CN114143105A - 网空威胁行为体的溯源方法、装置、电子设备及存储介质 - Google Patents
网空威胁行为体的溯源方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114143105A CN114143105A CN202111478268.2A CN202111478268A CN114143105A CN 114143105 A CN114143105 A CN 114143105A CN 202111478268 A CN202111478268 A CN 202111478268A CN 114143105 A CN114143105 A CN 114143105A
- Authority
- CN
- China
- Prior art keywords
- trap
- mailbox
- tracing
- threat behavior
- main body
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 230000001960 triggered effect Effects 0.000 claims abstract description 14
- 230000006399 behavior Effects 0.000 claims description 181
- 238000004088 simulation Methods 0.000 claims description 37
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 22
- 230000004044 response Effects 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 13
- 230000006870 function Effects 0.000 claims description 11
- 238000007781 pre-processing Methods 0.000 claims description 8
- 244000035744 Hura crepitans Species 0.000 claims description 4
- 238000010276 construction Methods 0.000 claims description 3
- 230000007123 defense Effects 0.000 description 11
- 230000002159 abnormal effect Effects 0.000 description 6
- 238000013461 design Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000006698 induction Effects 0.000 description 2
- 230000001939 inductive effect Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000002203 pretreatment Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000001976 improved effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例涉及计算机技术领域,特别涉及一种网空威胁行为体的溯源方法、装置、电子设备及存储介质。其中,网空威胁行为体的溯源方法包括:构建溯源主体;其中,所述溯源主体具有虚假且可控的溯源载荷;利用所述溯源主体接收并触发网空威胁行为体的攻击载荷,以使所述网空威胁行为体获得所述溯源主体的访问权限;响应于所述网空威胁行为体触发所述溯源主体的所述溯源载荷,利用所述溯源载荷获取所述网空威胁行为体的属性信息,以对所述网空威胁行为体进行溯源。本发明提供的技术方案能够解决网空威胁行为体不能及时被溯源的问题。
Description
技术领域
本发明实施例涉及计算机技术领域,特别涉及一种网空威胁行为体的溯源方法、装置、电子设备及存储介质。
背景技术
随着近年来各行各业都在不断开展信息化与智能化建设,社会信息化水平不断提升,对信息系统的安全防范也提出了新的要求,而网空威胁(即网络空间的攻击活动)对于信息系统安全会产生极大的影响。其中,网空威胁来源于网空威胁行为体,而网空威胁行为体是需要对网络安全事件产生的影响负责的个人或主体。
相关技术中,网空威胁行为体的溯源方法主要通过防御方的邮件网关和终端安全防护等溯源方式进行溯源。具体过程大致为:在网空威胁(例如攻击邮件)抵达防御方且被触发时,或者在网空威胁后续产生的异常行为被防御方感知时,防御方才意识到失陷事件的发生,此时防御方才开始利用上述溯源方式对网空威胁行为体进行溯源,以获取到网空威胁行为体的相关信息。而此时,网空威胁造成的损失已经产生。
