[发明专利]用于融合的VOIP服务的VOIP蜜罐的系统和方法

说明书

技术领域

本公开一般涉及在企业网络内的因特网语音(VoIP)电话服务和用于VoIP电话服务的入侵检测和保护(IDP)服务。具体地，本公开涉及处理由在企业网络中的数据和通信服务的融合所使能的网络威胁的VoIP蜜罐(honeypot)。

背景技术

对于已经具有用于存储和管理商业文档并用于因特网接入的企业网络的商业企业而言，因特网协议语音(VoIP)电话服务已经变得非常吸引人。通过将VoIP电话插入企业网络或通过对台式计算机进行编程使之用作VoIP电话，可容易地提供VoIP电话服务。另外，如果希望VoIP电话被配置为好像其在专用分支交换(PBX)中，则可通过在企业网络中队网关服务器进行合适的编程来完成。

VoIP电话还具有以下优点：其可利用因特网的数据服务来补充用于建立和执行VoIP呼叫会话的通信服务。例如，VoIP服务被分为会话发起协议(SIP)相关的通信服务和H.323相关的数据服务。另外，用于VoIP的多媒体数据服务还在开发之中。H.323相关的数据服务包括主页服务、因特网黄页和收集呼叫服务、搜索电话服务，以及电话号码搜索功能。SIP通信服务和H.323相关的数据服务还可与诸如即时消息(IM)服务、个人数据助理(PDA)服务和移动电话服务之类的网页服务集成。

在因特网上所承载的VoIP服务经历惯常的IP网络的网络攻击，诸如，扫描、侦查、入侵、中间人(man-in-middle)、重定向，以及拒绝服务(DOS)。另外，VoIP攻击包括因特网电话垃圾(SPIT)、对呼叫和消息的监视、提取语音邮件，以及对其他用户账户的收费欺骗。在SIP、会话数据协议(SDP)、媒体和编码机的协议和实现中存在特定于VoIP的脆弱性。VoIP基础设施是分布式的，并且难于保障安全。

企业网络可通过安装在连接企业网络和因特网的网关上的入侵检测和保护(IDP)软件来免受进来的网络攻击。这种IDP软件可阻止对企业网络的大多数网络攻击。

针对大型企业或具有诱人的目标的企业，提供用于观察并描绘网络攻击的特点的机制是有优势的。这可通过使用被称为“蜜罐”的网络安全工具来完成。蜜罐故意提供攻击者所寻求的脆弱点，以便观察攻击和入侵。蜜罐用作接纳攻击者、阻止攻击者并追踪其活动的网络诱饵。

在实践中存在两种类型的蜜罐，其被称为低交互的和高交互的。低交互的蜜罐表现为运行任意类型的服务的主机的网络。低交互的蜜罐具有针对不同操作系统(OS)和OS版本的所指定的服务的协议签名的数据库。低交互的蜜罐用合适的签名来回复进来的流量。低交互的蜜罐的应用状态是有限的，并且，是预存储的或从脚本动态生成的。

高交互的蜜罐比低交互的蜜罐更加逼真。高交互的蜜罐更可能避免攻击者的检测，但是高交互的蜜罐需要更多的努力来建立。高交互的蜜罐可以是几个与低交互的蜜罐一起工作的真实的服务器，也可以是被适当净化的实际生产网络的副本。蜜罐行为的增加的逼真性一般增强蜜罐的价值，因为网络攻击者在无意义的侦查方面花费更多的时间。

VoIP蜜罐是针对VoIP攻击来模仿VoIP基础设施的蜜罐的现有变化。现有的VoIP蜜罐在SIP协议水平检测信令异常，并且，将其转移到单独的PBX，该PBX被配置为诱饵。例如，参见Nassar等人的如下文章：VoIP Honeypot Architecture(VoIP蜜罐体系架构)，IntegratedNetwork Management(集成的网络管理)，2007年，第109-118页，IEEE，纽约州纽约市。

在Nassar等的示例中，蜜罐将其IP地址与在PBX路由器或SIP代理中的注册服务器处的多个SIP统一资源标识符(URI)注册，或重定向提供安全服务的服务器和用户供应网页接口。蜜罐的SIP URI可对外界声称为该域的用户，但是由于它们并不代表真实的用户，因此在理论上，它们将从不被呼叫。为了欺骗攻击者，蜜罐的每个SIP URI都被配置为采用一个用户代理类型并将其名字发送在用户代理数据头中。

在Nassar等的示例中，蜜罐自身包括五个主要组件。这些组件是(1)负责接受进来的呼叫并调查可能的攻击的蜜罐代理、(2)SIP、SDP和实时传输协议(RTP)的协议栈、(3)配置文件的蜜罐建档数据库、(4)侦查工具，以及(5)能够通过特定的度量和贝叶斯模式来自动解释调查结果的推理引擎。蜜罐还具有图形用户界面，其允许系统管理员选择并建立蜜罐建档，以及将踪迹、警报和统计数据可视化。

发明内容