一种异常感知和追踪方法及系统转让专利
申请号 : CN201710183157.6
文献号 : CN107046535B
文献日 : 2019-11-29
发明人 : 刘潮歌 , 林建宝 , 崔翔 , 刘奇旭 , 贾召鹏
申请人 : 中国科学院信息工程研究所
摘要 :
本发明提出了一种基于文档蜜标技术来进行异常感知和追踪溯源的方法,包括以下步骤:1)在受保护的主机中生成嵌入蜜标的蜜标文档,并记录蜜标文档携带的蜜标生成信息;2)根据蜜标文档的类型及嵌入蜜标的方式,设定判断异常条件;3)当蜜标文档被触发时,发送判断请求;4)分析该判断请求,提取触发蜜标文档的指纹信息及被触发的蜜标文档的蜜标生成信息;基于该指纹信息及蜜标生成信息,根据判断异常条件,判断是否出现异常并对攻击者进行追踪。同时提供实现上述方法的系统。该方法的实施及系统的部署不依赖主机的服务环境,与攻击者的攻击方法无关,能够有效检测多种异常行为,并对窃密型攻击实施有效追踪溯源。
权利要求 :
1.一种异常感知和追踪方法,包括以下步骤:
1)在受保护的主机中生成嵌入蜜标的蜜标文档,并记录蜜标文档携带的蜜标生成信息;
2)根据嵌入蜜标的方式,设定判断异常条件;
3)当蜜标文档被触发时,发送判断请求;
4)分析该判断请求,提取触发蜜标文档的指纹信息及被触发的蜜标文档的蜜标生成信息;基于该指纹信息及蜜标生成信息,根据判断异常条件,判断是否出现异常;
如是,则进行异常警告,并通知指定用户;
如蜜标文档脱离受保护的主机被触发,并判断为出现异常,则在进行异常警告同时获取该指纹信息,作为攻击者的指纹信息,并据此对攻击者进行追踪。
2.如权利要求1所述的异常感知和追踪方法,其特征在于,步骤1)中所述嵌入蜜标的过程为:在文档中插入特定域代码、宏代码作为信标,所述信标的核心为一URI地址,该地址URI包含一个利用主机编号、当前时间、随机数生成的具有唯一性的字符串,所述蜜标生成信息包括该字符串、主机IP及文档名称。
3.如权利要求2所述的异常感知和追踪方法,其特征在于,当受保护主机上的蜜标文档被触发时,向前述URI地址发送判断请求。
4.如权利要求1所述的异常感知和追踪方法,其特征在于,步骤1)中嵌入蜜标的方式包括:通过在本地新生成的文档进行嵌入蜜标操作,和/或通过对一或多个已有文档进行嵌入蜜标操作,和/或对自动生成的虚假文档进行嵌入蜜标操作。
5.如权利要求1所述的异常感知和追踪方法,其特征在于,步骤2)中所述判断异常条件包括:文档本地触碰即异常和文档异地触碰即异常;所述文档本地触碰即异常为只要蜜标文档被触发,即视为异常操作;所述文档异地触碰即异常为只有当蜜标文档所处于与其生成时的所在主机IP不相同的主机IP被触发,才视为异常操作。
6.一种异常感知和追踪系统,其特征在于,包括:
一蜜标生成系统模块,用以在受保护的主机中生成嵌入蜜标的蜜标文档;
一主控模块,用以记录蜜标文档携带的蜜标生成信息;并根据蜜标文档的类型及嵌入蜜标的方式,设定判断异常条件;当蜜标文档被触发时,发送判断请求,并分析该判断请求,提取触发蜜标文档的指纹信息及被触发的蜜标文档携带的蜜标生成信息;根据判断异常条件,判断是否出现异常;如是,则进行异常警告,并通知指定用户;
一异常感知追踪模块;如蜜标文档脱离受保护的主机被触发,并判断为出现异常,则在进行异常警告同时获取该指纹信息,作为攻击者的指纹信息,并据此对攻击者进行追踪。
7.如权利要求6所述的异常感知和追踪系统,其特征在于,所述蜜标生成系统模块包括蜜标生成本地服务模块及蜜标生成远程服务模块;
所述蜜标生成本地服务模块安装在受保护的主机上,具有新文档打蜜标模块、已有文档打蜜标模块及网络欺骗功能模块;
所述蜜标生成远程服务模块具有已有文档打蜜标模块及网络欺骗功能模块;
