用于检测对连接至通信网络的工作环境的攻击的方法与流程

攻击者可能感兴趣的敏感数据往往存储在公司中的工作场所计算机系统上或者工作环境或工作场所环境上。作为恶意程序渗透到公司自己的计算机网络中的结果或者作为针对合适人群(例如，公司的董事会或者重要的公众成员)的工作环境进行窥探的结果，公司的秘密被窃取往往不被注意。在此情形中，为特定使用个体定制的自主开发的恶意程序有时被用于此类攻击并且不由市场上可获得的杀毒软件产品检测到或者仅很晚才由这类产品检测到。公司内有潜在风险的人群实际上可能成为数字间谍攻击的潜在受害者；然而，准确的情形(诸如地点、时间、和形式)往往是未知的。

本发明的目的由此涉及检测计算机网络中的攻击，尤其涉及对计算机网络的工作场所计算机系统的攻击。

此目的通过独立权利要求的特征来达成。有利的改进是从属权利要求的主题。

下文中呈现的方法和系统可被用于工作环境的保护。此情形中的工作环境表示计算机网络中为个体用户或个体用户群设计的计算机系统。作为示例，公司的雇员可使用工作环境以便执行其商务相关的职责。工作环境可包括连接至通信网络的一个或多个工作场所计算机，例如PC、工作站、笔记本、PDA和/或智能电话。通信网络可以是有线网络，例如借助于使用以太网、USB或电缆等。通信网络可以是无线网络，例如借助于使用WLAN、WiFi、蓝牙、红外或移动通信标准(诸如LTE、UMTS、GSM等)。

下文中呈现的方法和系统可被用于保护计算机网络(尤其是计算机网络中的工作环境)不受来自僵尸网络的攻击，尤其是DDoS攻击、垃圾邮件攻击、数据盗窃攻击、网络钓鱼攻击、恶意软件的扩散、按键记录、不期望的软件安装、身份窃取、计算机网络的操纵等。

下文中呈现的方法和系统可被用于信息技术(IT)领域中。信息技术是关于信息和数据处理以及出于此目的所需要的硬件和软件的一般术语。公司的信息技术包括用于生成、处理和转发信息的所有技术装备。

下文中呈现的方法和系统可以是不同的类型。所描述的个体元件可由硬件或软件组件提供，例如可以通过各种技术制造的电子元件，并且例如包括半导体芯片、ASIC、微处理器、数字信号处理器、集成电子电路、电子光学电路和/或无源组件。

本发明所基于的基本概念是：根据蜜罐概念、基于攻击者的定向吸引力(即基于模仿对于攻击者而言有价值的特定工作环境的网络安全性元件)来检测计算机网络上的可能或即将发生的攻击。在攻击者尝试访问这一仿真的工作环境的同时，系统可由此记录由攻击者执行的活动，并且在此基础上可以建立攻击或者攻击者的特性。可以藉由这些特性来检测和/或阻止类似的攻击。

根据第一方面，本发明涉及一种用于检测对连接至通信网络的工作环境的攻击的方法，该方法包括以下步骤：借助连接至通信网络的网络安全性元件来电子地仿真工作环境；在该网络安全性元件处注册网络话务；将经注册的网络话务与预定义的网络话务进行比较；以及在该经注册的网络话务与该预定义的网络话务之间有偏差的情况下触发第一攻击警告信号。

此种方法的优点在于，作为通过网络安全性元件来对工作环境进行仿真的结果，攻击者被引诱成使他的攻击指引到网络安全性元件，并且因此保护了真正的工作环境。网络安全性元件处的网络话务可因此被注册以及分析。与预定义的网络话务的比较提供对于标识指示攻击的不规律性的简单可能性。此种方法的优点因此是关于真正工作环境的保护效果以及在检测到对工作环境的攻击和警告所述攻击时敏捷地响应的能力

根据一个实施例，网络话务的注册包括注册至网络安全性元件的访问速率，并且经注册的网络话务与预定义的网络话务的比较包括将经注册的访问速率与预定义的访问速率进行比较。

优点是预定义的访问速率可以通过例如在统计上分析工作环境的典型用户的活动来容易地确定。如果存在对工作环境或网络安全性元件的攻击，则访问速率由此显著地上升，这可被容易地和可靠地确定。

