用于检测对连接至通信网络的工作环境的攻击的方法技术

本发明专利技术涉及一种用于检测对连接至通信网络(115)的工作环境(101)的攻击的方法(600)，该方法(600)具有以下步骤：借助连接至通信网络(115)的网络安全性元件(103)来电子地仿真(601)工作环境(101)；在该网络安全性元件(103)处记录(602)网络话务(202)；将经注册的网络话务(202)与预定义的网络话务(204)进行比较(603)；以及在所记录的网络话务(202)与预定义的网络话务(204)之间有偏差的情况下触发(604)第一攻击警告信号(110)。

【技术实现步骤摘要】
【国外来华专利技术】用于检测对连接至通信网络的工作环境的攻击的方法本专利技术涉及一种用于检测对连接至通信网络的工作环境的攻击的方法，并且涉及用于标识这种类型的攻击的包括工作环境和工作安全性元件的网络安全性系统。攻击者可能感兴趣的敏感数据往往存储在公司中的工作场所计算机系统上或者工作环境或工作场所环境上。作为恶意程序渗透到公司自己的计算机网络中的结果或者作为针对合适人群(例如，公司的董事会或者重要的公众成员)的工作环境进行窥探的结果，公司的秘密被窃取往往不被注意。在此情形中，为特定使用个体定制的自主开发的恶意程序有时被用于此类攻击并且不由市场上可获得的杀毒软件产品检测到或者仅很晚才由这类产品检测到。公司内有潜在风险的人群实际上可能成为数字间谍攻击的潜在受害者；然而，准确的情形(诸如地点、时间、和形式)往往是未知的。本专利技术的目的由此涉及检测计算机网络中的攻击，尤其涉及对计算机网络的工作场所计算机系统的攻击。此目的通过独立权利要求的特征来达成。有利的改进是从属权利要求的主题。下文中呈现的方法和系统可被用于工作环境的保护。此情形中的工作环境表示计算机网络中为个体用户或个体用户群设计的计算机系统。作为示例，公司的雇员可使用工作环境以便执行其商务相关的职责。工作环境可包括连接至通信网络的一个或多个工作场所计算机，例如PC、工作站、笔记本、PDA和/或智能电话。通信网络可以是有线网络，例如借助于使用以太网、USB或电缆等。通信网络可以是无线网络，例如借助于使用WLAN、WiFi、蓝牙、红外或移动通信标准(诸如LTE、UMTS、GSM等)。下文中呈现的方法和系统可被用于保护计算机网络(尤其是计算机网络中的工作环境)不受来自僵尸网络的攻击，尤其是DDoS攻击、垃圾邮件攻击、数据盗窃攻击、网络钓鱼攻击、恶意软件的扩散、按键记录、不期望的软件安装、身份窃取、计算机网络的操纵等。下文中呈现的方法和系统可被用于信息技术(IT)领域中。信息技术是关于信息和数据处理以及出于此目的所需要的硬件和软件的一般术语。公司的信息技术包括用于生成、处理和转发信息的所有技术装备。下文中呈现的方法和系统可以是不同的类型。所描述的个体元件可由硬件或软件组件提供，例如可以通过各种技术制造的电子元件，并且例如包括半导体芯片、ASIC、微处理器、数字信号处理器、集成电子电路、电子光学电路和/或无源组件。本专利技术所基于的基本概念是：根据蜜罐概念、基于攻击者的定向吸引力(即基于模仿对于攻击者而言有价值的特定工作环境的网络安全性元件)来检测计算机网络上的可能或即将发生的攻击。在攻击者尝试访问这一仿真的工作环境的同时，系统可由此记录由攻击者执行的活动，并且在此基础上可以建立攻击或者攻击者的特性。可以藉由这些特性来检测和/或阻止类似的攻击。根据第一方面，本专利技术涉及一种用于检测对连接至通信网络的工作环境的攻击的方法，该方法包括以下步骤：借助连接至通信网络的网络安全性元件来电子地仿真工作环境；在该网络安全性元件处注册网络话务；将经注册的网络话务与预定义的网络话务进行比较；以及在该经注册的网络话务与该预定义的网络话务之间有偏差的情况下触发第一攻击警告信号。此种方法的优点在于，作为通过网络安全性元件来对工作环境进行仿真的结果，攻击者被引诱成使他的攻击指引到网络安全性元件，并且因此保护了真正的工作环境。