所述新文档打蜜标模块用以在本地新生成的文档进行嵌入蜜标操作;所述已有文档打蜜标模块用以对一或多个已有文档进行嵌入蜜标操作;所述网络欺骗功能模块用以自动生成虚假文档,并对虚假文档进行嵌入蜜标操作。
8.如权利要求6所述的异常感知和追踪系统,其特征在于,所述主控模块包括:数据库系统模块;蜜标请求处理系统模块;分析控制系统模块及异常通知模块;
其中,数据库系统模块,用以记录蜜标生成系统返回的蜜标生成信息,包括标识蜜标的URI地址、蜜标文档所在主机IP及文档名称;用以记录蜜标文件被触发时的指纹信息,包括所在主机源IP、操作系统及文档版本;并用以为分析控制系统模块提供统计查询、配置接口,根据查询条件,自动生成相关查询结果并返回;
蜜标请求处理系统模块,用以当受保护设备上的蜜标文档被触发时,向前述URI地址发送分析请求;并分析该请求以获得前述蜜标生成信息及指纹信息,并将二者发送给分析控制系统模块;
分析控制系统模块,用以做为蜜标生成系统模块和数据库系统模块的接口,对外接收蜜标生成系统发送的蜜标生成信息,对内将其转发给数据库模块进行记录;还用接收蜜标请求处理系统模块获得的蜜标生成信息和指纹信息,并与数据库系统模块中的蜜标信息进行查询、关联,根据异常感知条件,判断、定位是否发生异常以及异常所在,并将异常警告发送给异常通知模块;
异常通知模块,用以分析控制系统模块传来的异常警告通知给指定用户;异常信息包括异常主机IP、异常文档名称、攻击者IP及攻击者操作系统。
9.如权利要求6所述的异常感知和追踪系统,其特征在于,所述分析控制系统模块包括一系统配置模块,用以对异常感知条件进行配置。
说明书 :
一种异常感知和追踪方法及系统
技术领域
[0001] 本发明涉及计算机网络安全领域,特别涉及异常感知和追踪技术,更具体地,是一种基于文档蜜标技术的异常感知和追踪方法及系统。
背景技术
[0002] 计算机的普及以及互联网行业的高速发展,网络已成为了人们生活中不可缺少的重要组成部分,随之而来便是各种网络安全问题,数据泄露已成为网络安全的严重威胁之一。
[0003] 一方面,难以有效检测未知、高级攻击。由于计算机操作系统、应用程序软件常出现多种漏洞,越来越多的计算机已悄然被黑客攻击,受害者毫无察觉。新的攻击形式尤其是APT类攻击的出现,攻击者使用的攻击方式、攻击手段和攻击策略也层出不穷,对现有的被动防御的安全机制形成了很大挑战。而且,基于边界的防御策略对于内网的攻击者是无法有效检测出来的。
[0004] 另一方面,无法有效对攻击者追踪溯源。网络安全威胁日益严重,然而网络追踪的实现受到很大限制。主要体现在以下方面:首先,网络攻击手段的发展和代理、跳板技术的使用极大地增加了网络追踪的不可靠性和复杂性,使得溯源工作难以奏效;第二,要对网络攻击者进行追踪,则先要发现网络攻击,但是现有的入侵检测技术还不能完全解决入侵漏报和虚警的问题;第三,当前主流的网络追踪技术是通过在报文或数据包中添加标志数据(如数字水印),然后对这些标志数据的检测与追踪来实现对攻击与入侵的追踪,显然会增加路由器或其他追踪设备的开销,并增加网络的流量,实现和运行成本较高。
[0005] APT(Advanced Persistent Threat)攻击,利用先进的攻击手段对特定目标进行长期持续性网络攻击,一般包括攻击侦查与渗透、内部平移、攻击任务执行三个阶段,相比其他攻击更具高级性和危害性。高级性主要体现在利用多种高级手段(如使用0day漏洞,0day漏洞是指已被发现但还没有补丁的漏洞)可绕过已有的防御机制。危害性体现在窃取严密保护下的信息,破坏物理隔离系统,现有防御机制难以检测和发现。此外,APT的重要特点之一是实施攻击任务之前往往需要有内部平移的过程,内部平移又包括内部侦查和内部渗透。内部侦查是指攻击者在被攻陷的节点基础之上,收集新信息,发现新节点,挖掘新关系,确定新目标。内部渗透是指利用内部侦查获取的多种信息进行更加深入的攻击渗透。而现有的防御机制对APT的内部平移进行检测存在很大局限性。
