(jù)庫522包含識別SSID機(jī)制作為能夠由無線變體蜜罐5 61挖掘以吸引惡意用戶的漏洞的指示符567。變體蜜罐配置數(shù)據(jù)庫524包含提供關(guān)于在無線變體蜜罐561內(nèi)激活或禁止SSID漏洞的使用的可解釋表達(dá)的監(jiān)控條件規(guī)則569���。變體蜜罐配置數(shù)據(jù)庫524也包含用于確定何時(shí)和/或如何改變SSID的漏洞改變規(guī)則570��。變體蜜罐配置數(shù)據(jù)庫524進(jìn)一步包含SSID產(chǎn)生算法571��,其為提供用來確定或改變所使用的SSID的值的算法的用戶可選擇參數(shù)�。無線變體蜜罐561包含當(dāng)SSID漏洞被激活時(shí)���,根據(jù)SSID產(chǎn)生算法571����,使用SSID產(chǎn)生算法571產(chǎn)生SSID的可變SSID產(chǎn)生單元572��。當(dāng)無線變體蜜罐561探測到可疑客戶機(jī)560正積極地挖掘SSID漏洞時(shí)��,如在下文進(jìn)一步的例子中所解釋的�,無線變體蜜罐561通知風(fēng)險(xiǎn)管理系統(tǒng)556�,其具有指示風(fēng)險(xiǎn)管理系統(tǒng)556響應(yīng)所探測到的事件而將要發(fā)布中等水平的警報(bào)的配置參數(shù)573。
為了防止可疑客戶機(jī)通過嗅探無線傳輸至和從無線接入點(diǎn)而發(fā)現(xiàn)重要數(shù)據(jù)�����,802.11協(xié)議提供可選擇的WEP加密機(jī)制,其中使用數(shù)字的��、對稱的密鑰����,以加密傳輸?shù)臄?shù)據(jù)。由于密鑰管理的原因����,WEP機(jī)制可能會(huì)有問題。如果沒有用于管理和分配密鑰給無線接入點(diǎn)和客戶機(jī)的某些集中機(jī)制�,系統(tǒng)管理員在改變WEP密鑰上將面臨相當(dāng)大量的工作,因?yàn)闉榱诉m當(dāng)?shù)乇WC網(wǎng)絡(luò)環(huán)境安全���,系統(tǒng)管理員必須改變所有無線接入點(diǎn)和所有客戶機(jī)上的密鑰��。WEP密鑰對于未知的無線客戶機(jī)或惡意用戶不應(yīng)該是已知的�����。用本發(fā)明的無線蜜罐�����,WEP機(jī)制能夠被挖掘?yàn)槁┒?����,以吸引和捕獲惡意用戶的活動(dòng)����。
漏洞數(shù)據(jù)庫522包含識別WEP機(jī)制作為能夠由無線變體蜜罐561挖掘以吸引惡意用戶的漏洞的指示符568。變體蜜罐配置數(shù)據(jù)庫524包含提供關(guān)于在無線變體蜜罐561內(nèi)激活或禁止WEP機(jī)制使用的可解釋表達(dá)的監(jiān)控條件規(guī)則574�����。變體蜜罐配置數(shù)據(jù)庫524也包含用于確定何時(shí)和/或如何改變WEP密鑰的漏洞改變規(guī)則575���。變體蜜罐配置數(shù)據(jù)庫524進(jìn)一步包含的WEP密鑰產(chǎn)生算法576��,其為提供用來確定或改變所使用的WEP密鑰的值的算法的用戶可選擇參數(shù)�����。無線變體蜜罐561包含當(dāng)WEP密鑰漏洞被激活時(shí),根據(jù)WEP密鑰產(chǎn)生算法576���,使用WEP密鑰產(chǎn)生算法576產(chǎn)生WEP密鑰的可變WEP密鑰產(chǎn)生單元577���。當(dāng)無線變體蜜罐561探測到可疑客戶機(jī)560正積極地挖掘WEP密鑰漏洞時(shí)�����,如在下文進(jìn)一步的例子中所解釋的�,無線變體蜜罐561通知風(fēng)險(xiǎn)管理系統(tǒng)556����,其具有指示風(fēng)險(xiǎn)管理系統(tǒng)556響應(yīng)所探測到的事件,而將要發(fā)布高級水平的嚴(yán)重警報(bào)的配置參數(shù)578�。
無線變體蜜罐561也包含用于產(chǎn)生無線變體蜜罐561在偽廣播(fakebroadcast)中傳輸?shù)臄?shù)據(jù)的偽傳輸數(shù)據(jù)發(fā)生器579;如在下文進(jìn)一步的例子中所解釋的�����,偽傳輸數(shù)據(jù)允許可疑客戶機(jī)560嗅探數(shù)據(jù)���?��?梢詫?shí)現(xiàn)虛擬客戶機(jī)(dummy client)580,以發(fā)送數(shù)據(jù)請求至無線變體蜜罐561��,該無線變體蜜罐用偽傳輸數(shù)據(jù)響應(yīng)�����,從而提供了一種更加現(xiàn)實(shí)的可由可疑客戶機(jī)560嗅探的雙向數(shù)據(jù)傳遞。
入侵探測系統(tǒng)552包含響應(yīng)所探測到的事件以試圖物理地定位和追蹤可疑客戶機(jī)560的三角測量單元581���。另外����,入侵探測系統(tǒng)552包含物理安全系統(tǒng)接口582�����,用于提供允許操作員通過使用物理資產(chǎn)���,以定位和追蹤可疑客戶機(jī)560的信息���,如下文進(jìn)一步關(guān)于在圖10中所闡明的例子所解釋的。
現(xiàn)在參照圖6�,流程圖描繪用于操作變體蜜罐以報(bào)導(dǎo)可疑的刺探事件,以及用于自動(dòng)地改變由變體蜜罐所呈現(xiàn)的漏洞的總體過程�。該過程由在被仿效的服務(wù)內(nèi)設(shè)置漏洞而開始(步驟602)���,以致惡意用戶可挖掘所選擇的漏洞����。然后該變體蜜罐監(jiān)控被仿效的服務(wù),以獲得由惡意用戶操作的可疑客戶機(jī)正試圖在該被仿效的服務(wù)中挖掘已知漏洞的指示(步驟604)�����。
如果探測到刺探���,即�����,刺探操作(步驟606)�����,則變體蜜罐向適當(dāng)?shù)淖酉到y(tǒng)報(bào)導(dǎo)該事件��,以便進(jìn)一步的行動(dòng)(步驟608)�。在探測到可疑客戶機(jī)之后�,該過程可以循環(huán)返回到步驟602;例如��,為了吸引其它惡意用戶的刺探操作�����,被仿效的服務(wù)可選擇使用新的漏洞,在此之后變體蜜罐重復(fù)該過程���。
如果在步驟606未探測到刺探活動(dòng)��,即�,刺探操作����,則變體蜜罐確定可配置參數(shù)是否指示變體蜜罐應(yīng)該重新配置自己以呈現(xiàn)不同的漏洞(步驟610)。如果確定重新配置��,則該過程循環(huán)返回到步驟602����,以選擇不同的漏洞;如果確定不重新配置�,則例如,根據(jù)可配置參數(shù)或響應(yīng)來自系統(tǒng)管理員用戶的請求���,變體蜜罐確定它是否應(yīng)該關(guān)閉(步驟612)���。如果不關(guān)閉,則變體蜜罐循環(huán)返回到步驟604���,以繼續(xù)監(jiān)控可疑活動(dòng)����;如果關(guān)閉��,則中斷變體蜜罐���,從而結(jié)束該過程���。以這樣的方式,變體蜜罐在一個(gè)連續(xù)的循環(huán)內(nèi)進(jìn)行其監(jiān)控操作和重新配置操作�,直到被指示做其它事情。
