(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111502822.6 (22)申请日 2021.12.09 (71)申请人 北京安天网络安全技 术有限公司 地址 100195 北京市海淀区玉泉山闵庄路3 号清华科技园玉泉慧谷1号楼 (72)发明人 李丹　韩文奇　 (74)专利代理 机构 北京科衡知识产权代理有限 公司 11928 代理人 王淑静 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/55(2013.01) (54)发明名称 一种网络攻击诱捕方法、 装置、 电子设备及 存储介质 (57)摘要 本发明实施例公开一种网络攻击诱捕方法、 装置、 电子设备及存储介质， 涉及网络安全技术 领域。 所述方法包括： 在文件中部署诱捕文件； 所 述诱捕文件为可执行文件； 当检测到用户输入对 所述文件破解的解密指令时， 触发所述诱捕文件 执行捕获所述用户的行为画 像。 本发明通过上述 方法步骤， 即使攻击者将文件捕获之后， 脱离蜜 罐部署环 境进行暴力破解， 仍可以有效捕获攻击 者的身份等信息， 适用于网络安全防御场景中。 权利要求书3页 说明书8页 附图3页 CN 114285608 A 2022.04.05 CN 114285608 A 1.一种网络攻击诱捕方法， 其特 征在于， 包括 步骤： 在文件中部署诱捕文件； 所述 诱捕文件为可 执行文件； 当检测到用户输入对所述文件破解的解密指令时， 触发所述诱捕文件执行捕 获所述用 户的行为画像。 2.根据权利要求1所述的网络攻击诱捕方法， 其特征在于， 所述当检测到用户输入对所 述文件破解的解密指令时， 触发所述 诱捕文件执 行捕获所述用户的行为画像包括： 当检测到用户输入对所述文件破解的解密指令时， 将所述解密指令、 文件属性信息及 所述用户的行为画像上传至服务器， 以使 所述服务器根据所述解密指 令及所述文件属性信 息与预先存储的对应文件的解密秘钥比对确认是否一 致； 根据比对结果判断所述用户是否为 攻击者， 并将所述用户的行为画像存 储。 3.根据权利要求1或2所述的网络攻击诱捕方法， 其特征在于， 所述当检测到用户输入 对所述文件 破解的解密指令时， 触发所述 诱捕文件执 行捕获所述用户的行为画像还 包括： 当检测到用户输入对所述文件破解的解密指令时， 触发所述诱捕文件发起与 所述服务 器的联网行为请求； 判断所述联网行为是否成功； 若所述联网行为成功， 则将所述解密指令、 文件属性信息及所述用户的行为画像上传 至服务器。 4.根据权利要求3所述的网络攻击诱捕方法， 其特征在于， 在判断所述联网行为是否成 功之后， 所述方法还 包括： 若所述联网行为失败， 则拒绝对所述文件解密。 5.根据权利要求2所述的网络攻击诱捕方法， 其特征在于， 所述服务器根据所述解密指 令及所述文件属性信息与预 先存储的对应文件的解密秘钥比对确认是否一 致包括： 根据所述文件的属性信息确定所述文件的身份信息； 根据所述文件的身份信息确定预 先存储的所述文件的解密秘钥； 将所述解密指令与所述文件的解密秘钥进行比对； 若所述解密指令与所述文件的解密秘钥不一致， 则判断所述用户为疑似攻击者， 并将 所述用户的行为画像存 储。 6.根据权利要求5所述的网络攻击诱捕方法， 其特征在于， 在若所述解密指令与所述文 件的解密秘钥不一致， 则判断所述用户为疑似攻击者之后， 所述方法还包括： 统计预定时长 内输入的所述 解密指令与所述文件的解密秘钥不 一致的破解事 件次数； 若所述次数超过预定频次阈值， 且根据获取的用户的身份标识信息， 判断所述预定时 长内发生的所述事件为同一用户的行为事件； 所述用户的行为画像中包含用户的身份标识 信息； 则确定所述用户为 攻击者， 并触发告警。 