本发明专利技术涉及一种用于网络(90)的蜜罐主机(500)。本发明专利技术的蜜罐主机(500)主要包括计算机系统(10)以及并入到该计算机系统(10)中的蜜罐系统(300)。蜜罐系统(300)主要将至少一个诱饵主机(80)分配到围绕该网络(90)的至少一个未使用的互联网协议(I P)地址(160)。蜜罐系统(300)还能够进行自复制。在网络(90)中的蜜罐系统(300)被入侵的情况下,蜜罐系统(300)能够自终止被入侵的蜜罐系统(300)的至少一部分,并且自复制新的蜜罐系统(300)。而且,蜜罐系统(300)还用以检测当前的蜜罐系统(300)是否已被入侵。在另一方面,本发明专利技术还涉及一种用于复制蜜罐系统(300)以代替被入侵的蜜罐系统(300)的方法。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种用于网络的蜜罐主机。
技术介绍
对于常见的计算机技术,为了网络安全而开发了蜜罐系统。蜜罐系统基本上是网络中最安全的防御机制,用以检测和防止网络攻击。也有一些蜜罐系统促进围绕未使用的互联网协议(IP)地址而生成诱饵主机。诱饵主机在网络中伪装成好像真的计算机,但在实际情况下,诱饵主机是伪造方案,它们倾向于代替其他操作主机而吸引攻击者对这些诱饵主机进行入侵。这些模仿诱饵主机的蜜罐系统安装在计算机硬件中,计算机硬件运行在操作系统上。图1中示出了上述的传统的蜜罐主机。如图1所示,蜜罐主机有一定限制,即仅在一台单独的机器配置上运行。因此,蜜罐管理员很有可能不知道他没有意识到这一点。如果蜜罐管理员能够轻易了解到蜜罐系统的位置,那么攻击者也能够将主机毁坏。此外,还很可能的是,攻击者可能根据在蜜罐软件内自身的漏洞和缺陷进行开发和篡改。如果攻击者能够操纵开发,那么他们更有可能有机会摧毁整个主机。更糟的是,无论蜜罐主机存储在本地网络内部或是连接到互联网上,他们甚至可以尝试利用上述主机作为发射台而用于其他攻击。在蜜罐主机被入侵(compromised)的情况下还具有这样的不便,即,蜜罐管理员需要将主机移出网络,然后对其硬盘进行复制,并将所有的东西重新安装在一个新的设置中,从而使蜜罐主机能够再次使用。每次当蜜罐主机又被入侵时,时间将会不必要地浪费在重复设置同样的蜜罐系统上。而且,当蜜罐主机进行安装时,其他攻击可能又默默地发生在本地网络内部。因此,蜜罐主机在被入侵的情况下,如果网络管理员错过一些未知的攻击, 将造成不利。因此,有必要提供一种能够消除上述限制的蜜罐主机。
技术实现思路
因此,为了消除现有技术的缺点和不足,本专利技术提供了一种用于网络的蜜罐主机。 该蜜罐主机主要包括计算机系统以及并入到该计算机系统中的蜜罐系统。蜜罐系统用于将至少一个诱饵主机分配到围绕该网络的至少一个未使用的互联网协议(IP)地址。所述蜜罐系统还用于自复制。在网络中的蜜罐系统被入侵的情况下,蜜罐系统能够自终止被入侵的蜜罐系统的至少一部分,并且自复制新的蜜罐系统。所述蜜罐系统还用以检测当前的蜜罐系统是否已被入侵。在另一方面,本专利技术还提供一种用于复制蜜罐系统以代替网络的蜜罐主机中的被入侵的蜜罐系统的方法。该方法主要包括以下步骤生成蜜罐系统;将至少一个诱饵主机分配到围绕该网络的至少一个未使用的互联网协议(IP)地址;测定蜜罐系统是否被入侵; 如果蜜罐系统被入侵,那么终止蜜罐系统的至少一部分,并生成新的蜜罐系统。本专利技术的一个目的在于,提供一种用于网络的蜜罐主机,能够生成一套简单的蜜罐主机设置,并构建成运行在虚拟化平台之上的虚拟机的形式。本专利技术的另一个目的在于,提供一种用于网络的蜜罐主机,能够在当前运行的蜜罐系统已被入侵的情况下自动地自生成新的蜜罐主机的设置。该蜜罐主机能够完全复原。本专利技术的又一个目的在于,提供一种用于网络的蜜罐主机,能够监控并测定蜜罐主机是否已被入侵,由此使被入侵的蜜罐虚拟机终止,而执行设置以代替被入侵的蜜罐虚拟机。本专利技术的再一个目的在于,提供一种用于网络的蜜罐主机,能够根据与蜜罐虚拟机的当前被入侵示例相关的示例编号,生成蜜罐虚拟机的新的示例,以代替蜜罐虚拟机的被入侵的示例。根据直到实时已经生成的蜜罐虚拟机的编号,示例编号与蜜罐虚拟机的当前示例相关。本专利技术的还一个目的在于,充分利用物理硬件上的资源来实现蜜罐系统的安装, 因此,使所有的蜜罐虚拟机都能配置并安装在同样的物理硬件上。本专利技术的最终目的在于,消除为处理在实时网络攻击条件下蜜罐主机的设置所需的时间相关联的延迟。此外,本专利技术中固有的自动设置能够对于在网络内部发生的不断变化的攻击和威胁协助做出更好的响应。