現(xiàn)在參照圖7A�����,流程圖描繪用于根據(jù)所監(jiān)控的條件��,動(dòng)態(tài)地確定何時(shí)改變指示變體蜜罐具有易受攻擊的特征的信息的過程�����。從例如監(jiān)控規(guī)則數(shù)據(jù)庫或與變體蜜罐相關(guān)聯(lián)的某些其它數(shù)據(jù)庫中,獲得監(jiān)控規(guī)則而開始該過程(步驟702)�。所檢索的監(jiān)控規(guī)則可應(yīng)用于一個(gè)或多個(gè)被仿效的服務(wù),但是假設(shè)所檢索的監(jiān)控規(guī)則可應(yīng)用于一種特殊類型的被仿效的服務(wù)�����,則檢索該適當(dāng)被仿效的服務(wù)的操作條件����,如監(jiān)控規(guī)則中所指示的(步驟704)。該操作條件可包括關(guān)于該被仿效的服務(wù)的活動(dòng)日志��,但是該操作條件也可包括被仿效的服務(wù)或與該被仿效的服務(wù)通信的監(jiān)控管理器所維護(hù)的信息���。例如���,該操作條件可包括關(guān)于被仿效的服務(wù)最近的重新配置或關(guān)于變體蜜罐內(nèi)在的其它操作的時(shí)間戳;相反���,活動(dòng)日志可僅指示關(guān)于變體蜜罐的外部實(shí)體所出現(xiàn)的行動(dòng)�����。
同樣檢索可應(yīng)用于所檢索的監(jiān)控規(guī)則的任何用戶指定的參數(shù)(步驟706)�。監(jiān)控規(guī)則可以被配置為帶有變量的表達(dá),并且在評估表達(dá)之前����,用戶指定的參數(shù)可以用作表達(dá)的輸入����。照此,可以像模板一樣存儲(chǔ)一組監(jiān)控規(guī)則�,并且用戶指定的參數(shù)配置關(guān)于特殊蜜罐的監(jiān)控規(guī)則。
然后關(guān)于被仿效的服務(wù)的操作條件是否滿足所評估那樣的所檢索的監(jiān)控規(guī)則作出確定(步驟708)��。如果不滿足�����,則該過程結(jié)束���。
可以假設(shè)���,圖7A中所示出的過程僅僅是一個(gè)較大過程的一部分。例如��,可以在變體蜜罐初始化期間加載來自監(jiān)控規(guī)則數(shù)據(jù)庫的一組監(jiān)控規(guī)則��。此后,更新數(shù)據(jù)庫內(nèi)的監(jiān)控規(guī)則�,并且如需要,則變體蜜罐將動(dòng)態(tài)地更新其監(jiān)控規(guī)則的拷貝����。例如,可以允許管理員用戶通過適當(dāng)?shù)慕涌?�,?dòng)態(tài)地增加或刪除監(jiān)控規(guī)則�����。
另外����,變體蜜罐可以不斷地在所有的監(jiān)控規(guī)則之內(nèi)循環(huán),從而關(guān)于所有的監(jiān)控規(guī)則實(shí)行圖7A中所示的過程�����。而且��,變體蜜罐可以提供用于設(shè)置或重置與監(jiān)控規(guī)則相關(guān)聯(lián)或指示特殊的監(jiān)控規(guī)則是活動(dòng)的還是非活動(dòng)的活動(dòng)標(biāo)記的接口�;而不是當(dāng)監(jiān)控規(guī)則為活動(dòng)時(shí),從數(shù)據(jù)庫插入和刪除監(jiān)控規(guī)則�。
如果在步驟708�����,被仿效的服務(wù)的操作條件滿足所檢索的監(jiān)控規(guī)則���,則檢索適當(dāng)?shù)穆┒锤淖円?guī)則(步驟710)。漏洞改變規(guī)則指導(dǎo)變體蜜罐的變體活動(dòng)���,以致該變體蜜罐從呈現(xiàn)一種個(gè)性轉(zhuǎn)向呈現(xiàn)另一種個(gè)性。更準(zhǔn)確地說��,漏洞改變規(guī)則指引下一組將要被仿效的服務(wù)所呈現(xiàn)的漏洞信息的選擇����。被仿效的服務(wù)的操作條件無論何時(shí)被探測到,如監(jiān)控規(guī)則所指示的��,則該被仿效的服務(wù)根據(jù)漏洞改變規(guī)則改變其個(gè)性����。
可選擇地,不是使用單個(gè)漏洞改變規(guī)則����,而是可以將多個(gè)漏洞改變規(guī)則與先前所檢索的監(jiān)控規(guī)則相關(guān)聯(lián)�;換句話說���,先前所檢索的監(jiān)控規(guī)則也指示當(dāng)滿足監(jiān)控規(guī)則時(shí)應(yīng)該使用的一組規(guī)則��。如果指示了一組漏洞改變規(guī)則���,則可以根據(jù)用戶指定的參數(shù)和/或其它信息評估該組漏洞改變規(guī)則,以選擇具有最高關(guān)聯(lián)值的漏洞改變規(guī)則��,即每個(gè)漏洞改變規(guī)則也可具有評估以指示選擇那個(gè)特殊的漏洞改變規(guī)則的適當(dāng)性的表達(dá)��。
以與監(jiān)控規(guī)則類似的方式�����,每個(gè)漏洞改變規(guī)則都可以被配置為帶有變量的表達(dá)�,并且在評估表達(dá)之前,用戶指定的參數(shù)可以用作表達(dá)的輸入���。照此����,連同指示下一個(gè)將要被仿效的服務(wù)所使用的漏洞的表達(dá)���,可以存在選擇漏洞改變規(guī)則的表達(dá)�����,����。
檢索可應(yīng)用于所選擇的漏洞改變規(guī)則的用戶指定的參數(shù)(步驟712),并且根據(jù)所選擇的漏洞改變規(guī)則從漏洞數(shù)據(jù)庫中選擇下一個(gè)漏洞(步驟714)�。然后根據(jù)新的漏洞重新配置被仿效的服務(wù)(步驟716),并且關(guān)于特殊的監(jiān)控規(guī)則����,該過程完成����。
現(xiàn)在參照圖7B,流程圖描繪根據(jù)所監(jiān)控的條件��,動(dòng)態(tài)地確定何時(shí)改變指示無線變體蜜罐具有易受攻擊的特征的信息的更加明確的過程�����。圖7B與圖7A類似���,盡管圖7B不同于圖7A����,因?yàn)閳D7B闡明根據(jù)本發(fā)明的不同實(shí)施例,無線變體蜜罐更加明確的過程�,而圖7A闡明由廣泛意義上的的變體蜜罐所進(jìn)行的過程。
