【技术实现步骤摘要】
一种主动诱捕安全防御方法、系统、电子设备及存储介质
[0001]本专利技术涉及终端安全
,尤其涉及一种主动诱捕安全防御方法、系统、电子设备及存储介质。
技术介绍
[0002]网络安全防护的任务之一在于保障电子数据的安全性,防止被网络攻击者窃走。随着网络威胁手段的迭代更新,计算机、智能手机等电子设备上可供网络攻击者利用的漏洞和脆弱性始终存在,这就使得对电子设备上生成或保存的数据进行安全防护的要求更高。
[0003]现有的安全防护手段,大多隔离内(内部局域网)、外网(外部广域网)进行数据的防护。
[0004]专利技术人在实现本专利技术创造的过程中发现:上述隔离内、外网进行数据安全防护的方式,尽管在针对重要级别较高类型的文件等数据可进行防护,但是,对于重要级别相对不太高又需要进行保密的文件等数据而言,采用内、外网完全隔离防护方式,则显得有些不便;另外,在一些需要诱导攻击者攻击的场景中,内、外网隔离也导致无法有效诱捕到攻击者。
技术实现思路
[0005]有鉴于此,本专利技术实施例提供一种主动诱捕...
【技术保护点】
【技术特征摘要】
1.一种主动诱捕安全防御方法,其特征在于,包括步骤:监听第一目标主机上的诱饵文件;若监听到有用户主机对所述诱饵文件执行预设操作指令,则触发捕获所述用户主机标识信息及攻击主机标识信息的防御策略;所述第一目标主机与所述用户主机处于同一局域网内,所述用户主机为所述攻击主机的被控对象。2.根据权利要求1所述的主动诱捕安全防御方法,其特征在于,所述诱饵文件包含:源数据文件及可执行的壳,所述源数据文件封装于所述可执行的壳中,所述可执行的壳,用于在接收到所述预设操作指令时,触发捕获所述用户主机标识信息及攻击主机标识信息的防御策略。3.根据权利要求1或2所述的主动诱捕安全防御方法,其特征在于,所述预设操作指令包含:脱壳操作指令;所述源数据文件为可执行程序文件,所述预设操作指令还包含:打开或运行操作指令;所述若监听到有用户主机对所述诱饵文件执行预设操作指令,则触发捕获所述用户主机标识信息及攻击主机标识信息的防御策略包括:若监听到有用户主机对所述诱饵文件执行脱壳操作指令,则将所述用户主机标识信息发送至服务器;在检测到所述诱饵文件脱壳操作成功之后,继续检测是否有攻击主机输入对所述源数据文件执行打开或运行操作指令;若有,则将所述攻击主机的标识信息发送至服务器。4.根据权利要求3所述的主动诱捕安全防御方法,其特征在于,在将所述用户主机标识信息及攻击主机标识信息发送至服务器之后,所述方法还包括:所述服务器将获取的所述攻击主机标识信息和/或用户主机标识信息与对应攻击事件中的源数据文件类型之间建立映射关系;将所述映射关系存储,形成攻击数据库。5.根据权利要求4所述的主动诱捕安全防御方法,其特征在于,在将所述攻击主机标识信息发送至服务器之后,所述方法还包括:所述服务器根据获取的所述攻击主机标识信息与先前攻击事件中捕获的攻击主机标识信息进行比对;根据比对结果确定当前攻击事件与先前攻击事件是否为相同攻击行为。6.根据权利要求5所述的主动诱捕安全防御方法,其特征在于,在所述服务器根据获取的所述攻击主机标识信息与先前攻击事件中捕获的攻击主机标识信息进行比对之后,所述方法还包括:所述服务器根据比对结果,建立同一攻击主机的攻击画像,将所述攻击画像存储至所述攻击数据库中。7.根据权利要求4所述的主动诱捕安全防御方法,其特征在于,在形成攻击数据库之后,所述方法还包括:根据所述攻击数据库中存储的数据,生成安全告警及防御策略,并下发至第二目标主机;所述第二目标主机与第一目标主机处于同一局域网内;监听第二目标主机上是否有与攻击数据库中存储的源数据文件类型相同类型的数据文件被操作;若有,则获取所述操作行为的执行主机的标识信息;根据所述执行主机的标识信息与攻击数据库中存储的攻击主机和/或用户主机标识信息进行匹配;
若匹配成功,则下发执行所述安全告警及防御策略的指令至第二目标主机,以使第二目标主机根据所述安全告警及防御策略阻断所述操作和/或告警;或者,若匹配成功,则根据所述安全告警及防御策略阻断所述操作和/或告警。8.一种主动诱捕安全防御系统,其特征在于,所述系统包括:监听程序模块,用于监听第一目标主机上的诱饵文件;触发程序模块,用于若监听到有用户主机对所述诱饵文件执行预设操作指令,则触发捕获所述用户主机...
【专利技术属性】
技术研发人员:李丹,韩文奇,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。