用于操作數據處理系統的方法和用于處理無線通信的設備的制作方法

專利名稱：用于操作數據處理系統的方法和用于處理無線通信的設備的制作方法
技術領域：
本發明涉及一種改進的數據處理系統，具體來講，涉及一種用于計算機安全的方法和設備。
背景技術：
互聯網的連通性給惡意用戶提供了在全世界范圍內刺探數據處理系統并對計算機網絡發動攻擊的能力。盡管計算機安全工具提供用于限制惡意用戶引起對計算機系統的危害的能力的防御機制，但計算機管理員在其使用攻擊性機制的能力上法定地受到限制。盡管入侵檢測系統能夠告警管理員有可疑活動，以致該管理員能夠采取行動以追蹤該可疑活動，并更改系統和網絡來防止安全破壞，但這些系統典型地僅能夠聚集有關可能的安全事件的信息。
蜜罐(Honeypot)已經作為一種工具被開發，以幫助計算機安全分析員和管理員在極小的程度上對付惡意計算機活動。蜜罐已被定義為具有被刺探、攻擊、或損害的值的資源。資源可以是一個應用程序、對象、文檔、版面、文件、其它數據、可執行代碼、其它計算資源、或某個其它類型的通信型資源。例如，蜜罐可包括服務器的網絡；蜜罐服務器有時被稱為誘捕服務器。
典型的蜜罐為一個計算機服務器，其具有有限的或無產值；換句話說，典型的蜜罐除了監控活動以外，在企業內不進行重要的工作。既然蜜罐不具有重要的產值，其重要價值在于它扮演引誘惡意的用戶或電腦黑客來刺探或攻擊它的誘餌的角色的事實。同時，希望惡意用戶將忽略在企業內具有真實價值的生產系統。另外，蜜罐收集有關刺探或攻擊的信息。從這點來看，蜜罐提供具有很小的攻擊性能力的工具，理想地，蜜罐維持惡意用戶的興趣，以致能夠聚集有關該惡意用戶的操作的方法以及是否發現了需要即刻的管理關注的任何計算機安全缺陷的重要信息。
通常采取預防性措施，以致惡意用戶不會發現蜜罐的真實本質；否則，該惡意用戶將忽略蜜罐并且開始刺探其它系統。例如，通常采取步驟在計算機網絡內隱藏有關蜜罐存在的任何管理信息，以致惡意用戶不會捕獲和讀取該蜜罐的配置，例如，活動日志或特別的文件名。因此，配置蜜罐作為具有少許活動的相對簡單的系統是一個普遍實踐，以致老練的、惡意用戶不會探測到可引導這種類型的用戶懷疑正被刺探的系統為蜜罐的任何活動。為了這個原因，典型地將蜜罐脫機，以管理地分析和手動重新配置。當提供一些效用時，典型的蜜罐保持為具有有限效用的被動工具。
大部分計算機安全事件由惡意用戶通過互聯網發動，其在惡意用戶和正被刺探或攻擊的計算機資源之間提供心理和物理緩沖區。盡管通過物理地遠離被惡意地作為窺探目標的計算機資源典型的惡意用戶獲得一些優勢，但計算機安全分析員和管理員也從惡意用戶獲得一些利益。當刺探或攻擊目標計算機資源時，可以以某些方式記載通過惡意用戶和目標計算機之間的中間網絡的物理網絡連接和/或較高水平的通信會話，從而產生該惡意用戶行動的電子證據。然而，當惡意用戶更加直接地通過無線網絡將計算資源作為目標時，來自中間網絡和通信會話的電子證據是有些簡化的；這潛在地既是有利的，又是不利的，因為電子證據的數量和范圍被簡化了。
盡管通過物理網絡可以更經常地發動計算機安全事件，通過那些無線網絡對計算機資源的刺探和攻擊已經伴隨著無線網絡的日益普遍部署而來，且當應付基于無線網絡的刺探和攻擊時，計算機安全分析員和管理員面臨無線特定的優勢和劣勢。即使無線網絡提供一些優勢，因為用戶從物理連接斷開，無線網絡的部署也引進安全漏洞。這種情形經常地存在，因為制造商典型地安裝已被配置的無線網絡裝置，以致大部分用戶能夠迅速并容易地設置無線網絡；然而，這些初始配置一般是不安全的。不幸地，無線網絡常常保持為以不安全的配置部署。能夠實行許多措施，來提高無線網絡的安全性，但是依靠惡意用戶所投入的努力的總量，堅定的惡意用戶仍然可以通過其無線接入點獲得對無線網絡的訪問。因此，由于不經意地提高的惡意用戶刺探或攻擊通過那些無線網絡可接入的計算機資源的能力，計算機資源變得更加易受攻擊。
因此，以更具攻擊性的角色使用蜜罐，用于幫助系統管理員探測惡意活動，將是很有利的。實現無線蜜罐，用于探測通過無線網絡發動的惡意活動，將是特別有利的。

發明內容
呈現了一種方法、系統、設備、或計算機程序產品，用于在動態和可配置的基礎上變體或改變無線蜜罐系統的特征。根據關于無線協議中可配置參數的用戶指定的值，配置無線接入點裝置，以使用該無線協議。響應該無線接入點裝置的所探測的操作條件，獲得可配置規則，用于改變關于該無線協議中一個或多個可配置參數的一個或多個值。根據可配置規則和無線接入點裝置的所探測的操作條件，自動地改變關于無線協議中的可配置參數的值。操作條件可包括客戶機對存儲在SSIDA的歷史數據庫中的SSID或當前正由無線接入點裝置用于偽無線通信的SSID的使用。操作條件可包括客戶機對存儲在加密密鑰的歷史數據庫中的加密密鑰或當前正由無線接入點裝置用于偽無線通信的加密密鑰的使用。


在所附權利要求中闡明了本發明的新穎特點和所公認的特征。當結合附圖，參考下列詳細描述，將極好地理解本發明本身及其進一步的目的和優勢，其中圖1A描繪其中可以實現本發明的典型的分布式數據處理系統；圖1B描繪其中可以實現本發明的數據處理系統內可以使用的典型的計算機結構；圖2描繪關于已知漏洞的數據庫的一組大小；圖3描繪關于典型的蜜罐的操作的一組模式的示圖；圖4描繪關于本發明的變體蜜罐的操作的一組模式的示圖；圖5A描繪根據本發明的實施例，可以在支持變體蜜罐的系統內使用的一組組件或模塊的框圖；圖5B描繪根據本發明的實施例，可以在支持無線變體蜜罐的系統內使用的一組組件或模塊的框圖；圖6描繪關于用于操作變體蜜罐，以報導可疑的刺探事件，以及用于自動地改變由變體蜜罐所展現的漏洞的全部過程的流程圖；圖7A描繪用于根據所監控的條件，動態地確定何時改變指示變體蜜罐具有易受攻擊的特征的信息的流程圖；圖7B描繪用于根據所監控的條件，動態地確定何時改變指示無線變體蜜罐具有易受攻擊的特征的信息的更明確的流程圖；
圖8A描繪示出可以在變體蜜罐的操作期間被評估的一些監控條件的流程圖；圖8B描繪示出可以由無線變體蜜罐所考慮的一些監控條件的更明確的流程圖；圖9描繪示出用于根據事件通知，動態地確定何時改變指示蜜罐具有易受攻擊的特征的信息的過程的流程圖；以及圖10描繪闡明可以其使用無線變體蜜罐，以便物理地定位并追蹤可正試圖使用無線協議中的已知漏洞來刺探企業的計算資產的可疑客戶機裝置的方式的框圖。
具體實施例方式
通常，可包含或涉及本發明的裝置包括多種數據處理技術。因此，作為背景技術，在更加詳細地描述本發明之前，描述分布式數據處理系統內硬件和軟件組件的典型組織。
現在參照附圖，圖1A描繪數據處理系統的典型網絡，其每一個可以實現本發明的一部分。分布式數據處理系統100包含網絡101，其為分布式數據處理系統100內可以用來提供不同的裝置和連接在一起的計算機之間的通信鏈接的媒介。網絡101可包括如電線或光纖電纜的永久連接，或者通過電話或無線通信形成的臨時連接。在所描繪的例子中，服務器102和服務器103，連同存儲單元104，都連接到網絡101。另外，客戶機105-107也連接到網絡101。客戶機105-107和服務器102-103可以由多種計算裝置來代表，例如大型機、個人計算機、個人數字助手(PDA)，等等。分布式數據處理系統100可包括未示出的另外的服務器、客戶機、路由器、其它裝置，以及對等結構。
在所描繪的例子中，分布式數據處理系統100可包括具有網絡101的因特網，代表使用不同的協議來彼此通信的網絡和網關的世界性聚集的互聯網，例如輕權目錄訪問協議(LDAP)、傳輸控制協議/因特網協議(TCP/IP)、文件傳輸協議(FTP)、超文本傳輸協議(HTTP)、無線應用協議(WAP)，等等。當然，分布式數據處理系統100也可包括許多不同類型的網絡，例如，網絡、局域網(LAN)、或廣域網(WAN)。例如，服務器102直接支持客戶機109和網絡110，其并入無線通信鏈接。網絡使能電話111通過無線鏈接112連接到網絡110，以及PDA113通過無線鏈接114連接到網絡110。電話111和PDA113也能夠使用適當的技術通過無線鏈接115在它們之間直接傳遞數據，例如藍牙(Bluetooth)無線技術，以創建所謂的個人域網(PAN)或個人自組網。以類似的方式，PDA113能夠通過無線通信鏈接116傳遞數據至PDA107。
能夠在多種硬件平臺上實現本發明；圖1A意欲作為不同種類計算環境的例子，而不作為關于本發明的結構上的限制。