該過程由根據(jù)先前所實(shí)現(xiàn)的及活動(dòng)的漏洞�����,例如�����,從監(jiān)控規(guī)則數(shù)據(jù)庫或與該無線變體蜜罐相關(guān)聯(lián)的某些其它數(shù)據(jù)庫獲得關(guān)于無線變體蜜罐的監(jiān)控規(guī)則而開始(步驟752)�。換句話說,無線變體蜜罐當(dāng)前正通過在無線變體蜜罐的數(shù)據(jù)傳輸內(nèi)呈現(xiàn)特殊的SSID�、WEP密鑰、MAC地址��、等等給潛在的可疑客戶機(jī)��,而實(shí)現(xiàn)特殊的漏洞���。所檢索的監(jiān)控規(guī)則可應(yīng)用于一個(gè)或多個(gè)被仿效的無線協(xié)議或功能����,但是以與使用802.11無線通信協(xié)議作為例子的圖5B類似的方式,則檢索802.11被仿效的服務(wù)的操作條件�,如監(jiān)控規(guī)則中所指示的(步驟754)。監(jiān)控規(guī)則的操作條件指示無線變體蜜罐繼續(xù)使用當(dāng)前活動(dòng)的漏洞�,直到關(guān)于所探測到的操作滿足給定的一組標(biāo)準(zhǔn)。例如�,操作條件可指示無線變體蜜罐繼續(xù)操作,直到可疑事件被探測到和報(bào)導(dǎo)����,在這個(gè)時(shí)刻無線變體蜜罐的操作可暫時(shí)關(guān)閉,以阻止可疑客戶機(jī)的惡意用戶的任何進(jìn)一步的入侵��,從而允許系統(tǒng)管理員物理地調(diào)查可疑客戶機(jī)的位置和身份���。
檢索也可應(yīng)用于所檢索的監(jiān)控規(guī)則的任何用戶指定的參數(shù)(步驟756),例如��,改變當(dāng)前所選擇的SSID或當(dāng)前所選擇的WEP密鑰的計(jì)劃表��。然后確定關(guān)于被仿效的802.11服務(wù)的操作條件是否滿足所評估那樣的所檢索的監(jiān)控規(guī)則(步驟758)����。如果不滿足����,則該過程完成��;換句話說�����,因?yàn)闊o線變體蜜罐當(dāng)前的操作條件不需要任何如監(jiān)控規(guī)則所指示的更改�,所以無線變體蜜罐將要繼續(xù)使用當(dāng)前活動(dòng)的漏洞?�?梢栽俅渭僭O(shè)圖7B中所示的過程僅僅是一個(gè)較大過程的一部分��。例如���,無線變體蜜罐可不斷地在多個(gè)監(jiān)控規(guī)則內(nèi)循環(huán)�����,從而執(zhí)行關(guān)于代表已經(jīng)由系統(tǒng)管理員用戶配置的一系列場景的多個(gè)監(jiān)控規(guī)則的��,如圖7B中所示的過程���。
如果在步驟758�,被仿效的802.11服務(wù)的操作條件滿足所檢索的監(jiān)控規(guī)則����,則檢索適當(dāng)?shù)穆┒锤淖円?guī)則(步驟760)。如先前所提及的���,漏洞改變規(guī)則指導(dǎo)無線變體蜜罐的變體活動(dòng)����,以致該無線變體蜜罐從呈現(xiàn)一個(gè)漏洞或個(gè)性轉(zhuǎn)向呈現(xiàn)另一個(gè)漏洞或個(gè)性��。關(guān)于無線變體蜜罐的特定操作��,漏洞改變規(guī)則可指示將要改變當(dāng)前所選擇的SSID���、當(dāng)前所選擇的WEP密鑰����、或當(dāng)前所選擇的MAC地址�。
檢索可應(yīng)用于所選擇的漏洞改變規(guī)則的用戶指定的參數(shù)(步驟762)����。例如���,在無線變體蜜罐的情形,SSID或WEP密鑰產(chǎn)生算法可以允許用戶指定的輸入?yún)?shù)��,從而給系統(tǒng)管理員提供在一組已知SSID或一組已知WEP密鑰內(nèi)循環(huán)的能力���,而不是隨機(jī)地使用唯一的SSID或WEP密鑰�����。根據(jù)所選擇的漏洞改變規(guī)則選擇新的漏洞(步驟764)����,例如��,如由根據(jù)SSID產(chǎn)生算法或WEP密鑰產(chǎn)生算法計(jì)算的新SSID或WEP密鑰所代表的����。然后根據(jù)新的漏洞重新配置無線變體蜜罐中的被仿效的服務(wù)(步驟766),并且關(guān)于特殊的監(jiān)控規(guī)則該過程完成���。
現(xiàn)在參照圖8A����,流程圖描繪一些可由變體蜜罐所考慮的監(jiān)控條件。圖7A中所示的過程執(zhí)行監(jiān)控規(guī)則的評估繼之以漏洞改變規(guī)則的評估���。圖8A與圖7A類似��,因?yàn)閳D8A提供變體條件的例子��;這些條件的處理的描述結(jié)合評估監(jiān)控條件的各方面連同選擇要由變體蜜罐呈現(xiàn)的新漏洞的各方面一起�����。
該過程從確定是否已經(jīng)達(dá)到將要觸發(fā)預(yù)定的重新配置的時(shí)刻點(diǎn)開始(步驟802)����。例如���,管理員用戶可以為變體蜜罐在管理設(shè)施內(nèi)選擇許多選項(xiàng)�。這些選項(xiàng)中的一些可以提供為該變體條件選擇不同的臨時(shí)參數(shù)的能力����;臨時(shí)參數(shù)的例子可包括用于改變變體蜜罐個(gè)性的可重復(fù)循環(huán)、該變體蜜罐將改變其行為的特殊日期和時(shí)刻�、用于呈現(xiàn)新漏洞的多個(gè)日期和時(shí)刻的計(jì)劃表���、或者某些其它與時(shí)間相關(guān)的值�。該條件可以由先前創(chuàng)建的軟件定時(shí)器的終止來觸發(fā)。如果匹配了關(guān)于監(jiān)控規(guī)則的計(jì)劃條件�,則如果需要,將相關(guān)聯(lián)的定時(shí)器復(fù)位(步驟804)�,并且獲得下一個(gè)漏洞(步驟806)。該計(jì)劃條件可具有在一組選擇的或預(yù)定的漏洞之中重復(fù)的漏洞改變規(guī)則��。然后重新配置適當(dāng)?shù)姆?wù)���,以呈現(xiàn)反映不同漏洞的信息(步驟808)��,并且該過程完成��。
如果在步驟802未觸發(fā)計(jì)劃的重新配置����,則關(guān)于是否已經(jīng)觸發(fā)了一個(gè)條件作確定�����,其中變體蜜罐確定由該變體蜜罐所記載的活動(dòng)在關(guān)于先前所配置的時(shí)間總量的閾值之下(步驟810)����。在這個(gè)場景�,管理員用戶依賴于所記載的活動(dòng)的總量作為變體蜜罐對惡意用戶的吸引的指示符���。另外�,假設(shè)若改變蜜罐易受攻擊的特征以匹配惡意用戶所尋找的漏洞�����,該變體蜜罐能夠受到更多的刺探�����、更多的試圖攻擊�、或者更多的實(shí)際攻擊?����?梢杂上惹八鶆?chuàng)建的軟件定時(shí)器的終止來觸發(fā)該條件�,在這個(gè)時(shí)刻變體蜜罐檢查全部被仿效的服務(wù)、被仿效的服務(wù)的子集���、或者單個(gè)被仿效的服務(wù)的活動(dòng)����。可以使用不同的探試性方法來確定活動(dòng)的水平是否不足��,從而觸發(fā)重新配置操作�;也可以將這些探試性的方法以表達(dá)的形式存儲(chǔ)����,其中使用根據(jù)一個(gè)或多個(gè)活動(dòng)日志的活動(dòng)相關(guān)的參數(shù)來評估該表達(dá)。如果該條件匹配�,則在步驟804,如果需要����,可以將定時(shí)器值復(fù)位,并且在步驟806獲得下一個(gè)漏洞����。然后在步驟808重新配置適當(dāng)?shù)姆?wù)以呈現(xiàn)反映不同漏洞的信息,并且該過程完成���。