本专利技术包括一些新的特征和部件的组合,接下来,在附图中以及特别在从属权利要求中将进一步解释和说明;可以理解为,在不背离本专利技术的范围或舍弃本专利技术的任何优点的前提下,可以对具体内容做出多种变化。附图说明为了便于理解本专利技术,接下来,根据附图所示的本专利技术的优选实施例,并结合以下说明,将更好地理解和领会本专利技术、本专利技术的结构和操作以及多方面优势。图1示出了传统的蜜罐主机的设置;图2示出了一套基于虚拟机的、运行于虚拟化层之上的蜜罐主机(VMHP);图3示出了相比较于传统的蜜罐主机设置的本专利技术的蜜罐主机设置;图4示出了安装有虚拟化平台的计算机系统;图5示出了具有虚拟化平台的计算机系统,该虚拟化平台设有本专利技术的蜜罐主机组件;图6示出了本专利技术的蜜罐主机的操作流程图;图7示出了一些可能对蜜罐主机产生攻击的示意图;图8示出了具有蜜罐主机的虚拟化平台的基本架构;图9示出了本专利技术的蜜罐主机的示例性位置;图10示出了具有多个围绕网络分配的伪造系统(FS)的蜜罐主机的示例性位置;图11示出了创建用于虚拟安全框架(VSF)图像的哈希值的方法;图12示出了间隔时间为30秒的时间轴,用于虚拟机控制器(VNC)以生成和比较运行的VSF的哈希值。具体实施方式本专利技术涉及一种蜜罐主机500。更具体地说,本专利技术涉及一种应用在网络90中的蜜罐主机500,用以在当前的蜜罐系统300已经被入侵的情况下,将诱饵主机80分配到围绕网络90的未使用的互联网协议(IP)的地址160,并终止位于主机500中的蜜罐系统300, 而且产生新的蜜罐系统300。接下来,根据本专利技术优选的实施例以及参考所附的说明书和附图,对蜜罐主机500进行说明。然而,应该理解,仅对本专利技术的优选实施例以及附图进行说明,只是为了方便对本专利技术的讨论,而且可以预见,本领域技术人员在没有背离权利要求范围的情况下可以做出多种修改。本专利技术的蜜罐主机500在附图中以不同的示意图示出。据此,参见图1和3,示出了传统的蜜罐主机设置190。其中示出了,传统的蜜罐主机设置190主要包括主机的硬件 12、操作系统220和蜜罐软件210。对于传统的设置190,所有的工具都安装到计算机主机 190的物理硬件12中。与之相比,本专利技术中使传统的蜜罐主机设置190在功能上转变成虚拟机60,该虚拟机运行在虚拟化平台25上。现参见图2,由本专利技术的蜜罐主机500提供的解决方案由一套构建成虚拟机60形式的蜜罐主机的简单设置(setup)实现。这些虚拟机60都适于在虚拟化平台25上运行。 虚拟机60和虚拟化平台25在下文中将进行更详细地说明。根据本专利技术,主要起到蜜罐作用的虚拟机60在下文中称为基于虚拟机的蜜罐主机(Virtual Machine-based Honeypot Hosts,VMHP)60。由于可能存在一些对网络 90 的攻击,因此VMHP 60也可能被入侵。因此,VMHP 60由一些应用程序监控并管理。因此,参见图5,当VMHP 60实时被入侵时,被入侵的VMHP 60a将关闭,而VMHP的新的副本(clone) 将启动。根据蜜罐主机500的预设条件,应用在蜜罐主机500中的所有VMHP60优选地每当 VMHP被入侵时重复地关闭和启动。对此举例说明,一旦当前运行的VMHP 60(也称为VMHP1 60)被入侵,那么示例 VMHP1 60将自动关闭,然后,新的VMHP 60 (即VMHP2 60)将产生,用以代替旧的并且损坏的 VMHP1 60。该序列将持续到蜜罐主机500已经到达预设最大编本文档来自技高网...
【技术保护点】
1.一种用于网络(90)的蜜罐主机(500),包括:计算机系统(10);以及并入到所述计算机系统(10)中的蜜罐系统(300),其中,所述蜜罐系统(300)将至少一个诱饵主机(80)分配到围绕该网络(90)的至少一个未使用的互联网协议(IP)地址(160);其特征在于,所述蜜罐系统(300)能够进行自复制,使得在所述网络(90)中的蜜罐系统(300)被入侵的情况下,所述蜜罐系统(300)能够自终止被入侵的蜜罐系统(300)的至少一部分,并且自复制新的蜜罐系统(300);而且,所述蜜罐系统(300)还用以检测当前的蜜罐系统(300)是否已被入侵。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:扎诺尔阿米·安西里·扎卡里亚·维拉,
申请(专利权)人:马来西亚微电子系统有限公司,
类型:发明
国别省市:MY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。