現在參照圖1B，其描繪典型的計算機數據處理系統結構，所述數據處理系統如圖1A中所示的那些一樣，可以實現本發明。數據處理系統120包含一個或多個連接到內部系統總線123的中央處理單元(CPUs)122，該內部系統總線123使隨機存取存儲器(RAM)124、只讀存儲器126、和輸入/輸出適配器128互相連接，該輸入/輸出適配器128支持不同的I/O裝置，例如打印機130、磁盤單元132、或其它未示出的裝置，例如音頻輸出系統，等等。系統總線123也連接提供對通信鏈接136訪問的通信適配器134。用戶接口適配器148連接不同的用戶裝置，例如鍵盤140和鼠標142；或者其它未示出的裝置，例如觸摸屏、唱針、麥克風，等等。顯示適配器144連接系統總線123到顯示裝置146。
本領域普通技術人員將理解到，圖1B中的硬件可以依賴于系統實現而改變。例如，該系統可具有一個或多個處理器，例如基于英特爾奔騰(IntelPentium)的處理器和數字信號處理器(DSP)，以及一個或多個類型的易失性或非易失性存儲器。除圖1B中所描繪的硬件之外，或代替圖1B中所描繪的硬件，可以使用其它外圍裝置。所描繪的例子并不意味著暗指關于本發明的結構上的限制。
除了能夠在多種硬件平臺上實現之外，本發明還可以在多種軟件環境中實現。可以使用典型的操作系統來控制每個數據處理系統內的程序執行。例如，一個裝置可運行Unix操作系統，而另一個裝置則包含簡單的Java運行時間環境。代表性的計算機平臺可包括瀏覽器，其為熟知的用于訪問各種格式的超文本文檔的軟件應用，例如圖形文件、文字處理文件、可擴展標記語言(XML)、超文本標記語言(HTML)、手持設備標記語言(HDML)、無線標記語言(WML)、以及不同其它格式和類型的文件。
可以在多種硬件和軟件平臺上實現本發明，如上文關于圖1A和圖1B所描述的。然而更準確地說，本發明用以操作變體蜜罐(morphing honeypot)，將結合剩下的附圖對其更加詳細地描述。
現在參照圖2，附圖描繪關于已知漏洞(vulnerability)的典型數據庫的一組大小。眾所周知，能夠通過經驗觀測，編譯已知漏洞的數據庫。能夠將有關多重操作系統202的信息連同由操作系統支持執行的一組相關聯的服務204一起，存儲在漏洞數據庫中。在使用不同的代碼庫的不同操作系統下，實現特殊類型的服務，例如FTP服務器，并且特殊類型服務的每次實現都具有其自身的一組已知漏洞206。服務中的漏洞典型地通過事故、通過經由合法測試程序的反復試驗、或者通過經由惡意嘗試以破壞服務的反復試驗，來發現該服務中的漏洞。與這些漏洞相關的信息在不同的用戶組或組織中存儲、編譯、以及共享；試圖保護系統免于漏洞的人常常被稱為“白客”，而試圖通過挖掘漏洞以損害系統的人常常被稱為“黑客”。
例如，當在請求消息或數據包內發送特殊參數的無效值(或者關于多個參數的一組值，其中值的組合卻以某種方式無效時)至特殊服務時，或者意外地或者惡意地，漏洞可能被發現。當該服務試圖處理包含該無效值的消息或數據包時，該服務可表現為不穩定或錯誤地，這可能因為沒有編程序以處理由該無效值引起的異常。該服務的不正確行為在操作系統或一般性的系統內引起某些形式的問題，可能迫使該操作系統進行某些形式的異常處理。在某些情形，漏洞采用一種緩沖區溢出技術，其中服務接受溢出該存儲緩沖區的大量數據，該服務捕獲進入的數據至該存儲緩沖區。然而，進入的數據實際上是接收系統的可執行代碼，并且操縱該系統進入執行所接收的可執行代碼。在某些情形，能夠操縱系統進入辨認所接收的可執行代碼為該服務自身的可執行代碼。假設事實為因為它是系統級的服務，所以服務常常在操作系統下以較高的優先權級別或者以專門的特權執行，所接收的可執行代碼此后能夠以系統級別的特權進行極大范圍內的可具有破壞性后果的操作。從那點向前，惡意用戶可以拷貝機密信息、破壞數據、重新配置系統、隱藏所謂的后門程序、并進行多種其它惡毒活動。
特殊的漏洞存在于特殊的操作系統和服務內。更準確地說，因為操作系統和服務不斷地通過修補漏洞的補丁得以改良，或者升級以包含新的特征；所以特殊的漏洞存在于操作系統的特殊版本和/或服務的特殊版本中。因此，挖掘漏洞的特殊技術相對于有限數量的操作系統和服務的配置，可能僅只相對于操作系統的特殊版本上的服務的特殊版本的唯一結合而言是成功的。
假設用于挖掘已知漏洞的特殊技術僅針對某一系統配置是成功的，惡意用戶通常試圖刺探特殊的服務。在識別操作系統的特殊版本、在所刺探的系統處的服務的特殊版本、或其它信息的嘗試中，通過發送給服務一組消息或不良數據包，并且然后觀察和分析響應來典型地刺探服務。在某些情形中，在響應中清楚地提供這種信息。在其它情形，通過將這些值與已知為由特殊的服務或服務的版本返回的值相匹配從自系統返回的參數的值中搜集這種信息。在任何情形，特殊系統的響應所返回的信息提供有關那個系統的配置的信息，并且假設事實上操作系統和/或相關聯的服務的特殊配置可具有漏洞，特殊系統的響應所返回的信息也提供有關那個系統的易受攻擊的特征的信息。系統的易受攻擊的特征的集合能夠被稱為該系統的個性；換句話說，響應某些請求，系統展示某些行為的方式包含該系統的個性。
將來自服務響應的內容與已知值相匹配的過程稱為“指紋”識別。這些已知值也已經被編譯成數據庫，并且存在不同的設施，用于對系統進行“指紋”識別。為了識別系統提供有關其易受攻擊的特征的信息的事實，這些“指紋”識別設施能夠被用于合法的目的；或者為了收集有關惡意用戶期望攻擊的系統的信息，這些“指紋”識別設施能夠被用于惡毒的活動。假設惡意用戶通常期望逃避關于非法活動的探測和起訴，則惡意用戶典型地在攻擊系統之前刺探該系統，以致該惡意用戶能夠確定該系統是否具有能夠被挖掘的漏洞。否則，該惡意用戶就會冒關于發動不能成功的攻擊的探測和起訴的危險。在接收到有關系統的特殊的易受攻擊的特征的信息之后，該惡意用戶能夠通過對該系統的攻擊選擇用于挖掘該系統的易受攻擊的特征的特殊技術。
優于通過發送特殊請求主動地對系統進行“指紋”識別，也能夠通過觀察或追蹤對合法請求的響應被動地對系統進行“指紋”識別。另外，“指紋”識別也能夠以相反的方式工作，通過反轉的“指紋”識別過程，追蹤來自系統的請求。通過分析進入的請求消息或數據包內的參數值，識別請求系統的配置信息是可以的。而且，因為一個給定的、公開可利用的“指紋”識別設施操作的方式是眾所周知的，所以通過在其“指紋”識別操作期間產生不良請求或數據包的方式，識別“指紋”識別設施也是可以的。
現在參照圖3，其描繪關于典型蜜罐的操作的一組模式。關于蜜罐的典型生命周期能夠歸類為一系列操作階段或一系列操作模式。管理員用戶在配置階段期間(步驟302)配置蜜罐，其可包括依賴于將被操作的特殊蜜罐的多種步驟。在初始化之后，在仿真階段內(步驟304)，蜜罐開始操作，在該仿真階段期間，仿效一個或多個服務，而同時收集和記載有關對那些服務的請求的信息。在一段時間之后，使得蜜罐脫機，且然后在分析階段期間(步驟306)，檢查所記載的信息。分析可以包括在仿真階段期間，系統被刺探的確定。在任何情形，管理員用戶確定在重新配置階段期間(步驟308)是否應該改變蜜罐的配置，例如響應先前的刺探。在進行任何所需要或期望的重新配置之后，重新使得蜜罐聯機，并且只要管理員認為需要，該周期循環重復。
現在參照圖4，附圖描繪關于本發明的變體蜜罐的操作的一組模式。以與圖3所示的過程類似的方式，變體蜜罐經歷配置階段(步驟402)。然而，與圖3中所示的過程對比，當分析操作(步驟406)連同自動重新配置操作(步驟408)一起自動地進行時，關于本發明的變體仿真階段(步驟404)繼續，下文將更加詳細地解釋。
現在參照圖5A，方框圖描繪根據本發明的實施例，可以在支持變體蜜罐的系統內使用的一組組件或模塊。惡意用戶500扮演刺探、攻擊、或危害變體蜜罐502的角色，該變體蜜罐502在這個例子中仿效兩種不同的服務動態可配置被仿效的服務504和動態可配置被仿效的服務506。由變體蜜罐仿效的該組服務代表基礎系統上的一類表面(facade)。該表面可包括惡意用戶可利用以檢索和/或操縱的虛擬目錄和文件。對于被仿效的服務所接收的每個請求，該被仿效的服務產生包含有關變體蜜罐502的信息的響應。以生產系統所期望的方式，變體蜜罐的被仿效的服務呈現有關該變體蜜罐易受攻擊的特征的信息，好像它是支持操作系統的特殊版本連同在那個操作系統上執行的服務的特殊版本的一個生產系統。換句話說，響應由那些被仿效的服務所接收的請求，由被仿效的服務所返回的信息允許惡意用戶500對該被仿效的服務進行“指紋”識別。響應對變體蜜罐502上的被仿效的服務進行“指紋”識別，該惡意用戶將確定具有類似“指紋”的其它系統所典型地擁有的一個或多個漏洞，在其之后，惡意用戶500可發動指向那些漏洞的攻擊。