发明内容
为了解决网空威胁行为体不能及时被溯源的问题,本发明实施例提供了一种网空威胁行为体的溯源方法、装置、电子设备及存储介质。
第一方面,本发明实施例提供了一种网空威胁行为体的溯源方法,包括:
构建溯源主体;其中,所述溯源主体具有虚假且可控的溯源载荷;
利用所述溯源主体接收并触发网空威胁行为体的攻击载荷,以使所述网空威胁行为体获得所述溯源主体的访问权限;
响应于所述网空威胁行为体触发所述溯源主体的所述溯源载荷,利用所述溯源载荷获取所述网空威胁行为体的属性信息,以对所述网空威胁行为体进行溯源。
在一种可能的设计中,所述溯源主体包括陷阱邮箱和拟真主体,所述陷阱邮箱是基于防御方的身份信息进行构建的,所述拟真主体包括沙箱或蜜罐。
在一种可能的设计中,所述利用所述溯源主体接收并触发网空威胁行为体的攻击载荷,以使所述网空威胁行为体获得所述溯源主体的访问权限,包括:
利用所述陷阱邮箱接收网空威胁行为体的攻击邮件;其中,所述攻击邮件具有攻击载荷;
利用运行在所述拟真主体上的所述陷阱邮箱触发所述攻击载荷,以使所述网空威胁行为体获得所述陷阱邮箱的访问权限或所述拟真主体的访问权限。
在一种可能的设计中,在所述构建溯源主体之后和在所述利用所述陷阱邮箱接收网空威胁行为体的攻击邮件之前,还包括:
对所述陷阱邮箱进行预处理;
公开发布预处理后的所述陷阱邮箱。
在一种可能的设计中,所述预处理包括如下中的至少一种:
降低所述陷阱邮箱的访问权限;
开启所述陷阱邮箱的登陆者IP和地理位置记录功能;
在所述陷阱邮箱中预存多封具有预设时间跨度的正常邮件。
在一种可能的设计中,在所述利用运行在所述拟真主体上的所述陷阱邮箱触发所述攻击载荷之后和在所述响应于所述网空威胁行为体触发所述溯源主体的所述溯源载荷之前,还包括如下中的至少一个步骤:
响应于监测到所述陷阱邮箱存在异常行为,对由所述陷阱邮箱向外发送的邮件进行拦截,并在所述陷阱邮箱的邮件页面显示为已发送状态;
响应于监测到所述陷阱邮箱存在异常行为,向所述陷阱邮箱发送新的溯源载荷;其中,所述溯源载荷为陷阱邮件,所述陷阱邮件的内容具有预设的敏感信息;
响应于监测到所述拟真主体存在异常行为,向所述拟真主体发送新的溯源载荷;其中,所述溯源载荷为陷阱文件,所述陷阱文件的内容具有预设的敏感信息。
在一种可能的设计中,所述属性信息包括网络信息、主机信息和文件信息,其中:
所述网络信息包括IP地址、网络账号、WIFI信息;
所述主机信息包括系统语言、时区位置、进程服务、软件列表;
所述文件信息包括武器工具、程序源码、日记手册、客户协议。
第二方面,本发明实施例还提供了一种网空威胁行为体的溯源装置,包括:
构建模块,用于构建溯源主体;其中,所述溯源主体具有虚假且可控的溯源载荷;
触发模块,用于利用所述溯源主体接收并触发网空威胁行为体的攻击载荷,以使所述网空威胁行为体获得所述溯源主体的访问权限;
溯源模块,用于响应于所述网空威胁行为体触发所述溯源主体的所述溯源载荷,利用所述溯源载荷获取所述网空威胁行为体的属性信息,以对所述网空威胁行为体进行溯源。
第三方面,本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种网空威胁行为体的溯源方法、装置、电子设备及存储介质,通过构建溯源主体,如此可以利用溯源主体来主动诱导网空威胁行为体对其进行攻击;在防御方触发网空威胁行为体的攻击载荷时,可以使网空威胁行为体获得溯源主体的访问权限,这样就可以继续诱敌深入;当网空威胁行为体获得溯源主体的访问权限后,就可能会触发溯源主体的溯源载荷;在网空威胁行为体触发溯源载荷时,可以利用溯源载荷获取网空威胁行为体的属性信息,以对网空威胁行为体进行溯源。综上,上述技术方案能够解决网空威胁行为体不能及时被溯源的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明一实施例提供的一种网空威胁行为体的溯源方法流程图;
图2是本发明一实施例提供的另一种网空威胁行为体的溯源方法流程图;
图3是本发明一实施例提供的一种电子设备的硬件架构图;
图4是本发明一实施例提供的一种网空威胁行为体的溯源装置结构图;
图5是本发明一实施例提供的另一种网空威胁行为体的溯源装置结构图;
图6是本发明一实施例提供的又一种网空威胁行为体的溯源装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例,都属于本发明保护的范围。
如前所述,相关技术中,网空威胁行为体的溯源方法主要通过防御方的邮件网关和终端安全防护等溯源方式进行溯源。然而,上述溯源方式的防御关口相对靠后且被动,即往往在网空威胁抵达防御方且被触发时,或者在网空威胁后续产生的异常行为被防御方感知时,防御方才意识到失陷事件的发生,此时防御方才开始利用上述溯源方式对网空威胁行为体进行溯源。