根据一个实施例，工作环境的电子仿真包括仿真不受保护的工作环境，该不受保护的工作环境包括与安装在工作环境上的软件相同的软件的至少一些部分。

这具有的优点是：攻击者随后找到网络安全性元件上的相同软件并且相信这是他感兴趣的工作场所环境。攻击者将由此在相信这是真正工作场所环境的情况下将他的活动指引到探索网络安全性元件。

根据一个实施例，保护了工作环境并且电子仿真包括模拟不受保护的工作环境，

这具有的优点是：对不受保护的工作环境的模拟从受保护的(诸)工作环境偏转并且可以吸引攻击者。

根据一个实施例，网络连接元件介于工作环境与通信网络之间，以及网络监视元件连接至网络连接元件，并且该方法包括将网络连接元件处的网络话务复制到网络监视元件。

这具有的优点是：来自和去往工作环境的总网络话务经由网络连接元件来传递，其中该话务可被容易地复制并且可以被提供给网络监视元件以供进一步分析。攻击者被指引到工作环境的所有活动可由此由网络监视元件注册。

根据一个实施例，该方法包括借助网络监视元件在网络连接元件处注册网络话务；以及如果在网络连接元件处注册的网络话务中标识出异常，则触发第二攻击警告信号。

这具有的优点是：第二攻击警告信号是独立于第一攻击警告信号生成的并且因此攻击甚至被更加可靠地检测。第二攻击警告信号基于对网络连接元件处的网络话务(即，上级网络话务)中的异常的标识，而第一攻击警告信号基于网络安全性元件处的基于工作场所的网络话务与预定义的网络话务(即，参考网络话务)的比较。

根据一个实施例，对异常的标识是基于对经注册的网络话务中的不正常搜索操作的检测的。

这具有的优点是：对不正常搜索操作的检测可靠地指示正在进行中或即将发生的攻击。计算机网络的计算机持续地生成大量的警告警报，例如在非功能性的软件更新的情况下、在处理器过载时、在软件的更新还未被执行时，在口令已经被错误地输入时、在暂时不可能访问因特网时、在不可能访问特定数据时等。这些警告警报是由计算机网络在操作期间较频繁或者较不频繁地发生的特定异常导致的，并且这些特定异常通常为了被补救而需要用户的交互。相反，不正常的搜索操作不是典型的系统功能。它们将被评估为是严重的，并且指示计算机的误用。基于以此方式检测到的不正常搜索操作可以可靠地检测攻击。

根据一个实施例，该方法包括在标识出异常的情况下，实时地记录网络连接元件处注册的网络话务。

这具有的优点是：只要异常指示即将发生的攻击，攻击者的活动就可以被立即记录和分析。安全性系统可以快速行动并且响应时间非常短。

根据一个实施例，该方法包括基于第一攻击警告信号和第二攻击警告信号来生成警告警报。

这具有的优点是：警告警报在其基于独立于彼此的两个特定攻击警告信号(具体而言，第一攻击警告信号和第二攻击警告信号)时特别可靠。

根据一个实施例，警告警报的生成还基于来自通信网络的其他工作环境的进一步攻击警告信号。

在警告警报的生成还基于来自通信网络的其他工作环境的进一步攻击警告信号时，警告警报更加可靠，因为使用了进一步的信息。

根据一个实施例，该方法还包括在第一攻击警告信号被触发时，借助日志服务器将网络安全性元件处的经注册的网络话务记入日志；并且在第二攻击警告信号被触发时，借助该日志服务器将网络连接元件处的经注册的网络话务记入日志。

这具有的优点是：在将两个网络元件处注册的网络话务记入日志时，这可供用于进一步的分析。攻击模式的分析可由此被更加准确地执行，并且可以关于将来的攻击做出更加可靠的预测。

根据一个实施例，该方法包括基于网络安全性元件处的经记入日志的网络话务和网络连接元件处的经记入日志的网络话务来检测攻击的特性属性。

这具有的优点是：攻击的特性属性可以被使用，以便基于相同的攻击特性来容易地且无需较大费用地检测进一步的攻击。

根据第二方面，本发明涉及一种网络安全性系统，包括：设计成建立至通信网络115的连接的网络连接元件105；连接至网络连接元件105的网络安全性元件103，它有可能将至少一个工作环境101连接至网络连接元件105，以便将该至少一个工作环境101连接至通信网络115，并且网络安全性元件103被设计成基于该至少一个工作场所环境101的仿真来检测对该至少一个工作场所环境101的攻击。

