一种网络攻击诱捕方法、装置、电子设备及存储介质与流程

1.本发明涉及网络安全技术领域，尤其涉及一种网络攻击诱捕方法、装置、电子设备及存储介质。


背景技术：

2.蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，进而对攻击行为进行捕获及分析，以让防御方根据捕获的攻击行为及分析结果清楚知晓资产面临的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。因此，蜜罐技术亦被称为欺骗式防御技术。
3.例如，当存在外部设备登录当前资产设备，则对登陆产生的信息进行记录，包括登陆时可能进行的密码破解行为，以供防御方分析当前资产设备是否面临安全威胁。
4.然而，发明人在实现本发明创造的过程中发现：上述利用蜜罐技术诱捕攻击行为的方式，需要有攻击行为触发，蜜罐才会开始工作，但如果是在终端上的文件，例如，向外加密偷传文件，一旦攻击者将文件捕获之后，脱离蜜罐部署环境破解，部署在终端上的蜜罐则无法响应，致使难以有效捕获攻击者的身份等信息。


技术实现要素：

5.有鉴于此，本发明实施例提供一种网络攻击诱捕方法、装置、电子设备及存储介质，可以有效捕获攻击者的身份等信息。
6.第一方面，本发明实施例提供的网络攻击诱捕方法，包括步骤：
7.在文件中部署诱捕文件；所述诱捕文件为可执行文件；
8.当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像。
9.结合第一方面，在第一方面的第一种实施方式中，所述当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像包括：当检测到用户输入对所述文件破解的解密指令时，将所述解密指令、文件属性信息及所述用户的行为画像上传至服务器，以使所述服务器根据所述解密指令及所述文件属性信息与预先存储的对应文件的解密秘钥比对确认是否一致；
10.根据比对结果判断所述用户是否为攻击者，并将所述用户的行为画像存储。
11.结合第一方面的第一种实施方式，在第一方面的第二种实施方式中，所述当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像还包括：
12.当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件发起与所述服务器的联网行为请求；
13.判断所述联网行为是否成功；
14.若所述联网行为成功，则将所述解密指令、文件属性信息及所述用户的行为画像
上传至服务器。
15.结合第一方面，在第一方面的第三种实施方式中，在判断所述联网行为是否成功之后，所述方法还包括：若所述联网行为失败，则拒绝对所述文件解密。
16.结合第一方面的第三种实施方式，在第一方面的第四种实施方式中，所述服务器根据所述解密指令及所述文件属性信息与预先存储的对应文件的解密秘钥比对确认是否一致包括：
17.根据所述文件的属性信息确定所述文件的身份信息；
18.根据所述文件的身份信息确定预先存储的所述文件的解密秘钥；
19.将所述解密指令与所述文件的解密秘钥进行比对；
20.若所述解密指令与所述文件的解密秘钥不一致，则判断所述用户为疑似攻击者，并将所述用户的行为画像存储。
21.结合第一方面的第四种实施方式，在第一方面的第五种实施方式中，在若所述解密指令与所述文件的解密秘钥不一致之后，统计预定时长内输入的所述解密指令与所述文件的解密秘钥不一致的破解事件次数；
22.若所述次数超过预定频次阈值，且根据获取的用户的身份标识信息，判断所述预定时长内发生的所述事件为同一用户的行为事件；所述用户的行为画像中包含用户的身份标识信息；
23.则确定所述用户为攻击者，并触发告警。
24.结合第一方面的第五种实施方式，在第一方面的第六种实施方式中，在触发告警之后，所述方法还包括：返回拒绝解密及文件自行防御指令；
25.接收并执行所述拒绝解密及文件自行防御指令。
26.结合第一方面的第一至第六种实施方式，在第一方面的第七种实施方式中，所述文件自行防御指令用于指示自行销毁所述文件。
27.第二方面，本发明实施例提供的网络攻击诱捕装置，包括：部署程序模块，用于在文件中部署诱捕文件；所述诱捕文件为可执行文件；
28.捕获程序模块，用于当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像。