[0006] Barros于2003年提出了蜜标(HoneyToken)技术概念:蜜标是一种用于吸引攻击者进行未经授权而使用的信息资源。蜜标有着多种数据形态,比如一个伪造的身份ID、邮件地址、数据库表项、Word或Excel文档等。当攻击方从环境中窃取信息资源时,蜜标将混杂在信息资源中同时被窃取,之后,一旦攻击方在现实场景中使用蜜标数据,比如使用一个经过标记的伪造身份ID尝试登陆业务系统,防御方就可以检测并追溯这次实际攻击。
[0007] 虽然蜜标的技术思想和定义早已提出,但本领域对该技术具体如何实施和应用的研究较少。
发明内容
[0008] 针对上述问题,本发明的目的是提出了一种基于文档蜜标技术来进行异常感知和追踪溯源的方法及系统。该方法的实施及系统的部署不依赖主机的服务环境,与攻击者的攻击方法无关,能够有效检测多种异常行为,并对窃密型攻击实施有效追踪溯源。
[0009] 为达上述目的,本发明采取的具体技术方案是:
[0010] 一种异常感知和追踪方法,包括以下步骤:
[0011] 1)在受保护的主机中生成嵌入蜜标的蜜标文档,并记录蜜标文档携带的蜜标生成信息;
[0012] 2)根据嵌入蜜标的方式,设定判断异常条件;
[0013] 3)当蜜标文档被触发时,发送判断请求;
[0014] 4)分析该判断请求,提取触发蜜标文档的指纹信息及被触发的蜜标文档的蜜标生成信息;基于该指纹信息及蜜标生成信息,根据判断异常条件,判断是否出现异常;
[0015] 如是,则进行异常警告,并通知指定用户;
[0016] 如蜜标文档脱离受保护的主机被触发,并判断为出现异常,则在进行异常警告同时获取该指纹信息,作为攻击者的指纹信息,并据此对攻击者进行追踪。
[0017] 进一步地,步骤1)中所述嵌入蜜标的过程为:在文档中插入特定域代码、宏代码作为信标,所述信标的核心为一URI地址,该地址URI包含一个利用主机编号、当前时间、随机数生成的具有唯一性的字符串,所述蜜标生成信息包括该字符串、主机IP及文档名称。
[0018] 进一步地,步骤1)中嵌入蜜标的方式包括:通过在本地新生成的文档进行嵌入蜜标操作,和/或通过对一或多个已有文档进行嵌入蜜标操作,和/或对自动生成的虚假文档进行嵌入蜜标操作。
[0019] 进一步地,步骤2)中所述判断异常条件包括:文档本地触碰即异常和文档异地触碰即异常;所述文档本地触碰即异常为只要蜜标文档被触发,即视为异常操作;所述文档异地触碰即异常为只有当蜜标文档所处于与其生成时的所在主机IP不相同的主机IP被触发,才视为异常操作。
[0020] 进一步地,当受保护主机上的蜜标文档被触发时,向前述URI地址发送判断请求。
[0021] 一种异常感知和追踪系统,包括:
[0022] 一蜜标生成系统模块,用以在受保护的主机中生成嵌入蜜标的蜜标文档;
[0023] 一主控模块,用以记录蜜标文档携带的蜜标生成信息;并根据蜜标文档的类型及嵌入蜜标的方式,设定判断异常条件;当蜜标文档被触发时,发送判断请求,并分析该判断请求,提取触发蜜标文档的指纹信息及被触发的蜜标文档携带的蜜标生成信息;根据判断异常条件,判断是否出现异常;如是,则进行异常警告,并通知指定用户;
[0024] 一异常感知追踪模块;如蜜标文档脱离受保护的主机被触发,并判断为出现异常,则在进行异常警告同时获取该指纹信息,作为攻击者的指纹信息,并据此对攻击者进行追踪。
[0025] 进一步地,所述蜜标生成系统模块包括蜜标生成本地服务模块及蜜标生成远程服务模块;
[0026] 所述蜜标生成本地服务模块安装在受保护的主机上,具有新文档打蜜标模块、已有文档打蜜标模块及网络欺骗功能模块;
[0027] 所述蜜标生成远程服务模块具有已有文档打蜜标模块及网络欺骗功能模块;
