技術領域

本發明涉及一種用于網絡的蜜罐主機。

背景技術

對于常見的計算機技術，為了網絡安全而開發了蜜罐系統。蜜罐系統基本上是網絡中最安全的防御機制，用以檢測和防止網絡攻擊。

也有一些蜜罐系統促進圍繞未使用的互聯網協議(IP)地址而生成誘餌主機。誘餌主機在網絡中偽裝成好像真的計算機，但在實際情況下，誘餌主機是偽造方案，它們傾向于代替其他操作主機而吸引攻擊者對這些誘餌主機進行入侵。這些模仿誘餌主機的蜜罐系統安裝在計算機硬件中，計算機硬件運行在操作系統上。

圖1中示出了上述的傳統的蜜罐主機。如圖1所示，蜜罐主機有一定限制，即僅在一臺單獨的機器配置上運行。因此，蜜罐管理員很有可能不知道他沒有意識到這一點。如果蜜罐管理員能夠輕易了解到蜜罐系統的位置，那么攻擊者也能夠將主機毀壞。此外，還很可能的是，攻擊者可能根據在蜜罐軟件內自身的漏洞和缺陷進行開發和篡改。如果攻擊者能夠操縱開發，那么他們更有可能有機會摧毀整個主機。更糟的是，無論蜜罐主機存儲在本地網絡內部或是連接到互聯網上，他們甚至可以嘗試利用上述主機作為發射臺而用于其他攻擊。

在蜜罐主機被入侵(compromised)的情況下還具有這樣的不便，即，蜜罐管理員需要將主機移出網絡，然后對其硬盤進行復制，并將所有的東西重新安裝在一個新的設置中，從而使蜜罐主機能夠再次使用。每次當蜜罐主機又被入侵時，時間將會不必要地浪費在重復設置同樣的蜜罐系統上。而且，當蜜罐主機進行安裝時，其他攻擊可能又默默地發生在本地網絡內部。因此，蜜罐主機在被入侵的情況下，如果網絡管理員錯過一些未知的攻擊，將造成不利。

因此，有必要提供一種能夠消除上述限制的蜜罐主機。

發明內容

因此，為了消除現有技術的缺點和不足，本發明提供了一種用于網絡的蜜罐主機。該蜜罐主機主要包括計算機系統以及并入到該計算機系統中的蜜罐系統。

蜜罐系統用于將至少一個誘餌主機分配到圍繞該網絡的至少一個未使用的互聯網協議(IP)地址。所述蜜罐系統還用于自復制。在網絡中的蜜罐系統被入侵的情況下，蜜罐系統能夠自終止被入侵的蜜罐系統的至少一部分，并且自復制新的蜜罐系統。所述蜜罐系統還用以檢測當前的蜜罐系統是否已被入侵。

在另一方面，本發明還提供一種用于復制蜜罐系統以代替網絡的蜜罐主機中的被入侵的蜜罐系統的方法。該方法主要包括以下步驟：生成蜜罐系統；將至少一個誘餌主機分配到圍繞該網絡的至少一個未使用的互聯網協議(IP)地址；測定蜜罐系統是否被入侵；如果蜜罐系統被入侵，那么終止蜜罐系統的至少一部分，并生成新的蜜罐系統。

本發明的一個目的在于，提供一種用于網絡的蜜罐主機，能夠生成一套簡單的蜜罐主機設置，并構建成運行在虛擬化平臺之上的虛擬機的形式。

本發明的另一個目的在于，提供一種用于網絡的蜜罐主機，能夠在當前運行的蜜罐系統已被入侵的情況下自動地自生成新的蜜罐主機的設置。該蜜罐主機能夠完全復原。

本發明的又一個目的在于，提供一種用于網絡的蜜罐主機，能夠監控并測定蜜罐主機是否已被入侵，由此使被入侵的蜜罐虛擬機終止，而執行設置以代替被入侵的蜜罐虛擬機。

本發明的再一個目的在于，提供一種用于網絡的蜜罐主機，能夠根據與蜜罐虛擬機的當前被入侵示例相關的示例編號，生成蜜罐虛擬機的新的示例，以代替蜜罐虛擬機的被入侵的示例。根據直到實時已經生成的蜜罐虛擬機的編號，示例編號與蜜罐虛擬機的當前示例相關。

本發明的還一個目的在于，充分利用物理硬件上的資源來實現蜜罐系統的安裝，因此，使所有的蜜罐虛擬機都能配置并安裝在同樣的物理硬件上。

本發明的最終目的在于，消除為處理在實時網絡攻擊條件下蜜罐主機的設置所需的時間相關聯的延遲。此外，本發明中固有的自動設置能夠對于在網絡內部發生的不斷變化的攻擊和威脅協助做出更好的響應。

本發明包括一些新的特征和部件的組合，接下來，在附圖中以及特別在從屬權利要求中將進一步解釋和說明；可以理解為，在不背離本發明的范圍或舍棄本發明的任何優點的前提下，可以對具體內容做出多種變化。

附圖說明

為了便于理解本發明，接下來，根據附圖所示的本發明的優選實施例，并結合以下說明，將更好地理解和領會本發明、本發明的結構和操作以及多方面優勢。

圖1示出了傳統的蜜罐主機的設置；

圖2示出了一套基于虛擬機的、運行于虛擬化層之上的蜜罐主機(VMHP)；

圖3示出了相比較于傳統的蜜罐主機設置的本發明的蜜罐主機設置；

圖4示出了安裝有虛擬化平臺的計算機系統；