此类网络安全性系统的优点在于，作为借助网络安全性元件对工作场所环境的仿真的结果，攻击者被引诱成将他的攻击指引到网络安全性元件，并且因此保护了真正的工作场所环境。网络安全性元件处的网络话务可因此被注册以及分析。此种网络安全性系统的优点因此是：关于真正工作场所环境的保护效果以及在检测到对工作场所环境的攻击时敏捷地响应的能力

根据一个实施例，网络安全性元件包括以下：仿真器，其被设计成电子地仿真至少一个工作环境；注册单元，其被设计成在网络安全性元件处注册网络话务；以及攻击警告单元，其被设计成将经注册的网络话务与预定义的网络话务进行比较，并且在经注册的网络话务与预定义的网络话务之间有偏差的情况下触发第一攻击警告信号。

此种网络安全性系统的优点在于：经注册的网络话务与预定义的网络话务的比较提供对于标识指示攻击的不规律性的简单和可靠的可能性。第一攻击警告信号可以快速地被触发，以使得用户不会对攻击感到意外，或者用户足够早得知晓攻击，以使得存在充足的时间以采取恰适的预防措施。

根据一个实施例，网络安全性系统包括连接至网络连接元件的网络监视元件，网络监视元件被设计成在网络连接元件处注册网络话务，并且如果在网络连接元件处注册的网络话务中标识出异常，则触发第二攻击警告信号。

这具有的优点是：第二攻击警告信号是独立于第一攻击警告信号生成的并且因此攻击甚至被更加可靠地检测。第二攻击警告信号基于对网络连接元件处的网络话务(即，上级网络话务)中的异常的标识，而第一攻击警告信号基于网络安全性元件处的基于工作场所的网络话务与预定义的网络话务(即，参考网络话务)的比较。

根据一个实施例，网络安全性系统包括日志服务器，其被设计成：基于第一攻击警告信号和第二攻击警告信号来生成警告警报，以及将网络安全性元件处的经注册的网络话务记入日志并且将网络连接元件处的经注册的网络话务记入日志，以及基于经记入日志的网络话务来检测攻击的特性属性。

这具有的优点是：在将两个网络元件处注册的网络话务记入日志时，这可供用于进一步的分析。攻击模式的分析可由此被更加准确地执行，并且可以关于将来的攻击做出更加可靠的预测。另外，攻击的特性属性可以被使用，以便基于相同的攻击特性来容易地且无需较大费用地检测进一步的攻击。

将参照附图解释进一步的实施例，其中：

图1是根据一个实施例的网络安全性系统100的示意图；

图2是根据一个实施例的网络安全性元件103的示意图；

图3是根据一个实施例的网络监视元件107的示意图；

图4是根据一个实施例的日志服务器109的示意图；

图5是根据一个实施例的用于检测对工作环境的攻击的方法500的示意图；以及

图6是根据又一个实施例的用于检测对工作环境的攻击的方法600的示意图。

在以下详细描述中，将参照形成所述描述的一部分的附图，并且其中可以实现本发明的特定实施例是作为解说示出的。毋庸置疑，也可使用其他实施例并且可以做出结构或者逻辑修改，而不脱离本发明的概念。以下详细描述因此不被理解为限制意义。还毋庸置疑的是，本文描述的各种实施例的特征可以彼此组合，除非特别另外声明。

将参考附图描述各方面和实施例，附图中相同的附图标记一般涉及相同的元件。出于提供解释目的，将在以下描述中呈现众多具体细节以提供对本发明的一个或多个方面的透彻理解。然而，本领域技术人员可以清楚，可用较少数量的具体细节来实现一个或多个方面或实施例。在其他情形中，以示意性的形式来解说已知的结构和元件，以便促成一个或多个方面或实施例的描述。毋庸置疑，可使用其他实施例并且可以做出结构或者逻辑修改，而不脱离本发明的概念。

尽管可能已经仅关于数个实现中的一个实现公开了实施例的特定特征或特定方面，但是这一类型的特征或这一类型的方面可附加地与其他实现的一个或多个其他特征或方面组合，如对于给定或特定应用而言可以期望的且有利的那样。此外，就在详细描述或权利要求书中使用术语“包含”、“具有”、“带有”或它们的其他变体而言，这些术语应当被理解成以与术语“包括”相似的方式为包含性的。术语“耦合”和“连接”可以与其派生词一起使用。毋庸置疑，使用这些术语是为了指定两个元件彼此协作或交互的事实，而无论他们是在物理或电子上彼此直接接触还是不彼此直接接触。另外，术语“藉由示例”仅被解释为示例，而不是表示最佳或最优场景。以下描述因此不旨在被理解为限制意义。

