[发明专利]一种网络攻击诱捕方法、装置、电子设备及存储介质

权利要求书

1.一种网络攻击诱捕方法，其特征在于，包括步骤：

在文件中部署诱捕文件；所述诱捕文件为可执行文件；

当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像。

2.根据权利要求1所述的网络攻击诱捕方法，其特征在于，所述当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像包括：

当检测到用户输入对所述文件破解的解密指令时，将所述解密指令、文件属性信息及所述用户的行为画像上传至服务器，以使所述服务器根据所述解密指令及所述文件属性信息与预先存储的对应文件的解密秘钥比对确认是否一致；

根据比对结果判断所述用户是否为攻击者，并将所述用户的行为画像存储。

3.根据权利要求1或2所述的网络攻击诱捕方法，其特征在于，所述当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像还包括：

当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件发起与所述服务器的联网行为请求；

判断所述联网行为是否成功；

若所述联网行为成功，则将所述解密指令、文件属性信息及所述用户的行为画像上传至服务器。

4.根据权利要求3所述的网络攻击诱捕方法，其特征在于，在判断所述联网行为是否成功之后，所述方法还包括：

若所述联网行为失败，则拒绝对所述文件解密。

5.根据权利要求2所述的网络攻击诱捕方法，其特征在于，所述服务器根据所述解密指令及所述文件属性信息与预先存储的对应文件的解密秘钥比对确认是否一致包括：

根据所述文件的属性信息确定所述文件的身份信息；

根据所述文件的身份信息确定预先存储的所述文件的解密秘钥；

将所述解密指令与所述文件的解密秘钥进行比对；

若所述解密指令与所述文件的解密秘钥不一致，则判断所述用户为疑似攻击者，并将所述用户的行为画像存储。

6.根据权利要求5所述的网络攻击诱捕方法，其特征在于，在若所述解密指令与所述文件的解密秘钥不一致，则判断所述用户为疑似攻击者之后，所述方法还包括：统计预定时长内输入的所述解密指令与所述文件的解密秘钥不一致的破解事件次数；

若所述次数超过预定频次阈值，且根据获取的用户的身份标识信息，判断所述预定时长内发生的所述事件为同一用户的行为事件；所述用户的行为画像中包含用户的身份标识信息；

则确定所述用户为攻击者，并触发告警。

7.根据权利要求6所述的网络攻击诱捕方法，其特征在于，在触发告警之后，所述方法还包括：返回拒绝解密及加密数据自行防御指令；

接收并执行所述拒绝解密及加密数据自行防御指令。

8.根据权利要求7所述的网络攻击诱捕方法，其特征在于，所述文件自行防御指令用于指示自行销毁所述文件。

9.根据权利要求1所述的网络攻击诱捕方法，其特征在于，所述诱捕文件为部署于所述文件外层的一个可执行的壳。

10.根据权利要求1所述的网络攻击诱捕方法，其特征在于，所述用户包括攻击者，所述用户的行为画像包含：攻击者的身份标识信息、攻击者使用的攻击战、技术及过程。

11.一种网络攻击诱捕装置，其特征在于，所述装置包括：

部署程序模块，用于在文件中部署诱捕文件；所述诱捕文件为可执行文件；

捕获程序模块，用于当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像。