如果在步驟810未違反不活動(dòng)閾值�����,則關(guān)于是否已經(jīng)從特殊的客戶機(jī)系統(tǒng)探測到刺探作確定(步驟812)�����。在這種場景�����,變體蜜罐可以隨時(shí)追蹤來自特殊的客戶機(jī)系統(tǒng)的可疑請求���。例如��,客戶機(jī)系統(tǒng)可以由IP地址識別�����,并且能夠配置被仿效的服務(wù)以掃描特殊的IP地址����。如果從先前識別的IP地址接收到隨后的請求�,則被仿效的服務(wù)能夠通知變體蜜罐內(nèi)的監(jiān)控引擎,其然后確定是否由來自特殊的客戶機(jī)系統(tǒng)的請求的接收觸發(fā)了監(jiān)控規(guī)則���。在觸發(fā)了這個(gè)特殊的監(jiān)控規(guī)則之后�����,變體蜜罐可試圖呈現(xiàn)先前已被呈現(xiàn)給該客戶機(jī)系統(tǒng)的相同的漏洞�,以努力誘惑惡意用戶認(rèn)為,自先前的刺探以來�,該被仿效的服務(wù)未改變其行為。在圖8A中所示的過程中��,變體蜜罐設(shè)置下一個(gè)漏洞為先前已呈現(xiàn)給這個(gè)特殊的客戶機(jī)系統(tǒng)的漏洞(步驟814)�,當(dāng)記載先前的刺探時(shí)��,其已經(jīng)被存儲(chǔ)在活動(dòng)日志數(shù)據(jù)庫中����。此后,在步驟806���,變體蜜罐得到下一個(gè)漏洞�����,且然后在步驟808重新配置適當(dāng)?shù)姆?wù)以呈現(xiàn)反映不同漏洞的信息��,并且該過程完成��。
可選擇地��,優(yōu)于試圖呈現(xiàn)先前已呈現(xiàn)給客戶機(jī)系統(tǒng)的相同漏洞��,變體蜜罐可以呈現(xiàn)漏洞信息給該客戶機(jī)系統(tǒng)�,以努力誘惑惡意用戶認(rèn)為響應(yīng)先前的刺探或攻擊,被仿效的服務(wù)已經(jīng)明確地改變了其行為���。
例如�,基于生產(chǎn)系統(tǒng)中已發(fā)現(xiàn)的漏洞��,惡意用戶可試圖從特殊的客戶機(jī)系統(tǒng)攻擊該典型生產(chǎn)系統(tǒng)���。響應(yīng)這一點(diǎn)�,管理員用戶可安裝眾所周知的用來修補(bǔ)該漏洞的特殊的操作系統(tǒng)補(bǔ)丁����。然而,新近安裝的操作系統(tǒng)補(bǔ)丁可能具有能夠被惡意用戶挖掘的不同漏洞����,并且該惡意用戶可能期望參與一系列的行動(dòng)或反對的行動(dòng),其中響應(yīng)該惡意用戶的刺探或攻擊而更新生產(chǎn)系統(tǒng)。
可以配置變體蜜罐���,以迎合惡意用戶的期望����;變體蜜罐能夠引誘惡意用戶認(rèn)為����,響應(yīng)該惡意用戶的活動(dòng)��,先前呈現(xiàn)的漏洞已被明確地修補(bǔ)了。能夠配置變體蜜罐,以致一系列漏洞改變規(guī)則能夠遵循特殊一列已知的漏洞和修補(bǔ)。如此����,變體蜜罐在惡意用戶看來為一個(gè)不斷升級的系統(tǒng)����,從而引誘惡意用戶在該變體蜜罐上活動(dòng)����,而隱藏該蜜罐的真實(shí)本質(zhì)����。
如果在步驟814未探測到特殊的客戶機(jī)系統(tǒng)的刺探����,則確定是否探測到特殊類型的刺探(步驟816)。如果為探測到��,該過程完成�,在這之后變體蜜罐可履行其它的職責(zé),例如存儲(chǔ)活動(dòng)日志�,并且在稍后的某個(gè)時(shí)刻將再次起動(dòng)評估監(jiān)控規(guī)則的過程�����。另外,變體蜜罐可以是多線程的���,以致通過專用的線程不斷地評估不同的監(jiān)控條件��。
如上文所提及的,通過使用反轉(zhuǎn)的“指紋”識別,在步驟816中可以探測特殊類型的刺探���,。通過分析一個(gè)或多個(gè)請求或者一個(gè)或多個(gè)數(shù)據(jù)包,變體蜜罐可以確定客戶機(jī)系統(tǒng)正在刺探特殊形式的漏洞,特殊在變體蜜罐不在生產(chǎn)系統(tǒng)上實(shí)現(xiàn)以及不應(yīng)該接收任何合法的數(shù)據(jù)通信的場景�。
如果探測到特殊類型的刺探�,則變體蜜罐搜尋并定位下一個(gè)漏洞,該漏洞可吸引與所探測到的該類型的刺探相關(guān)聯(lián)的惡意用戶或工具(步驟818)���。此后,在步驟806��,變體蜜罐得到下一個(gè)漏洞,且然后在步驟808重新配置適當(dāng)?shù)姆?wù)���,以呈現(xiàn)反映不同漏洞的信息,并且該過程完成。
現(xiàn)在參照圖8B���,流程圖描繪一些可能由無線變體蜜罐所考慮的更加明確的監(jiān)控條件�����。該過程由是否已經(jīng)到達(dá)了在被仿效的無線協(xié)議服務(wù)�,例如802.11內(nèi)���,將要觸發(fā)預(yù)定的重新配置的時(shí)刻點(diǎn)的確定而開始(步驟852)����。例如�����,管理員用戶可為無線變體蜜罐,在管理設(shè)施內(nèi)選擇許多選項(xiàng)��,并且可以由先前所創(chuàng)建的軟件定時(shí)器的終止來觸發(fā)該條件�����。如果匹配關(guān)于監(jiān)控規(guī)則的計(jì)劃條件,則如果需要����,則將相關(guān)聯(lián)的定時(shí)器復(fù)位(步驟854)�,并且獲得下一個(gè)漏洞(步驟856)。該計(jì)劃條件可具有在一組選擇的或預(yù)定的漏洞內(nèi)重復(fù)的漏洞改變規(guī)則��。然后重新配置適當(dāng)?shù)姆?wù)���,以呈現(xiàn)反映不同漏洞的信息(步驟858)����,并且該過程完成��。
在第一可供選擇的方法中,用戶指定的參數(shù)可代表由無線變體蜜罐所使用的用于廣播SSID的計(jì)劃表����,從而控制在何時(shí)廣播SSID,以致能夠控制該無線變體蜜罐僅在使用該無線變體蜜罐的企業(yè)的非工作時(shí)間期間進(jìn)行這個(gè)操作�����。在第二可供選擇的方法中�����,用戶指定的參數(shù)可代表用于改變SSID的計(jì)劃表����,從而允許每周����、每日地、等等���,或者可根據(jù)存儲(chǔ)在歷史數(shù)據(jù)庫內(nèi)關(guān)于先前所探測到的的可疑客戶機(jī)的入侵事件的模式的識別����,來改變SSID。
在第三可供選擇的方法中�,用戶指定的參數(shù)可代表用于廣播偽數(shù)據(jù)傳輸?shù)挠?jì)劃表����,在該偽數(shù)據(jù)傳輸中�,內(nèi)容數(shù)據(jù)用先前所選擇的WEP密鑰弱加密。另外����,基于計(jì)劃表,能夠命令該無線變體蜜罐改變偽數(shù)據(jù)傳輸?shù)募用軆?nèi)容����。
