一种网络攻击诱捕方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术实施例公开一种网络攻击诱捕方法、装置、电子设备及存储介质，涉及网络安全技术领域。所述方法包括：在文件中部署诱捕文件；所述诱捕文件为可执行文件；当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像。本发明专利技术通过上述方法步骤，即使攻击者将文件捕获之后，脱离蜜罐部署环境进行暴力破解，仍可以有效捕获攻击者的身份等信息，适用于网络安全防御场景中。适用于网络安全防御场景中。适用于网络安全防御场景中。

【技术实现步骤摘要】
一种网络攻击诱捕方法、装置、电子设备及存储介质


[0001]本专利技术涉及网络安全
，尤其涉及一种网络攻击诱捕方法、装置、电子设备及存储介质。

技术介绍

[0002]蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，进而对攻击行为进行捕获及分析，以让防御方根据捕获的攻击行为及分析结果清楚知晓资产面临的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。因此，蜜罐技术亦被称为欺骗式防御技术。
[0003]例如，当存在外部设备登录当前资产设备，则对登陆产生的信息进行记录，包括登陆时可能进行的密码破解行为，以供防御方分析当前资产设备是否面临安全威胁。
[0004]然而，专利技术人在实现本专利技术创造的过程中发现：上述利用蜜罐技术诱捕攻击行为的方式，需要有攻击行为触发，蜜罐才会开始工作，但如果是在终端上的文件，例如，向外加密偷传文件，一旦攻击者将文件捕获之后，脱离蜜罐部署环境破解，部署在终端上的蜜罐则无法响应，致使难以有效捕获攻击者的身份等信息。

