[发明专利]用于使用“蜜罐”检测和阻止攻击的系统和方法

说明书

对相关申请的交叉引用

本申请要求2005年4月18日提出的美国临时专利申请No.60/672,280的优先权，这里引用了该申请作为参考。

技术领域

本发明涉及计算机安全领域。具体来说，本发明涉及用于检测和阻止软件攻击的系统和方法。

背景技术

计算机病毒、蠕虫、特洛伊木马、黑客、密钥恢复攻击、恶意可执行程序、探针等等是对连接到公共计算机网络(如因特网)和/或私用网络(如公司计算机网络)的计算机的用户的威胁。为应付这些威胁，许多计算机用防病毒软件和防火墙保护起来。然而，这些预防措施并不总是可以胜任。例如，在许多情况下，蠕虫及其他攻击已经利用计算机软件(例如，防火墙技术中的)中已知的漏洞，而公众要到第二天才察觉到该漏洞的存在。由于这样快速地利用漏洞，纠正漏洞所需的补丁不能及时地部署以防止攻击。类似地，大多数防病毒软件都依赖对该软件的更新，以便可以利用已知病毒的特征来识别威胁。在“零天”蠕虫或病毒(例如，刚刚投入使用的蠕虫或病毒)的情况下，大多数计算机系统对攻击完全没有防范能力，因为还没有已知的补丁或特征更新针对它们。

由于因特网上恶意的活动比较猖獗，各个单位都部署用于检测新的攻击或可疑的活动并对它们作出响应的机制，有时被称为“入侵预防系统”。然而，这些入侵预防系统中的许多系统只限于预防已知的攻击，因为它们使用基于规则的入侵检测系统。

已经有人开发了用于更有威力的反应性防御系统中的诸如“蜜罐”和异常检测系统之类的检测机制。与入侵检测系统对比，“蜜罐”和异常检测系统提供了检测预先未知的攻击或“零天”攻击并对它们作出响应的可能性。“蜜罐”一般被定义为被设置为检测或偏转对信息系统的未授权使用的陷阱。然而，应该注意，“蜜罐”看不到合法的通信或活动。出现这种情况的一个原因是，因为“蜜罐”常常被放置在合法的通信没有理由进行访问的网络位置。另一个原因是，“蜜罐”通常太慢，难以在现实应用所需的时间内处理通信。再一个原因是，“蜜罐”没有完全地为合法的通信提供服务的功能，因为，例如，“蜜罐”不与实际系统共享状态。异常检测系统通过监视对它的企图的访问并使用启发规则来将访问分类为正常访问或异常访问，从而对资源进行保护。“蜜罐”和异常检测系统在可以检测到的攻击的精确度和范围之间取得不同的折衷。

“蜜罐”可以被着重地改编为准确地检测攻击，但是，它们依赖于攻击者企图利用漏洞来攻击它们。这使得“蜜罐”适于检测扫描性的蠕虫，但是，对于人工启动的攻击或拓扑和“攻击名单”式蠕虫却不起作用。此外，“蜜罐”通常只用于服务器型的应用场合。

从理论上来讲，异常检测系统可以检测两种类型的攻击，但是，精确性通常比“蜜罐”差得多。大多数异常检测系统在“假阳性”和“假阴性”检测率之间取得折衷。例如，常常可以对系统进行调整，以检测更多的潜在攻击，然而，这会使对合法的通信进行错误分类的风险增大。尽管可以使异常检测系统对攻击不太敏感，但是，这也会产生错过某些实际攻击的风险。由于异常检测系统可能会通过，例如，丢弃合法的请求，而对合法的通信产生不利影响，系统设计人员常常对系统进行调整，以降低可能将攻击错误分类合法的通信所造成的“假阳性”率。

相应地，需要提供克服现有技术的这些及其他缺陷的系统和方法。

发明内容

在本发明的某些实施例中，提供了用于保护应用程序免受攻击的系统和方法。通过异常检测组件传输接收的通信(例如，网络通信)。异常检测组件预测接收的通信是否是对应用程序的潜在攻击，并对异常检测组件进行调整，以取得较低的假阴性率。作为对从异常检测组件接收到有关通信可能是攻击的指示的响应，将接收的通信传输到“蜜罐”。“蜜罐”可以是应用程序的与应用程序共享状态信息的经过改编的实例。应该注意，在某些实施例中，“蜜罐”可以是受保护的应用程序本身的一部分。“蜜罐”对接收的通信进行监视，以发现对应用程序的攻击。作为对从“蜜罐”接收到有关接收的通信是对应用程序的攻击的指示的响应，“蜜罐”提供修理应用程序的状态信息的指令。

在一些实施例中，修理可以包括将应用程序的状态信息回滚到以前保存的状态信息。在一些实施例中，修理可以包括丢弃应用程序的状态信息。在一些实施例中，修理可以包括用以前保存的状态信息启动应用程序的新实例。

在某些实施例中，可以提供过滤器，用于在将接收的通信传输到异常检测组件之前对通信进行过滤。过滤操作可以基于攻击的有效负载内容和来源中的至少一个。