在第四可供選擇的方法中�,用戶指定的參數(shù)可代表用于改變WEP密鑰的計(jì)劃表����。例如,如果很長一段時(shí)間都未探測到可疑的刺探事件�,就可以改變WEP密鑰,從而呈現(xiàn)給正在嗅探數(shù)據(jù)傳輸?shù)目赡艿膼阂庥脩粢栽鰪?qiáng)的安全的表面現(xiàn)象����。針對當(dāng)前實(shí)現(xiàn)的漏洞或漏洞集,可在監(jiān)控規(guī)則上放置額外的或可供選擇的操作條件���。
如果在步驟852未觸發(fā)預(yù)定的重新配置�,則關(guān)于是否已經(jīng)觸發(fā)了一個(gè)條件作出確定��,其中無線變體蜜罐確定由該無線變體蜜罐所記載的活動(dòng)在關(guān)于先前所配置的時(shí)間總量的先前所配置的閾值之下(步驟860)���。如果匹配該條件�,則在步驟854����,如果需要,可將定時(shí)器值復(fù)位����,并且在步驟856獲得下一個(gè)漏洞��。然后在步驟858重新配置適當(dāng)?shù)姆?wù)��,以呈現(xiàn)反映不同漏洞的信息�����,并且該過程完成��。照此���,根據(jù)所探測到的可疑事件的不活動(dòng)性的當(dāng)前觀測或當(dāng)前模式,能夠動(dòng)態(tài)地將無線變體蜜罐的操作中的預(yù)定變更隨機(jī)化����。
如果在步驟860未違反不活動(dòng)閾值����,則關(guān)于是否探測到使用先前所使用的SSID或WEP密鑰的刺探作確定(步驟862)。在觸發(fā)了這個(gè)特殊的監(jiān)控規(guī)則之后��,無線變體蜜罐可試圖呈現(xiàn)先前已呈現(xiàn)給客戶機(jī)系統(tǒng)的相同SSID或WEP密鑰����,以努力誘惑惡意用戶認(rèn)為��,自該惡意用戶先前的活動(dòng)以來��,該被仿效的服務(wù)還未改變其行為�����。在圖8B中所示的過程中���,變體蜜罐設(shè)置下一個(gè)漏洞,其使用先前已呈現(xiàn)給這個(gè)特殊的客戶機(jī)系統(tǒng)�,且該客戶機(jī)當(dāng)前正試圖使用的先前的SSID或WEP密鑰(步驟864),其已經(jīng)由無線變體蜜罐存儲(chǔ)在活動(dòng)日志數(shù)據(jù)庫或歷史數(shù)據(jù)庫內(nèi)�����。此后�����,在步驟856�,無線變體蜜罐得到下一個(gè)漏洞,且然后在步驟858重新配置適當(dāng)?shù)姆?wù)����,以呈現(xiàn)反映不同漏洞的信息�,并且該過程完成��。
如上文所提及的�,無線變體蜜罐可以廣播偽數(shù)據(jù)傳輸,其中內(nèi)容數(shù)據(jù)用先前所選擇或產(chǎn)生的WEP密鑰弱加密�;無線變體蜜罐可以與虛擬客戶機(jī)協(xié)同操作,例如��,與在圖5B中所示的虛擬客戶機(jī)580類似����,以致至和從該無線變體蜜罐產(chǎn)生數(shù)據(jù)傳輸,從而使得偽數(shù)據(jù)傳輸對于惡意用戶看起來更加真實(shí)�。另外,基于計(jì)劃表�����,能夠命令無線變體蜜罐改變偽數(shù)據(jù)傳輸?shù)募用軆?nèi)容�����。
照此�����,可以引誘惡意用戶認(rèn)為�����,無線變體蜜罐為在與經(jīng)授權(quán)的無線客戶機(jī)進(jìn)行真實(shí)通信的活動(dòng)無線接入點(diǎn)�����。在這種印象之下�����,惡意用戶可以占用(engage)被動(dòng)的客戶機(jī)(passive client)���,以進(jìn)行嗅探操作來記錄無線數(shù)據(jù)傳輸����。在稍后的某個(gè)時(shí)刻�����,惡意用戶將試圖通過不同的密鑰解密算法來發(fā)現(xiàn)用來加密所記錄的數(shù)據(jù)傳輸?shù)腤EP密鑰。假設(shè)偽數(shù)據(jù)為弱加密的��,并且惡意用戶能夠發(fā)現(xiàn)該WEP密鑰���,可以假設(shè)該惡意用戶可在稍后某個(gè)時(shí)刻使用一個(gè)客戶機(jī)��,以利用所發(fā)現(xiàn)的WEP密鑰與無線變體蜜罐通信����?����?梢约僭O(shè)無線變體蜜罐具有適當(dāng)?shù)乃俣群陀?jì)算資源����,以分析在先前某個(gè)時(shí)刻由無線變體蜜罐所使用的WEP密鑰加密的內(nèi)容的意外接收到的數(shù)據(jù)傳輸,例如��,試圖用先前所使用的WEP密鑰解密數(shù)據(jù)傳輸�����。當(dāng)無線變體蜜罐探測到先前所使用的WEP密鑰的采用時(shí)�����,該無線變體蜜罐將報(bào)導(dǎo)該可疑事件���;另外�����,這個(gè)特殊的可疑事件將為觸發(fā)監(jiān)控規(guī)則的操作條件����,例如���,在如圖7B所示的步驟758中或在圖8B所示的步驟862中��,以改變當(dāng)前所選擇的WEP密鑰為先前所采用的WEP密鑰����,例如�����,通過圖7B中的步驟760-766或圖8B中的步驟864����、856��、和858����,以致在進(jìn)一步的數(shù)據(jù)傳輸中��,無線變體蜜罐能夠占用該可疑客戶機(jī)��。既然無線變體蜜罐能夠?qū)崿F(xiàn)多個(gè)變體被仿效的服務(wù)�,該無線變體蜜罐也可以遍及模擬網(wǎng)(simulated network)或遍及僅為了蜜罐目的而部署的有限網(wǎng)(limitednetwork)內(nèi),提供對重要數(shù)據(jù)庫的明顯的訪問��。照此����,可以引導(dǎo)惡意用戶相信,他或她能夠操作該可疑客戶機(jī)���,以訪問數(shù)據(jù)庫或其它資源�,從而使得該惡意用戶繼續(xù)占用該無線變體蜜罐�����,而正操作該無線變體蜜罐的企業(yè)采用其它的安全資源或人員,以物理地研究該可疑客戶機(jī)的位置和身份以及該試圖由計(jì)算機(jī)刺探事件的本質(zhì)����。
如果在步驟862未探測到采用先前所使用的SSID或WEP密鑰的刺探�����,則對無線變體蜜罐是否探測到一個(gè)刺探作出確定�����,其中該刺探或可疑活動(dòng)以意外的方式采用特殊類型的無線技術(shù)或協(xié)議(步驟866)�����。在步驟866��,通過以特殊的頻率收聽足夠強(qiáng)度的廣播的無線電信號分析器的使用�,可以探測特殊類型的刺探。通過分析一個(gè)或多個(gè)數(shù)據(jù)傳輸��,無線變體蜜罐可以確定客戶機(jī)系統(tǒng)正在刺探局部無線接入點(diǎn)�����,特殊在無線變體蜜罐不應(yīng)該接收任何合法數(shù)據(jù)通信的場景。如果探測到特殊類型的刺探�����,則該無線變體蜜罐搜尋并找到下一個(gè)可吸引惡意用戶的漏洞或者與所探測到的刺探類型相關(guān)聯(lián)的工具(步驟868)����。此后,在步驟856�,無線變體蜜罐選擇下一個(gè)漏洞,且然后在步驟858重新配置適當(dāng)?shù)臒o線協(xié)議服務(wù)��,以呈現(xiàn)反映不同漏洞的信息��,并且該過程完成�。如果在步驟866,無線變體蜜罐未探測到刺探�,其中該刺探或可疑活動(dòng)以意外的方式采用特殊類型的無線技術(shù)或協(xié)議,則該過程完成�����,在其之后���,該無線變體蜜罐可履行其它職責(zé)�,例如存儲(chǔ)活動(dòng)日志,并且在稍后的某個(gè)時(shí)刻���,將再次起動(dòng)評估監(jiān)控規(guī)則的過程��。另外���,無線變體蜜罐可以是多線程的�,以致通過專用的線程不斷地評估不同的監(jiān)控條件。