依賴于操作系統和在變體蜜罐502上執行的相關聯的一組服務，變體蜜罐502可以或者不可以真實地擁有所指示的漏洞的任何一個。然而，所返回的信息將被惡意用戶解釋為指示該變體蜜罐上的一組易受攻擊的特征。
通過一組參數配置每個被仿效的服務，例如關于被仿效的服務504的配置數據集508和關于被仿效的服務506的配置數據集510；每組都指示相關聯的被仿效的服務的行為。由于每個被仿效的服務都響應請求，服務的活動被記載，或者局部地載入局部數據集中，例如用于被仿效的服務504的活動日志數據集512和用于被仿效的服務506的活動日志數據集514，或者通過活動記載模塊518系統范圍地載入活動日志數據庫516。活動日志或數據集可具有有關由變體蜜罐502支持的任何服務所接收的任何請求的內容的信息，包括被仿效的服務504和506，那些請求接收的時間和條件，以及有關由被仿效的服務或變體蜜罐總體上所采取的行動的信息，包括關于給定的請求所返回的響應。也可以記載其它活動，例如代表管理員用戶通過管理接口模塊520所進行的任何操作，管理接口模塊520可僅僅只是控制變體蜜罐502的管理設施的一個接口，或者可包括用于扮演控制變體蜜罐502的管理設施的角色的功能。
管理接口模塊520允許管理員用戶來管理變體蜜罐502的操作以及在變體蜜罐502所使用的任何數據庫內存儲的信息，例如活動日志數據庫516、漏洞數據庫522、和變體蜜罐配置數據庫524。可以由變體蜜罐502創建漏洞數據庫522，或者可以通過其它方法獲得漏洞數據庫522；例如，如上文所描述的，可以通過其它設施或工具產生漏洞數據庫，或者可以從用戶組或可能從傳播有關計算機安全警告信息的安全信息中心，例如由卡內基梅隆大學運作的CERT協調中心(CERT/CC)獲得漏洞數據庫。漏洞數據庫可具有不同形式的信息；漏洞數據庫522被組織為包含漏洞元組526，其每一個包括操作系統528的一個版本的指示、計算機服務530的一個版本的指示、以及關于該操作系統相關聯的版本和計算機服務相關聯的版本的已知漏洞532的指示。
變體蜜罐配置數據庫524包含監控條件規則534、漏洞改變規則536、和用戶選擇參數538，其由變體蜜罐結合數據庫內的規則使用或者以某些其它方式使用。通過管理接口模塊520，管理員用戶可以操縱、創建、或刪除監控條件規則534和漏洞改變規則536。監控管理器540使用規則引擎542在監控條件規則534內評估表達，以在被仿效的服務內探測用戶指定的監控條件。在探測到用戶指定的監控條件之后，監控管理器540使用規則引擎542在漏洞改變規則536內評估表達，以確定將要由被仿效的服務呈現的下一組易受攻擊的特征。監控管理器540從漏洞數據庫522中獲得那組易受攻擊的特征的信息，即，將由被仿效的服務呈現的，用以指示變體蜜罐502擁有特殊漏洞的信息。該信息被寫入用于適當的被仿效的服務的適當配置數據集中；被仿效的服務然后將可配置信息放置在其關于所接收的請求所返回的響應中。
如上文所指出的，可通過多種方法發現計算機安全漏洞，并且可以假設有關漏洞的信息既傳播到惡意用戶，也傳播到計算機安全管理員。然而，在了解到了新近發現的漏洞之后不久，惡意用戶常常設法挖掘該新近發現的漏洞。
本發明的變體蜜罐向計算機系統管理員提供一種通過呈現有關新近發現的漏洞的信息作為該變體蜜罐的一個特征來提高該蜜罐對惡意用戶的吸引力的能力；目的是利用惡意用戶將要獵取具有新近發現的漏洞的系統的期望，將惡意用戶吸引到該變體蜜罐上。
另外，惡意用戶組傳播有關挖掘計算機漏洞的方式的信息。因此，許多惡意用戶設法在許多不同的系統上挖掘特殊的漏洞。而且，特殊的惡意用戶可在單一網絡內反復地設法在許多系統上利用特殊的漏洞。
本發明的變體蜜罐向計算機系統管理員提供一種通過呈現有關新近發現的漏洞的信息作為該變體蜜罐的一個特征來提高該蜜罐對惡意用戶的吸引力的能力；目的是利用惡意用戶在了解到該漏洞之后不久，將要搜尋具有新近發現的漏洞的系統的期望，將惡意用戶吸引到該變體蜜罐上。
作為可更多被利用的特點，本發明的變體蜜罐也向計算機系統管理員提供一種通過在確定惡意用戶已經試圖在不同的系統上利用相同的漏洞之后來呈現有關該變體蜜罐上的特殊漏洞的信息，而具有提高該蜜罐對惡意用戶的吸引力的能力。再次，目的是利用惡意用戶將繼續搜尋具有特殊漏洞的系統的期望，將惡意用戶吸引到該變體蜜罐上。
通過結合不同的方法，以獲得、檢索、或者接收在變體蜜罐外部產生的事件通知消息，本發明的變體蜜罐提供在這些場景提高其吸引力的能力。事件通知消息提供有關新近發現的漏洞或新近探測到的刺探或攻擊的消息；變體蜜罐配置其自身，以展示新近發現的漏洞或新近探測到的刺探或攻擊的特征，以試圖引誘惡意用戶在該變體蜜罐上活動。
變體蜜罐502包括進行一些類似于監控管理器540的操作的事件通知管理器544。事件通知管理器544將變體蜜罐502與能夠發送事件通知消息至變體蜜罐502的不同可配置事件探測系統結合。事件通知消息通知事件通知管理器544特殊類型的事件；事件通知消息的格式和內容可依賴于事件探測系統的類型。事件通知管理器544的行動和事件通知消息的接收也可以記入活動數據庫516；事件通知消息的數目和類型超時可導致變體蜜罐顯示的個性的改變。盡管圖5A示出一些不同來源的事件通知消息的例子，變體蜜罐還可以與多種或者指導變體蜜罐的操作或者幫助變體蜜罐操作的外部系統結合。
事件通知管理器544解釋事件通知消息，其可被加密及數字化標記，以保護其數據完整性。事件通知管理器544具有解析消息及過濾消息的能力。在一個實施例中，變體蜜罐502可以與事件通知消息的來源緊密結合；響應特殊事件通知消息的接收，變體蜜罐502響應事件通知消息內信息的接收，可改變其個性。換句話說，產生事件通知消息的源系統發送直接被監控管理器540所使用以控制被仿效的服務的信息。在這種場景，源系統已經確定要求變體蜜罐個性改變的條件，并且也可能已經確定變體蜜罐將要在被仿效的服務內呈現的新漏洞。事件通知管理器544使用事件通知消息內的信息作為將要被放置在被仿效的服務的配置數據集內的信息。
在一個可選擇的實施例中，事件通知管理器544以與監控管理器540內被滿足的監控條件所使用的類似方式使用事件通知消息內的信息，即，好似源系統已經確定了要求變體蜜罐個性改變的條件。然而，在這種場景，事件通知管理器544使用漏洞改變規則536來確定變體蜜罐將要在被仿效的服務內呈現的新漏洞。
在另一個實施例中，事件通知管理器544使用事件通知消息內的信息作為監控管理器540的輸入，然后當在監控條件規則內評估表達時，其使用該事件僅僅作為一個參數。在這種情形，事件的通知僅僅只是要求變體蜜罐個性改變的條件的一部分。在這種場景，監控管理器540使用漏洞改變規則536來確定當滿足監控條件規則時，變體蜜罐將要在被仿效的服務內呈現的新漏洞。
還有在另一個實施例中，事件通知管理器544使用事件通知消息內的信息作為用于在事件過濾規則546內評估表達的參數，其與監控條件規則類似，但是可主要應用于所探測的事件。因為所探測的事件可能為數眾多，所以為每一個所探測的事件都改變變體蜜罐的個性可能是不理想的，而僅依賴于事件的特殊結合的探測來改變變體蜜罐的個性可能是很理想的。事件過濾規則546提供用于確定響應事件通知消息何時改變變體蜜罐的個性的表達。
通過活動日志516內所記載的信息的分析，入侵探測系統552可探測網絡、系統、或應用內的可能入侵。例如，入侵探測系統552可代表監控系統的病毒滲透的反病毒應用。作為另一個例子，入侵探測系統552可為Cisco安全入侵探測系統的一個實例，其包括從直接源自網絡的數據中探測未經授權的活動的網絡嗅探器；Cisco安全入侵探測系統是可配置的，以向不同的目的地發送不同類型的告警/事件消息。
計算機安全事件信息中心554提供有關廣泛分布的計算機安全問題的警告和事件注釋，例如上文所提及的CERT協調中心(CERT/CC)。關于特殊的產業或組織，存在不同的計算機安全事件信息中心。例如，金融服務信息共享與分析中心(FS-ISAC)提供關于金融機構的電子安全威脅、漏洞、事故、和解決方案的產業范圍的數據庫。聯邦計算機事件響應中心(FedCIRC)是處理影響聯邦政府的內政機構和部門的計算機安全相關的問題的中心協調與分析設施機構。