发明人在研发过程中发现:上述溯源方式的防御思维属于被动防御思维,防御方难以对网空威胁行为体在前期阶段(即触发或感知威胁之前)的信息搜集与刺探等威胁行为进行感知和评估,同时也难以及时地对网空威胁行为体进行溯源。
为了解决该技术问题,发明人考虑通过构建溯源主体,利用溯源主体包含的虚假且可控的溯源载荷来主动诱导网空威胁行为体对溯源主体进行攻击,这样方便防御方对溯源主体收到的攻击载荷进行评估分析,如此可以在一定程度上预知或影响网空威胁行为体选取攻击对象的过程,从而可以有效解决上述溯源方式在威胁发现和溯源方面所面临的被动性、可控性和及时性问题。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种网空威胁行为体的溯源方法,该方法包括:
步骤100:构建溯源主体;其中,溯源主体具有虚假且可控的溯源载荷;
步骤102:利用溯源主体接收并触发网空威胁行为体的攻击载荷,以使网空威胁行为体获得溯源主体的访问权限;
步骤104:响应于网空威胁行为体触发溯源主体的溯源载荷,利用溯源载荷获取网空威胁行为体的属性信息,以对网空威胁行为体进行溯源。
本发明实施例中,通过构建溯源主体,如此可以利用溯源主体来主动诱导网空威胁行为体对其进行攻击;在防御方触发网空威胁行为体的攻击载荷时,可以使网空威胁行为体获得溯源主体的访问权限,这样就可以继续诱敌深入;当网空威胁行为体获得溯源主体的访问权限后,就可能会触发溯源主体的溯源载荷;在网空威胁行为体触发溯源载荷时,可以利用溯源载荷获取网空威胁行为体的属性信息,以对网空威胁行为体进行溯源。综上,上述技术方案能够解决网空威胁行为体不能及时被溯源的问题。
可以理解的是,溯源载荷可以是以邮件的形式存在,还可以是以文件的形式存在,当网空威胁行为体点击邮件或文件后,就会触发溯源载荷中携带的溯源程序(例如链接或木马),从而就可以利用溯源程序获取网空威胁行为体的属性信息,以对网空威胁行为体进行溯源。而攻击载荷通常是以邮件的方式存在,其中,可以在邮件中设置攻击链接或攻击文件等,当溯源主体点击攻击链接或攻击文件后,再按照点击生成后的页面进行交互,从而可以主动将溯源主体的访问权限泄漏给网空威胁行为体。
下面描述图1所示的各个步骤的执行方式。
针对步骤100:
在一些实施方式中,步骤100可以包括:
基于防御方的身份信息,构建陷阱邮箱;
构建拟真主体;其中,拟真主体包括沙箱或蜜罐。
在该实施方式中,溯源主体包括陷阱邮箱和拟真主体,这样可以先利用陷阱邮箱接收网空威胁行为体发送的攻击载荷,然后通过结合拟真主体,与攻击载荷的交互行为来触发攻击载荷(例如账号密码钓鱼攻击、漏洞利用攻击、诱饵文件攻击),从而使网空威胁行为体获得溯源主体的访问权限。
此外,陷阱邮箱是基于防御方的身份信息构建的,这有利于诱导网空威胁行为体对陷阱邮箱进行攻击,其中防御方包括但不限于政府、高校、军工、企业,身份信息是指在注册陷阱邮箱时所需要身份信息,例如个人身份证号或单位信用代码。而邮箱的注册平台可以是公开的商业或免费邮件系统,也可以是自行搭建运营的邮件系统。
当然,溯源主体也可以只包括陷阱邮箱,该陷阱邮箱并未运行在拟真主体上,而是运行在实体电脑系统上。为了确保这种方式的安全性,所运行的实体电脑系统上可以不存储重要资料,或者安装有防御级别很高的杀毒软件。但是,这种方式不利于诱导网空威胁行为体进一步产生更多的攻击行为,从而不利于对网空威胁行为体的有效溯源。而将陷阱邮箱运行在拟真主体上,可以在拟真主体上设置更多的溯源载荷(例如溯源文件),这样可以使网空威胁行为体进一步触发这些溯源载荷,如此有利于对网空威胁行为体的溯源。
针对步骤102:
在一些实施方式中,步骤102可以包括:
步骤A1、利用陷阱邮箱接收网空威胁行为体的攻击邮件;其中,攻击邮件具有攻击载荷;
步骤A2、利用运行在拟真主体上的陷阱邮箱触发攻击载荷,以使网空威胁行为体获得陷阱邮箱的访问权限或拟真主体的访问权限。
在该实施例中,通过构建包括陷阱邮箱和拟真主体的溯源主体,其中陷阱邮箱运行在拟真主体上,可以方便利用陷阱邮箱作为网空威胁行为体的攻击入口,即利用陷阱邮箱来接收网空威胁行为体的攻击邮件,从而有利于使网空威胁行为体获得陷阱邮箱的访问权限或拟真主体的访问权限。
可以理解的是,陷阱邮箱的访问权限即为陷阱邮箱的账号和密码,拟真主体的访问权限即为拟真主体的登录密码或相关控制权限。
在一些实施方式中,攻击载荷可以利用预设程序模拟收件人或真实收件人的交互行为的方式来触发,其中交互行为包括但不限于点击、填写、下载和执行等。