現(xiàn)在參照圖9�,流程圖描繪根據(jù)事件通知,動(dòng)態(tài)地確定何時(shí)改變指示蜜罐具有易受攻擊的特征的信息的過程�。當(dāng)接收來自如入侵探測系統(tǒng)的事件通知消息時(shí),該過程開始(步驟902)�。變體蜜罐獲得來自如變體蜜罐配置數(shù)據(jù)庫或與該變體蜜罐相關(guān)聯(lián)的某個(gè)其它數(shù)據(jù)庫的一組事件過濾規(guī)則(步驟904)。然后從事件通知消息中提取事件信息(步驟906)�����。如上文所記錄的��,為了多種目的��,可以從多種來源接收事件通知消息�;因此����,事件信息可包括不同類型的信息�����,例如����,一類操作系統(tǒng)和一類服務(wù)的指示。
同樣檢索可應(yīng)用于所檢索的事件過濾規(guī)則的任何用戶指定的參數(shù)(步驟908)����。可以將每個(gè)事件過濾規(guī)則配置為帶有變量的表達(dá)�,并且用戶指定的參數(shù)可以用作在評估表達(dá)之前對表達(dá)的輸入。照此��,可以像模塊一樣存儲(chǔ)一組事件過濾規(guī)則��,并且用戶指定的參數(shù)如管理員用戶所希望的那樣配置關(guān)于特殊蜜罐的事件過濾規(guī)則��。
然后確定事件通知是否觸發(fā)了所檢索的事件過濾規(guī)則中的任何一個(gè)(步驟910)���。如果否�����,則該過程完成�。
可以假設(shè),圖9中所示的過程僅僅為一個(gè)較大過程的一部分�����。例如����,在變體蜜罐初始化期間����,可以加載來自事件過濾規(guī)則數(shù)據(jù)庫的一組事件過濾規(guī)則。此后�,在該數(shù)據(jù)庫內(nèi)更新事件過濾規(guī)則,并且如果需要�����,變體蜜罐可以動(dòng)態(tài)地更新其事件過濾規(guī)則的拷貝�����。例如,可以允許管理員用戶通過適當(dāng)?shù)慕涌趧?dòng)態(tài)地添加或刪除事件過濾規(guī)則�����。
如果在步驟910����,所接收的事件通知滿足所檢索的事件過濾規(guī)則,則檢索適當(dāng)?shù)穆┒锤淖円?guī)則(步驟912)�。無論何時(shí)事件通知觸發(fā)事件過濾規(guī)則,如由事件過濾規(guī)則所指示的��,則根據(jù)漏洞改變規(guī)則�����,被仿效的服務(wù)改變其個(gè)性�。以上文所描述的關(guān)于監(jiān)控規(guī)則相類似的方式,可以將多個(gè)漏洞改變規(guī)則與先前所檢索的事件過濾規(guī)則相關(guān)聯(lián)����。
同樣檢索可應(yīng)用于所選擇的漏洞改變規(guī)則的任何用戶指定的參數(shù)(步驟914),并且根據(jù)所選擇的漏洞改變規(guī)則���,從漏洞數(shù)據(jù)庫中選擇下一個(gè)漏洞(步驟916)��。然后根據(jù)新的漏洞�,重新配置被仿效的服務(wù)(步驟918)。
雖然變體蜜罐改變個(gè)性以響應(yīng)所監(jiān)控的條件和事件是理想的��,但是防止變體蜜罐的個(gè)性改變太過頻繁也是理想的���。既然接收到來自變體蜜罐外部的系統(tǒng)或應(yīng)用的事件通知消息���,則可以配置變體蜜罐,以致事件過濾規(guī)則優(yōu)先于任何活動(dòng)監(jiān)控規(guī)則���。在這個(gè)例子中���,響應(yīng)事件通知,在變體蜜罐個(gè)性改變之后的一段可配置的時(shí)間段內(nèi)�,禁止任何活動(dòng)監(jiān)控規(guī)則(步驟920)�����,并且該過程完成�����。
現(xiàn)在參照圖10,方框圖闡明一種方式�,其中采用無線變體蜜罐,以便物理地定位并追蹤可能正在試圖使用無線協(xié)議中的已知漏洞來刺探企業(yè)的計(jì)算資產(chǎn)的可疑客戶機(jī)裝置���。以與圖1A中所示的網(wǎng)絡(luò)101類似的方式���,企業(yè)網(wǎng)絡(luò)1002支持合法的無線接入點(diǎn)1004和1006,其使得客戶機(jī)1008-1018能夠相互之間以及與服務(wù)器���、數(shù)據(jù)庫�、和其它未闡明的數(shù)據(jù)處理系統(tǒng)組件通信�。部署無線變體蜜罐1020和1022,以保護(hù)企業(yè)資產(chǎn)免遭討厭的竊聽�,即數(shù)據(jù)傳輸嗅探或監(jiān)控;或更重要地����,以保護(hù)企業(yè)計(jì)算資產(chǎn)免遭討厭的入侵和惡意活動(dòng)。除呈現(xiàn)無線漏洞之外����,無線變體蜜罐1020也可以呈現(xiàn)動(dòng)態(tài)可配置被仿效的服務(wù)和/或相關(guān)聯(lián)的漏洞����,其可不同于由無線變體蜜罐1022所呈現(xiàn)的那些��。
可以相對于有效無線接入點(diǎn)1004和1006來明確地空間定位無線變體蜜罐1020和1022為威懾周界����,例如,在企業(yè)建筑或校園邊界周圍�,其基于無線變體蜜罐1020和1022所呈現(xiàn)的較強(qiáng)的無線電信號的吸引力,扮演吸引惡意用戶與無線變體蜜罐1020和1022互相作用�����,而不是與有效無線接入點(diǎn)1004和1006相互作用的角色�����。在使用802.11無線技術(shù)的計(jì)算環(huán)境中�����,配置客戶機(jī)1008-1018�,以與合法的無線接入點(diǎn)1004和1006操作��,例如,通過在802.11協(xié)議內(nèi)使用有效的SSIDs和WEP密鑰����;因此,客戶機(jī)1008-1018將忽視無線變體蜜罐1020和1022的可用性��。
以與上文所描述的類似的方式�����,無線變體蜜罐1020和/或1022探測來自可疑客戶機(jī)1024的不適當(dāng)活動(dòng)�����,并且向入侵探測系統(tǒng)1026報(bào)導(dǎo)該不適當(dāng)活動(dòng)�。可疑客戶機(jī)1024可試圖與合法的無線接入點(diǎn)1004和1006互相作用���,而不是與無線變體蜜罐1020和1022互相作用���;然而,可以假設(shè)�,合法的無線接入點(diǎn)1004和1006已被配置為有很強(qiáng)的安全性,以阻止惡意活動(dòng)���,至少關(guān)于在所部署的無線協(xié)議中利用漏洞�����。