可以從由計算機安全事件信息中心所維護的數據庫中，例如，CERT知識庫，檢索關于所識別的威脅和漏洞的事件通知消息。可選擇地，可以從計算機安全事件信息中心將事件通知消息廣播到感興趣的部門；為了接收事件通知消息，例如，CERT警告郵件列表，可要求變體蜜罐502向計算機安全事件信息中心注冊。與通過其被仿效的服務改變變體蜜罐個性的活動并行，響應來自計算機安全事件信息中心554的信息，事件通知管理器544可以更新變體蜜罐配置數據庫524或漏洞數據庫522。
風險管理系統556代表事件通知消息的另一個潛在來源。可能通過活動日志516內所記載的信息的分析，風險管理系統556具有關聯、評估、和增強來自許多不同類型的計算機安全傳感器如網絡入侵探測系統、反病毒傳感器、防火墻、或者其它傳感器的告警/事件的能力。一個風險管理系統的例子為IBM Tivoli風險管理器，其使通過應用、操作系統、和網絡裝置所產生的大量安全事件相互關聯并區分優先次序，以提供企業安全架構的全面審視。
圖5A中示出的本發明的范例實施例闡明了用于實現變體蜜罐的組件的一般組織。在一個更加明確的例子中，本發明的技術可以應用于無線環境中，例如，如圖5B中所示。應該注意到，盡管在下文所描述的本發明的例子基本上依賴于由電氣和電子工程師協會(IEEE)所創建的IEEE 802標準，尤其是無線LANs規范的802.11族，但可以使用多種無線通信協議和技術實現本發明，其中可以在無線變體蜜罐內，挖掘那些無線通信協議和技術的漏洞。另外，該無線變體蜜罐系統可以同時使用多個無線技術；可以實現一個或多個無線變體蜜罐，以支持不同無線技術的硬件要求。然而，應該注意到，部署無線變體蜜罐的企業并不一定需要對其活動無線網絡和無線變體蜜罐系統兩者都使用相同的無線技術；無線變體蜜罐系統可以以重疊的方式使用不同的無線技術。
現在參照圖5B，方框圖描繪根據本發明的一個實施例，可以在支持無線變體蜜罐的系統內所使用的一組組件或模塊。圖5B與圖5A類似，且相似的附圖標記指的是相似的元件；在圖5A中已示出，但是在圖5B中未示出的其它元件可以假設為已實現但是在圖5B中未示出。然而，圖5B不同于圖5A；根據本發明的一個不同的實施例，圖5B通過包括無線功能，以產生無線變體蜜罐，來闡明變體蜜罐更加明確的實施例，然而圖5A則闡明廣泛意義上的變體蜜罐的例子。通過無線數據傳遞，可由惡意用戶操作的可疑客戶機560扮演探測、攻擊、或危害無線變體蜜罐561的角色。
無線變體蜜罐561并不局限于監控下文所討論的漏洞。下文所討論的SSID和WEP漏洞為802.11協議所特定的，并且為了挖掘存在于其它無線技術內的其它漏洞，可以配置無線變體蜜罐，以擴展其性能。
另外，可以配置無線變體蜜罐，以挖掘普遍存在于許多無線技術中的其它漏洞。例如，許多無線技術支持包含MAC(媒體訪問控制)地址的網絡協議。大部分2層網絡協議使用由IEEE管理的三個編號間隔中的一個MAC-48TM、EUI-48TM、和EUI-64TM，其設計為全球唯一的，以致他們可以扮演關于網卡和其它網絡相關的裝置的唯一標識符的角色，盡管并不是所有的通信協議都使用MAC地址以及并不是所有的協議都要求這樣的全球唯一標識符。假設MAC地址存在于所支持的協議中，許多網絡接入裝置通過應用MAC地址過濾器在傳輸數據包內對MAC地址進行初步的安全檢查。通過維護被批準用于網絡上的裝置的已知MAC地址的列表或數據庫，網絡接入裝置能夠過濾數據包，以檢查每個數據包都包含一個公認的MAC地址。
然而，對于MAC地址過濾的依賴呈現一個簡單的漏洞。惡意用戶能夠通過在由惡意用戶的客戶機裝置所傳輸的數據包內騙取一個已知經批準的裝置的MAC地址，而迂回通過MAC地址過濾器。惡意用戶能夠通過嗅探已知經批準的裝置的無線數據傳輸，很容易地獲得已知經批準的裝置的MAC地址；該惡意用戶的可配置無線裝置于是使用所獲得的MAC地址，而不是最初分配給該無線裝置的MAC地址。因為惡意用戶的裝置的無線傳輸中的數據包隨后將包含公認的MAC地址，所以MAC地址過濾功能將不會標記或拒絕所接收的來自該惡意用戶的數據包。無論如何，除了如下文進一步更加詳細地討論的以及如圖5B所闡明的其它漏洞以外，本發明的大部分實現也都可以挖掘MAC地址漏洞。
無線變體蜜罐561使用802.11協議仿效模塊562仿效802.11無線協議。針對由802.11協議仿效模塊562所接收的每一個請求，被仿效的服務都產生一個響應；給定數據交換，將誤導惡意用戶認為該惡意用戶正操作可疑客戶機560以便與企業的活動無線網絡通信。換句話說，無線變體蜜罐561扮演無線接入點裝置或仿真器的角色，并且響應發現無線變體蜜罐561的無線接入點，為了試圖訪問文件或者可能發動指向網絡內其它漏洞的攻擊，可疑客戶機560的惡意用戶可能通過無線變體蜜罐561試圖訪問網絡。
可以以多種方式實現漏洞數據庫522；在圖5B所示的例子中，組織漏洞數據庫522，以包含漏洞元組526，其每一個都包括其中漏洞為可應用的操作系統的指示、具有可以被挖掘的漏洞的數據服務的版本的指示、以及關于該操作系統相關聯的版本和數據服務相關聯的版本的已知漏洞的指示。依賴于無線技術，不同操作系統上的不同軟件包可以以引進漏洞的方式實現其對于無線技術的支持，從而向無線變體蜜罐系統提供對于不同的操作系統呈現不同的漏洞的額外程度的可變性。
在圖5B所示的例子中，漏洞數據庫522包含關于802.11協議的已知漏洞，如數據值563和564所指示的；在這個例子中，假設這些漏洞在使用802.11協議實現無線接入點的任何操作系統內呈現，如數據值565和566所指示的。指示數值567的SSID識別SSID(服務集標識符)的使用作為可以由無線變體蜜罐挖掘的802.11無線接入點的一個可能漏洞；802.11無線協議內的SSID代表關于802.11無線協議的一個可配置參數。指示數值568的WEP識別WEP(有線等效保密)加密機制的使用作為可以由無線變體蜜罐挖掘的802.11無線接入點的一個可能漏洞；802.11無線協議內的WEP密鑰代表關于802.11無線協議的一個可配置參數。
SSID是作為配置參數輸入參與相同的無線網絡的所有無線接入點和無線客戶機的混合符號碼(alphanumeric code)。SSID扮演一類簡單的工作組標識符的角色；任何知道SSID的實體都可以初步被看作屬于可被提供有對網絡的無線訪問的實體組。在默認配置中，無線接入點將周期地廣播SSID，從而允許無線客戶機上的軟件編譯在該無線客戶機附近的可利用的無線網絡的列表。另外，商業上可利用的無線接入點的每個廠家都提供關于SSID的默認值。為了向在無線接入點后的網絡提供安全的初步水平，網絡管理員典型地改變SSID的默認值為某些其它的值，并禁止SSID的廣播；然后用適當的SSID配置合法的用戶和合法的客戶機裝置。假設無線接入點不廣播SSID，可疑客戶機將不會知道該唯一的SSID，從而使得該可疑客戶機發現SSID更加困難。
漏洞數據庫522包含識別SSID機制作為能夠由無線變體蜜罐5 61挖掘以吸引惡意用戶的漏洞的指示符567。變體蜜罐配置數據庫524包含提供關于在無線變體蜜罐561內激活或禁止SSID漏洞的使用的可解釋表達的監控條件規則569。變體蜜罐配置數據庫524也包含用于確定何時和/或如何改變SSID的漏洞改變規則570。變體蜜罐配置數據庫524進一步包含SSID產生算法571，其為提供用來確定或改變所使用的SSID的值的算法的用戶可選擇參數。無線變體蜜罐561包含當SSID漏洞被激活時，根據SSID產生算法571，使用SSID產生算法571產生SSID的可變SSID產生單元572。當無線變體蜜罐561探測到可疑客戶機560正積極地挖掘SSID漏洞時，如在下文進一步的例子中所解釋的，無線變體蜜罐561通知風險管理系統556，其具有指示風險管理系統556響應所探測到的事件而將要發布中等水平的警報的配置參數573。
為了防止可疑客戶機通過嗅探無線傳輸至和從無線接入點而發現重要數據，802.11協議提供可選擇的WEP加密機制，其中使用數字的、對稱的密鑰，以加密傳輸的數據。由于密鑰管理的原因，WEP機制可能會有問題。如果沒有用于管理和分配密鑰給無線接入點和客戶機的某些集中機制，系統管理員在改變WEP密鑰上將面臨相當大量的工作，因為為了適當地保證網絡環境安全，系統管理員必須改變所有無線接入點和所有客戶機上的密鑰。WEP密鑰對于未知的無線客戶機或惡意用戶不應該是已知的。用本發明的無線蜜罐，WEP機制能夠被挖掘為漏洞，以吸引和捕獲惡意用戶的活動。
