技术领域本发明总体上涉及计算机网络安全,并且更具体地涉及计算机网络蜜罐。
背景技术:
计算机是有价值的工具,在很大程度上在于其用于与其它计算机系统进行通信并且通过计算机网络交换信息的能力。网络通常包括通过线路、光纤、无线电或其它数据传输手段进行链接的计算机的互连群组,以向计算机提供从计算机传输信息至计算机的能力。互联网可能是最为众所周知的计算机网络,并且使得数以百万计的人们能够诸如通过观看网页、发送电子邮件、以及通过执行其它计算机至计算机的通信而接入到数以百万计的其它计算机。由于互联网的大小非常庞大并且互联网用户的兴趣非常多样化,所以尝试以对其它用户构成危险的方式而与其它用户的计算机进行通信的恶意用户或恶作剧者也并不少见。例如,黑客可能会尝试登录到公司计算机中以窃取、删除或改变信息。计算机病毒、蠕虫和/或木马程序可能会分布到其它计算机,或者被计算机用户无意下载或执行。另外,企业内的计算机用户可能会偶然尝试执行非授权的网络通信,诸如运行文件共享程序或者将企业网络内部的秘密传送至互联网。出于这些原因,网络管理员会在易受攻击的网络内部署诱饵计算机系统或“蜜罐(honeypot)”,其被设计为吸引入侵者的注意,并且收集和报告与入侵相关的信息。也就是说,蜜罐可以是部署在企业网络内模仿诸如数据库、应用和/或其它服务的网络服务的服务器,其表现出吸引恶意业务以收集有关攻击模式和(多个)入侵来源的信息以便识别出受到感染的网络设备和可疑攻击者。
技术实现要素:
一般而言,描述了如下技术,在这些技术中,诸如安全装置(例如,防火墙)之类的网络设备利用蜜罐服务以便响应于对受保护网络内服务器做出的服务请求而动态地模仿不存在的服务。例如,网络管理员可以部署网络设备以保护服务器的网络向位于网络内部和外部的客户端提供各种应用层服务。这些服务器例如可以具有相应的层3(L3)地址或其它的地址,或者被进行负载平衡以提供源自于单个地址的服务。然而,在大多数情况下,由网络中的每个服务器所提供的服务不全面,即,对于给定的服务器,存在该服务器不提供的一个或多个服务。服务器可以通过如下方式对指定了这样的不存在服务的服务请求进行响应:通过不响应该请求或者通过发送明确拒绝连接的响应。与此相反,服务器可以用指示发出服务请求的客户端设备可以继续进行该服务的肯定确认来对指定了被提供服务的服务请求进行响应。服务也可能由于被请求服务的地址不是针对网络内的计算设备的主机地址而不存在。正如在下面进一步详细描述的那样,网络设备可以监视服务请求并且响应穿过受保护网络的边界的业务以便识别指定不存在服务的服务请求。在一些情况中,网络设备存储经由网络设备进入受保护网络的边界的服务请求的记录。如果网络设备针对给定的服务请求没有从服务器接收到关于该服务器提供指定的服务的指示(即,该服务不存在),那么对于该给定的服务请求,网络设备利用蜜罐以便向请求的客户端设备动态地模仿指定的服务。例如,网络设备可以向客户端设备发送不存在服务存在于受保护网络内的肯定指示——尽管网络设备从服务器接收到了明确拒绝该连接的响应或者在一段逝去时间之后未接收到任何响应。所述网络设备可以进一步或备选地,向蜜罐转发该服务请求的副本,蜜罐处理该服务请求以便进行记录、分析、以及在某些情况下用响应的服务业务进行响应,网络设备可以将该响应中继至客户端设备。以这样的方式,网络设备利用蜜罐以动态地即时“树立”所请求的服务,使它对于客户端设备而言就像该服务作为受保护网络内的服务器所提供的服务存在一样,无论该服务所请求的服务器是否存在或者实际上是否提供该服务。因此,该技术是基于服务的并且是动态的,可以自动地引起服务在包括网络设备或者被网络设备保护的网络中被添加、删除以及重新配置。客户端设备可以在接收到针对被请求服务的肯定指示后,继续经由网络设备根据该服务请求的参数与蜜罐交互。