技术实现思路

[0005]有鉴于此，本专利技术实施例提供一种网络攻击诱捕方法、装置、电子设备及存储介质，可以有效捕获攻击者的身份等信息。
[0006]第一方面，本专利技术实施例提供的网络攻击诱捕方法，包括步骤：
[0007]在文件中部署诱捕文件；所述诱捕文件为可执行文件；
[0008]当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像。
[0009]结合第一方面，在第一方面的第一种实施方式中，所述当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像包括：当检测到用户输入对所述文件破解的解密指令时，将所述解密指令、文件属性信息及所述用户的行为画像上传至服务器，以使所述服务器根据所述解密指令及所述文件属性信息与预先存储的对应文件的解密秘钥比对确认是否一致；
[0010]根据比对结果判断所述用户是否为攻击者，并将所述用户的行为画像存储。
[0011]结合第一方面的第一种实施方式，在第一方面的第二种实施方式中，所述当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像还包括：
[0012]当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件发起与所述服务器的联网行为请求；
[0013]判断所述联网行为是否成功；
[0014]若所述联网行为成功，则将所述解密指令、文件属性信息及所述用户的行为画像
上传至服务器。
[0015]结合第一方面，在第一方面的第三种实施方式中，在判断所述联网行为是否成功之后，所述方法还包括：若所述联网行为失败，则拒绝对所述文件解密。
[0016]结合第一方面的第三种实施方式，在第一方面的第四种实施方式中，所述服务器根据所述解密指令及所述文件属性信息与预先存储的对应文件的解密秘钥比对确认是否一致包括：
[0017]根据所述文件的属性信息确定所述文件的身份信息；
[0018]根据所述文件的身份信息确定预先存储的所述文件的解密秘钥；
[0019]将所述解密指令与所述文件的解密秘钥进行比对；
[0020]若所述解密指令与所述文件的解密秘钥不一致，则判断所述用户为疑似攻击者，并将所述用户的行为画像存储。
[0021]结合第一方面的第四种实施方式，在第一方面的第五种实施方式中，在若所述解密指令与所述文件的解密秘钥不一致之后，统计预定时长内输入的所述解密指令与所述文件的解密秘钥不一致的破解事件次数；
[0022]若所述次数超过预定频次阈值，且根据获取的用户的身份标识信息，判断所述预定时长内发生的所述事件为同一用户的行为事件；所述用户的行为画像中包含用户的身份标识信息；
[0023]则确定所述用户为攻击者，并触发告警。
[0024]结合第一方面的第五种实施方式，在第一方面的第六种实施方式中，在触发告警之后，所述方法还包括：返回拒绝解密及文件自行防御指令；
[0025]接收并执行所述拒绝解密及文件自行防御指令。
[0026]结合第一方面的第一至第六种实施方式，在第一方面的第七种实施方式中，所述文件自行防御指令用于指示自行销毁所述文件。
[0027]第二方面，本专利技术实施例提供的网络攻击诱捕装置，包括：部署程序模块，用于在文件中部署诱捕文件；所述诱捕文件为可执行文件；
[0028]捕获程序模块，用于当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像。
[0029]第三方面，本专利技术实施例提供的电子设备，包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行第一方面任一实施方式所述的方法。
[0030]第四方面，本专利技术实施例提供的计算机可读存储介质，所述计算机可读存储介质存储有第一方面任一所述的文件，所述文件中部署的诱捕文件可被一个或者多个处理器执行，以实现前述第一方面任一所述的网络攻击诱捕方法。
[0031]相比于现有的蜜罐技术，本专利技术实施例提供的网络攻击诱捕方法、装置、电子设备及存储介质，通过在文件中部署诱捕文件，即使文件破解行为发生在脱离蜜罐部署环境中，但是，只要有对所述文件进行破解的解密指令输入，即可触发所述诱捕文件执行捕获用户的行为画像。因此，如果所述用户为攻击者，在文件被攻击者捕获之后，本专利技术仍然可以有
效捕获攻击者的身份等信息。
附图说明
[0032]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
[0033]图1为本专利技术网络攻击诱捕方法一实施例的流程示意图；
[0034]图2为部署有本专利技术网络攻击诱捕方法的主机一实施例示意图；
[0035]图3为本专利技术网络攻击诱捕方法再一实施例的流程示意图；
[0036]图4为本专利技术网络攻击诱捕方法又一实施例的流程示意图；
[0037]图5为本专利技术网络攻击诱捕装置一实施例架构图；
[0038]图6为本专利技术网络攻击诱捕装置又一实施例架构图；
[0039]图7为本专利技术网络攻击诱捕装置再一实施例架构图；
[0040]图8为本专利技术电子设备一个实施例的结构示意图。
具体实施方式
[0041]下面结合附图对本专利技术实施例进行详细描述。
[0042]应当明确，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络攻击诱捕方法，其特征在于，包括步骤：在文件中部署诱捕文件；所述诱捕文件为可执行文件；当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像。2.根据权利要求1所述的网络攻击诱捕方法，其特征在于，所述当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像包括：当检测到用户输入对所述文件破解的解密指令时，将所述解密指令、文件属性信息及所述用户的行为画像上传至服务器，以使所述服务器根据所述解密指令及所述文件属性信息与预先存储的对应文件的解密秘钥比对确认是否一致；根据比对结果判断所述用户是否为攻击者，并将所述用户的行为画像存储。3.根据权利要求1或2所述的网络攻击诱捕方法，其特征在于，所述当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像还包括：当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件发起与所述服务器的联网行为请求；判断所述联网行为是否成功；若所述联网行为成功，则将所述解密指令、文件属性信息及所述用户的行为画像上传至服务器。4.根据权利要求3所述的网络攻击诱捕方法，其特征在于，在判断所述联网行为是否成功之后，所述方法还包括：若所述联网行为失败，则拒绝对所述文件解密。5.根据权利要求2所述的网络攻击诱捕方法，其特征在于，所述服务器根据所述解密指令及所述文件属性信息与预先存储的对应文件的解密秘钥比对确认是否一致包括：根据所述文件的属性信息确定所述文件的身份信息；根据所述文件的身份信息确定预先存储的所述文件的解密秘钥；将所述解密指令与所述文件的解密秘钥进行比对；若所述解密指令与所述文件的解密秘钥不一致，则判断所述用户为疑似攻击者，并将所述用户的行为画像存储。6.根据权利要求5所述的网络攻击诱捕方法，其特征在于，在若所述解密指令与所述文件的解密秘钥不一致，则判断所述用户为疑似攻击者之后，所述方法还包括：统计预定时长内输入的所述解密指令与所述文件的解密秘钥不一致的破解事件次数；若所述次数超过预定频次阈值，且根据获取的用户的身份标识信息，判断所述预定时长内发生的所述事件为同一用户的行为事件；所述用户的行为画像中包含用户的身份标识信息；则确定所述用户为攻击者，并触发告警。7.根据权利要求6所述的网络攻击诱捕方法，其特征在于，在触发告警之后，所述方法还包括：返回拒绝解密及加密数据自行防御指令；接收并执行所述拒绝解密及加密数据自行防御指令。8.根据权利要求7所述的网络攻击诱捕方法，其特征在于，所述文件自行防御指令用于指示自行销毁所述文件。
9.根据权利要求1所述的网络攻击诱捕方法，其特征在于，所述诱捕文件为部署于所述文件外层的一个可执行的壳。10.根据权利要求1所述的网络攻击诱捕方法，其特征在于，所述用户包括攻击者，所述用户的行为画像包含：攻击者的身份标识信息、攻击者使用的攻击战、技术及过程。11.一种网络攻击诱捕装置，其特征在于，所述装置包括：部署程序模块，用于在文件中部署诱捕文件；所述诱捕文件为可执行文件；捕获程序模块，用于当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像。12.根据权利要求11所述的网络攻击诱捕装置，其特征在于，...

【专利技术属性】
技术研发人员：李丹，韩文奇，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：