[发明专利]用于使用“蜜罐”检测和阻止攻击的系统和方法

权利要求书

1.一种用于保护应用程序免受攻击的方法，所述方法包括：

从通信网络接收企图到达应用程序的通信；

通过异常检测组件传输所述接收的通信，其中，所述异常检测组件预测所述接收的通信是否是对所述应用程序的潜在攻击，其中，对所述异常检测组件进行调整，以取得较低的假阴性率；

从所述异常检测组件接收关于对所述应用程序的所述潜在攻击的所述预测的指示；

作为对从所述异常检测组件接收到所述指示的响应，将所述接收的通信传输到“蜜罐”，其中，所述“蜜罐”是所述应用程序的与所述应用程序共享状态信息的实例，其中，所述“蜜罐”对所述接收的通信进行监视，以发现对所述应用程序的攻击；

从所述“蜜罐”接收所述接收的通信是对所述应用程序的攻击的指示；以及

从所述“蜜罐”接收修理所述应用程序的所述状态信息的指令。

2.根据权利要求1所述的方法，其中，所述修理进一步包括将所述应用程序的所述状态信息回滚到以前保存的状态信息。

3.根据权利要求1所述的方法，其中，所述修理进一步包括丢弃所述应用程序的所述状态信息。

4.根据权利要求1所述的方法，其中，所述修理进一步包括用以前保存的状态信息启动所述应用程序的新实例。

5.根据权利要求1所述的方法，进一步包括在将所述接收的通信传输到所述异常检测组件之前对所述接收的通信进行过滤。

6.根据权利要求5所述的方法，其中，所述过滤是基于所述攻击的有效负载内容和来源中的至少一个来进行的。

7.根据权利要求1所述的方法，进一步包括从所述“蜜罐”向所述异常检测组件传输反馈。

8.根据权利要求7所述的方法，进一步包括至少部分地基于来自所述“蜜罐”的所述反馈，更新所述异常检测组件。

9.根据权利要求7所述的方法，进一步包括更新与所述异常检测组件关联的预测器和模型中的至少一个。

10.根据权利要求7所述的方法，进一步包括使用所述反馈来自动地对所述异常检测组件进行调整。

11.根据权利要求7所述的方法，进一步包括使用所述反馈来自动地对过滤器进行调整。

12.根据权利要求1所述的方法，其中，所述应用程序是服务器应用程序、客户端应用程序、操作系统，以及大型机上的应用程序中的一种。

13.根据权利要求1所述的方法，进一步包括：

在所述异常检测组件之前提供过滤器；

从所述“蜜罐”向所述过滤器传输反馈；以及

至少部分地基于来自所述“蜜罐”的反馈，更新所述过滤器。

14.一种用于保护应用系统免受攻击的系统，所述系统包括：

被调整为取得较低的假阴性率的异常检测组件，其中，所述异常检测组件被配置为：

从通信网络接收企图到达应用程序的通信；以及

预测所述接收的通信是否是对所述应用程序的潜在攻击；以及

所述应用程序的与所述应用程序共享状态信息的实例的“蜜罐”，其中，所述“蜜罐”被配置为：

从所述异常检测组件接收关于所述潜在攻击的所述预测的指示；

对所述接收的通信进行监视，以发现对所述应用程序的攻击；以及

作为对确定所述接收的通信是对所述应用程序的攻击的响应，修理所述应用程序的所述状态信息。

15.根据权利要求14所述的系统，其中，所述“蜜罐”被进一步配置为将所述应用程序的所述状态信息回滚到以前保存的状态信息。

16.根据权利要求14所述的系统，其中，所述“蜜罐”被进一步配置为丢弃所述应用程序的所述状态信息。

17.根据权利要求14所述的系统，其中，所述“蜜罐”被进一步配置为用以前保存的状态信息启动所述应用程序的新实例。

18.根据权利要求14所述的系统，进一步包括在将所述接收的通信传输到所述异常检测组件之前对所述接收的通信进行过滤的过滤器。

19.根据权利要求14所述的系统，其中，所述“蜜罐”被进一步配置为从所述“蜜罐”向所述异常检测组件传输反馈。