[发明专利]一种防止公有云盘被僵尸网络恶意利用的方法及装置

权利要求书

1.一种防止公有云盘被僵尸网络恶意利用的方法，其特征在于，包括：

捕获目标公有云盘的流量，获取所述流量中疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址；

其中，所述获取所述流量中疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址，包括：

获取所述流量中文件的URL地址以及上传所述文件的请求源IP地址；

依据所述URL地址，确定所述文件的类型，采用与所述类型对应的检测方法计算所述文件的敏感度；

当所述文件的敏感度满足预设的敏感度阈值时，判定所述文件为疑似窃密文件和所述请求源IP地址为僵尸程序IP地址；

当检测到所述僵尸程序IP地址上传请求数据包到所述目标公有云盘时，截获所述请求数据包并伪装成所述僵尸程序IP地址向所述目标公有云盘提交蜜标文件，其中，所述蜜标文件与所述请求数据包类型相同且带有跟踪水印；

当检测到攻击者下载了所述蜜标文件并打开时，确定所述攻击者的攻击IP地址；

对所述攻击IP地址进行禁用。

2.根据权利要求1所述的方法，其特征在于，当所述类型为文本时，采用与所述类型对应的检测方法计算所述文件的敏感度，包括：

获取所述文件中敏感词和所述敏感词变体的内容信息和位置信息；

依据所述内容信息和所述位置信息，确定所述敏感词和所述变体的内容敏感度和位置敏感度；

依据公式计算所述文件的敏感度，其中：

n-频繁度即所述文本中敏感词及其变体出现的次数；

S_loc(S_i)-位置敏感度；

T_i-内容敏感度；

S-敏感度。

3.根据权利要求2所述的方法，其特征在于，还包括：

对所述敏感度进行归一化处理。

4.根据权利要求1所述的方法，其特征在于，还包括：

当所述蜜标文件提交成功时，返回提交成功指令给所述僵尸程序。

5.一种防止公有云盘被僵尸网络恶意利用的装置，其特征在于，包括：

捕获获取模块，用于捕获目标公有云盘的流量，获取所述流量中疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址；

其中，所述捕获获取模块包括：

地址获取单元，用于获取所述流量中文件的URL地址以及上传所述文件的请求源IP地址；

计算单元，用于依据所述URL地址，确定所述文件的类型，采用与所述类型对应的检测方法计算所述文件的敏感度；

判定单元，用于当所述文件的敏感度满足预设的敏感度阈值时，判定所述文件为疑似窃密文件和所述的请求源IP地址为僵尸程序IP地址；

截获模块，用于当检测到所述僵尸程序IP地址上传请求数据包到所述目标公有云盘时，截获所述请求数据包并伪装成所述僵尸程序IP地址向所述目标公有云盘提交蜜标文件，其中，所述蜜标文件与所述请求数据包类型相同且带有跟踪水印；

确定模块，用于当检测到攻击者下载了所述蜜标文件并打开时，确定所述攻击者的攻击IP地址；

禁用模块，用于对所述攻击IP地址进行禁用。

6.根据权利要求5所述的装置，其特征在于，所述计算单元包括：

信息获取子单元，用于获取所述文件中敏感词和所述敏感词变体的内容信息和位置信息；

确定子单元，用于依据所述内容信息和所述位置信息，确定所述敏感词和所述变体的内容敏感度和位置敏感度；

计算子单元，用于依据公式计算所述文件的敏感度，其中：

n-频繁度即文本中敏感词及其变体出现的次数；

S_loc(S_i)-位置敏感度；

T_i-内容敏感度；

S-敏感度。

7.根据权利要求6所述的装置，其特征在于，还包括：

归一化子单元，用于对所述敏感度进行归一化处理。

8.根据权利要求5所述的装置，其特征在于，还包括：

返回模块，用于当所述蜜标文件提交成功时，返回提交成功指令给所述僵尸程序。