图1是根据一个实施例的网络安全性系统100的示意图。

网络安全性系统100包括网络连接元件105，其被用于建立至通信网络115的连接，以及还包括连接至网络连接元件105的网络安全性元件103。至少一个工作环境101能连接至网络连接元件103，或者可以连接至网络连接元件103，以便将至少一个工作环境101连接至通信网络115。

网络连接元件105可以将工作环境101、网络安全性元件103、以及网络监视元件107连接至通信网络115。网络连接元件105可以是例如交换机、网关或路由器，其有可能经由各种端口将各种网络元件连接至交换机、网关或路由器并且有可能相应地路由所述网络元件。这种类型的路由可以经由相应的路由器协议或网关协议或交换机设置来配置。

网络安全性元件被用于基于对至少一个工作场所环境101的仿真来检测对至少一个工作场所环境101的攻击。在此情形中，可以仅涉及一个工作场所环境101，或者数个不同的此类工作场所环境101。

网络安全性元件103可如以下图2中更详细地示出的那样来构造。网络安全性元件103可包括仿真器201、注册单元203、以及攻击警告单元205。该至少一个工作环境101可以使用仿真器201来电子地仿真。网络安全性元件103处的网络话务202可以使用注册单元203来注册。经注册的网络话务202可以使用攻击警告单元205来与预定义的网络话务204进行比较，并且可以在经注册的网络话务202与预定义的网络话务204之间有偏差的情况下触发第一攻击警告信号110。

工作环境101可以是计算机网络中为个体用户或个体用户群设计的计算机系统。藉由示例，工作环境可被分配给公司的雇员，以使得该雇员可以在该工作环境上执行其商务相关的职责。工作环境可包括一个或多个工作场所计算机，例如PC、工作站、笔记本、PDA、智能电话、或其他类型的计算机或处理器。通信网络115可以是有线网络，例如以太网、USB或电缆网络。通信网络115可以是无线网络，例如WLAN、WiFi、蓝牙或红外网络，或者移动通信标准(诸如LTE、UMTS、GSM等)的通信网络。

网络安全性系统100还可包括网络监视元件107。网络监视元件107可如以下图3中更详细地示出的那样来构造。网络监视元件107可被用于在网络连接元件105处注册网络话务302，并且如果在网络连接元件105处注册的网络话务302中标识出异常304，则用于触发第二攻击警告信号112。

网络安全性系统100还可包括日志服务器109，其藉由示例可如以下图4中更详细地示出的那样来构造。日志服务器109可基于第一攻击警告信号110和第二攻击警告信号112来生成警告警报114。日志服务器109可将网络安全性元件103处的经注册的网络话务202和网络连接元件105处的经注册的网络话务302记入日志，并且可以基于经记入日志的网络话务402来检测攻击的特性属性404。

作为借助网络安全性元件103来仿真工作场所环境101的结果，攻击者113应当被引诱成将他的攻击指引到网络安全性元件103，从而保护了真正的工作环境101。网络安全性元件103处的网络话务可被所述网络安全性元件高效地注册以及分析。由此达成关于真正的工作场所环境101的保护效果。网络安全性元件103可装备有快速处理器，该快速处理器允许网络安全性元件103非常快速地检测对工作场所环境101的攻击。

一种用于检测攻击的方法可如以下在这一情形中进行：

1.(内部)攻击者113检查网络115以发现可被攻击的目标；

2.工作场所或工作环境101被保护；

3.网络安全性元件103模拟不受保护的工作场所并且吸引攻击者113的注意力；

4a.攻击者113在(3)中找到可在感兴趣的网络区域(即网络安全性元件103)中被攻击的目标；

4b.网络监视元件107实时地检测网络话务中的不正常搜索操作并且集中地传达这些操作。

4c.日志服务器109将关于不正常搜索操作的传入通信记入日志

5a.攻击者在(3)中开始闯入尝试，即尝试闯入网络安全性元件103；

5b.网络安全性元件103检测闯入尝试、实时地记录攻击者113的输入并且集中地传达这些输入；网络监视元件107检测网络话务中的攻击的属性并且集中地传达这些属性；日志服务器109将关于攻击的属性的传入通信记入日志；