29.第三方面，本发明实施例提供的电子设备，包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行第一方面任一实施方式所述的方法。
30.第四方面，本发明实施例提供的计算机可读存储介质，所述计算机可读存储介质存储有第一方面任一所述的文件，所述文件中部署的诱捕文件可被一个或者多个处理器执行，以实现前述第一方面任一所述的网络攻击诱捕方法。
31.相比于现有的蜜罐技术，本发明实施例提供的网络攻击诱捕方法、装置、电子设备及存储介质，通过在文件中部署诱捕文件，即使文件破解行为发生在脱离蜜罐部署环境中，但是，只要有对所述文件进行破解的解密指令输入，即可触发所述诱捕文件执行捕获用户的行为画像。因此，如果所述用户为攻击者，在文件被攻击者捕获之后，本发明仍然可以有
效捕获攻击者的身份等信息。
附图说明
32.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
33.图1为本发明网络攻击诱捕方法一实施例的流程示意图；
34.图2为部署有本发明网络攻击诱捕方法的主机一实施例示意图；
35.图3为本发明网络攻击诱捕方法再一实施例的流程示意图；
36.图4为本发明网络攻击诱捕方法又一实施例的流程示意图；
37.图5为本发明网络攻击诱捕装置一实施例架构图；
38.图6为本发明网络攻击诱捕装置又一实施例架构图；
39.图7为本发明网络攻击诱捕装置再一实施例架构图；
40.图8为本发明电子设备一个实施例的结构示意图。
具体实施方式
41.下面结合附图对本发明实施例进行详细描述。
42.应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
43.图1为本发明网络攻击诱捕方法一实施例的流程示意图，参看图1所示，本发明实施例提供的网络攻击诱捕方法，可应用于网络安全防御场景中，用于对外部网络攻击行为诱捕。
44.需要说明的是，该方法可以以软件的形式固化于各类文件中，将所述文件布置于防御主机的若干位置，当用户(包括正常用户和恶意用户，其中恶意用户俗称黑客或攻击者)获取到所述文件进行解密时，可以再现本技术的方法流程。
45.参看图1所示，所述网络攻击诱捕方法，可包括步骤：
46.110、在文件中部署诱捕文件；所述诱捕文件为可执行文件。
47.所述文件为电子文件，根据主机业务不同可为不同格式文件和不同名称文件，例如，对于工控主机，所述文件可以为：参数记录文件、日志文件及工程文件等，所述诱捕文件可以部署于所述各类文件中。
48.对于企业主机，所述文件可以为：.pdf、.xls、.xlsx等合同文件、内部表格及财务数据文件等，所述诱捕文件可以部署于所述各类文件中。
49.从其广义的目的来说，对于部署有诱捕文件的上述各类文件，其用于作为诱捕攻击者的文件。
50.如图2所示，所述诱捕文件可以通过主机上安装的查杀软件创建若干个，将诱捕文件部署于文件中，所述文件可以分散部署于主机上的若干位置点。
51.需要说明的是，上述可以部署诱捕文件的文件类型仅为举例，根据本发明提供的
技术启示教导，具体情况可以有更多的文件类型组合。
52.例如，可以根据不同主机的功能来针对性设置诱捕文件，也可以在一个局域网内，以广撒网方式对局域网内的每台主机进行随机布置诱捕文件，使得更难被黑客针对性破解所避开。
53.需要注意的是，如果在主机上设置诱捕文件，其数量不易过多设置，若数量过多容易影响该主机性能，因此根据特定业务类型主机在特定的位置进行布置即可。
54.另外，以广撒网方式布置时，通过在局域网内通过增加主机数量，使得整体捕获范围变大，从而可捕获的攻击机会增加，而对于每台主机设置的诱捕文件较少，进而对每台主机的性能影响则可忽略不计。
55.在一些实施例中，所述诱捕文件为部署于所述文件外层的一个可执行的壳(shell)。
56.在所述文件外加一层可执行的壳，一个示例就是在压缩所述文件时，加入一个可执行文件，例如.exe等可执行文件。压缩处理文件就是一个可执行的加壳过程，相当于把文件封装于一个封闭的可执行的壳中，壳上设有入口，这个入口的钥匙就是解密密码(秘钥)。
57.相比于普通压缩处理中，封装的壳是静态的，不会主动触发其它行为；而本实施例中，通过在文件外部署一个可执行的壳，当解密指令输入时，可以触发所述壳发起与服务器的联网行为，并上传数据，便于有效捕获用户的行为画像。
58.120、当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像。