网络安全性元件处的网络话务可因此被注册以及分析。与预定义的网络话务的比较提供对于标识指示攻击的不规律性的简单可能性。此种方法的优点因此是关于真正工作环境的保护效果以及在检测到对工作环境的攻击和警告所述攻击时敏捷地响应的能力根据一个实施例，网络话务的注册包括注册至网络安全性元件的访问速率，并且经注册的网络话务与预定义的网络话务的比较包括将经注册的访问速率与预定义的访问速率进行比较。优点是预定义的访问速率可以通过例如在统计上分析工作环境的典型用户的活动来容易地确定。如果存在对工作环境或网络安全性元件的攻击，则访问速率由此显著地上升，这可被容易地和可靠地确定。根据一个实施例，工作环境的电子仿真包括仿真不受保护的工作环境，该不受保护的工作环境包括与安装在工作环境上的软件相同的软件的至少一些部分。这具有的优点是：攻击者随后找到网络安全性元件上的相同软件并且相信这是他感兴趣的工作场所环境。攻击者将由此在相信这是真正工作场所环境的情况下将他的活动指引到探索网络安全性元件。根据一个实施例，保护了工作环境并且电子仿真包括模拟不受保护的工作环境，这具有的优点是：对不受保护的工作环境的模拟从受保护的(诸)工作环境偏转并且可以吸引攻击者。根据一个实施例，网络连接元件介于工作环境与通信网络之间，以及网络监视元件连接至网络连接元件，并且该方法包括将网络连接元件处的网络话务复制到网络监视元件。这具有的优点是：来自和去往工作环境的总网络话务经由网络连接元件来传递，其中该话务可被容易地复制并且可以被提供给网络监视元件以供进一步分析。攻击者被指引到工作环境的所有活动可由此由网络监视元件注册。根据一个实施例，该方法包括借助网络监视元件在网络连接元件处注册网络话务；以及如果在网络连接元件处注册的网络话务中标识出异常，则触发第二攻击警告信号。这具有的优点是：第二攻击警告信号是独立于第一攻击警告信号生成的并且因此攻击甚至被更加可靠地检测。第二攻击警告信号基于对网络连接元件处的网络话务(即，上级网络话务)中的异常的标识，而第一攻击警告信号基于网络安全性元件处的基于工作场所的网络话务与预定义的网络话务(即，参考网络话务)的比较。根据一个实施例，对异常的标识是基于对经注册的网络话务中的不正常搜索操作的检测的。这具有的优点是：对不正常搜索操作的检测可靠地指示正在进行中或即将发生的攻击。计算机网络的计算机持续地生成大量的警告警报，例如在非功能性的软件更新的情况下、在处理器过载时、在软件的更新还未被执行时，在口令已经被错误地输入时、在暂时不可能访问因特网时、在不可能访问特定数据时等。这些警告警报是由计算机网络在操作期间较频繁或者较不频繁地发生的特定异常导致的，并且这些特定异常通常为了被补救而需要用户的交互。相反，不正常的搜索操作不是典型的系统功能。它们将被评估为是严重的，并且指示计算机的误用。基于以此方式检测到的不正常搜索操作可以可靠地检测攻击。根据一个实施例，该方法包括在标识出异常的情况下，实时地记录网络连接元件处注册的网络话务。这具有的优点是：只要异常指示即将发生的攻击，攻击者的活动就可以被立即记录和分析。安全性系统可以快速行动并且响应时间非常短。根据一个实施例，该方法包括基于第一攻击警告信号和第二攻击警告信号来生成警告警报。这具有的优点是：警告警报在其基于独立于彼此的两个特定攻击警告信号(具体而言，第一攻击警告信号和第二攻击警告信号)时特别可靠。根据一个实施例，警告警报的生成还基于来自通信网络的其他工作环境的进一步攻击警告信号。在警告警报的生成还基于来自通信网络的其他工作环境的进一步攻击警告信号时，警告警报更加可靠，因为使用了进一步的信息。根据一个实施例，该方法还包括在第一攻击警告信号被触发时，借助日志服务器将网络安全性元件处的经注册的网络话务记入日志；并且在第二攻击警告信号被触发时，借助该日志服务器将网络连接元件处的经注册的网络话务本文档来自技高网...

【技术保护点】
一种用于检测对连接至通信网络(115)的工作环境(101)的攻击的方法(600)，所述方法(600)包括以下步骤：借助连接至所述通信网络(115)的网络安全性元件(103)来电子地仿真(601)所述工作环境(101)；在所述网络安全性元件(103)处注册(602)网络话务(202)；将经注册的网络话务(202)与预定义的网络话务(204)进行比较(603)；以及在所述经注册的网络话务(202)与所述预定义的网络话务(204)之间有偏差的情况下触发(604)第一攻击警告信号(110)。

【技术特征摘要】
【国外来华专利技术】2014.07.11 EP 14176736.81.一种用于检测对连接至通信网络(115)的工作环境(101)的攻击的方法(600)，所述方法(600)包括以下步骤：借助连接至所述通信网络(115)的网络安全性元件(103)来电子地仿真(601)所述工作环境(101)；在所述网络安全性元件(103)处注册(602)网络话务(202)；将经注册的网络话务(202)与预定义的网络话务(204)进行比较(603)；以及在所述经注册的网络话务(202)与所述预定义的网络话务(204)之间有偏差的情况下触发(604)第一攻击警告信号(110)。2.根据权利要求1所述的方法(600)，其特征在于，所述网络话务(202)的所述注册(602)包括注册至所述网络安全性元件(103)的访问速率；以及其中所述经注册的网络话务(202)与所述预定义的网络话务(204)的所述比较(603)包括将经注册的访问速率与预定义的访问速率进行比较。3.根据权利要求1或权利要求2所述的方法(600)，其特征在于，所述工作环境(101)的所述电子仿真(601)包括仿真不受保护的工作环境(101a)，所述不受保护的工作环境(101a)包括与安装在所述工作环境(101)上的软件相同的软件的至少一些部分。4.根据前述权利要求中任一项所述的方法(600)，其特征在于，网络连接元件(105)介于所述工作环境(101)与所述通信网络(115)之间，并且其中网络监视元件(107)连接至所述网络连接元件(105)；以及其中所述方法(600)包括将所述网络连接元件(105)处的网络话务复制到所述网络监视元件(107)。5.根据权利要求4所述的方法(600)，其特征在于，进一步包括：借助所述网络监视元件(107)在所述网络连接元件(105)处注册所述网络话务(302)；以及如果在所述网络连接元件(105)处注册的所述网络话务(302)中标识出异常(304)，则触发第二攻击警告信号(112)。6.根据权利要求5所述的方法(600)，其特征在于，所述异常(304)的所述标识是基于对经注册的网络话务(302)中的不正常搜索操作的检测的。7.根据权利要求5或权利要求6所述的方法(600)，其特征在于，包括：在标识出所述异常(304)的情况下，实时地记录在所述网络连接元件(105)处注册的所述网络话务(302)。8.根据权利要求5到7中任一项所述的方法(600)，其特征在于，包括：基于所述第一攻击警告信号(110)和所述第二攻击警告信号(112)来生成警告警报(114)。9.根据权利要求8所述的方法(600)，其特征在于，所述警告警报(114)的所述生成还基于来自所述通信网络(115)的其他工作环境的进一步攻击警告信号。10.根据权利...

【专利技术属性】
技术研发人员：M·奥克塞，
申请(专利权)人：德国电信股份有限公司，
类型：发明
国别省市：德国,DE