6.日志服务器109收集来自(5b)的通信(即来自网络安全性元件103和网络监视元件107的通信)，并且生成警告报告；

7.安全性分析者在分析设备111中分析警告报告，以便发起合适的措施。

图2是根据一个实施例的网络安全性元件103的示意图。

网络安全性元件103包括仿真器201、注册单元203、以及攻击警告单元205。在以上图1中解说的工作环境101可使用仿真器201来电子地仿真，即仿真器201可生成或仿真一经仿真的工作环境101a。仿真器201可以例如在网络安全性元件103上安装与安装在工作环境101上的软件相同的软件的至少一些部分。攻击者113随后找到网络安全性元件103上的相同软件并且相信这是他感兴趣的工作场所环境101。攻击者113由此被欺骗，从而认为网络安全性元件103是真正的工作环境101，以便提示攻击者继续他的攻击活动，从而使得他的攻击可被跟随。攻击者113将由此在相信这是真正工作场所环境101的情况下，将他的活动指引到探索网络安全性元件103。

网络安全性元件103处的网络话务202可以使用注册单元203来注册。经注册的网络话务202可以使用攻击警告单元205来与预定义的网络话务204进行比较，并且可以在经注册的网络话务202与预定义的网络话务204之间有偏差的情况下触发第一攻击警告信号110。藉由示例，在网络安全性元件103处注册网络话务202可通过注册至网络安全性元件103的访问速率来实现。被由此注册的访问速率随后可与预定义的访问速率进行比较。

预定义的访问速率可通过例如在统计上对工作环境101的典型用户的活动进行分析来容易地确定。如果在工作环境101上或网络安全性元件103上存在攻击，则访问速率由此显著地上升，这可被容易地和可靠地确定。

图3是根据一个实施例的网络监视元件107的示意图。

网络监视元件107连接至网络连接元件105并且可以在网络连接元件105处注册网络话务302。来自和去往工作环境101的总网络话务可由此经由网络连接元件105来传递，该话务可被容易地从其中复制并且被提供给网络监视元件107以供进一步分析。攻击者113被指引到工作环境101的所有活动可由此由网络监视元件107注册。

如果网络连接元件105处注册的网络话务302中标识出异常304，则网络监视元件可以触发第二攻击警告信号112。第二攻击警告信号112可由此独立于第一攻击警告信号110地生成，从而使得可以甚至更加可靠地检测攻击。第二攻击警告信号112可基于对网络连接元件处的网络话务(即，上级网络话务)中的异常的标识，而第一攻击警告信号110可基于网络安全性元件处的基于工作场所的网络话务与预定义的网络话务(即，参考网络话务)的比较。

异常304的标识可以通过在经注册的网络话务302中检测到不正常搜索操作来实现。不正常搜索操作的检测可以可靠地指示正在进行中或即将发生的攻击。计算机网络的计算机持续地生成大量的警告警报，例如在非功能性的软件更新的情形中、在处理器过载时、在软件的更新还未被执行时，在口令已经被错误地输入时、在暂时不可能访问因特网时、在不可能访问特定数据时等。这些警告警报是由计算机网络的在操作期间较频繁或者较不频繁地发生的特定异常导致的，并且这些特定异常通常为了被补救而需要用户的交互。相反，不正常搜索操作不是典型的系统功能。它们将被评估为是严重的，并且指示计算机的误用。基于以此方式检测到的不正常搜索操作可以可靠地检测攻击。

网络监视元件107可包括注册单元(例如存储器)，借助该注册单元，网络连接元件105处的网络话务302可被注册。网络监视元件107可包括检测单元(例如，数据相关器)，以便在网络连接元件105处注册的网络话务302中标识异常304(例如，通过应用相关(correlation)方法)。网络监视元件107可包括警告单元，如果标识出异常304，则可以借助该警告单元生成攻击警告信号112。网络监视元件107可包括通信接口，经由该通信接口，攻击警告信号112可被转发至网络安全性系统100中的其他元件(例如如图1中示出的)，经由网络连接元件105和通信网络115转发至日志服务器109和/或分析设备111，或者如图1中未示出的，经由绕过通信网络115的独立接口来转发至日志服务器109和/或分析设备111。