此外,在使网空威胁行为体获得陷阱邮箱的访问权限或拟真主体的访问权限的过程中,防御方可以根据网空威胁行为体获得的权限对其进行攻击能力(即攻击载荷的攻击能力)和攻击资产(即攻击载荷的价值)的分析。例如:网空威胁行为体在上述过程中仅获得了陷阱邮箱的访问权限,则可以证明网空威胁行为体的攻击能力较弱,攻击资产较少;网空威胁行为体在上述过程中不仅获得了陷阱邮箱的访问权限,还获得了拟真主体的访问权限,则可以证明网空威胁行为体的攻击能力较强,攻击资产较多;网空威胁行为体在上述过程中不仅获得了陷阱邮箱和拟真主体的访问权限,还使得运行在拟真主体上的杀毒软件检测不到攻击载荷,则可以证明网空威胁行为体的攻击能力很强,攻击资产很多。因此,对网空威胁行为体的攻击能力和攻击资产的分析,也可以作为后续产生网空威胁行为体的溯源画像的一个依据。
在一些实施方式中,在步骤100之后和在步骤A1之前,上述溯源方法还包括:
对陷阱邮箱进行预处理;
公开发布预处理后的陷阱邮箱。
在该实施方式中,在构建完陷阱邮箱后,为了使得该陷阱邮箱能够易于对入侵的网空威胁行为体进行反攻击,可以对陷阱邮箱进行预处理;同时,为了方便网空威胁行为体能够发现该陷阱邮箱,可以公开发布预处理后的陷阱邮箱。
当然,还可以编写陷阱邮件(即溯源载荷),并放置于陷阱邮箱中,如此可使得网空威胁行为体在获得陷阱邮箱的访问权限后,通过点击陷阱邮件,实现尽可能快地触发溯源载荷的效果。还可以编写陷阱文件(即溯源载荷),并放置于拟真主体中,如此可使得网空威胁行为体在获得拟真主体的访问权限后,通过点击陷阱文件,实现尽可能快地触发溯源载荷的效果。其中,所编写的陷阱邮件或陷阱文件,其内容最好是有一定的吸引力,例如包含一些敏感信息(如政府相关报告、军工相关报告、高校相关报告等),从而可以进一步诱导网空威胁行为体来触发溯源载荷。
在一些实施方式中,预处理包括如下中的至少一种:
降低陷阱邮箱的访问权限;
开启陷阱邮箱的登陆者IP和地理位置记录功能;
在陷阱邮箱中预存多封具有预设时间跨度的正常邮件。
在该实施方式中,通过降低陷阱邮箱的访问权限,可以便于网空威胁行为体获得陷阱邮箱的访问权限;通过开启陷阱邮箱的登陆者IP和地理位置记录功能,可以便于获得网空威胁行为体的相关属性信息;通过在陷阱邮箱中预存多封具有预设时间跨度的正常邮件,可以增加网空威胁行为体对自身攻击能力的信任,从而可以便于进一步诱导网空威胁行为体的攻击。
其中,降低陷阱邮箱的访问权限可以包括将陷阱邮箱的密码设置成弱口令;实现“降低陷阱邮箱的访问权限”和“开启陷阱邮箱的登陆者IP和地理位置记录功能”的方案可以是通过在陷阱邮箱的相关web页面进行操作,也可以是通过在陷阱邮箱的app界面进行操作。
在一些实施方式中,在步骤A2之后和在步骤104之前,上述溯源方法还包括如下中的至少一个步骤:
步骤B、响应于监测到陷阱邮箱存在异常行为,对由陷阱邮箱向外发送的邮件进行拦截,并在陷阱邮箱的邮件页面显示为已发送状态;
步骤C、响应于监测到陷阱邮箱存在异常行为,向陷阱邮箱发送新的溯源载荷;其中,溯源载荷为陷阱邮件,陷阱邮件的内容具有预设的敏感信息;
步骤D、响应于监测到拟真主体存在异常行为,向拟真主体发送新的溯源载荷;其中,溯源载荷为陷阱文件,陷阱文件的内容具有预设的敏感信息。
针对步骤B,在利用陷阱邮箱触发了攻击载荷之后,网空威胁行为体可能会开始进行下一步的攻击,例如基于陷阱邮箱向其它相关邮箱(例如与陷阱邮箱具有同一后缀的邮箱)继续发送攻击载荷(即攻击邮件),这是不利的。
为了解决该技术问题,可以对陷阱邮箱进行实时监控,当监测到陷阱邮箱存在异常行为(例如异常登录、异常收信、异常发信等)时,需要对由陷阱邮箱向外发送的邮件进行拦截,并在陷阱邮箱的邮件页面显示为已发送状态,如此可以使网空威胁行为体自认为已经达到进一步攻击的目的(实则不然),从而可以进一步诱导网空威胁行为体产生更多的攻击行为,以利于对网空威胁行为体进行溯源。
针对步骤C,在利用陷阱邮箱触发了攻击载荷之后,可以对陷阱邮箱进行实时监控,当监测到陷阱邮箱存在异常行为(例如异常登录、异常收信、异常发信等)时,网空威胁行为体可能在较长时间段内并未产生进一步的攻击。这时为了获取网空威胁行为体更多的属性信息,可以对其进行主动诱导,例如在监测到陷阱邮箱存在异常行为时,向陷阱邮箱发送新的陷阱邮件,其中陷阱邮件的内容具有预设的敏感信息(如政府相关报告、军工相关报告、高校相关报告等)。
针对步骤D,在利用拟真主体触发了攻击载荷之后,可以对拟真主体进行实时监控,当监测到拟真主体存在异常行为(例如拟真主体存在本地文件的遍历、搜寻或上传的行为)时,网空威胁行为体可能在较长时间段内并未产生进一步的攻击。这时为了获取网空威胁行为体更多的属性信息,可以对其进行主动诱导,例如在监测到拟真主体存在异常行为时,向拟真主体发送新的陷阱文件,其中陷阱文件的内容具有预设的敏感信息(如政府相关报告、军工相关报告、高校相关报告等)。
针对步骤104:
在一些实施方式中,属性信息包括网络信息、主机信息和文件信息,其中:
网络信息包括IP地址、网络账号、WIFI信息;
主机信息包括系统语言、时区位置、进程服务、软件列表;
文件信息包括武器工具、程序源码、日记手册、客户协议。
在该实施方式中,通过获取网空威胁行为体的上述属性信息,可以基于这些属性信息对网空威胁行为体构建不同程度的溯源画像。进一步地,可以基于这些属性信息,对防御方的正常的邮件系统、流量日志和主机设备等进行回溯排查,以发现更多被攻击对象,同时也可以向外部共享威胁情报。