[0028] 所述新文档打蜜标模块用以在本地新生成的文档进行嵌入蜜标操作;所述已有文档打蜜标模块用以对一或多个已有文档进行嵌入蜜标操作;所述网络欺骗功能模块用以自动生成虚假文档,并对虚假文档进行嵌入蜜标操作。
[0029] 进一步地,所述主控模块包括:数据库系统模块;蜜标请求处理系统模块;分析控制系统模块及异常通知模块;
[0030] 其中,数据库系统模块,用以记录蜜标生成系统返回的蜜标生成信息,包括标识蜜标的URI地址、蜜标文档所在主机IP及文档名称;用以记录蜜标文件被触发时的指纹信息,包括所在主机源IP、操作系统及文档版本;并用以为分析控制系统模块提供统计查询、配置接口,根据查询条件,自动生成相关查询结果并返回;
[0031] 蜜标请求处理系统模块,用以当受保护设备上的蜜标文档被触发时,向前述URI地址发送分析请求;并分析该请求以获得前述蜜标生成信息及指纹信息,并将二者发送给分析控制系统模块;
[0032] 分析控制系统模块,用以做为蜜标生成系统模块和数据库系统模块的接口,对外接收蜜标生成系统发送的蜜标生成信息,对内将其转发给数据库模块进行记录;还用接收蜜标请求处理系统模块获得的蜜标生成信息和指纹信息,并与数据库系统模块中的蜜标信息进行查询、关联,根据异常感知条件,判断、定位是否发生异常以及异常所在,并将异常警告发送给异常通知模块;
[0033] 异常通知模块,用以分析控制系统模块传来的异常警告通知给指定用户;异常信息包括异常主机IP、异常文档名称、攻击者IP及攻击者操作系统。
[0034] 进一步地,所述分析控制系统模块包括一系统配置模块,用以对异常感知条件进行配置。
[0035] 与现有的异常检测和溯源追踪系统相比,本发明具有以下几点优势:
[0036] 1.异常检测不依赖攻击类型,不依赖规则匹配,只要攻击者触碰到蜜标文件,后台分析模块就可实时监测到,并根据异常条件自动判断该活动是否异常,如有异常自动进行实时警告通知,系统误报率为零。
[0037] 2.加入网络欺骗技术,使得攻击者不能分辨真假信息,可以有效吸引、发现各种高级持续性攻击,还可有效发现内网攻击,提高异常检测成功率。
[0038] 3.本系统部署方便,高效,相比现有的异常检测系统和追踪系统,只需简单部署控制服务器,不需增加路由器、防火墙、IPS等额外的硬件资源,可有效节约成本,提高异常感知的效率。
[0039] 4.进行实时异常告警的同时,实现对窃密攻击者可靠、零成本的追踪溯源。解决了攻击者利用跳板网络而无法有效获取其真实IP的问题。
附图说明
[0040] 图1是本发明一实施例中异常感知和追踪系统整体构成示意图。
[0041] 图2是本发明一实施例中蜜标生成系统构成示意图。
[0042] 图3是本发明一实施例中异常感知和追踪主控模块构成示意图。
[0043] 图4是本发明一实施例中建立和总括流程图。
[0044] 图5是本发明一实施例中蜜标生成系统部署总括示意图。
[0045] 图6是本发明一实施例中主控系统配置部署总括示意图。
[0046] 图7是本发明一实施案例中对一个窃密攻击的发现和追踪流程示意图。
具体实施方式
[0047] 在蜜标(HoneyToken)技术概念中,文档蜜标是指在文档中插入特殊代码等,当文档被触碰、被打开时,该代码会向指定URI发送请求,防御方可获得攻击者的IP等指纹信息,从而进行溯源追踪。本发明即基于文档蜜标的实现和应用提出了具体的方法和系统。
[0048] 对于系统的组成,主要包括如下模块:
[0049] 1.蜜标生成系统模块。其客户端服务安装在受保护的主机、服务器设备上,并挂入设备的操作系统。其核心作用在于,对本地新生成的文档进行嵌入蜜标操作。对新生成的文档嵌入过程为,客户端进程监听文档操作接口的调用,每次生成新文档时,自动对其嵌入蜜标。嵌入蜜标的过程为,在文档中插入特定域代码、宏代码作为信标,信标的核心是一个特殊构造的URI地址,该地址包含一个利用主机编号、当前时间、随机数等生成的具有唯一性的字符串,插入信标的同时,将该字符串、主机IP、文档名称等蜜标生成信息发送给数据库系统模块进行存储。
