[发明专利]一种异常感知和追踪方法及系统

说明书

本发明提出了一种基于文档蜜标技术来进行异常感知和追踪溯源的方法，包括以下步骤：1)在受保护的主机中生成嵌入蜜标的蜜标文档，并记录蜜标文档携带的蜜标生成信息；2)根据蜜标文档的类型及嵌入蜜标的方式，设定判断异常条件；3)当蜜标文档被触发时，发送判断请求；4)分析该判断请求，提取触发蜜标文档的指纹信息及被触发的蜜标文档的蜜标生成信息；基于该指纹信息及蜜标生成信息，根据判断异常条件，判断是否出现异常并对攻击者进行追踪。同时提供实现上述方法的系统。该方法的实施及系统的部署不依赖主机的服务环境，与攻击者的攻击方法无关，能够有效检测多种异常行为，并对窃密型攻击实施有效追踪溯源。

技术领域

本发明涉及计算机网络安全领域，特别涉及异常感知和追踪技术，更具体地，是一种基于文档蜜标技术的异常感知和追踪方法及系统。

背景技术

计算机的普及以及互联网行业的高速发展，网络已成为了人们生活中不可缺少的重要组成部分，随之而来便是各种网络安全问题，数据泄露已成为网络安全的严重威胁之一。

一方面，难以有效检测未知、高级攻击。由于计算机操作系统、应用程序软件常出现多种漏洞，越来越多的计算机已悄然被黑客攻击，受害者毫无察觉。新的攻击形式尤其是APT类攻击的出现，攻击者使用的攻击方式、攻击手段和攻击策略也层出不穷，对现有的被动防御的安全机制形成了很大挑战。而且，基于边界的防御策略对于内网的攻击者是无法有效检测出来的。

另一方面，无法有效对攻击者追踪溯源。网络安全威胁日益严重，然而网络追踪的实现受到很大限制。主要体现在以下方面：首先，网络攻击手段的发展和代理、跳板技术的使用极大地增加了网络追踪的不可靠性和复杂性，使得溯源工作难以奏效；第二，要对网络攻击者进行追踪，则先要发现网络攻击，但是现有的入侵检测技术还不能完全解决入侵漏报和虚警的问题；第三，当前主流的网络追踪技术是通过在报文或数据包中添加标志数据(如数字水印)，然后对这些标志数据的检测与追踪来实现对攻击与入侵的追踪，显然会增加路由器或其他追踪设备的开销，并增加网络的流量，实现和运行成本较高。

APT(Advanced Persistent Threat)攻击，利用先进的攻击手段对特定目标进行长期持续性网络攻击，一般包括攻击侦查与渗透、内部平移、攻击任务执行三个阶段，相比其他攻击更具高级性和危害性。高级性主要体现在利用多种高级手段(如使用0day漏洞，0day漏洞是指已被发现但还没有补丁的漏洞)可绕过已有的防御机制。危害性体现在窃取严密保护下的信息，破坏物理隔离系统，现有防御机制难以检测和发现。此外，APT的重要特点之一是实施攻击任务之前往往需要有内部平移的过程，内部平移又包括内部侦查和内部渗透。内部侦查是指攻击者在被攻陷的节点基础之上，收集新信息，发现新节点，挖掘新关系，确定新目标。内部渗透是指利用内部侦查获取的多种信息进行更加深入的攻击渗透。而现有的防御机制对APT的内部平移进行检测存在很大局限性。

Barros于2003年提出了蜜标(HoneyToken)技术概念：蜜标是一种用于吸引攻击者进行未经授权而使用的信息资源。蜜标有着多种数据形态，比如一个伪造的身份ID、邮件地址、数据库表项、Word或Excel文档等。当攻击方从环境中窃取信息资源时，蜜标将混杂在信息资源中同时被窃取，之后，一旦攻击方在现实场景中使用蜜标数据，比如使用一个经过标记的伪造身份ID尝试登陆业务系统，防御方就可以检测并追溯这次实际攻击。

虽然蜜标的技术思想和定义早已提出，但本领域对该技术具体如何实施和应用的研究较少。

发明内容

针对上述问题，本发明的目的是提出了一种基于文档蜜标技术来进行异常感知和追踪溯源的方法及系统。该方法的实施及系统的部署不依赖主机的服务环境，与攻击者的攻击方法无关，能够有效检测多种异常行为，并对窃密型攻击实施有效追踪溯源。

为达上述目的，本发明采取的具体技术方案是：

一种异常感知和追踪方法，包括以下步骤：