基于所報(bào)導(dǎo)的不適當(dāng)活動(dòng)����,入侵探測系統(tǒng)1026使用其三角測量,即���,位置探測�,單元1028�,以試圖確定可疑客戶機(jī)1024的空間位置。例如����,如果僅無線變體蜜罐1020報(bào)導(dǎo)可疑活動(dòng),則可以確定可疑客戶機(jī)在無線變體蜜罐1020附近某處���。然而����,如果接收到來自多個(gè)無線變體蜜罐的多個(gè)可疑活動(dòng)的報(bào)導(dǎo)���,則基于所報(bào)導(dǎo)的可疑活動(dòng)的順序��,三角測量單元1028可確定可疑客戶機(jī)1024相對于多個(gè)無線變體蜜罐的運(yùn)動(dòng)矢量����。
入侵探測系統(tǒng)1026通過其物理安全系統(tǒng)接口1030發(fā)送近似的位置數(shù)據(jù)和/或近似的運(yùn)動(dòng)矢量數(shù)據(jù)給物理安全系統(tǒng)1032����,為了試圖獲得有關(guān)可疑客戶機(jī)1024的信息,該物理安全系統(tǒng)1032其能夠采用該位置數(shù)據(jù)和/或運(yùn)動(dòng)矢量數(shù)據(jù)指揮其物理安全資產(chǎn)���。在圖10中所示的例子中���,為了試圖捕獲惡意用戶和/或可疑客戶機(jī)1024的視頻數(shù)據(jù),物理安全系統(tǒng)1032安置安全攝像機(jī)1034-1038��。如果惡意用戶正從一個(gè)運(yùn)動(dòng)交通工具操作可疑客戶機(jī)1024�,例如,在已被稱為駕駛攻擊的活動(dòng)中����,其中當(dāng)在乘坐具有專門客戶機(jī)的運(yùn)動(dòng)交通工具中時(shí),該客戶機(jī)嗅探由某些無線協(xié)議和無線技術(shù)所使用的某些無線電頻率上的數(shù)據(jù)傳輸���,某人試圖定位不安全的無線接入點(diǎn)的位置����,物理安全系統(tǒng)1032也許能夠捕獲有關(guān)該可疑交通工具的辨識信息?����?蛇x擇地�,物理安全系統(tǒng)1032能夠告警在可疑客戶機(jī)1024附近的安全人員該可疑活動(dòng),從而物理地阻止該可疑活動(dòng)�。
如上文所記錄的,配置客戶機(jī)1008-1018以與合法的無線接入點(diǎn)1004和1006操作��,從而忽視無線變體蜜罐1020和1022��。然而����,依賴于所配置的由無線變體蜜罐1020和1022呈現(xiàn)的漏洞,客戶機(jī)1008-1018可試圖與無線變體蜜罐1020和1022通信而不是與合法的無線接入點(diǎn)1004和1006通信�,這是可能的,尤其依賴于涉及無線變體蜜罐1020和1022的客戶機(jī)1008-1018中的一個(gè)用戶的位置���。
鑒于上文所提供的詳細(xì)描述�,本發(fā)明的優(yōu)點(diǎn)應(yīng)該是很明顯的。本發(fā)明的無線變體蜜罐增加了惡意用戶將蜜罐識別為惡毒的無線相互作用看似時(shí)機(jī)成熟的易受攻擊的系統(tǒng)的可能性����。該無線變體蜜罐能夠改變其特征,以誘惑惡意用戶到該惡意用戶可認(rèn)為更易受攻擊的����、可挖掘的、并且因此更有迷惑性的某事物上。如果計(jì)算機(jī)管理員能夠使得惡意用戶對無線蜜罐系統(tǒng)感興趣��,而同時(shí)提供時(shí)間�,以確定該惡意用戶的身份和位置,則分布式數(shù)據(jù)處理系統(tǒng)或網(wǎng)絡(luò)的總體安全就增加了�����。而且����,如果惡意用戶完成了無線變體蜜罐的徹底使用�����,則管理員也許能夠在企業(yè)內(nèi)�����,使得攻擊轉(zhuǎn)移至特殊的系統(tǒng),從而限制可引起的任何損害或可被危害的任何信息��。通過結(jié)合無線變體蜜罐的行動(dòng)和入侵探測系統(tǒng)所探測到的事件��,向計(jì)算機(jī)管理員提供了進(jìn)行有限的物理安全操作的工具�����。
注意到���,盡管是在完全的功能數(shù)據(jù)處理系統(tǒng)的環(huán)境中描繪本發(fā)明的�,本領(lǐng)域普通技術(shù)人員將領(lǐng)悟到����,與本發(fā)明相關(guān)聯(lián)的過程中的一些能夠以計(jì)算機(jī)可讀媒介中指令的形式和多種其它的形式被分配,而不管實(shí)際用來執(zhí)行該分配的特殊類型的信號負(fù)載媒介�,這是很重要的。計(jì)算機(jī)可讀媒介的例子包括像EPROM���、ROM�、磁帶、紙張�、軟盤、硬盤驅(qū)動(dòng)器���、RAM����、和CD-ROMs那樣的媒介以及傳輸型媒介��,例如數(shù)字和模擬通信鏈接���。
為了圖解說明的目的呈現(xiàn)了本發(fā)明的描述,但并不意味著詳盡的或局限于所公開的實(shí)施例�。許多更改或變更對本領(lǐng)域普通技術(shù)人員而言將是很顯然的。為了實(shí)現(xiàn)可適合于其它預(yù)期用途的���,具有不同更改的不同的實(shí)施例�����,選擇該實(shí)施例���,以解釋該發(fā)明的原理及其實(shí)際應(yīng)用,并且使得本領(lǐng)域其他普通技術(shù)人員能夠理解該發(fā)明。
權(quán)利要求
1.一種用于操作數(shù)據(jù)處理系統(tǒng)的方法�����,所述方法包括根據(jù)關(guān)于無線協(xié)議中可配置參數(shù)的用戶指定的值����,在所述數(shù)據(jù)處理系統(tǒng)內(nèi)配置使用所述無線協(xié)議無線的接入點(diǎn)裝置;響應(yīng)所述無線接入點(diǎn)裝置的所探測的操作條件�����,獲得用于改變關(guān)于所述無線協(xié)議中一個(gè)或多個(gè)可配置參數(shù)的一個(gè)或多個(gè)值的可配置規(guī)則�;以及根據(jù)可配置規(guī)則和所述無線接入點(diǎn)裝置的所探測的操作條件,自動(dòng)地改變關(guān)于所述無線協(xié)議中可配置參數(shù)的值�����。
2.如權(quán)利要求1所述的方法進(jìn)一步包括響應(yīng)所述無線接入點(diǎn)裝置的所探測的操作條件��,產(chǎn)生告警消息�。
3.如權(quán)利要求1所述的方法進(jìn)一步包括在一段時(shí)間期間內(nèi),探測作為所述無線接入點(diǎn)裝置的操作條件的無線通信的接收���,其中配置所述無線接入點(diǎn)裝置產(chǎn)生關(guān)于所接收的無線通信的告警����。
4.如權(quán)利要求1所述的方法進(jìn)一步包括從所接收的無線通信中提取SSID(次要集標(biāo)識符);以及探測作為所述無線接入點(diǎn)裝置的操作條件的所述提取的SSID與存儲(chǔ)在SSIDH的歷史數(shù)據(jù)庫中的一個(gè)SSID相匹配����。
