[发明专利]一种异常感知和追踪方法及系统

权利要求书

1.一种异常感知和追踪方法，包括以下步骤：

1)在受保护的主机中生成嵌入蜜标的蜜标文档，并记录蜜标文档携带的蜜标生成信息；

2)根据嵌入蜜标的方式，设定判断异常条件；

3)当蜜标文档被触发时，发送判断请求；

4)分析该判断请求，提取触发蜜标文档的指纹信息及被触发的蜜标文档的蜜标生成信息；基于该指纹信息及蜜标生成信息，根据判断异常条件，判断是否出现异常；

如是，则进行异常警告，并通知指定用户；

如蜜标文档脱离受保护的主机被触发，并判断为出现异常，则在进行异常警告同时获取该指纹信息，作为攻击者的指纹信息，并据此对攻击者进行追踪。

2.如权利要求1所述的异常感知和追踪方法，其特征在于，步骤1)中所述嵌入蜜标的过程为：在文档中插入特定域代码、宏代码作为信标，所述信标的核心为一URI地址，该地址URI包含一个利用主机编号、当前时间、随机数生成的具有唯一性的字符串，所述蜜标生成信息包括该字符串、主机IP及文档名称。

3.如权利要求2所述的异常感知和追踪方法，其特征在于，当受保护主机上的蜜标文档被触发时，向前述URI地址发送判断请求。

4.如权利要求1所述的异常感知和追踪方法，其特征在于，步骤1)中嵌入蜜标的方式包括：通过在本地新生成的文档进行嵌入蜜标操作，和/或通过对一或多个已有文档进行嵌入蜜标操作，和/或对自动生成的虚假文档进行嵌入蜜标操作。

5.如权利要求1所述的异常感知和追踪方法，其特征在于，步骤2)中所述判断异常条件包括：文档本地触碰即异常和文档异地触碰即异常；所述文档本地触碰即异常为只要蜜标文档被触发，即视为异常操作；所述文档异地触碰即异常为只有当蜜标文档所处于与其生成时的所在主机IP不相同的主机IP被触发，才视为异常操作。

6.一种异常感知和追踪系统，其特征在于，包括：

一蜜标生成系统模块，用以在受保护的主机中生成嵌入蜜标的蜜标文档；

一主控模块，用以记录蜜标文档携带的蜜标生成信息；并根据蜜标文档的类型及嵌入蜜标的方式，设定判断异常条件；当蜜标文档被触发时，发送判断请求，并分析该判断请求，提取触发蜜标文档的指纹信息及被触发的蜜标文档携带的蜜标生成信息；根据判断异常条件，判断是否出现异常；如是，则进行异常警告，并通知指定用户；

一异常感知追踪模块；如蜜标文档脱离受保护的主机被触发，并判断为出现异常，则在进行异常警告同时获取该指纹信息，作为攻击者的指纹信息，并据此对攻击者进行追踪。

7.如权利要求6所述的异常感知和追踪系统，其特征在于，所述蜜标生成系统模块包括蜜标生成本地服务模块及蜜标生成远程服务模块；

所述蜜标生成本地服务模块安装在受保护的主机上，具有新文档打蜜标模块、已有文档打蜜标模块及网络欺骗功能模块；

所述蜜标生成远程服务模块具有已有文档打蜜标模块及网络欺骗功能模块；

所述新文档打蜜标模块用以在本地新生成的文档进行嵌入蜜标操作；所述已有文档打蜜标模块用以对一或多个已有文档进行嵌入蜜标操作；所述网络欺骗功能模块用以自动生成虚假文档，并对虚假文档进行嵌入蜜标操作。