在这样做的过程中,客户端设备至少在某种程度上从受保护网络上的进一步攻击中被偏移,并且客户端设备可以在其与被请求的但不存在的服务交互过程中向蜜罐揭示任何恶意权谋,这可以使得管理员或研究人员能够改善受保护网络的整体安全性。在一个示例中,一种方法,包括:由网络设备从客户端设备接收指定服务的服务请求;并且由所述网络设备并且响应于获得针对所述服务的否定指示,向蜜罐发送所述服务请求的表示以使得所述蜜罐向所述客户端设备提供所述服务。在另一示例中,一种网络设备,包括:耦合到存储器的一个或多个处理器;和被配置用于由一个或多个处理器执行的动态服务模块,用以:从客户端设备接收指定服务的服务请求。动态服务模块进一步被配置用于由一个或多个处理器执行以便:响应于获得针对所述服务的否定指示,向蜜罐发送所述服务请求的表示以使得所述蜜罐向所述客户端设备提供所述服务。在另一个例子中,一种包括在其上存储有指令的非临时性计算机可读存储介质,所述指令在被执行时,对一个或多个处理器进行配置以:由网络设备从客户端设备接收指定服务的服务请求;并且由所述网络设备并且响应于获得针对所述服务的否定指示,向蜜罐发送所述服务请求的表示以使得所述蜜罐向所述客户端设备提供所述服务。本发明的一个或多个示例的细节在附图和以下的描述中给出。从该描述和附图以及从权利要求将明显看出其它的特征、目标和优势。附图说明图1是根据一些示例的示出经由安全装置提供的虚拟蜜罐的网络框图。图2是根据一些示例的可操作以提供虚拟远程蜜罐的安全装置的框图。图3是根据本文示例的可以被用来提供远程蜜罐、安全装置或者其它网络设备的计算机化系统的框图。图4是根据一些示例的操作安全装置以使用远程蜜罐服务器提供虚拟蜜罐的方法的流程图。图5是根据一些示例的操作远程蜜罐服务器以向安全装置提供虚拟蜜罐服务的方法的流程图。图6是根据一些示例的集成了可操作以提供虚拟蜜罐的安全装置的路由器的框图。图7是图示了示例网络系统的框图,其中网络设备利用蜜罐而针对未被由该网络设备服务的网络提供的服务来动态地模仿服务交互。图8是更详细地图示了示例性网络设备的框图,根据本文中所描述的技术,其利用蜜罐以响应于服务请求动态地提供不存在的服务。图9是根据本文中所描述的技术示出了网络设备与蜜罐合作以提供服务的操作的示例模式的流程图。图10是根据本文中所描述的技术示出了网络设备与蜜罐合作以提供服务的操作的示例模式的流程图。贯穿附图及全文,类似的参考标号表示类似的元件。具体实施方式诸如防火墙和防病毒软件的安全系统在典型网络环境中提供显著的保护,在该环境中防火墙针对私有网络的非授权接入提供防御,并且防病毒软件针对个体计算机系统被病毒、木马、根程序病毒和其它威胁感染提供防御。虽然这样的安全系统针对许多类型的计算机攻击提供了防御,但是即使对其事件日志进行仔细检查,所提供的与攻击如何装载相关的信息也非常有限。此外,这些技术经常遗漏许多攻击和感染。出于诸如此类的原因,有时采用被称作蜜罐的诱饵系统来收集与攻击者或入侵者相关的信息。蜜罐可以被设置在私有网络内部或外部,并且诸如通过使用被配置为看上去与易受攻击的系统相同的定制软件,或者通过使用诸如WindowsTM服务器、数据库服务器或其它这样的系统的可能对攻击者具有吸引力的目标的标准操作系统和软件,蜜罐通常被配置成表现为易受攻击的联网计算机系统。典型地,蜜罐系统进一步包括使得用户活动能够被记录或追踪的软件工具,这使得蜜罐的主机能够收集与攻击者的身份和方法相关的信息。但是,蜜罐系统的配置和安装是一项复杂的任务。所期望的是,蜜罐模仿对攻击者具有吸引力的实际服务器,这涉及这样的系统的安装、配置和维护,并且可能包括诸如电子邮件、数据库条目或其它这样的错误数据之类的“虚假”信息。期望对追踪软件进行设置以提供对攻击者在蜜罐系统上的活动的追踪。