漏洞數據庫522包含識別WEP機制作為能夠由無線變體蜜罐561挖掘以吸引惡意用戶的漏洞的指示符568。變體蜜罐配置數據庫524包含提供關于在無線變體蜜罐561內激活或禁止WEP機制使用的可解釋表達的監控條件規則574。變體蜜罐配置數據庫524也包含用于確定何時和/或如何改變WEP密鑰的漏洞改變規則575。變體蜜罐配置數據庫524進一步包含的WEP密鑰產生算法576，其為提供用來確定或改變所使用的WEP密鑰的值的算法的用戶可選擇參數。無線變體蜜罐561包含當WEP密鑰漏洞被激活時，根據WEP密鑰產生算法576，使用WEP密鑰產生算法576產生WEP密鑰的可變WEP密鑰產生單元577。當無線變體蜜罐561探測到可疑客戶機560正積極地挖掘WEP密鑰漏洞時，如在下文進一步的例子中所解釋的，無線變體蜜罐561通知風險管理系統556，其具有指示風險管理系統556響應所探測到的事件，而將要發布高級水平的嚴重警報的配置參數578。
無線變體蜜罐561也包含用于產生無線變體蜜罐561在偽廣播(fakebroadcast)中傳輸的數據的偽傳輸數據發生器579；如在下文進一步的例子中所解釋的，偽傳輸數據允許可疑客戶機560嗅探數據。可以實現虛擬客戶機(dummy client)580，以發送數據請求至無線變體蜜罐561，該無線變體蜜罐用偽傳輸數據響應，從而提供了一種更加現實的可由可疑客戶機560嗅探的雙向數據傳遞。
入侵探測系統552包含響應所探測到的事件以試圖物理地定位和追蹤可疑客戶機560的三角測量單元581。另外，入侵探測系統552包含物理安全系統接口582，用于提供允許操作員通過使用物理資產，以定位和追蹤可疑客戶機560的信息，如下文進一步關于在圖10中所闡明的例子所解釋的。
現在參照圖6，流程圖描繪用于操作變體蜜罐以報導可疑的刺探事件，以及用于自動地改變由變體蜜罐所呈現的漏洞的總體過程。該過程由在被仿效的服務內設置漏洞而開始(步驟602)，以致惡意用戶可挖掘所選擇的漏洞。然后該變體蜜罐監控被仿效的服務，以獲得由惡意用戶操作的可疑客戶機正試圖在該被仿效的服務中挖掘已知漏洞的指示(步驟604)。
如果探測到刺探，即，刺探操作(步驟606)，則變體蜜罐向適當的子系統報導該事件，以便進一步的行動(步驟608)。在探測到可疑客戶機之后，該過程可以循環返回到步驟602；例如，為了吸引其它惡意用戶的刺探操作，被仿效的服務可選擇使用新的漏洞，在此之后變體蜜罐重復該過程。
如果在步驟606未探測到刺探活動，即，刺探操作，則變體蜜罐確定可配置參數是否指示變體蜜罐應該重新配置自己以呈現不同的漏洞(步驟610)。如果確定重新配置，則該過程循環返回到步驟602，以選擇不同的漏洞；如果確定不重新配置，則例如，根據可配置參數或響應來自系統管理員用戶的請求，變體蜜罐確定它是否應該關閉(步驟612)。如果不關閉，則變體蜜罐循環返回到步驟604，以繼續監控可疑活動；如果關閉，則中斷變體蜜罐，從而結束該過程。以這樣的方式，變體蜜罐在一個連續的循環內進行其監控操作和重新配置操作，直到被指示做其它事情。
現在參照圖7A，流程圖描繪用于根據所監控的條件，動態地確定何時改變指示變體蜜罐具有易受攻擊的特征的信息的過程。從例如監控規則數據庫或與變體蜜罐相關聯的某些其它數據庫中，獲得監控規則而開始該過程(步驟702)。所檢索的監控規則可應用于一個或多個被仿效的服務，但是假設所檢索的監控規則可應用于一種特殊類型的被仿效的服務，則檢索該適當被仿效的服務的操作條件，如監控規則中所指示的(步驟704)。該操作條件可包括關于該被仿效的服務的活動日志，但是該操作條件也可包括被仿效的服務或與該被仿效的服務通信的監控管理器所維護的信息。例如，該操作條件可包括關于被仿效的服務最近的重新配置或關于變體蜜罐內在的其它操作的時間戳；相反，活動日志可僅指示關于變體蜜罐的外部實體所出現的行動。
同樣檢索可應用于所檢索的監控規則的任何用戶指定的參數(步驟706)。監控規則可以被配置為帶有變量的表達，并且在評估表達之前，用戶指定的參數可以用作表達的輸入。照此，可以像模板一樣存儲一組監控規則，并且用戶指定的參數配置關于特殊蜜罐的監控規則。
然后關于被仿效的服務的操作條件是否滿足所評估那樣的所檢索的監控規則作出確定(步驟708)。如果不滿足，則該過程結束。
可以假設，圖7A中所示出的過程僅僅是一個較大過程的一部分。例如，可以在變體蜜罐初始化期間加載來自監控規則數據庫的一組監控規則。此后，更新數據庫內的監控規則，并且如需要，則變體蜜罐將動態地更新其監控規則的拷貝。例如，可以允許管理員用戶通過適當的接口，動態地增加或刪除監控規則。
另外，變體蜜罐可以不斷地在所有的監控規則之內循環，從而關于所有的監控規則實行圖7A中所示的過程。而且，變體蜜罐可以提供用于設置或重置與監控規則相關聯或指示特殊的監控規則是活動的還是非活動的活動標記的接口；而不是當監控規則為活動時，從數據庫插入和刪除監控規則。
如果在步驟708，被仿效的服務的操作條件滿足所檢索的監控規則，則檢索適當的漏洞改變規則(步驟710)。漏洞改變規則指導變體蜜罐的變體活動，以致該變體蜜罐從呈現一種個性轉向呈現另一種個性。更準確地說，漏洞改變規則指引下一組將要被仿效的服務所呈現的漏洞信息的選擇。被仿效的服務的操作條件無論何時被探測到，如監控規則所指示的，則該被仿效的服務根據漏洞改變規則改變其個性。
可選擇地，不是使用單個漏洞改變規則，而是可以將多個漏洞改變規則與先前所檢索的監控規則相關聯；換句話說，先前所檢索的監控規則也指示當滿足監控規則時應該使用的一組規則。如果指示了一組漏洞改變規則，則可以根據用戶指定的參數和/或其它信息評估該組漏洞改變規則，以選擇具有最高關聯值的漏洞改變規則，即每個漏洞改變規則也可具有評估以指示選擇那個特殊的漏洞改變規則的適當性的表達。
以與監控規則類似的方式，每個漏洞改變規則都可以被配置為帶有變量的表達，并且在評估表達之前，用戶指定的參數可以用作表達的輸入。照此，連同指示下一個將要被仿效的服務所使用的漏洞的表達，可以存在選擇漏洞改變規則的表達，。
檢索可應用于所選擇的漏洞改變規則的用戶指定的參數(步驟712)，并且根據所選擇的漏洞改變規則從漏洞數據庫中選擇下一個漏洞(步驟714)。然后根據新的漏洞重新配置被仿效的服務(步驟716)，并且關于特殊的監控規則，該過程完成。
現在參照圖7B，流程圖描繪根據所監控的條件，動態地確定何時改變指示無線變體蜜罐具有易受攻擊的特征的信息的更加明確的過程。圖7B與圖7A類似，盡管圖7B不同于圖7A，因為圖7B闡明根據本發明的不同實施例，無線變體蜜罐更加明確的過程，而圖7A闡明由廣泛意義上的的變體蜜罐所進行的過程。
該過程由根據先前所實現的及活動的漏洞，例如，從監控規則數據庫或與該無線變體蜜罐相關聯的某些其它數據庫獲得關于無線變體蜜罐的監控規則而開始(步驟752)。換句話說，無線變體蜜罐當前正通過在無線變體蜜罐的數據傳輸內呈現特殊的SSID、WEP密鑰、MAC地址、等等給潛在的可疑客戶機，而實現特殊的漏洞。所檢索的監控規則可應用于一個或多個被仿效的無線協議或功能，但是以與使用802.11無線通信協議作為例子的圖5B類似的方式，則檢索802.11被仿效的服務的操作條件，如監控規則中所指示的(步驟754)。監控規則的操作條件指示無線變體蜜罐繼續使用當前活動的漏洞，直到關于所探測到的操作滿足給定的一組標準。例如，操作條件可指示無線變體蜜罐繼續操作，直到可疑事件被探測到和報導，在這個時刻無線變體蜜罐的操作可暫時關閉，以阻止可疑客戶機的惡意用戶的任何進一步的入侵，從而允許系統管理員物理地調查可疑客戶機的位置和身份。
檢索也可應用于所檢索的監控規則的任何用戶指定的參數(步驟756)，例如，改變當前所選擇的SSID或當前所選擇的WEP密鑰的計劃表。然后確定關于被仿效的802.11服務的操作條件是否滿足所評估那樣的所檢索的監控規則(步驟758)。如果不滿足，則該過程完成；換句話說，因為無線變體蜜罐當前的操作條件不需要任何如監控規則所指示的更改，所以無線變體蜜罐將要繼續使用當前活動的漏洞。可以再次假設圖7B中所示的過程僅僅是一個較大過程的一部分。例如，無線變體蜜罐可不斷地在多個監控規則內循環，從而執行關于代表已經由系統管理員用戶配置的一系列場景的多個監控規則的，如圖7B中所示的過程。