举例来说,对于涉密单位或重点单位的涉密部门,往往不适合公开发布邮箱的联系方式,但又希望开展邮箱安全相关方面的风险评估,并识别存在哪些针对自身的网空威胁行为体。
某单位通过采用本发明实施例提供的溯源方法,基于防御方的身份信息构建若干虚假且可控的陷阱邮箱,并掺杂在网站的联系地址页面(如员工主页、各机构部门主页等)。经历一段时间后,这些陷阱邮箱捕获到数条针对该单位的鱼叉邮件,按照上述的溯源方法进行监测分析,识别出网空威胁行为体为具有东亚地区背景的APT攻击组织,并进一步获取到该网空威胁行为体的IP地址。
综上,通过构建溯源主体,如此可以利用溯源主体来主动诱导网空威胁行为体对其进行攻击;在防御方触发网空威胁行为体的攻击载荷时,可以使网空威胁行为体获得溯源主体的访问权限,这样就可以继续诱敌深入;当网空威胁行为体获得溯源主体的访问权限后,就可能会触发溯源主体的溯源载荷;在网空威胁行为体触发溯源载荷时,可以利用溯源载荷获取网空威胁行为体的属性信息,以对网空威胁行为体进行溯源。综上,上述技术方案能够解决网空威胁行为体不能及时被溯源的问题。
图2示出根据另一个实施例的网空威胁行为体的溯源方法的流程图。参见图2,该方法包括:
步骤200:构建陷阱邮箱和拟真主体;
步骤202:对陷阱邮箱进行预处理;
步骤204:公开发布预处理后的陷阱邮箱;
步骤206:利用陷阱邮箱接收网空威胁行为体的攻击邮件;
步骤208:利用运行在拟真主体上的陷阱邮箱触发攻击载荷,以使网空威胁行为体获得陷阱邮箱的访问权限或拟真主体的访问权限;并分别执行步骤210、步骤212和步骤214;
步骤210:响应于监测到陷阱邮箱存在异常行为,对由陷阱邮箱向外发送的邮件进行拦截,并在陷阱邮箱的邮件页面显示为已发送状态;并执行步骤216;
步骤212:响应于监测到陷阱邮箱存在异常行为,向陷阱邮箱发送新的溯源载荷;并执行步骤216;
步骤214:响应于监测到拟真主体存在异常行为,向拟真主体发送新的溯源载荷;并执行步骤216;
步骤216:响应于网空威胁行为体触发溯源主体的溯源载荷,利用溯源载荷获取网空威胁行为体的属性信息,以对网空威胁行为体进行溯源。
如图3、图4所示,本发明实施例提供了一种网空威胁行为体的溯源装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供的一种网空威胁行为体的溯源装置所在电子设备的一种硬件架构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常还可以包括其它硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在电子设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。
如图4所示,本实施例提供的一种网空威胁行为体的溯源装置,包括:
构建模块400,用于构建溯源主体;其中,溯源主体具有虚假且可控的溯源载荷;
触发模块402,用于利用溯源主体接收并触发网空威胁行为体的攻击载荷,以使网空威胁行为体获得溯源主体的访问权限;
溯源模块404,用于响应于网空威胁行为体触发溯源主体的溯源载荷,利用溯源载荷获取网空威胁行为体的属性信息,以对网空威胁行为体进行溯源。
在本发明实施例中,构建模块400可用于执行上述方法实施例中的步骤100,触发模块402可用于执行上述方法实施例中的步骤102,溯源模块404可用于执行上述方法实施例中的步骤104。
在本发明的一个实施例中,溯源主体包括陷阱邮箱和拟真主体,陷阱邮箱是基于防御方的身份信息进行构建的,拟真主体包括沙箱或蜜罐。
在本发明的一个实施例中,触发模块402,用于执行如下操作:
利用陷阱邮箱接收网空威胁行为体的攻击邮件;其中,攻击邮件具有攻击载荷;
利用运行在拟真主体上的陷阱邮箱触发攻击载荷,以使网空威胁行为体获得陷阱邮箱的访问权限或拟真主体的访问权限。
如图5所示,在本发明的一个实施例中,上述溯源装置还包括:
预处理模块406,用于对陷阱邮箱进行预处理;
发布模块408,用于公开发布预处理后的陷阱邮箱。
在本发明的一个实施例中,预处理包括如下中的至少一种:
降低陷阱邮箱的访问权限;
开启陷阱邮箱的登陆者IP和地理位置记录功能;
在陷阱邮箱中预存多封具有预设时间跨度的正常邮件。
如图6所示,在本发明的一个实施例中,上述溯源装置还包括:
监测模块410,用于执行如下至少一种操作:
响应于监测到陷阱邮箱存在异常行为,对由陷阱邮箱向外发送的邮件进行拦截,并在陷阱邮箱的邮件页面显示为已发送状态;
响应于监测到陷阱邮箱存在异常行为,向陷阱邮箱发送新的溯源载荷;其中,溯源载荷为陷阱邮件,陷阱邮件的内容具有预设的敏感信息;
响应于监测到拟真主体存在异常行为,向拟真主体发送新的溯源载荷;其中,溯源载荷为陷阱文件,陷阱文件的内容具有预设的敏感信息。