59.这里的解密指令可能是真正的解密秘钥(私钥)，也可能是黑客采用暴力破解手段输入的尝试破解指令；如果所述用户为攻击者，则所述解密指令为输入的尝试破解指令，而破解指令一般会频繁发起多次才可能破解成功。
60.本实施例中，当检测到有解密指令输入时，触发所述诱捕文件执行捕获所述用户的行为画像，无论所述用户是否为攻击者，对其用户的行为画像进行捕获，一旦检测到所述用户的行为为攻击行为，则可以根据获取的用户的行为画像溯源攻击者的身份等信息。
61.相比于现有的蜜罐技术，本发明实施例提供的网络攻击诱捕方法，通过在文件中部署诱捕文件，即使文件破解行为发生在脱离蜜罐部署环境中，但是，只要有对所述文件进行破解的解密指令输入，即可触发所述诱捕文件执行捕获用户的行为画像。因此，如果所述用户为攻击者，在文件被攻击者捕获之后，本发明仍然可以有效捕获攻击者的身份等信息。
62.在一些实施例中，所述用户包括攻击者，所述用户的行为画像包含：攻击者的身份标识信息、攻击者使用的攻击战、技术及过程(tactics,techniques and procedures，简称ttps)。
63.攻击者的身份标识信息，例如可以为ip，根据攻击者的ip地址，可以定位一台服务器所在位置的，即使这个ip是通过很多代理跳转，但仍然是可以追溯到源ip所属的服务器的位置。
64.所述当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像(步骤120)包括：
65.当检测到用户输入对所述文件破解的解密指令时，将所述解密指令、文件属性信息及所述用户的行为画像上传至服务器，以使所述服务器根据所述解密指令及所述文件属
性信息与预先存储的对应文件的解密秘钥比对确认是否一致；
66.根据比对结果判断所述用户是否为攻击者，并将所述用户的行为画像存储。
67.本实施例中，通过将所述解密指令、文件属性信息及所述用户的行为画像发送至服务器，例如为数据平台，进行核实确认所述用户的行为是否为攻击行为，并将所述用户的行为画像存储，以在必要时根据用户的行为画像锁定用户的身份等信息。
68.所述文件的属性信息包括：文件名称、文件哈希值及加密时间等。
69.参看图3所示，在一些实施例中，所述当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像(步骤120)，包括：121、当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件发起与所述服务器的联网行为请求；122、判断所述联网行为是否成功；123a、若所述联网行为成功，则将所述解密指令、文件属性信息及所述用户的行为画像上传至服务器。
70.根据本发明实施例的技术构思，为使本发明实施例提供的技术方案可以有效捕获攻击者的身份等信息，需要在解密行为宿主机(例如攻击主机)联网状态下进行破解。为了防止攻击者故意逃避本实施例中的安全核实方案，在断网环境下进行破解，继续参看图3所示，在一些实施例中，在判断所述联网行为是否成功之后，所述方法还包括步骤：123b、若所述联网行为失败，则拒绝对所述文件解密。这样，在触发解密步骤之后，一旦联网行为失败，则拒绝对所述文件解密，从而可有效保障文件数据的安全性。
71.参看图4所示，具体的，所述服务器根据所述解密指令及所述文件属性信息与预先存储的对应文件的解密秘钥比对确认是否一致包括：124a、根据所述文件的属性信息确定所述文件的身份信息；125a、根据所述文件的身份信息确定预先存储的所述文件的解密秘钥；126a、将所述解密指令与所述文件的解密秘钥进行比对；127a、若所述解密指令与所述文件的解密秘钥不一致，则判断所述用户为疑似攻击者，并将所述用户的行为画像存储。
72.可以理解的是，正常用户在输入解密秘钥时，也有可能因失误输错，因此，为了防止误判损害正常用户的权益，又不能轻率放过攻击者，本实施例中，服务器若核对所述解密指令与所述文件的解密秘钥不一致时，可暂判断所述用户为疑似攻击者，并将所述用户的行为画像存储。这样，在进一步确定用户为攻击者后，可以根据存储的用户的行为画像锁定攻击者的身份信息。
73.其中，服务器中预先存储有文件的属性信息及与所述文件对应的解密秘钥。
74.本实施例中，服务器若核对所述解密指令与所述文件的解密秘钥不一致时，所述服务器返回拒绝解密的指令。这样，通过根据服务器核实确认后返回的确认结果消息，对加密数据再决定是否进行解密，可以防止数据被攻击者窃取，有效提高数据的安全性。
