本發明涉及一種用于檢測對連接至通信網絡(115)的工作環境(101)的攻擊的方法(600)，該方法(600)具有以下步驟：借助連接至通信網絡(115)的網絡安全性元件(103)來電子地仿真(601)工作環境(101)；在該網絡安全性元件(103)處記錄(602)網絡話務(202)；將經注冊的網絡話務(202)與預定義的網絡話務(204)進行比較(603)；以及在所記錄的網絡話務(202)與預定義的網絡話務(204)之間有偏差的情況下觸發(604)第一攻擊警告信號(110)。

本發明涉及一種用于檢測對連接至通信網絡的工作環境的攻擊的方法，并且涉及用于標識這種類型的攻擊的包括工作環境和工作安全性元件的網絡安全性系統。

攻擊者可能感興趣的敏感數據往往存儲在公司中的工作場所計算機系統上或者工作環境或工作場所環境上。作為惡意程序滲透到公司自己的計算機網絡中的結果或者作為針對合適人群(例如，公司的董事會或者重要的公眾成員)的工作環境進行窺探的結果，公司的秘密被竊取往往不被注意。在此情形中，為特定使用個體定制的自主開發的惡意程序有時被用于此類攻擊并且不由市場上可獲得的殺毒軟件產品檢測到或者僅很晚才由這類產品檢測到。公司內有潛在風險的人群實際上可能成為數字間諜攻擊的潛在受害者；然而，準確的情形(諸如地點、時間、和形式)往往是未知的。

本發明的目的由此涉及檢測計算機網絡中的攻擊，尤其涉及對計算機網絡的工作場所計算機系統的攻擊。

此目的通過獨立權利要求的特征來達成。有利的改進是從屬權利要求的主題。

下文中呈現的方法和系統可被用于工作環境的保護。此情形中的工作環境表示計算機網絡中為個體用戶或個體用戶群設計的計算機系統。作為示例，公司的雇員可使用工作環境以便執行其商務相關的職責。工作環境可包括連接至通信網絡的一個或多個工作場所計算機，例如PC、工作站、筆記本、PDA和/或智能電話。通信網絡可以是有線網絡，例如借助于使用以太網、USB或電纜等。通信網絡可以是無線網絡，例如借助于使用WLAN、WiFi、藍牙、紅外或移動通信標準(諸如LTE、UMTS、GSM等)。

下文中呈現的方法和系統可被用于保護計算機網絡(尤其是計算機網絡中的工作環境)不受來自僵尸網絡的攻擊，尤其是DDoS攻擊、垃圾郵件攻擊、數據盜竊攻擊、網絡釣魚攻擊、惡意軟件的擴散、按鍵記錄、不期望的軟件安裝、身份竊取、計算機網絡的操縱等。

下文中呈現的方法和系統可被用于信息技術(IT)領域中。信息技術是關于信息和數據處理以及出于此目的所需要的硬件和軟件的一般術語。公司的信息技術包括用于生成、處理和轉發信息的所有技術裝備。

下文中呈現的方法和系統可以是不同的類型。所描述的個體元件可由硬件或軟件組件提供，例如可以通過各種技術制造的電子元件，并且例如包括半導體芯片、ASIC、微處理器、數字信號處理器、集成電子電路、電子光學電路和/或無源組件。

本發明所基于的基本概念是：根據蜜罐概念、基于攻擊者的定向吸引力(即基于模仿對于攻擊者而言有價值的特定工作環境的網絡安全性元件)來檢測計算機網絡上的可能或即將發生的攻擊。在攻擊者嘗試訪問這一仿真的工作環境的同時，系統可由此記錄由攻擊者執行的活動，并且在此基礎上可以建立攻擊或者攻擊者的特性。可以藉由這些特性來檢測和/或阻止類似的攻擊。

根據第一方面，本發明涉及一種用于檢測對連接至通信網絡的工作環境的攻擊的方法，該方法包括以下步驟：借助連接至通信網絡的網絡安全性元件來電子地仿真工作環境；在該網絡安全性元件處注冊網絡話務；將經注冊的網絡話務與預定義的網絡話務進行比較；以及在該經注冊的網絡話務與該預定義的網絡話務之間有偏差的情況下觸發第一攻擊警告信號。

此種方法的優點在于，作為通過網絡安全性元件來對工作環境進行仿真的結果，攻擊者被引誘成使他的攻擊指引到網絡安全性元件，并且因此保護了真正的工作環境。網絡安全性元件處的網絡話務可因此被注冊以及分析。與預定義的網絡話務的比較提供對于標識指示攻擊的不規律性的簡單可能性。此種方法的優點因此是關于真正工作環境的保護效果以及在檢測到對工作環境的攻擊和警告所述攻擊時敏捷地響應的能力