[0050] 2.数据库系统模块。安装在主控服务器上,其提供两方面的功能,一方面,记录蜜标生成系统返回的蜜标生成信息,包括标识蜜标的唯一性字符串、蜜标所在主机IP、文档名称等。记录蜜标文件被触发时所在主机源IP、操作系统、文档版本等指纹信息。另一方面,给后台分析系统提供统计查询、配置接口,根据查询条件,自动生成相关查询结果并返回。
[0051] 3.蜜标请求处理系统模块。安装在主控服务器上,当受保护设备上的蜜标文档被打开、复制、删除时,信标被触发,向该模块地址(即上述1构造的URI地址)发送请求。蜜标请求处理系统模块的作用在于,可分析该请求并获得信标的唯一性字符串以及其所在主机的源IP、操作系统、文档版本等指纹信息,并将这些信息发送给后台分析控制系统模块分析。
[0052] 4.分析控制系统模块。安装在主控服务器上,其作用在于,第一,做为蜜标生成系统模块和数据库系统模块的接口,对外接收蜜标生成系统发送的蜜标生成信息,对内将其转发给数据库模块进行存储。第二,接收蜜标请求处理系统模块获得的蜜标和指纹信息,并与数据库中的蜜标信息进行查询、关联,根据设定的异常感知条件,判断、定位是否发生异常以及异常所在,进行图形界面的实时分析展示,并将异常警告发送给异常通知模块。
[0053] 5.异常通知模块。安装在主控服务器上,其作用在于将后台分析控制系统模块传来的异常信息,通过短信通知、邮件通知等发送给指定用户,异常信息包括异常主机IP、异常文档名称,攻击者IP、攻击者操作系统等指纹信息。
[0054] 作为优化方案,蜜标生成系统模块还包括:
[0055] 已有文档打蜜标模块。其作用在于,可选定一个或多个已有文档进行批量嵌入蜜标。可选定某个目录,自动扫描文件嵌入蜜标。其中,对已有文档的筛选,可由用户根据需要决定筛选条件,例如文档重要程度,建立时间等,本申请主要提供文档蜜标的构成和应用,不限定具体的筛选内容和筛选方式。
[0056] 网络欺骗功能模块,其作用在于,站在攻击者的角度,在目标系统中根据用户输入的关键词自动生成特定类型名称和内容的虚假文档,并插入蜜标,其价值在于引诱攻击者对其进行触碰、查看或窃取,从而及时发现异常和攻击行为。
[0057] 远程蜜标生成系统服务模块。不同于蜜标本地生成客户端,其远程服务安装在任何可信的内网服务器上,其通过Web提供服务,具有已有文档嵌入蜜标模块和网络欺骗功能模块两部分的功能。用户通过浏览器访问指定页面,可以选择上传本地文档打蜜标,也可输入指定类型关键字,服务端自动生成嵌入蜜标的虚假文档。服务端对文档进行打蜜标,同时将标识蜜标的唯一性字符串、用户主机IP、文档名称、用户输入的文件异常警告信息发送给数据库系统模块。对于不经常创建新文档的受保护主机、服务器,远程终端模块提供的服务更灵活、更快捷。
[0058] 作为第二优化方案,分析控制系统模块还包括:
[0059] 系统配置模块。该模块可将异常感知条件进行配置,举例而言,具体可配置为文档本地触碰即异常和异地触碰即异常。文档本地触碰即异常,是指只要文档被触碰、被打开,无论当时蜜标所处主机IP和创建蜜标时的所在主机IP相不相同,都视为异常操作。文档异地触碰即异常,是指只有当蜜标所处主机IP和创建蜜标时的所在主机IP不相同时,才视为异常操作。当然,上述仅作一种可选的示例,对应不同的需求,系统配置模块可以更改配置条件,对异常感知条件进行自定义操作,本申请对此并不做限定。
[0060] 为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的目的、特征和优点能够更加明显易懂,下面结合附图和示例对本发明中技术核心作进一步详细的说明。