如果在步驟758，被仿效的802.11服務的操作條件滿足所檢索的監控規則，則檢索適當的漏洞改變規則(步驟760)。如先前所提及的，漏洞改變規則指導無線變體蜜罐的變體活動，以致該無線變體蜜罐從呈現一個漏洞或個性轉向呈現另一個漏洞或個性。關于無線變體蜜罐的特定操作，漏洞改變規則可指示將要改變當前所選擇的SSID、當前所選擇的WEP密鑰、或當前所選擇的MAC地址。
檢索可應用于所選擇的漏洞改變規則的用戶指定的參數(步驟762)。例如，在無線變體蜜罐的情形，SSID或WEP密鑰產生算法可以允許用戶指定的輸入參數，從而給系統管理員提供在一組已知SSID或一組已知WEP密鑰內循環的能力，而不是隨機地使用唯一的SSID或WEP密鑰。根據所選擇的漏洞改變規則選擇新的漏洞(步驟764)，例如，如由根據SSID產生算法或WEP密鑰產生算法計算的新SSID或WEP密鑰所代表的。然后根據新的漏洞重新配置無線變體蜜罐中的被仿效的服務(步驟766)，并且關于特殊的監控規則該過程完成。
現在參照圖8A，流程圖描繪一些可由變體蜜罐所考慮的監控條件。圖7A中所示的過程執行監控規則的評估繼之以漏洞改變規則的評估。圖8A與圖7A類似，因為圖8A提供變體條件的例子；這些條件的處理的描述結合評估監控條件的各方面連同選擇要由變體蜜罐呈現的新漏洞的各方面一起。
該過程從確定是否已經達到將要觸發預定的重新配置的時刻點開始(步驟802)。例如，管理員用戶可以為變體蜜罐在管理設施內選擇許多選項。這些選項中的一些可以提供為該變體條件選擇不同的臨時參數的能力；臨時參數的例子可包括用于改變變體蜜罐個性的可重復循環、該變體蜜罐將改變其行為的特殊日期和時刻、用于呈現新漏洞的多個日期和時刻的計劃表、或者某些其它與時間相關的值。該條件可以由先前創建的軟件定時器的終止來觸發。如果匹配了關于監控規則的計劃條件，則如果需要，將相關聯的定時器復位(步驟804)，并且獲得下一個漏洞(步驟806)。該計劃條件可具有在一組選擇的或預定的漏洞之中重復的漏洞改變規則。然后重新配置適當的服務，以呈現反映不同漏洞的信息(步驟808)，并且該過程完成。
如果在步驟802未觸發計劃的重新配置，則關于是否已經觸發了一個條件作確定，其中變體蜜罐確定由該變體蜜罐所記載的活動在關于先前所配置的時間總量的閾值之下(步驟810)。在這個場景，管理員用戶依賴于所記載的活動的總量作為變體蜜罐對惡意用戶的吸引的指示符。另外，假設若改變蜜罐易受攻擊的特征以匹配惡意用戶所尋找的漏洞，該變體蜜罐能夠受到更多的刺探、更多的試圖攻擊、或者更多的實際攻擊。可以由先前所創建的軟件定時器的終止來觸發該條件，在這個時刻變體蜜罐檢查全部被仿效的服務、被仿效的服務的子集、或者單個被仿效的服務的活動。可以使用不同的探試性方法來確定活動的水平是否不足，從而觸發重新配置操作；也可以將這些探試性的方法以表達的形式存儲，其中使用根據一個或多個活動日志的活動相關的參數來評估該表達。如果該條件匹配，則在步驟804，如果需要，可以將定時器值復位，并且在步驟806獲得下一個漏洞。然后在步驟808重新配置適當的服務以呈現反映不同漏洞的信息，并且該過程完成。
如果在步驟810未違反不活動閾值，則關于是否已經從特殊的客戶機系統探測到刺探作確定(步驟812)。在這種場景，變體蜜罐可以隨時追蹤來自特殊的客戶機系統的可疑請求。例如，客戶機系統可以由IP地址識別，并且能夠配置被仿效的服務以掃描特殊的IP地址。如果從先前識別的IP地址接收到隨后的請求，則被仿效的服務能夠通知變體蜜罐內的監控引擎，其然后確定是否由來自特殊的客戶機系統的請求的接收觸發了監控規則。在觸發了這個特殊的監控規則之后，變體蜜罐可試圖呈現先前已被呈現給該客戶機系統的相同的漏洞，以努力誘惑惡意用戶認為，自先前的刺探以來，該被仿效的服務未改變其行為。在圖8A中所示的過程中，變體蜜罐設置下一個漏洞為先前已呈現給這個特殊的客戶機系統的漏洞(步驟814)，當記載先前的刺探時，其已經被存儲在活動日志數據庫中。此后，在步驟806，變體蜜罐得到下一個漏洞，且然后在步驟808重新配置適當的服務以呈現反映不同漏洞的信息，并且該過程完成。
可選擇地，優于試圖呈現先前已呈現給客戶機系統的相同漏洞，變體蜜罐可以呈現漏洞信息給該客戶機系統，以努力誘惑惡意用戶認為響應先前的刺探或攻擊，被仿效的服務已經明確地改變了其行為。
例如，基于生產系統中已發現的漏洞，惡意用戶可試圖從特殊的客戶機系統攻擊該典型生產系統。響應這一點，管理員用戶可安裝眾所周知的用來修補該漏洞的特殊的操作系統補丁。然而，新近安裝的操作系統補丁可能具有能夠被惡意用戶挖掘的不同漏洞，并且該惡意用戶可能期望參與一系列的行動或反對的行動，其中響應該惡意用戶的刺探或攻擊而更新生產系統。
可以配置變體蜜罐，以迎合惡意用戶的期望；變體蜜罐能夠引誘惡意用戶認為，響應該惡意用戶的活動，先前呈現的漏洞已被明確地修補了。能夠配置變體蜜罐，以致一系列漏洞改變規則能夠遵循特殊一列已知的漏洞和修補。如此，變體蜜罐在惡意用戶看來為一個不斷升級的系統，從而引誘惡意用戶在該變體蜜罐上活動，而隱藏該蜜罐的真實本質。
如果在步驟814未探測到特殊的客戶機系統的刺探，則確定是否探測到特殊類型的刺探(步驟816)。如果為探測到，該過程完成，在這之后變體蜜罐可履行其它的職責，例如存儲活動日志，并且在稍后的某個時刻將再次起動評估監控規則的過程。另外，變體蜜罐可以是多線程的，以致通過專用的線程不斷地評估不同的監控條件。
如上文所提及的，通過使用反轉的“指紋”識別，在步驟816中可以探測特殊類型的刺探，。通過分析一個或多個請求或者一個或多個數據包，變體蜜罐可以確定客戶機系統正在刺探特殊形式的漏洞，特殊在變體蜜罐不在生產系統上實現以及不應該接收任何合法的數據通信的場景。
如果探測到特殊類型的刺探，則變體蜜罐搜尋并定位下一個漏洞，該漏洞可吸引與所探測到的該類型的刺探相關聯的惡意用戶或工具(步驟818)。此后，在步驟806，變體蜜罐得到下一個漏洞，且然后在步驟808重新配置適當的服務，以呈現反映不同漏洞的信息，并且該過程完成。
現在參照圖8B，流程圖描繪一些可能由無線變體蜜罐所考慮的更加明確的監控條件。該過程由是否已經到達了在被仿效的無線協議服務，例如802.11內，將要觸發預定的重新配置的時刻點的確定而開始(步驟852)。例如，管理員用戶可為無線變體蜜罐，在管理設施內選擇許多選項，并且可以由先前所創建的軟件定時器的終止來觸發該條件。如果匹配關于監控規則的計劃條件，則如果需要，則將相關聯的定時器復位(步驟854)，并且獲得下一個漏洞(步驟856)。該計劃條件可具有在一組選擇的或預定的漏洞內重復的漏洞改變規則。然后重新配置適當的服務，以呈現反映不同漏洞的信息(步驟858)，并且該過程完成。
在第一可供選擇的方法中，用戶指定的參數可代表由無線變體蜜罐所使用的用于廣播SSID的計劃表，從而控制在何時廣播SSID，以致能夠控制該無線變體蜜罐僅在使用該無線變體蜜罐的企業的非工作時間期間進行這個操作。在第二可供選擇的方法中，用戶指定的參數可代表用于改變SSID的計劃表，從而允許每周、每日地、等等，或者可根據存儲在歷史數據庫內關于先前所探測到的的可疑客戶機的入侵事件的模式的識別，來改變SSID。
在第三可供選擇的方法中，用戶指定的參數可代表用于廣播偽數據傳輸的計劃表，在該偽數據傳輸中，內容數據用先前所選擇的WEP密鑰弱加密。另外，基于計劃表，能夠命令該無線變體蜜罐改變偽數據傳輸的加密內容。
在第四可供選擇的方法中，用戶指定的參數可代表用于改變WEP密鑰的計劃表。例如，如果很長一段時間都未探測到可疑的刺探事件，就可以改變WEP密鑰，從而呈現給正在嗅探數據傳輸的可能的惡意用戶以增強的安全的表面現象。針對當前實現的漏洞或漏洞集，可在監控規則上放置額外的或可供選擇的操作條件。
如果在步驟852未觸發預定的重新配置，則關于是否已經觸發了一個條件作出確定，其中無線變體蜜罐確定由該無線變體蜜罐所記載的活動在關于先前所配置的時間總量的先前所配置的閾值之下(步驟860)。如果匹配該條件，則在步驟854，如果需要，可將定時器值復位，并且在步驟856獲得下一個漏洞。然后在步驟858重新配置適當的服務，以呈現反映不同漏洞的信息，并且該過程完成。照此，根據所探測到的可疑事件的不活動性的當前觀測或當前模式，能夠動態地將無線變體蜜罐的操作中的預定變更隨機化。