经常还期望其它配置修改,诸如限制外出业务以防止蜜罐被用来攻击其它计算机系统,这导致了稍显复杂的安装。另外,在蜜罐感染或攻击之后进行清理以将蜜罐恢复到攻击前的状态也是一项耗时的任务。因此,本文中所呈现的一些示例提供了一种远程部署、并且经由防火墙或其它安全装置提供至本地网络的蜜罐。在一个更详细的示例中,安全装置使用到远程蜜罐系统的隧道或虚拟私有网络(VPN)连接,来提供看上去是该安全装置本地的虚拟蜜罐。远程蜜罐可以由第三方提供商诸如使用若干标准配置中的一个来进行配置,这减轻了安全装置操作人员在设置和操作蜜罐时的负担。在一些示例中,网络管理员部署诸如安全装置之类的网络设备,其利用蜜罐服务来响应于向受保护网络内的服务器提出的服务请求动态地提供“树立(standup)”不存在服务。在下文中进一步详细地描述由网络设备使用的技术。图1是示出符合一些示例实施例的经由安全装置提供的虚拟远程蜜罐的网络框图。在图1的示例中,安全装置102在网络100内进行操作,并且经由外部或公共网络104耦合至一个或多个远程计算机106。公共网络104进一步连接安全装置102到远程蜜罐108,该远程蜜罐108可操作以向安全装置102提供虚拟蜜罐系统。安全装置102还耦合至内部或私有网络系统,诸如计算机110、112和114。安全装置包括:服务平面116,可操作以对安全装置进行配置和管理;以及转发平面118,可操作以对诸如106的外部网络计算机与内部计算机系统110、112和114之间的业务流进行管控。安全装置提供了通过连接至远程蜜罐108而对本地虚拟蜜罐120进行部署,以使得安全装置和远程蜜罐被配置为模仿本地蜜罐,该本地蜜罐针对耦合至网络的计算机表现为虚拟蜜罐120。内部或私有网络内的计算机110、112、114以及虚拟蜜罐120在该示例中是受保护网络122的一部分,该受保护网络122被安全装置102所保护以免受公共网络104影响。安全装置通常对从公共网络到受保护网络的计算机的传入网络业务进行管控或过滤,这防止了非授权接入、病毒、恶意程序或其它这样的威胁到达受保护网络122的计算机。在操作中,安全装置管理员对安全装置102进行配置以使用诸如基于云的蜜罐之类的远程部署蜜罐108来模仿本地操作的蜜罐系统。安全装置向网络添加诸如互联网协议(IP)地址之类的虚拟端点,其响应于标准网络发现尝试,诸如地址解析协议(ARP)请求、互联网控制消息协议(ICMP)的ping命令以及经常被用来寻找网络上的系统并与之通信的其它这样的网络请求。虚拟蜜罐120因此对诸如远程计算机106以及本地计算机110、112和114之类的其它系统表现为安全装置的受保护网络本地的系统。安全装置102将诸如这些去往虚拟蜜罐IP地址的业务从系统以隧道送至远程蜜罐108,该远程蜜罐108可操作以经由隧道连接124提供看上去来自于本地虚拟蜜罐102的响应。远程蜜罐进一步对蜜罐活动进行监视和追踪,并且向安全装置102的管理员提供诸如活动报告之类的活动数据,以使得管理员能够使用该数据来获知攻击者如何尝试获得到计算机系统的接入,并且能够收集入侵取证证据(forensicevidence)来协助攻击者的识别和指控。进一步地,蜜罐可以从实际基础设施系统转移攻击,这有效地将危险活动转移远离于敏感联网资产。各个示例中的蜜罐包括邮件服务器、数据库服务器或者提供对攻击者可能具有吸引力的信息或服务的其它系统。虽然一些蜜罐可能包括最小资源,诸如仅包括最可能被攻击者接入的那些资源,但是使用标准操作系统和其它软件,其它将看上去完全是操作的系统,这使得攻击者更加难以将它们辨认为潜在的蜜罐。各个实施例中的虚拟蜜罐120可以位于如在120处所示的安全装置102的内部或私有网络侧,或者虚拟蜜罐120可以位于防火墙的外部或公共侧,诸如经常是具有应用或web服务器以及其它这样的系统的情况。