(19)中华 人民共和国 国家知识产权局
(12)发明 专利申请
(10)申请公布号
(43)申请公布日
(21)申请 号 202111502822.6
(22)申请日 2021.12.09
(71)申请人 北京安天网络安全技 术有限公司
地址 100195 北京市海淀区玉泉山闵庄路3
号清华科技园玉泉慧谷1号楼
(72)发明人 李丹 韩文奇
(74)专利代理 机构 北京科衡知识产权代理有限
公司 11928
代理人 王淑静
(51)Int.Cl.
H04L 9/40(2022.01)
G06F 21/55(2013.01)
(54)发明名称
一种网络攻击诱捕方法、 装置、 电子设备及
存储介质
(57)摘要
本发明实施例公开一种网络攻击诱捕方法、
装置、 电子设备及存储介质, 涉及网络安全技术
领域。 所述方法包括: 在文件中部署诱捕文件; 所
述诱捕文件为可执行文件; 当检测到用户输入对
所述文件破解的解密指令时, 触发所述诱捕文件
执行捕获所述用户的行为画 像。 本发明通过上述
方法步骤, 即使攻击者将文件捕获之后, 脱离蜜
罐部署环 境进行暴力破解, 仍可以有效捕获攻击
者的身份等信息, 适用于网络安全防御场景中。
权利要求书3页 说明书8页 附图3页
CN 114285608 A
2022.04.05
CN 114285608 A
1.一种网络攻击诱捕方法, 其特 征在于, 包括 步骤:
在文件中部署诱捕文件; 所述 诱捕文件为可 执行文件;
当检测到用户输入对所述文件破解的解密指令时, 触发所述诱捕文件执行捕 获所述用
户的行为画像。
2.根据权利要求1所述的网络攻击诱捕方法, 其特征在于, 所述当检测到用户输入对所
述文件破解的解密指令时, 触发所述 诱捕文件执 行捕获所述用户的行为画像包括:
当检测到用户输入对所述文件破解的解密指令时, 将所述解密指令、 文件属性信息及
所述用户的行为画像上传至服务器, 以使 所述服务器根据所述解密指 令及所述文件属性信
息与预先存储的对应文件的解密秘钥比对确认是否一 致;
根据比对结果判断所述用户是否为 攻击者, 并将所述用户的行为画像存 储。
3.根据权利要求1或2所述的网络攻击诱捕方法, 其特征在于, 所述当检测到用户输入
对所述文件 破解的解密指令时, 触发所述 诱捕文件执 行捕获所述用户的行为画像还 包括:
当检测到用户输入对所述文件破解的解密指令时, 触发所述诱捕文件发起与 所述服务
器的联网行为请求;
判断所述联网行为是否成功;
若所述联网行为成功, 则将所述解密指令、 文件属性信息及所述用户的行为画像上传
至服务器。
4.根据权利要求3所述的网络攻击诱捕方法, 其特征在于, 在判断所述联网行为是否成
功之后, 所述方法还 包括:
若所述联网行为失败, 则拒绝对所述文件解密。
5.根据权利要求2所述的网络攻击诱捕方法, 其特征在于, 所述服务器根据所述解密指
令及所述文件属性信息与预 先存储的对应文件的解密秘钥比对确认是否一 致包括:
根据所述文件的属性信息确定所述文件的身份信息;
根据所述文件的身份信息确定预 先存储的所述文件的解密秘钥;
将所述解密指令与所述文件的解密秘钥进行比对;
若所述解密指令与所述文件的解密秘钥不一致, 则判断所述用户为疑似攻击者, 并将
所述用户的行为画像存 储。
6.根据权利要求5所述的网络攻击诱捕方法, 其特征在于, 在若所述解密指令与所述文
件的解密秘钥不一致, 则判断所述用户为疑似攻击者之后, 所述方法还包括: 统计预定时长
内输入的所述 解密指令与所述文件的解密秘钥不 一致的破解事 件次数;
若所述次数超过预定频次阈值, 且根据获取的用户的身份标识信息, 判断所述预定时
长内发生的所述事件为同一用户的行为事件; 所述用户的行为画像中包含用户的身份标识
信息;
则确定所述用户为 攻击者, 并触发告警。
7.根据权利要求6所述的网络攻击诱捕方法, 其特征在于, 在触发告警之后, 所述方法
还包括: 返回拒绝 解密及加密数据自行防御指令;
接收并执 行所述拒绝 解密及加密数据自行防御指令 。
8.根据权利要求7所述的网络攻击诱捕方法, 其特征在于, 所述文件自行防御指令用于
指示自行销毁所述文件。权 利 要 求 书 1/3 页
2
CN 114285608 A
29.根据权利要求1所述的网络攻击诱捕方法, 其特征在于, 所述诱捕文件为部署于所述
文件外层的一个可 执行的壳。
10.根据权利要求1所述的网络攻击诱捕方法, 其特征在于, 所述用户包括攻击者, 所述
用户的行为画像包 含: 攻击者的身份标识信息、 攻击者使用的攻击战、 技 术及过程。
11.一种网络攻击诱捕装置, 其特 征在于, 所述装置包括:
部署程序模块, 用于在文件中部署诱捕文件; 所述 诱捕文件为可 执行文件;
捕获程序模块, 用于当检测到用户输入对所述文件破解的解密指令时, 触发所述诱捕
文件执行捕获所述用户的行为画像。
12.根据权利要求11所述的网络攻击诱捕装置, 其特征在于, 所述捕获程序模块, 具体
用于:
当检测到用户输入对所述文件破解的解密指令时, 将所述解密指令、 文件属性信息及
所述用户的行为画像上传至服务器, 以使所述服务器, 用于根据所述解密指令及所述文件
属性信息与预 先存储的对应文件的解密秘钥比对确认是否一 致;
根据比对结果判断所述用户是否为 攻击者, 并将所述用户的行为画像存 储。
13.根据权利要求11或12所述的网络攻击诱捕装置, 其特征在于, 所述捕获程序模块,
包括: 联网程序单元, 用于 当检测到用户输入对所述文件破解的解密指令时, 触发所述诱捕
文件发起与所述 服务器的联网行为请求;
判断程序单 元, 判断所述联网行为是否成功;
上传程序单元, 用于若所述联网行为成功, 则将所述解密指令、 文件属性信息及所述用
户的行为画像上传至服 务器。
14.根据权利要求13所述的网络攻击诱捕装置, 其特征在于, 所述捕获程序模块, 还包
括: 拒绝程序单元, 用于在判断所述联网行为是否成功之后, 若所述联网行为失败, 则拒绝
对所述文件解密。
15.根据权利要求12所述的网络攻击诱捕装置, 其特 征在于, 所述 服务器, 具体用于:
根据所述文件的属性信息确定所述文件的身份信息;
根据所述文件的身份信息确定预 先存储的所述文件的解密秘钥;
将所述解密指令与所述文件的解密秘钥进行比对;
若所述解密指令与所述文件的解密秘钥不一致, 则判断所述用户为疑似攻击者, 并将
所述用户的行为画像存 储。
16.根据权利要求15所述的网络攻击诱捕装置, 其特征在于, 所述服务器, 具体还用于:
在若所述解密指令与所述文件的解密秘钥不一致, 则判断所述用户为疑似攻击者之后, 统
计预定时长内输入的所述 解密指令与所述文件的解密秘钥不 一致的破解事 件次数;
若所述次数超过预定频次阈值, 且根据获取的用户的身份标识信息, 判断所述预定时
长内发生的所述事件为同一用户的行为事件; 所述用户的行为画像中包含用户的身份标识
信息;
则确定所述用户为 攻击者, 并触发告警。
17.根据权利要求15所述的网络攻击诱捕装置, 其特征在于, 所述服务器, 还用于在触
发告警之后, 返回拒绝 解密及加密数据自行防御指令;
所述装置, 还包括防御程序模块, 用于接收并执行所述拒绝解密及加密数据自行防御权 利 要 求 书 2/3 页
3
CN 114285608 A
3
专利 一种网络攻击诱捕方法、装置、电子设备及存储介质
安全报告 >
其他 >
文档预览
中文文档
15 页
50 下载
1000 浏览
0 评论
309 收藏
3.0分
温馨提示:本文档共15页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 人生无常 于 2024-03-18 22:38:36上传分享