图4是根据一个实施例的日志服务器109的示意图。

日志服务器109可基于第一攻击警告信号110和第二攻击警告信号112来生成警告警报114。日志服务器109可将网络安全性元件103处的经注册的网络话务202和网络连接元件105处的经注册的网络话务302记入日志(例如，在日志存储器中)，并且可以基于经记入日志的网络话务402来检测攻击的特性属性404。

由于将这两个网络元件103、105处注册的网络话务202、302记入日志，这可供用于进一步的分析。攻击模式的分析可由此被更加准确地执行，并且可以关于将来的攻击做出更加可靠的预测。由日志服务器109检测到的攻击的特性属性可以被使用，以便基于相同的攻击特性来容易地且无需较大费用地检测进一步的攻击。

可以使得由日志服务器109记录的日志以及由日志服务器109建立的攻击的特性属性404可供分析设备111可用，如图1中所解说的。

分析设备111可以是例如SIEM(安全性信息和事件管理)系统。藉由示例，分析设备111可以将安全性信息管理(SIM)与安全性事件管理(SEM)组合，并且该分析设备111可以实现安全性警报的实时分析。为了记录安全性相关数据并且为了生成用于合规应用的报告，可以使用分析设备111和/或日志服务器109。

图5是根据一个实施例的用于检测对工作环境的攻击的方法500的示意图。

在第一方法步骤501中，方法500可包括配置网络连接元件，例如根据关于图1的描述的网络连接元件105。受保护的工作场所系统(例如根据图1的示图的攻击者113可能感兴趣的工作场所系统101)可被连接至网络连接元件105。网络连接元件105的配置可以使得所有“话务”(即，网络话务)被复制到网络监视元件(例如，根据图1的示图的网络监视元件107)所连接至的端口。

替换地，方法500可能已经用经配置的网络连接元件来执行。

在第二方法步骤502中，方法500可包括借助网络安全性元件103来模拟工作场所系统，例如根据关于图1的描述的工作环境101。不受保护的工作场所系统的模拟旨在从受保护的工作场所系统偏转并且吸引攻击者的注意力。

在第三方法步骤503中，方法500可包括检查传入和传出的网络话务，例如使用网络监视元件107，如图1中详细描述的。网络监视元件107能够检查去往/来自网络连接元件105的传入和传出的网络话务以用于可疑模式。

如果网络话务被加密，则仅该网络和来自该连接的日志数据可供用于分析。在形成该连接的基础的关键信息对于网络监视元件107而言可用时，由传输加密的数据项的内容由此可被进一步分析。

在第四方法步骤504中，方法500可包括警报报告的分析和创建。如果闯入尝试由网络安全性元件103检测到，则攻击者的输入可以被记入日志并且集中地注册。如果可疑模式由网络监视元件107发现，则可以生成警报并且该警报被转发至中央系统(例如，转发至日志服务器109)以供合并，如图1和4描述的。

通过将不受保护的工作场所的模拟与网络监视元件和中央日志记录进行组合，现在有可能集中地理清这些事件的因果关系并且作出关于攻击者的结论。

来自其他网络区域的通信可以根据相同的结构被集中地收集。以此形式可以获得的数据越多，则关于所执行的攻击的结论的质量就越高，即可以减少不正确的结论。

在第五方法步骤505中，方法500可包括由安全性分析者来发起合适的措施。安全性分析者可以按自动的方式(例如以电子邮件、SMS、应用(app)等形式)获得警告警报，并且可以基于此来发起合适的措施。

图6是根据又一个实施例的用于检测对连接至通信网络115的工作环境(例如图1中解说的工作环境101)的攻击的方法600的示意图。

方法600包括借助连接至通信网络115的网络安全性元件(例如，如图1解说的网络安全性元件103)来电子地仿真(601)工作环境101。方法600包括在网络安全性元件103处注册(602)网络话务202。方法600包括将经注册的网络话务202与预定义的网络话务204进行比较(603)。方法600包括在经注册的网络话务202与预定义的网络话务204之间有偏差的情况下触发(604)第一攻击警告信号110，例如根据关于图1和2的描述。

网络话务的注册(602)可包括注册至网络安全性元件103的访问速率。经注册的网络话务202与预定义的网络话务204的比较(603)可包括将经注册的访问速率与预定义的访问速率进行比较。