在本发明的一个实施例中,属性信息包括网络信息、主机信息和文件信息,其中:
网络信息包括IP地址、网络账号、WIFI信息;
主机信息包括系统语言、时区位置、进程服务、软件列表;
文件信息包括武器工具、程序源码、日记手册、客户协议。
可以理解的是,本发明实施例示意的结构并不构成对一种网空威胁行为体的溯源装置的具体限定。在本发明的另一些实施例中,一种网空威胁行为体的溯源装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种网空威胁行为体的溯源方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种网空威胁行为体的溯源方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
综上所述,本发明提供了一种网空威胁行为体的溯源方法、装置、电子设备及存储介质,本发明至少具有如下有益效果:
1、在本发明的一个实施例中,通过构建溯源主体,如此可以利用溯源主体来主动诱导网空威胁行为体对其进行攻击;在防御方触发网空威胁行为体的攻击载荷时,可以使网空威胁行为体获得溯源主体的访问权限,这样就可以继续诱敌深入;当网空威胁行为体获得溯源主体的访问权限后,就可能会触发溯源主体的溯源载荷;在网空威胁行为体触发溯源载荷时,可以利用溯源载荷获取网空威胁行为体的属性信息,以对网空威胁行为体进行溯源。综上,上述技术方案能够解决网空威胁行为体不能及时被溯源的问题。
2、在本发明的一个实施例中,溯源主体包括陷阱邮箱和拟真主体,这样可以先利用陷阱邮箱接收网空威胁行为体发送的攻击载荷,然后通过结合拟真主体,与攻击载荷的交互行为来触发攻击载荷(例如账号密码钓鱼攻击、漏洞利用攻击、诱饵文件攻击),从而使网空威胁行为体获得溯源主体的访问权限。
3、在本发明的一个实施例中,通过构建包括陷阱邮箱和拟真主体的溯源主体,其中陷阱邮箱运行在拟真主体上,如此可以方便利用陷阱邮箱作为网空威胁行为体的攻击入口,即利用陷阱邮箱来接收网空威胁行为体的攻击邮件,从而可以便于使网空威胁行为体获得陷阱邮箱的访问权限或拟真主体的访问权限。
4、在本发明的一个实施例中,在构建完陷阱邮箱后,为了使得该陷阱邮箱能够易于对入侵的网空威胁行为体进行反攻击,可以对陷阱邮箱进行预处理;同时,为了方便网空威胁行为体能够发现该陷阱邮箱,可以公开发布预处理后的陷阱邮箱。
5、在本发明的一个实施例中,通过降低陷阱邮箱的访问权限,可以有利于网空威胁行为体获得陷阱邮箱的访问权限;通过开启陷阱邮箱的登陆者IP和地理位置记录功能,可以便于获得网空威胁行为体的相关属性信息;通过在陷阱邮箱中预存多封具有预设时间跨度的正常邮件,可以增加网空威胁行为体对自身攻击能力的信任,从而可以便于进一步诱导网空威胁行为体的攻击。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个主体或者操作与另一个主体或操作区分开来,而不一定要求或者暗示这些主体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种网空威胁行为体的溯源方法,其特征在于,包括:
构建溯源主体;其中,所述溯源主体具有虚假且可控的溯源载荷;
利用所述溯源主体接收并触发网空威胁行为体的攻击载荷,以使所述网空威胁行为体获得所述溯源主体的访问权限;
响应于所述网空威胁行为体触发所述溯源主体的所述溯源载荷,利用所述溯源载荷获取所述网空威胁行为体的属性信息,以对所述网空威胁行为体进行溯源。
2.根据权利要求1所述的方法,其特征在于,所述溯源主体包括陷阱邮箱和拟真主体,所述陷阱邮箱是基于防御方的身份信息进行构建的,所述拟真主体包括沙箱或蜜罐。
3.根据权利要求2所述的方法,其特征在于,所述利用所述溯源主体接收并触发网空威胁行为体的攻击载荷,以使所述网空威胁行为体获得所述溯源主体的访问权限,包括:
利用所述陷阱邮箱接收网空威胁行为体的攻击邮件;其中,所述攻击邮件具有攻击载荷;
利用运行在所述拟真主体上的所述陷阱邮箱触发所述攻击载荷,以使所述网空威胁行为体获得所述陷阱邮箱的访问权限或所述拟真主体的访问权限。
4.根据权利要求3所述的方法,其特征在于,在所述构建溯源主体之后和在所述利用所述陷阱邮箱接收网空威胁行为体的攻击邮件之前,还包括:
对所述陷阱邮箱进行预处理;
公开发布预处理后的所述陷阱邮箱。
5.根据权利要求4所述的方法,其特征在于,所述预处理包括如下中的至少一种:
降低所述陷阱邮箱的访问权限;
开启所述陷阱邮箱的登陆者IP和地理位置记录功能;
在所述陷阱邮箱中预存多封具有预设时间跨度的正常邮件。
6.根据权利要求3所述的方法,其特征在于,在所述利用运行在所述拟真主体上的所述陷阱邮箱触发所述攻击载荷之后和在所述响应于所述网空威胁行为体触发所述溯源主体的所述溯源载荷之前,还包括如下中的至少一个步骤:
响应于监测到所述陷阱邮箱存在异常行为,对由所述陷阱邮箱向外发送的邮件进行拦截,并在所述陷阱邮箱的邮件页面显示为已发送状态;
响应于监测到所述陷阱邮箱存在异常行为,向所述陷阱邮箱发送新的溯源载荷;其中,所述溯源载荷为陷阱邮件,所述陷阱邮件的内容具有预设的敏感信息;
响应于监测到所述拟真主体存在异常行为,向所述拟真主体发送新的溯源载荷;其中,所述溯源载荷为陷阱文件,所述陷阱文件的内容具有预设的敏感信息。
7.根据权利要求1-6中任一项所述的方法,其特征在于,所述属性信息包括网络信息、主机信息和文件信息,其中:
所述网络信息包括IP地址、网络账号、WIFI信息;
所述主机信息包括系统语言、时区位置、进程服务、软件列表;
所述文件信息包括武器工具、程序源码、日记手册、客户协议。
8.一种网空威胁行为体的溯源装置,其特征在于,包括:
构建模块,用于构建溯源主体;其中,所述溯源主体具有虚假且可控的溯源载荷;
触发模块,用于利用所述溯源主体接收并触发网空威胁行为体的攻击载荷,以使所述网空威胁行为体获得所述溯源主体的访问权限;
溯源模块,用于响应于所述网空威胁行为体触发所述溯源主体的所述溯源载荷,利用所述溯源载荷获取所述网空威胁行为体的属性信息,以对所述网空威胁行为体进行溯源。
9.一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111478268.2A CN114143105B (zh) | 2021-12-06 | 2021-12-06 | 网空威胁行为体的溯源方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111478268.2A CN114143105B (zh) | 2021-12-06 | 2021-12-06 | 网空威胁行为体的溯源方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114143105A true CN114143105A (zh) | 2022-03-04 |
CN114143105B CN114143105B (zh) | 2023-12-26 |
Family
ID=80384275
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111478268.2A Active CN114143105B (zh) | 2021-12-06 | 2021-12-06 | 网空威胁行为体的溯源方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114143105B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
CN110855698A (zh) * | 2019-11-19 | 2020-02-28 | 成都知道创宇信息技术有限公司 | 一种终端信息获得方法、装置、服务器及存储介质 |
US20200079530A1 (en) * | 2017-05-16 | 2020-03-12 | Blacknight Holdings, Llc | Mailbox assembly |
CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和系统 |
CN112383546A (zh) * | 2020-11-13 | 2021-02-19 | 腾讯科技(深圳)有限公司 | 一种处理网络攻击行为的方法、相关设备及存储介质 |
CN113014597A (zh) * | 2021-03-17 | 2021-06-22 | 恒安嘉新(北京)科技股份公司 | 蜜罐防御系统 |
-
2021
- 2021-12-06 CN CN202111478268.2A patent/CN114143105B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200079530A1 (en) * | 2017-05-16 | 2020-03-12 | Blacknight Holdings, Llc | Mailbox assembly |
CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
CN110855698A (zh) * | 2019-11-19 | 2020-02-28 | 成都知道创宇信息技术有限公司 | 一种终端信息获得方法、装置、服务器及存储介质 |
CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和系统 |
CN112383546A (zh) * | 2020-11-13 | 2021-02-19 | 腾讯科技(深圳)有限公司 | 一种处理网络攻击行为的方法、相关设备及存储介质 |
