一种Windows文件系统非法访问的感知方法及系统技术方案

本发明专利技术涉及一种Windows文件系统非法访问的感知方法及系统。本发明专利技术借鉴了网络欺骗的思想，在系统中放置蜜饵文件夹用于欺骗攻击者，从而发现网络攻击或者诱使攻击者进入可控的欺骗环境。当攻击者访问蜜饵时，蜜饵中的代码会向指定地址发送消息，从而使防御方获得警报。采用基于主机的防御策略，可以为信息资产添加一层安全保障，即使在防护墙、反病毒等方案失效的情况下，仍能及时感知未知威胁，保护系统内的敏感数据。本发明专利技术的实施及部署与攻击者的攻击方法无关，能够有效检测并预警非法访问行为。

【技术实现步骤摘要】
一种Windows文件系统非法访问的感知方法及系统
本专利技术涉及计算机网络安全领域，特别涉及一种异常访问感知方法和系统，更具体地，是一种针对Windows文件系统非法访问的异常感知方法和系统。
技术介绍
数据泄露已经成为全球最常见的网络安全事件之一，而且有愈演愈烈的趋势，在2017年上半年，全球就有19亿条记录被泄或被盗，比2016年全年总量(14亿)还多。随着科技的发展，互联网数据越来越多，其中不乏敏感数据。数据泄露不仅给企业和用户带来数据资产的严重损失，还带来了巨大的社会影响，对网络安全构成了重大威胁。由于计算机操作系统、应用程序软件常出现多种漏洞，越来越多的计算机被黑客攻击、数据被黑客窃取，而多数受害者毫无察觉。新的攻击方式、攻击手段和攻击策略层出不穷，对现有的被动防御的安全机制形成了很大挑战。目前，根据所部署的位置的不同，数据泄露防御方案可以分成基于网络的数据泄露防御和基于主机的数据泄露防御。其中，基于网络的数据防御占多数。基于网络的安全防御环境以防火墙、IDS、IPS等设备为核心构建，所针对的是进出内部网络的所有数据，主要目本文档来自技高网...

【技术保护点】
1.一种Windows文件系统非法访问的感知方法，其特征在于，包括以下步骤：/n在待保护的Windows主机中生成蜜饵文件夹，所述蜜饵文件夹中包含欺骗性文档和desktop.ini文件，所述desktop.ini文件包含UNC地址；/n所述蜜饵文件夹被浏览时，自动触发待保护的Windows主机向感知服务器发送所述UNC地址的域名解析请求；/n所述感知服务器解析所述域名解析请求，根据所述UNC地址提取所述蜜饵文件夹所在的待保护的Windows主机的相关信息，并生成警告通知。/n

【技术特征摘要】
1.一种Windows文件系统非法访问的感知方法，其特征在于，包括以下步骤：
在待保护的Windows主机中生成蜜饵文件夹，所述蜜饵文件夹中包含欺骗性文档和desktop.ini文件，所述desktop.ini文件包含UNC地址；
所述蜜饵文件夹被浏览时，自动触发待保护的Windows主机向感知服务器发送所述UNC地址的域名解析请求；
所述感知服务器解析所述域名解析请求，根据所述UNC地址提取所述蜜饵文件夹所在的待保护的Windows主机的相关信息，并生成警告通知。


2.根据权利要求1所述的方法，其特征在于，所述蜜饵文件夹和所述欺骗性文档的名字和/或内容包含敏感关键字，以利于被攻击者优先发现。


3.根据权利要求1所述的方法，其特征在于，所述UNC地址的域名包括：已登陆主机的用户名、蜜饵文件夹的ID标识。


4.根据权利要求3所述的方法，其特征在于，利用主机编号、文件夹名称、随机数生成所述蜜饵文件夹的ID标识。


5.根据权利要求3所述的方法，其特征在于，所述感知服务器解析所述域名解析请求获得的所述相关信息包括：发起域名解析请求的源IP、时间、UNC地址中的ID标识、登陆用户名。


6.根据权利要求5所述的方法，其特征在于，所述感知服务器包含数据库，所述数据库中存储蜜饵文件夹的ID标识、蜜饵文件夹所在的主机IP；所述感知服务器根据提取的所述相关信息，与所述数据库中的信息进行查询和关联匹配，从而形成所述警告通...

【专利技术属性】
技术研发人员：刘潮歌，崔翔，张金莉，尹捷，刘奇旭，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京;11