工作环境101的电子仿真(601)可包括仿真不受保护的工作环境101a，该不受保护的工作环境101a包括与安装在工作环境101上的软件相同的软件的至少一些部分。

例如根据图1的示图，网络连接元件105可介于工作环境101与通信网络115之间，并且网络监视元件107可被连接至网络连接元件105。方法600可包括将网络连接元件105处的网络话务复制到网络监视元件107。

方法600还可包括借助网络监视元件107在网络连接元件105处注册网络话务302；并且例如根据关于图3的描述，如果在网络连接元件105处注册的网络话务302中标识出异常，则触发第二攻击警告信号112。异常304的标识可基于对经注册的网络话务302中的不正常搜索操作的检测。

方法600还可包括在标识出异常304的情况下，实时地记录网络连接元件105处注册的网络话务302。例如根据关于图1到3的描述，方法600可包括基于第一攻击警告信号110和第二攻击警告信号112来生成警告警报114。警告警报114的生成还可基于来自通信网络115的其他工作环境的进一步攻击警告信号。

例如根据关于图1和4的描述，方法600还可包括在第一攻击警告信号110被触发时，借助日志服务器109将网络安全性元件103处的经注册的网络话务202记入日志。例如根据关于图1和4的描述，方法600可包括在第二攻击警告信号112被触发时，借助日志服务器109将网络连接元件105处的经注册的网络话务302记入日志。方法600还可包括基于网络安全性元件103处的经记入日志的网络话务202和网络连接元件105处的经记入日志的网络话务302来检测攻击的特性属性404。

方法600描述了在关于图1的描述的结束处解释的方法步骤1到7以及图5中示出的方法500的概括。

本发明的一个方面还包括计算机程序产品，其可被直接加载到数字计算机的内部存储器中并且包括软件代码部分，借助该软件代码部分，关于图5或图6描述的方法500、600可以在该产品在计算机上运行时被执行。计算机程序产品可被存储在计算机可适用的介质上并且包括以下：计算机可读程序装置，该装置允许计算机：借助连接至通信网络的网络安全性元件来电子地仿真(601)工作环境；在该网络安全性元件处注册(602)网络话务；将经注册的网络话务与预定义的网络话务进行比较(603)；以及在经注册的网络话务与预定义的网络话务之间有偏差的情况下触发(604)第一攻击警告信号。计算机可以是PC，例如计算机网络中的PC。计算机可以是芯片、ASIC、微处理器、或者信号处理器，并且可以被安排在计算机网络中，例如如图1到4中描述的计算机网络中。

毋庸置疑，藉由示例，本文描述的各种实施例的特征可以彼此组合，除非特别另外声明。如说明书和附图中呈现的，已经以连接至彼此的方式来呈现的个体元件不必直接连接至彼此；可以在所连接的元件之间提供中间元件。还毋庸置疑的是，本发明的实施例可以在个体电路、部分集成电路或完全集成电路或者编程装置中实现。术语“藉由示例”仅旨在作为示例，且不作为最佳或最优场景。特定实施例已经在本文中解说和描述；然而，本领域技术人员清楚大量的替换方案和/或等效实施例可以替代所示出和所描述的实施例来被实现，而不脱离本发明的概念。

附图标记列表

100:网络安全性系统

101:工作环境

101a:经仿真工作环境

103:网络安全性元件

105:网络连接元件

107:网络监视元件

109:日志服务器

110:第一攻击警告信号

111:分析设备

112:第二攻击警告信号

113:攻击者

114:警告警报

115:通信网络

201:仿真器

203:注册单元

205:攻击警告单元

202:网络安全性元件处的经注册的网络话务

204:预定义的网络话务

302:网络连接元件处的经注册的网络话务

304:异常

402:经记入日志的网络话务

404:攻击的特性属性

500:用于检测对工作环境的攻击的方法

501:第一方法步骤：配置网络连接元件

502:第二方法步骤：模拟工作场所系统

503:第三方法步骤：检查传入和传出的网络话务

504:第四方法步骤：警告报告的分析和创建

505:第五方法步骤：由安全性分析者来发起合适的措施

600:用于检测对工作环境的攻击的方法

601:第一方法步骤：电子地仿真工作环境

602:第二方法步骤：在网络安全性元件处注册网络话务

603:第三方法步骤：将经注册的网络话务与预定义的网络话务进行比较

604:第四方法步骤：触发第一攻击警告信号