CN113014597A (zh) * | 2021-03-17 | 2021-06-22 | 恒安嘉新(北京)科技股份公司 | 蜜罐防御系统 |
Non-Patent Citations (1)
Title |
---|
贾永新;肖爱梅;: "基于陷阱邮箱的蠕虫邮件行为模式识别方法", 计算机应用, no. 08 * |
Also Published As
Publication number | Publication date |
---|---|
CN114143105B (zh) | 2023-12-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10523609B1 (en) | Multi-vector malware detection and analysis | |
US10467411B1 (en) | System and method for generating a malware identifier | |
US10762206B2 (en) | Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security | |
Zhang et al. | An IoT honeynet based on multiport honeypots for capturing IoT attacks | |
Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
US11716348B2 (en) | Malicious script detection | |
EP2106085B1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
US20140215617A1 (en) | System and method for advanced malware analysis | |
US11785044B2 (en) | System and method for detection of malicious interactions in a computer network | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
Grégio et al. | Ontology for malware behavior: A core model proposal | |
US11856011B1 (en) | Multi-vector malware detection data sharing system for improved detection | |
US20210021611A1 (en) | Inline malware detection | |
Bollinger et al. | Crafting the InfoSec playbook: security monitoring and incident response master plan | |
Borah et al. | Malware dataset generation and evaluation | |
CN108345795A (zh) | 用于检测和分类恶意软件的系统和方法 | |
CN114531258B (zh) | 网络攻击行为的处理方法和装置、存储介质及电子设备 | |
Alsmadi | Cyber threat analysis | |
Le et al. | A threat computation model using a Markov Chain and common vulnerability scoring system and its application to cloud security | |
Stringhini | Adversarial behaviours knowledge area | |
CN113709130A (zh) | 基于蜜罐系统的风险识别方法及装置 | |
CN114143105A (zh) | 网空威胁行为体的溯源方法、装置、电子设备及存储介质 | |
CN114298684A (zh) | 电子邮件安全检测方法、装置、电子设备及存储介质 | |
Kaur et al. | Client honeypot based malware program detection embedded into web pages | |
US20170085586A1 (en) | Information processing device, communication history analysis method, and medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |