[发明专利]一种网络攻击诱捕方法、装置、电子设备及存储介质

说明书

本发明实施例公开一种网络攻击诱捕方法、装置、电子设备及存储介质，涉及网络安全技术领域。所述方法包括：在文件中部署诱捕文件；所述诱捕文件为可执行文件；当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像。本发明通过上述方法步骤，即使攻击者将文件捕获之后，脱离蜜罐部署环境进行暴力破解，仍可以有效捕获攻击者的身份等信息，适用于网络安全防御场景中。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络攻击诱捕方法、装置、电子设备及存储介质。

背景技术

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，进而对攻击行为进行捕获及分析，以让防御方根据捕获的攻击行为及分析结果清楚知晓资产面临的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。因此，蜜罐技术亦被称为欺骗式防御技术。

例如，当存在外部设备登录当前资产设备，则对登陆产生的信息进行记录，包括登陆时可能进行的密码破解行为，以供防御方分析当前资产设备是否面临安全威胁。

然而，发明人在实现本发明创造的过程中发现：上述利用蜜罐技术诱捕攻击行为的方式，需要有攻击行为触发，蜜罐才会开始工作，但如果是在终端上的文件，例如，向外加密偷传文件，一旦攻击者将文件捕获之后，脱离蜜罐部署环境破解，部署在终端上的蜜罐则无法响应，致使难以有效捕获攻击者的身份等信息。

发明内容

有鉴于此，本发明实施例提供一种网络攻击诱捕方法、装置、电子设备及存储介质，可以有效捕获攻击者的身份等信息。

第一方面，本发明实施例提供的网络攻击诱捕方法，包括步骤：

在文件中部署诱捕文件；所述诱捕文件为可执行文件；

当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像。

结合第一方面，在第一方面的第一种实施方式中，所述当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像包括：当检测到用户输入对所述文件破解的解密指令时，将所述解密指令、文件属性信息及所述用户的行为画像上传至服务器，以使所述服务器根据所述解密指令及所述文件属性信息与预先存储的对应文件的解密秘钥比对确认是否一致；

根据比对结果判断所述用户是否为攻击者，并将所述用户的行为画像存储。

结合第一方面的第一种实施方式，在第一方面的第二种实施方式中，所述当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件执行捕获所述用户的行为画像还包括：

当检测到用户输入对所述文件破解的解密指令时，触发所述诱捕文件发起与所述服务器的联网行为请求；

判断所述联网行为是否成功；

若所述联网行为成功，则将所述解密指令、文件属性信息及所述用户的行为画像上传至服务器。

结合第一方面，在第一方面的第三种实施方式中，在判断所述联网行为是否成功之后，所述方法还包括：若所述联网行为失败，则拒绝对所述文件解密。

结合第一方面的第三种实施方式，在第一方面的第四种实施方式中，所述服务器根据所述解密指令及所述文件属性信息与预先存储的对应文件的解密秘钥比对确认是否一致包括：

根据所述文件的属性信息确定所述文件的身份信息；

根据所述文件的身份信息确定预先存储的所述文件的解密秘钥；

将所述解密指令与所述文件的解密秘钥进行比对；

若所述解密指令与所述文件的解密秘钥不一致，则判断所述用户为疑似攻击者，并将所述用户的行为画像存储。