75.可以理解的是，根据复杂加密算法加密处理的文件，如果对其进行暴力破解，一般需要进行多次尝试，或可能成功；因此，为了识别所述用户是否为恶意攻击者，在一些实施例中，在若所述解密指令与所述文件的解密秘钥不一致，则判断所述用户为疑似攻击者之后，所述方法还包括：统计预定时长内输入的所述解密指令与所述文件的解密秘钥不一致的破解事件次数；
76.若所述次数超过预定频次阈值，且根据获取的用户的身份标识信息，判断所述预定时长内发生的所述事件为同一用户的行为事件；所述用户的行为画像中包含用户的身份标识信息；则确定所述用户为攻击者，并触发告警。
77.其中，用户的身份标识信息可以包括但不限于：ip地址、mac地址等。所述预定频次阈值可以为3次/min、5次/min等。
78.所述用户的身份标识信息的获取方法可以为：在触发发起与所述服务器联网行为请求时，服务器获取联网行为请求消息中携带的终端的身份标识信息，将其存储备用。
79.或者，所述用户的身份标识信息包含在用户的行为画像中，服务器从上传的用户画像中获取。
80.本实施例中，通过上述方法步骤，可以进一步判定出当前输入解密指令的行为是否为攻击者的恶意破解行为，以及快速锁定恶意破解行为的用户身份，并发出告警，以提示管理员，使其及时采取应对处理措施。
81.继续参看图4所示，在触发告警之后，所述方法还包括：返回拒绝解密及加密数据自行防御指令；接收并执行所述拒绝解密及加密数据自行防御指令。这样，通过本实施例中的方法步骤在确认出输入解密指令行为可能为攻击者的恶意破解行为后，返回拒绝解密及加密数据自行防御指令，在拒绝解密的同时，执行所述文件自行防御指令实现对恶意破解行为的防御，从而可有效保障文件数据的安全性。
82.在一些实施例中，所述文件自行防御指令用于指示自行销毁所述文件。这样，在接收到所述指令之后，自行销毁所述文件，可进一步防止文件数据被继续破解，当应用于文件传输场景中时，可以提高文件传输的安全性。
83.其中，销毁可以采用删除文件的方式实现，也可以采用格式化，或采用数据覆写的方式实现，所述数据覆写的方式为采用预先定义的无意义、无规律的数据反复多次覆盖原先存储的文件中的数据。
84.根据上述公开描述可知，本发明实施例提供的网络攻击诱捕方法，可以有效捕获攻击者的身份等信息，且可以保障文件数据的安全性。
85.实施例二
86.图5为本发明网络攻击诱捕装置一实施例的架构图。参看图5所示，本实施例的装置，包括：部署程序模块210，用于在文件中部署诱捕文件；所述诱捕文件为可执行文件；
87.捕获程序模块220，用于当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像。
88.本实施例的装置，可以用于执行图1所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。
89.在一些实施例中，所述捕获程序模块220，具体用于：
90.当检测到用户输入对所述文件破解的解密指令时，将所述解密指令、文件属性信息及所述用户的行为画像上传至服务器，以使所述服务器，用于根据所述解密指令及所述文件属性信息与预先存储的对应文件的解密秘钥比对确认是否一致；根据比对结果判断所述用户是否为攻击者，并将所述用户的行为画像存储。
91.参看图6所示，在又一些实施例中，所述捕获程序模块220，包括：联网程序单元221，用于当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件发起与所述服务器的联网行为请求；
92.判断程序单元222，判断所述联网行为是否成功；
93.上传程序单元223a，用于若所述联网行为成功，则将所述解密指令、文件属性信息
及所述用户的行为画像上传至服务器。
94.参看图7所示，在一些实施例中，所述捕获程序模块220，还包括：拒绝程序单元223b，用于在判断所述联网行为是否成功之后，若所述联网行为失败，则拒绝对所述文件解密。
95.在再一些实施例中，所述服务器，具体用于：根据所述文件的属性信息确定所述文件的身份信息；根据所述文件的身份信息确定预先存储的所述文件的解密秘钥；将所述解密指令与所述文件的解密秘钥进行比对；若所述解密指令与所述文件的解密秘钥不一致，则判断所述用户为疑似攻击者，并将所述用户的行为画像存储。
96.具体的，所述服务器，具体还用于：在若所述解密指令与所述文件的解密秘钥不一致，则判断所述用户为疑似攻击者之后，统计预定时长内输入的所述解密指令与所述文件的解密秘钥不一致的破解事件次数；若所述次数超过预定频次阈值，且根据获取的用户的身份标识信息，判断所述预定时长内发生的所述事件为同一用户的行为事件；所述用户的行为画像中包含用户的身份标识信息；则确定所述用户为攻击者，并触发告警。
97.进一步地，所述服务器，还用于在触发告警之后，返回拒绝解密及加密数据自行防御指令。
98.本实施例中，所述装置，还包括防御程序模块，用于接收并执行所述拒绝解密及加密数据自行防御指令。
99.其中，所述文件自行防御指令用于指示自行销毁所述文件。
100.在一些实施例中，所述诱捕文件为部署于所述文件外层的一个可执行的壳。
101.本实施例的装置，其实现原理和技术效果与前述实施例一中相应网络攻击诱捕方法实施例类似，未详细述及之处，可以相互参看，此处不再赘述。
102.实施例三
103.图8为本发明电子设备一个实施例的结构示意图，基于前述实施例一提供的方法、实施例二提供的装置，本发明实施例还提供一种电子设备，如图8所示，可以实现本发明实施例一中任一所述的实施例的步骤流程，上述电子设备可以包括：壳体41、处理器42、存储器43、电路板44和电源电路45，其中，电路板44安置在壳体41围成的空间内部，处理器42和存储器43设置在电路板44上；电源电路45，用于为上述电子设备的各个电路或器件供电；存储器43用于存储可执行程序代码；处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实施例所述的网络攻击诱捕方法。
104.处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤，可以参见本发明实施例一的描述，在此不再赘述。
105.本发明还实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有实施例一中任一所述的加密数据，所述加密数据包含的可执行解密程序可被一个或者多个处理器执行，以实现前述权利要求实施例一中任一所述的网络攻击诱捕方法。
106.综上，相比于现有的蜜罐技术，本发明实施例提供的网络攻击诱捕方法及装置，通过在文件中部署可执行的诱捕文件，即使在脱离蜜罐部署环境的主机下，仍然可以有效地捕获攻击者的身份等信息，而且还可以保障数据的安全性。
107.该电子设备以多种形式存在，包括但不限于：
108.(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据
通信为主要目标。这类终端包括：智能手机(例如iphone)、多媒体手机、功能性手机，以及低端手机等。
109.(2)超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：pda、mid和umpc设备等，例如ipad。
110.(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放器(例如ipod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。
111.(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
112.(5)其他具有数据交互功能的电子设备。
113.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
114.本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。
115.尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
116.为了描述的方便，描述以上装置是以功能分为各种单元/模块分别描述。当然，在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
117.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，rom)或随机存储记忆体(random access memory，ram)等。
118.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。