如果在步驟860未違反不活動閾值，則關于是否探測到使用先前所使用的SSID或WEP密鑰的刺探作確定(步驟862)。在觸發了這個特殊的監控規則之后，無線變體蜜罐可試圖呈現先前已呈現給客戶機系統的相同SSID或WEP密鑰，以努力誘惑惡意用戶認為，自該惡意用戶先前的活動以來，該被仿效的服務還未改變其行為。在圖8B中所示的過程中，變體蜜罐設置下一個漏洞，其使用先前已呈現給這個特殊的客戶機系統，且該客戶機當前正試圖使用的先前的SSID或WEP密鑰(步驟864)，其已經由無線變體蜜罐存儲在活動日志數據庫或歷史數據庫內。此后，在步驟856，無線變體蜜罐得到下一個漏洞，且然后在步驟858重新配置適當的服務，以呈現反映不同漏洞的信息，并且該過程完成。
如上文所提及的，無線變體蜜罐可以廣播偽數據傳輸，其中內容數據用先前所選擇或產生的WEP密鑰弱加密；無線變體蜜罐可以與虛擬客戶機協同操作，例如，與在圖5B中所示的虛擬客戶機580類似，以致至和從該無線變體蜜罐產生數據傳輸，從而使得偽數據傳輸對于惡意用戶看起來更加真實。另外，基于計劃表，能夠命令無線變體蜜罐改變偽數據傳輸的加密內容。
照此，可以引誘惡意用戶認為，無線變體蜜罐為在與經授權的無線客戶機進行真實通信的活動無線接入點。在這種印象之下，惡意用戶可以占用(engage)被動的客戶機(passive client)，以進行嗅探操作來記錄無線數據傳輸。在稍后的某個時刻，惡意用戶將試圖通過不同的密鑰解密算法來發現用來加密所記錄的數據傳輸的WEP密鑰。假設偽數據為弱加密的，并且惡意用戶能夠發現該WEP密鑰，可以假設該惡意用戶可在稍后某個時刻使用一個客戶機，以利用所發現的WEP密鑰與無線變體蜜罐通信。可以假設無線變體蜜罐具有適當的速度和計算資源，以分析在先前某個時刻由無線變體蜜罐所使用的WEP密鑰加密的內容的意外接收到的數據傳輸，例如，試圖用先前所使用的WEP密鑰解密數據傳輸。當無線變體蜜罐探測到先前所使用的WEP密鑰的采用時，該無線變體蜜罐將報導該可疑事件；另外，這個特殊的可疑事件將為觸發監控規則的操作條件，例如，在如圖7B所示的步驟758中或在圖8B所示的步驟862中，以改變當前所選擇的WEP密鑰為先前所采用的WEP密鑰，例如，通過圖7B中的步驟760-766或圖8B中的步驟864、856、和858，以致在進一步的數據傳輸中，無線變體蜜罐能夠占用該可疑客戶機。既然無線變體蜜罐能夠實現多個變體被仿效的服務，該無線變體蜜罐也可以遍及模擬網(simulated network)或遍及僅為了蜜罐目的而部署的有限網(limitednetwork)內，提供對重要數據庫的明顯的訪問。照此，可以引導惡意用戶相信，他或她能夠操作該可疑客戶機，以訪問數據庫或其它資源，從而使得該惡意用戶繼續占用該無線變體蜜罐，而正操作該無線變體蜜罐的企業采用其它的安全資源或人員，以物理地研究該可疑客戶機的位置和身份以及該試圖由計算機刺探事件的本質。
如果在步驟862未探測到采用先前所使用的SSID或WEP密鑰的刺探，則對無線變體蜜罐是否探測到一個刺探作出確定，其中該刺探或可疑活動以意外的方式采用特殊類型的無線技術或協議(步驟866)。在步驟866，通過以特殊的頻率收聽足夠強度的廣播的無線電信號分析器的使用，可以探測特殊類型的刺探。通過分析一個或多個數據傳輸，無線變體蜜罐可以確定客戶機系統正在刺探局部無線接入點，特殊在無線變體蜜罐不應該接收任何合法數據通信的場景。如果探測到特殊類型的刺探，則該無線變體蜜罐搜尋并找到下一個可吸引惡意用戶的漏洞或者與所探測到的刺探類型相關聯的工具(步驟868)。此后，在步驟856，無線變體蜜罐選擇下一個漏洞，且然后在步驟858重新配置適當的無線協議服務，以呈現反映不同漏洞的信息，并且該過程完成。如果在步驟866，無線變體蜜罐未探測到刺探，其中該刺探或可疑活動以意外的方式采用特殊類型的無線技術或協議，則該過程完成，在其之后，該無線變體蜜罐可履行其它職責，例如存儲活動日志，并且在稍后的某個時刻，將再次起動評估監控規則的過程。另外，無線變體蜜罐可以是多線程的，以致通過專用的線程不斷地評估不同的監控條件。
現在參照圖9，流程圖描繪根據事件通知，動態地確定何時改變指示蜜罐具有易受攻擊的特征的信息的過程。當接收來自如入侵探測系統的事件通知消息時，該過程開始(步驟902)。變體蜜罐獲得來自如變體蜜罐配置數據庫或與該變體蜜罐相關聯的某個其它數據庫的一組事件過濾規則(步驟904)。然后從事件通知消息中提取事件信息(步驟906)。如上文所記錄的，為了多種目的，可以從多種來源接收事件通知消息；因此，事件信息可包括不同類型的信息，例如，一類操作系統和一類服務的指示。
同樣檢索可應用于所檢索的事件過濾規則的任何用戶指定的參數(步驟908)。可以將每個事件過濾規則配置為帶有變量的表達，并且用戶指定的參數可以用作在評估表達之前對表達的輸入。照此，可以像模塊一樣存儲一組事件過濾規則，并且用戶指定的參數如管理員用戶所希望的那樣配置關于特殊蜜罐的事件過濾規則。
然后確定事件通知是否觸發了所檢索的事件過濾規則中的任何一個(步驟910)。如果否，則該過程完成。
可以假設，圖9中所示的過程僅僅為一個較大過程的一部分。例如，在變體蜜罐初始化期間，可以加載來自事件過濾規則數據庫的一組事件過濾規則。此后，在該數據庫內更新事件過濾規則，并且如果需要，變體蜜罐可以動態地更新其事件過濾規則的拷貝。例如，可以允許管理員用戶通過適當的接口動態地添加或刪除事件過濾規則。
如果在步驟910，所接收的事件通知滿足所檢索的事件過濾規則，則檢索適當的漏洞改變規則(步驟912)。無論何時事件通知觸發事件過濾規則，如由事件過濾規則所指示的，則根據漏洞改變規則，被仿效的服務改變其個性。以上文所描述的關于監控規則相類似的方式，可以將多個漏洞改變規則與先前所檢索的事件過濾規則相關聯。
同樣檢索可應用于所選擇的漏洞改變規則的任何用戶指定的參數(步驟914)，并且根據所選擇的漏洞改變規則，從漏洞數據庫中選擇下一個漏洞(步驟916)。然后根據新的漏洞，重新配置被仿效的服務(步驟918)。
雖然變體蜜罐改變個性以響應所監控的條件和事件是理想的，但是防止變體蜜罐的個性改變太過頻繁也是理想的。既然接收到來自變體蜜罐外部的系統或應用的事件通知消息，則可以配置變體蜜罐，以致事件過濾規則優先于任何活動監控規則。在這個例子中，響應事件通知，在變體蜜罐個性改變之后的一段可配置的時間段內，禁止任何活動監控規則(步驟920)，并且該過程完成。
現在參照圖10，方框圖闡明一種方式，其中采用無線變體蜜罐，以便物理地定位并追蹤可能正在試圖使用無線協議中的已知漏洞來刺探企業的計算資產的可疑客戶機裝置。以與圖1A中所示的網絡101類似的方式，企業網絡1002支持合法的無線接入點1004和1006，其使得客戶機1008-1018能夠相互之間以及與服務器、數據庫、和其它未闡明的數據處理系統組件通信。部署無線變體蜜罐1020和1022，以保護企業資產免遭討厭的竊聽，即數據傳輸嗅探或監控；或更重要地，以保護企業計算資產免遭討厭的入侵和惡意活動。除呈現無線漏洞之外，無線變體蜜罐1020也可以呈現動態可配置被仿效的服務和/或相關聯的漏洞，其可不同于由無線變體蜜罐1022所呈現的那些。
可以相對于有效無線接入點1004和1006來明確地空間定位無線變體蜜罐1020和1022為威懾周界，例如，在企業建筑或校園邊界周圍，其基于無線變體蜜罐1020和1022所呈現的較強的無線電信號的吸引力，扮演吸引惡意用戶與無線變體蜜罐1020和1022互相作用，而不是與有效無線接入點1004和1006相互作用的角色。在使用802.11無線技術的計算環境中，配置客戶機1008-1018，以與合法的無線接入點1004和1006操作，例如，通過在802.11協議內使用有效的SSIDs和WEP密鑰；因此，客戶機1008-1018將忽視無線變體蜜罐1020和1022的可用性。
以與上文所描述的類似的方式，無線變體蜜罐1020和/或1022探測來自可疑客戶機1024的不適當活動，并且向入侵探測系統1026報導該不適當活動。可疑客戶機1024可試圖與合法的無線接入點1004和1006互相作用，而不是與無線變體蜜罐1020和1022互相作用；然而，可以假設，合法的無線接入點1004和1006已被配置為有很強的安全性，以阻止惡意活動，至少關于在所部署的無線協議中利用漏洞。
基于所報導的不適當活動，入侵探測系統1026使用其三角測量，即，位置探測，單元1028，以試圖確定可疑客戶機1024的空間位置。例如，如果僅無線變體蜜罐1020報導可疑活動，則可以確定可疑客戶機在無線變體蜜罐1020附近某處。然而，如果接收到來自多個無線變體蜜罐的多個可疑活動的報導，則基于所報導的可疑活動的順序，三角測量單元1028可確定可疑客戶機1024相對于多個無線變體蜜罐的運動矢量。
