[发明专利]使用蜜罐的动态服务处理

说明书

本发明涉及使用蜜罐的动态服务处理。具体地，提供了一种网络设备，包括：耦合到存储器的一个或多个处理器；以及被配置用于由一个或多个处理器执行的动态服务模块，用以：从客户端设备接收指定服务的服务请求。所述动态服务模块进一步被配置用于由所述一个或多个处理器执行，以响应于获得针对所述服务的否定指示，向蜜罐发送所述服务请求的表示以使得所述蜜罐向所述客户端设备提供所述服务。

技术领域

本发明总体上涉及计算机网络安全，并且更具体地涉及计算机网络蜜罐。

背景技术

计算机是有价值的工具，在很大程度上在于其用于与其它计算机系统进行通信并且通过计算机网络交换信息的能力。网络通常包括通过线路、光纤、无线电或其它数据传输手段进行链接的计算机的互连群组，以向计算机提供从计算机传输信息至计算机的能力。互联网可能是最为众所周知的计算机网络，并且使得数以百万计的人们能够诸如通过观看网页、发送电子邮件、以及通过执行其它计算机至计算机的通信而接入到数以百万计的其它计算机。

由于互联网的大小非常庞大并且互联网用户的兴趣非常多样化，所以尝试以对其它用户构成危险的方式而与其它用户的计算机进行通信的恶意用户或恶作剧者也并不少见。例如，黑客可能会尝试登录到公司计算机中以窃取、删除或改变信息。计算机病毒、蠕虫和/或木马程序可能会分布到其它计算机，或者被计算机用户无意下载或执行。另外，企业内的计算机用户可能会偶然尝试执行非授权的网络通信，诸如运行文件共享程序或者将企业网络内部的秘密传送至互联网。

出于这些原因，网络管理员会在易受攻击的网络内部署诱饵计算机系统或“蜜罐(honeypot)”，其被设计为吸引入侵者的注意，并且收集和报告与入侵相关的信息。也就是说，蜜罐可以是部署在企业网络内模仿诸如数据库、应用和/或其它服务的网络服务的服务器，其表现出吸引恶意业务以收集有关攻击模式和(多个)入侵来源的信息以便识别出受到感染的网络设备和可疑攻击者。

发明内容

一般而言，描述了如下技术，在这些技术中，诸如安全装置(例如，防火墙)之类的网络设备利用蜜罐服务以便响应于对受保护网络内服务器做出的服务请求而动态地模仿不存在的服务。例如，网络管理员可以部署网络设备以保护服务器的网络向位于网络内部和外部的客户端提供各种应用层服务。这些服务器例如可以具有相应的层3(L3)地址或其它的地址，或者被进行负载平衡以提供源自于单个地址的服务。然而，在大多数情况下，由网络中的每个服务器所提供的服务不全面，即，对于给定的服务器，存在该服务器不提供的一个或多个服务。服务器可以通过如下方式对指定了这样的不存在服务的服务请求进行响应：通过不响应该请求或者通过发送明确拒绝连接的响应。与此相反，服务器可以用指示发出服务请求的客户端设备可以继续进行该服务的肯定确认来对指定了被提供服务的服务请求进行响应。服务也可能由于被请求服务的地址不是针对网络内的计算设备的主机地址而不存在。

正如在下面进一步详细描述的那样，网络设备可以监视服务请求并且响应穿过受保护网络的边界的业务以便识别指定不存在服务的服务请求。在一些情况中，网络设备存储经由网络设备进入受保护网络的边界的服务请求的记录。如果网络设备针对给定的服务请求没有从服务器接收到关于该服务器提供指定的服务的指示(即，该服务不存在)，那么对于该给定的服务请求，网络设备利用蜜罐以便向请求的客户端设备动态地模仿指定的服务。例如，网络设备可以向客户端设备发送不存在服务存在于受保护网络内的肯定指示——尽管网络设备从服务器接收到了明确拒绝该连接的响应或者在一段逝去时间之后未接收到任何响应。所述网络设备可以进一步或备选地，向蜜罐转发该服务请求的副本，蜜罐处理该服务请求以便进行记录、分析、以及在某些情况下用响应的服务业务进行响应，网络设备可以将该响应中继至客户端设备。以这样的方式，网络设备利用蜜罐以动态地即时“树立”所请求的服务，使它对于客户端设备而言就像该服务作为受保护网络内的服务器所提供的服务存在一样，无论该服务所请求的服务器是否存在或者实际上是否提供该服务。因此，该技术是基于服务的并且是动态的，可以自动地引起服务在包括网络设备或者被网络设备保护的网络中被添加、删除以及重新配置。