在安全装置120在内部受保护网络内暴露虚拟蜜罐120的示例中,诸如图1所示,虚拟蜜罐还可以监视诸如来自私有网络上的另一计算机的病毒或木马攻击的内部威胁,该另一计算机诸如通过网络连接126耦合至虚拟蜜罐的计算机112。因为虚拟蜜罐系统由于其并不向典型用户提供实际网络服务而应当在内部网络上接收非常少的业务,所以从受感染计算机112到内部虚拟蜜罐120的非寻常业务的模式可以提供安全威胁的指示,该指示并未被诸如防病毒软件之类的其它工具所识别,这使得网络管理员能够更快找出威胁并对威胁做出响应。此外,虽然关于诸如入侵检测和防护、通用威胁管理和/或防火墙设备之类的安全装置进行了描述,但是该技术可以由其它类型的网络服务所应用,诸如路由器、层3(L3)交换机、层2/层3(L2/L3)交换机以及能够以隧道将业务(包括L3业务)送至远程蜜罐108的其它设备。采用远程蜜罐来提供虚拟蜜罐使得能够有效使用远程服务器资源来向若干不同的安全装置提供虚拟蜜罐,与很少被远程计算机所接入的其它虚拟蜜罐共享服务器资源。远程的或基于云的蜜罐服务的使用进一步将蜜罐的配置和管理从本地安全装置或其它本地机器卸载至远程部署的系统。该远程部署的蜜罐服务提供商因此能够提供若干不同的标准基础配置,消费者可以从中进行选择并且如果需要其能够作为用于进一步定制的基础配置。图2是符合一些示例实施例的可操作以提供虚拟蜜罐的安全装置的框图。这里,安全装置200包括外部网络接口202、内部网络接口204、流管理模块205以及作为转发平面210的一部分的流表208,该转发流210可操作以对通过安全装置的业务流进行管理。操作系统内核212、安全管理模块214、规则数据库216、用户接口218和蜜罐模块220包括在服务平面222中,该服务平面222可操作以对安全装置进行管理。管理员使用用户接口218来接入并且配置安全管理模块214,诸如更新或配置规则数据库216中的规则,以将来自规则数据库216的各种规则应用于分组流,将各种应用绑定至各个端口,或者以其它方式对安全装置220的操作进行配置。管理员还可以对安全装置进行配置以经由远程蜜罐模块220对远程蜜罐服务加以利用。转发平面210通过流管理模块206对外部网络接口202和内部网络接口204之间的业务进行监视,该流管理模块206使用来自规则数据库216的规则、与通过远程蜜罐模块220所配置的虚拟蜜罐的所配置网络地址相关的信息、以及存储在流表208中的其它这样的配置信息,来对通过安全设备的网络业务的流进行管控。在一些更详细的示例中,流管理模块206进一步提供对网络分组的一些检查,诸如基于与各分组相关联的网络连接的分组的状态性检查,并且因此可操作以对具有各种网络协议的分组进行解码和监视。在各种示例中,图2的各种安全装置部件可以包括硬件、固件和软件的任意组合以用于执行每个部件的各种功能。例如,内核212和安全管理模块204可以包括在通用处理器上运行的软件指令,而流管理模块206则包括专用集成电路(ASIC)。在另一个示例中,流管理模块206作为处理连同安全管理模块214、内核212和用户接口218一起在处理器上执行。在其它的实施例中,安全装置200的各个部件可以包括离散的硬件单元,诸如数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA),或者任意其它等同的集成或离散逻辑电路,或者硬件、固件和/或软件的任意其它组合。通常,流管理模块206针对经由输入网络接口202接收的分组确定该分组所属的分组流以及该分组流的特征。当分组流首次被接收时,流管理模块206构建包括诸如五元组{源IP地址,目的地IP地址,源端口,目的地端口,协议