入侵探測系統1026通過其物理安全系統接口1030發送近似的位置數據和/或近似的運動矢量數據給物理安全系統1032，為了試圖獲得有關可疑客戶機1024的信息，該物理安全系統1032其能夠采用該位置數據和/或運動矢量數據指揮其物理安全資產。在圖10中所示的例子中，為了試圖捕獲惡意用戶和/或可疑客戶機1024的視頻數據，物理安全系統1032安置安全攝像機1034-1038。如果惡意用戶正從一個運動交通工具操作可疑客戶機1024，例如，在已被稱為駕駛攻擊的活動中，其中當在乘坐具有專門客戶機的運動交通工具中時，該客戶機嗅探由某些無線協議和無線技術所使用的某些無線電頻率上的數據傳輸，某人試圖定位不安全的無線接入點的位置，物理安全系統1032也許能夠捕獲有關該可疑交通工具的辨識信息。可選擇地，物理安全系統1032能夠告警在可疑客戶機1024附近的安全人員該可疑活動，從而物理地阻止該可疑活動。
如上文所記錄的，配置客戶機1008-1018以與合法的無線接入點1004和1006操作，從而忽視無線變體蜜罐1020和1022。然而，依賴于所配置的由無線變體蜜罐1020和1022呈現的漏洞，客戶機1008-1018可試圖與無線變體蜜罐1020和1022通信而不是與合法的無線接入點1004和1006通信，這是可能的，尤其依賴于涉及無線變體蜜罐1020和1022的客戶機1008-1018中的一個用戶的位置。
鑒于上文所提供的詳細描述，本發明的優點應該是很明顯的。本發明的無線變體蜜罐增加了惡意用戶將蜜罐識別為惡毒的無線相互作用看似時機成熟的易受攻擊的系統的可能性。該無線變體蜜罐能夠改變其特征，以誘惑惡意用戶到該惡意用戶可認為更易受攻擊的、可挖掘的、并且因此更有迷惑性的某事物上。如果計算機管理員能夠使得惡意用戶對無線蜜罐系統感興趣，而同時提供時間，以確定該惡意用戶的身份和位置，則分布式數據處理系統或網絡的總體安全就增加了。而且，如果惡意用戶完成了無線變體蜜罐的徹底使用，則管理員也許能夠在企業內，使得攻擊轉移至特殊的系統，從而限制可引起的任何損害或可被危害的任何信息。通過結合無線變體蜜罐的行動和入侵探測系統所探測到的事件，向計算機管理員提供了進行有限的物理安全操作的工具。
注意到，盡管是在完全的功能數據處理系統的環境中描繪本發明的，本領域普通技術人員將領悟到，與本發明相關聯的過程中的一些能夠以計算機可讀媒介中指令的形式和多種其它的形式被分配，而不管實際用來執行該分配的特殊類型的信號負載媒介，這是很重要的。計算機可讀媒介的例子包括像EPROM、ROM、磁帶、紙張、軟盤、硬盤驅動器、RAM、和CD-ROMs那樣的媒介以及傳輸型媒介，例如數字和模擬通信鏈接。
為了圖解說明的目的呈現了本發明的描述，但并不意味著詳盡的或局限于所公開的實施例。許多更改或變更對本領域普通技術人員而言將是很顯然的。為了實現可適合于其它預期用途的，具有不同更改的不同的實施例，選擇該實施例，以解釋該發明的原理及其實際應用，并且使得本領域其他普通技術人員能夠理解該發明。
權利要求
1.一種用于操作數據處理系統的方法，所述方法包括根據關于無線協議中可配置參數的用戶指定的值，在所述數據處理系統內配置使用所述無線協議無線的接入點裝置；響應所述無線接入點裝置的所探測的操作條件，獲得用于改變關于所述無線協議中一個或多個可配置參數的一個或多個值的可配置規則；以及根據可配置規則和所述無線接入點裝置的所探測的操作條件，自動地改變關于所述無線協議中可配置參數的值。
2.如權利要求1所述的方法進一步包括響應所述無線接入點裝置的所探測的操作條件，產生告警消息。
3.如權利要求1所述的方法進一步包括在一段時間期間內，探測作為所述無線接入點裝置的操作條件的無線通信的接收，其中配置所述無線接入點裝置產生關于所接收的無線通信的告警。
4.如權利要求1所述的方法進一步包括從所接收的無線通信中提取SSID(次要集標識符)；以及探測作為所述無線接入點裝置的操作條件的所述提取的SSID與存儲在SSIDH的歷史數據庫中的一個SSID相匹配。
5.如權利要求1所述的方法進一步包括從所接收的無線通信中提取SSID(次要集標識符)；以及探測作為所述無線接入點裝置的操作條件的所述提取的SSID與當前正由所述無線接入點裝置用于偽無線通信的一個SSID相匹配。
6.如權利要求1所述的方法進一步包括從所接收的無線通信中提取經加密的內容數據；通過試圖使用來自加密密鑰歷史數據庫的加密密鑰解密所述經加密的內容數據，來分析所述接收的無線通信；以及探測作為所述無線接入點裝置的操作條件的所述加密密鑰解密所述經加密的內容數據。
7.如權利要求1所述的方法進一步包括從所接收的無線通信中提取經加密的內容數據；通過試圖使用當前正由所述無線接入點裝置用于偽無線通信的加密密鑰解密所述經加密的內容數據，來分析所述接收的無線通信；以及探測作為所述無線接入點裝置的操作條件的所述加密密鑰解密所述經加密的內容數據。
8.如權利要求1所述的方法進一步包括在所述無線接入點裝置方接收無線通信；探測指示所述無線通信代表客戶機的可疑活動的所述無線接入點裝置的操作條件；以及基于有關所述無線通信的信息和基于一個或多個無線接入點裝置的位置，確定所述客戶機的近似位置。
9.如權利要求8所述的方法進一步包括通知物理安全系統關于所述客戶機的近似位置的數據。
10.如權利要求9所述的方法進一步包括試圖通過所述物理安全系統獲得所述客戶機的視頻數據。
11.如權利要求1所述的方法進一步包括仿效在服務器或所述無線接入點裝置上的服務；響應在所述被仿效的服務方接收請求，發送包括指示在所述服務器上一組易受攻擊的特征的信息的響應；以及自動地改變該組易受攻擊的特征。
12.如權利要求11所述的方法進一步包括配置易受攻擊的特征的數據庫；根據一類操作系統、一類可仿效的服務、或一類易受攻擊的特征，從易受攻擊的特征的所述數據庫中選擇該組易受攻擊的特征。
13.如權利要求11所述的方法進一步包括由所述被仿效的服務記載活動；以及根據由所述被仿效的服務所記載的活動，從易受攻擊的特征的所述數據庫中得到該組易受攻擊的特征。
14.如權利要求13所述的方法進一步包括響應在可配置閾值之下的由所述被仿效的服務所記載的活動，觸發自動改變該組易受攻擊的特征。
15.一種用于在數據處理系統內處理無線通信的設備，所述設備包括用于根據關于無線協議中可配置參數的用戶指定的值在使用所述無線協議的所述數據處理系統內配置無線接入點裝置部件；用于響應所述無線接入點裝置的所探測的操作條件以獲得用于改變關于所述無線協議中一個或多個可配置參數的一個或多個值的可配置規則的部件；以及用于根據可配置的規則和所述無線接入點裝置的所探測的操作條件，自動地改變關于所述無線協議中可配置參數的值的部件。
16.如權利要求15所述的設備進一步包括用于從所接收的無線通信中提取經加密的內容數據的部件；用于通過試圖使用來自加密密鑰歷史數據庫的加密密鑰解密所述經加密的內容數據來分析所述接收的無線通信的部件；以及用于探測所述加密密鑰解密所述經加密的內容數據作為所述無線接入點裝置的操作條件的部件。
17.如權利要求15所述的設備進一步包括用于從所接收的無線通信中提取經加密的內容數據的部件；用于通過試圖使用當前正由所述無線接入點裝置用于偽無線通信的加密密鑰解密所述經加密的內容數據來分析所述接收的無線通信的部件；以及用于探測所述加密密鑰解密所述經加密的內容數據作為所述無線接入點裝置的操作條件的部件。
18.一種在計算機可讀媒介上的計算機程序產品，為了在用于處理無線通信的數據處理系統中使用，所述計算機程序產品包括用于執行所述前述權利要求的方法的任何方法的指令。
全文摘要
在動態及可配置的基礎上改變無線蜜罐系統的特征。根據關于無線協議中可配置參數的用戶指定的值，配置無線接入點裝置，以使用該無線協議。響應無線接入點裝置的所探測的操作條件，可配置規則改變關于無線協議中一個或多個可配置參數的一個或多個值。根據可配置規則和無線接入點裝置的所探測的操作條件，自動地改變關于無線協議中可配置參數的值。操作條件可包括客戶機對存儲在SSIDs或加密密鑰歷史數據庫中的SSID或加密密鑰，或者對當前正由無線接入點裝置用于偽無線通信的SSID或加密密鑰的使用。
文檔編號H04L9/00GK1838671SQ20061006764
公開日2006年9月27日 申請日期2006年3月22日 優先權日2005年3月22日
發明者維基·K·康弗斯, 羅納德·O·埃德馬克, 約翰·M·加里森 申請人:國際商業機器公司