[0061] 在本发明的一实施例中,基于蜜标技术设计了一套可靠地异常检测与追踪系统,能够有效解决上述所存在的问题,所述系统包括如下:
[0062] 如图1所示,异常感知和追踪系统整体构成示意图,物理上由多个嵌入目标主机系统的蜜标生成客户端、一个远程提供打蜜标服务的蜜标生成远程服务和一个综合管控的异常感知和追踪主控服务三部分构成,后两者可以共用同一台物理设备。
[0063] 如图2所示,蜜标生成系统由蜜标生成本地服务和蜜标生成远程服务系统构成。前者是在受保护主机系统嵌入蜜标系统客户端程序,后者是将蜜标生成服务安装在远程设备上,通过Web提供蜜标嵌入服务。
[0064] 如图3所示,异常感知和追踪主控系统模块,包括数据库系统模块、蜜标请求处理系统模块、后台分析控制模块、异常通知模块、系统配置模块。
[0065] 如图4所示,本发明异常感知与追踪系统建立和总括运行流程图,包括:
[0066] 步骤100,蜜标生成系统部署,在本地安装蜜标服务客户端或利用远程蜜标服务进行文档蜜标的生成和部署,利用网络欺骗模块生成虚假的文档,吸引攻击者触碰、窃取,及时发现异常,进行追踪,具体如图5所示。
[0067] 步骤200,主控系统配置部署,接收蜜标生成系统生成的蜜标信息并存入数据库,对判断异常的条件、异常通知信息和异常通知通讯录进行配置,具体如图6所示。
[0068] 步骤300,异常发现、通知,对窃密者追踪。主控系统接收蜜标文档触发后请求信息,与数据库中的蜜标信息进行数据关联,根据系统配置判断异常的条件,自动化发现并定位异常,并向配置的异常通知通讯录进行异常通知,并根据蜜标文档的触发形式进行追踪溯源,具体如图7所示。
[0069] 如图5所示,蜜标生成系统包括蜜标生成服务本地模块,蜜标生成服务远程模块。前者有新建文档打蜜标、已有文档打蜜标、网络欺骗三部分功能。后者有已有文档打蜜标、网络欺骗两部分功能。具体为:
[0070] 步骤110,蜜标生成服务本地模块对新文档打蜜标步骤为,客户端后台程序实时监听系统对文档处理函数的调用,当创建新文档时,程序自动给新建文件嵌入蜜标。嵌入蜜标的过程为,在文档的特定位置插入域代码、宏代码等作为信标,信标的关键是一个特殊构造的URI地址,其中包含一个利用主机编号、当前时间、随机数等生成的具有唯一性的字符串,插入信标的同时,将该字符串、保护主机IP、文档名称等信息发送给数据库系统模块。
[0071] 步骤120,蜜标生成服务本地模块对已有文档打蜜标步骤为,用户选择某些文档或文件夹,程序可浏览所有文档对其嵌入蜜标,嵌入蜜标操作如步骤110所述。
[0072] 步骤130,蜜标生成服务本地模块网络欺骗功能为,用户可输入或选定某类关键词,如输入“商业”、“经济”、“公司”等关键词,则程序会自动生成虚假的、文件名类似为商业机密名称的文档,并嵌入蜜标,用户可将这些文件放置到易于被攻击触碰或窃取的位置。该模块的作用是,生成的虚假蜜标文档让攻击者发现并引起极大兴趣,诱导其对文档触碰、窃取,从而进行异常感知和追踪。
[0073] 步骤140,蜜标生成远程服务对已有文档打蜜标操作为,用户浏览该服务的Web页面,上传本地文档,服务端按照步骤110所述进行蜜标嵌入操作后,用户下载文档即可。
[0074] 步骤150,蜜标生成远程服务的网络欺骗功能为,用户浏览该服务指定Web页面,输入或选定关键词,输入生成文档的个数,服务器根据关键词类型自动生成指定个数的虚假蜜标文档,用户下载到本地,放置到易吸引攻击者的位置。对于一些不便安装蜜标生成服务客户端或不经常创建文档的设备,使用远程服务相比本地服务更加方便快捷。用户可根据具体环境需求,自主选择上述蜜标生成系统的某一种或几种功能进行蜜标的生成和部署。
[0075] 如图6所示,所述异常感知和追踪系统主控模块,包括:
[0076] 步骤210,数据库系统模块,一方面,存储蜜标生成系统创建蜜标时生成的蜜标唯一性字符串、蜜标文档所在主机IP、蜜标文档名称,触碰警告提示信息等。另一方面,为后台分析控制模块提供查询接口,进行异常判断和异常通知。
[0077] 步骤220,蜜标请求处理模块,该模块接收并处理蜜标文档被触发后的蜜标请求,通过该请求,获取被触发蜜标文档所在设备的IP、操作系统、文档操作软件、标识蜜标的唯一性字符串等指纹信息和系统当前时间,将上述信息传送给后台分析控制模块进行数据查询关联和异常分析。
[0078] 步骤230,后台分析控制模块,接收蜜标请求处理模块传来的蜜标所在主机相关指纹信息,一方面将数据传入数据库进行存储。另一方面,读取数据库,通过蜜标唯一性字符串和数据库中存储的蜜标信息进行关联,获取蜜标生成时存储的信息。将蜜标生成时的所在主机IP与蜜标请求所在主机IP进行对比,根据系统配置模块配置的判断异常的条件,判断此次蜜标请求是否进行异常警告,如有异常,则将异常的蜜标信息、主机信息和警告信息、警告通知号码、邮箱地址等发送给异常通知模块,进行实时的异常通知。
[0079] 步骤240,异常通知模块,将后台分析控制模块传输的异常通知信息,通过短信、邮箱等方式进行实时通知。
[0080] 步骤250,系统配置模块,最主要的功能是配置分析控制模块判断异常的条件(如上所述,可配置为文档本地触碰即异常和异地触碰即异常)。默认情况下,已有文档和客户端生成的正常文档嵌入的蜜标,配置为文档异地触碰即异常,即正常用户在本机进行文档操作不会引起异常,而当蜜标文档脱离本机后被触碰,则会引起异常告警。网络欺骗模块生成的蜜标文档,配置为文档本地触碰即异常,即该类文档是正常情况下不会触碰的,一旦有人触碰,则意味着发生异常。由于对所有创建的新文档都嵌入蜜标,也就意味着,根据异常感知条件,受保护主机的所有新建文档一旦被异地触发就会发出异常警告。除此之外,通过该模块可进行异常通知号码、邮箱地址、异常通知警告信息等的配置。
[0081] 如图7所示,本发明实施案例中对一个窃密攻击的发现和追踪流程,包括:
[0082] 步骤310,如上所述,异常感知与追踪系统部署完成。
[0083] 步骤320,攻击者在受害主机上触碰到如步骤130或步骤150中生成的虚假蜜标文档,如步骤250所述,该类文档意义在于吸引攻击者触碰、窃取,其异常条件属于文档触碰即异常类型,因此攻击者对其触碰后,会立刻触发步骤340进行异常警告和通知,防御者可迅速发现异常。
[0084] 步骤330,攻击者窃取受害主机上的蜜标文档,当其在除受害主机外的任何设备上打开被窃取的蜜标文档,都会触发蜜标请求。由于蜜标文档已脱离受害主机,当蜜标被触发后,一方面,异常感知和追踪系统主控模块会如步骤340所示进行异常警告。另一方面,主控模块可获取到攻击者的诸如主机IP、操作系统等指纹信息,从而进行溯源追踪。
[0085] 步骤340,将异常信息进行可视化展示和短信、邮件的实时通知。
[0086] 步骤350,获取蜜标异常时所在主机IP(即蜜标发起请求时的源IP地址)、主机操作系统等指纹,进行溯源追踪。
[0087] 综上,本申请为保护指定网络内主机和网络数据安全,能够实现有效的异常感知、攻击溯源。通过采用蜜标技术,并加入相关网络欺骗技术,高效、低成本的实现文件系统异常感知,有效发现包括高级持续性威胁和内网攻击在内的多种威胁。保护目标网络主机和数据安全,并实现可靠地异常感知和窃密攻击溯源追踪。
[0088] 最后所应说明的是,以上实施案例仅用以说明本发明的技术方案而非限制,尽管使用事例对本发明进行了详细说明,本领域的普通技术人员应当理解,可对本发明的技术方案进行修改或者等价替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。