7.根据权利要求6所述的网络攻击诱捕方法， 其特征在于， 在触发告警之后， 所述方法 还包括： 返回拒绝 解密及加密数据自行防御指令； 接收并执 行所述拒绝 解密及加密数据自行防御指令 。 8.根据权利要求7所述的网络攻击诱捕方法， 其特征在于， 所述文件自行防御指令用于 指示自行销毁所述文件。权　利　要　求　书 1/3 页 2 CN 114285608 A 29.根据权利要求1所述的网络攻击诱捕方法， 其特征在于， 所述诱捕文件为部署于所述 文件外层的一个可 执行的壳。 10.根据权利要求1所述的网络攻击诱捕方法， 其特征在于， 所述用户包括攻击者， 所述 用户的行为画像包 含： 攻击者的身份标识信息、 攻击者使用的攻击战、 技 术及过程。 11.一种网络攻击诱捕装置， 其特 征在于， 所述装置包括： 部署程序模块， 用于在文件中部署诱捕文件； 所述 诱捕文件为可 执行文件； 捕获程序模块， 用于当检测到用户输入对所述文件破解的解密指令时， 触发所述诱捕 文件执行捕获所述用户的行为画像。 12.根据权利要求11所述的网络攻击诱捕装置， 其特征在于， 所述捕获程序模块， 具体 用于： 当检测到用户输入对所述文件破解的解密指令时， 将所述解密指令、 文件属性信息及 所述用户的行为画像上传至服务器， 以使所述服务器， 用于根据所述解密指令及所述文件 属性信息与预 先存储的对应文件的解密秘钥比对确认是否一 致； 根据比对结果判断所述用户是否为 攻击者， 并将所述用户的行为画像存 储。 13.根据权利要求11或12所述的网络攻击诱捕装置， 其特征在于， 所述捕获程序模块， 包括： 联网程序单元， 用于 当检测到用户输入对所述文件破解的解密指令时， 触发所述诱捕 文件发起与所述 服务器的联网行为请求； 判断程序单 元， 判断所述联网行为是否成功； 上传程序单元， 用于若所述联网行为成功， 则将所述解密指令、 文件属性信息及所述用 户的行为画像上传至服 务器。 14.根据权利要求13所述的网络攻击诱捕装置， 其特征在于， 所述捕获程序模块， 还包 括： 拒绝程序单元， 用于在判断所述联网行为是否成功之后， 若所述联网行为失败， 则拒绝 对所述文件解密。 15.根据权利要求12所述的网络攻击诱捕装置， 其特 征在于， 所述 服务器， 具体用于： 根据所述文件的属性信息确定所述文件的身份信息； 根据所述文件的身份信息确定预 先存储的所述文件的解密秘钥； 将所述解密指令与所述文件的解密秘钥进行比对； 若所述解密指令与所述文件的解密秘钥不一致， 则判断所述用户为疑似攻击者， 并将 所述用户的行为画像存 储。 16.根据权利要求15所述的网络攻击诱捕装置， 其特征在于， 所述服务器， 具体还用于： 在若所述解密指令与所述文件的解密秘钥不一致， 则判断所述用户为疑似攻击者之后， 统 计预定时长内输入的所述 解密指令与所述文件的解密秘钥不 一致的破解事 件次数； 若所述次数超过预定频次阈值， 且根据获取的用户的身份标识信息， 判断所述预定时 长内发生的所述事件为同一用户的行为事件； 所述用户的行为画像中包含用户的身份标识 信息； 则确定所述用户为 攻击者， 并触发告警。 17.根据权利要求15所述的网络攻击诱捕装置， 其特征在于， 所述服务器， 还用于在触 发告警之后， 返回拒绝 解密及加密数据自行防御指令； 所述装置， 还包括防御程序模块， 用于接收并执行所述拒绝解密及加密数据自行防御权　利　要　求　书 2/3 页 3 CN 114285608 A 3