5.如權(quán)利要求1所述的方法進(jìn)一步包括從所接收的無線通信中提取SSID(次要集標(biāo)識符);以及探測作為所述無線接入點(diǎn)裝置的操作條件的所述提取的SSID與當(dāng)前正由所述無線接入點(diǎn)裝置用于偽無線通信的一個(gè)SSID相匹配����。
6.如權(quán)利要求1所述的方法進(jìn)一步包括從所接收的無線通信中提取經(jīng)加密的內(nèi)容數(shù)據(jù);通過試圖使用來自加密密鑰歷史數(shù)據(jù)庫的加密密鑰解密所述經(jīng)加密的內(nèi)容數(shù)據(jù)�����,來分析所述接收的無線通信�����;以及探測作為所述無線接入點(diǎn)裝置的操作條件的所述加密密鑰解密所述經(jīng)加密的內(nèi)容數(shù)據(jù)����。
7.如權(quán)利要求1所述的方法進(jìn)一步包括從所接收的無線通信中提取經(jīng)加密的內(nèi)容數(shù)據(jù)���;通過試圖使用當(dāng)前正由所述無線接入點(diǎn)裝置用于偽無線通信的加密密鑰解密所述經(jīng)加密的內(nèi)容數(shù)據(jù)�����,來分析所述接收的無線通信��;以及探測作為所述無線接入點(diǎn)裝置的操作條件的所述加密密鑰解密所述經(jīng)加密的內(nèi)容數(shù)據(jù)���。
8.如權(quán)利要求1所述的方法進(jìn)一步包括在所述無線接入點(diǎn)裝置方接收無線通信�����;探測指示所述無線通信代表客戶機(jī)的可疑活動(dòng)的所述無線接入點(diǎn)裝置的操作條件�;以及基于有關(guān)所述無線通信的信息和基于一個(gè)或多個(gè)無線接入點(diǎn)裝置的位置���,確定所述客戶機(jī)的近似位置����。
9.如權(quán)利要求8所述的方法進(jìn)一步包括通知物理安全系統(tǒng)關(guān)于所述客戶機(jī)的近似位置的數(shù)據(jù)���。
10.如權(quán)利要求9所述的方法進(jìn)一步包括試圖通過所述物理安全系統(tǒng)獲得所述客戶機(jī)的視頻數(shù)據(jù)��。
11.如權(quán)利要求1所述的方法進(jìn)一步包括仿效在服務(wù)器或所述無線接入點(diǎn)裝置上的服務(wù)���;響應(yīng)在所述被仿效的服務(wù)方接收請求�����,發(fā)送包括指示在所述服務(wù)器上一組易受攻擊的特征的信息的響應(yīng)����;以及自動(dòng)地改變該組易受攻擊的特征����。
12.如權(quán)利要求11所述的方法進(jìn)一步包括配置易受攻擊的特征的數(shù)據(jù)庫;根據(jù)一類操作系統(tǒng)�、一類可仿效的服務(wù)、或一類易受攻擊的特征����,從易受攻擊的特征的所述數(shù)據(jù)庫中選擇該組易受攻擊的特征。
13.如權(quán)利要求11所述的方法進(jìn)一步包括由所述被仿效的服務(wù)記載活動(dòng)�;以及根據(jù)由所述被仿效的服務(wù)所記載的活動(dòng),從易受攻擊的特征的所述數(shù)據(jù)庫中得到該組易受攻擊的特征����。
14.如權(quán)利要求13所述的方法進(jìn)一步包括響應(yīng)在可配置閾值之下的由所述被仿效的服務(wù)所記載的活動(dòng)����,觸發(fā)自動(dòng)改變該組易受攻擊的特征����。
15.一種用于在數(shù)據(jù)處理系統(tǒng)內(nèi)處理無線通信的設(shè)備�����,所述設(shè)備包括用于根據(jù)關(guān)于無線協(xié)議中可配置參數(shù)的用戶指定的值在使用所述無線協(xié)議的所述數(shù)據(jù)處理系統(tǒng)內(nèi)配置無線接入點(diǎn)裝置部件���;用于響應(yīng)所述無線接入點(diǎn)裝置的所探測的操作條件以獲得用于改變關(guān)于所述無線協(xié)議中一個(gè)或多個(gè)可配置參數(shù)的一個(gè)或多個(gè)值的可配置規(guī)則的部件���;以及用于根據(jù)可配置的規(guī)則和所述無線接入點(diǎn)裝置的所探測的操作條件,自動(dòng)地改變關(guān)于所述無線協(xié)議中可配置參數(shù)的值的部件���。
16.如權(quán)利要求15所述的設(shè)備進(jìn)一步包括用于從所接收的無線通信中提取經(jīng)加密的內(nèi)容數(shù)據(jù)的部件�;用于通過試圖使用來自加密密鑰歷史數(shù)據(jù)庫的加密密鑰解密所述經(jīng)加密的內(nèi)容數(shù)據(jù)來分析所述接收的無線通信的部件����;以及用于探測所述加密密鑰解密所述經(jīng)加密的內(nèi)容數(shù)據(jù)作為所述無線接入點(diǎn)裝置的操作條件的部件。
17.如權(quán)利要求15所述的設(shè)備進(jìn)一步包括用于從所接收的無線通信中提取經(jīng)加密的內(nèi)容數(shù)據(jù)的部件���;用于通過試圖使用當(dāng)前正由所述無線接入點(diǎn)裝置用于偽無線通信的加密密鑰解密所述經(jīng)加密的內(nèi)容數(shù)據(jù)來分析所述接收的無線通信的部件���;以及用于探測所述加密密鑰解密所述經(jīng)加密的內(nèi)容數(shù)據(jù)作為所述無線接入點(diǎn)裝置的操作條件的部件�����。
18.一種在計(jì)算機(jī)可讀媒介上的計(jì)算機(jī)程序產(chǎn)品�,為了在用于處理無線通信的數(shù)據(jù)處理系統(tǒng)中使用��,所述計(jì)算機(jī)程序產(chǎn)品包括用于執(zhí)行所述前述權(quán)利要求的方法的任何方法的指令����。
全文摘要
在動(dòng)態(tài)及可配置的基礎(chǔ)上改變無線蜜罐系統(tǒng)的特征。根據(jù)關(guān)于無線協(xié)議中可配置參數(shù)的用戶指定的值��,配置無線接入點(diǎn)裝置�����,以使用該無線協(xié)議����。響應(yīng)無線接入點(diǎn)裝置的所探測的操作條件,可配置規(guī)則改變關(guān)于無線協(xié)議中一個(gè)或多個(gè)可配置參數(shù)的一個(gè)或多個(gè)值�。根據(jù)可配置規(guī)則和無線接入點(diǎn)裝置的所探測的操作條件,自動(dòng)地改變關(guān)于無線協(xié)議中可配置參數(shù)的值�����。操作條件可包括客戶機(jī)對存儲(chǔ)在SSIDs或加密密鑰歷史數(shù)據(jù)庫中的SSID或加密密鑰�����,或者對當(dāng)前正由無線接入點(diǎn)裝置用于偽無線通信的SSID或加密密鑰的使用���。
文檔編號H04L9/00GK1838671SQ20061006764
公開日2006年9月27日 申請日期2006年3月22日 優(yōu)先權(quán)日2005年3月22日
發(fā)明者維基·K·康弗斯, 羅納德·O·埃德馬克, 約翰·M·加里森 申請人:國際商業(yè)機(jī)器公司