CN114157454B - 攻击反制方法、装置、计算机设备和存储介质 - Google Patents
攻击反制方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN114157454B CN114157454B CN202111351883.7A CN202111351883A CN114157454B CN 114157454 B CN114157454 B CN 114157454B CN 202111351883 A CN202111351883 A CN 202111351883A CN 114157454 B CN114157454 B CN 114157454B
- Authority
- CN
- China
- Prior art keywords
- attack
- file
- virtual machine
- trojan
- bait
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims abstract description 66
- 230000009545 invasion Effects 0.000 claims abstract description 5
- 238000004590 computer program Methods 0.000 claims description 26
- 230000007123 defense Effects 0.000 claims description 25
- 230000004044 response Effects 0.000 claims description 21
- 230000006399 behavior Effects 0.000 claims description 19
- 238000012544 monitoring process Methods 0.000 claims description 8
- 239000007943 implant Substances 0.000 claims description 7
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000002441 reversible effect Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000006837 decompression Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000001976 improved effect Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000001939 inductive effect Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000002035 prolonged effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000008093 supporting effect Effects 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 229920000433 Lyocell Polymers 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000010367 cloning Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000009365 direct transmission Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 239000003826 tablet Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45504—Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种攻击反制方法、装置、计算机设备和存储介质,涉及信息安全技术领域。攻击反制方法应用于木马攻击防御系统,所述系统包括第一设备和第二设备,所述第一设备上运行有虚拟机,所述方法包括:所述第一设备的所述虚拟机检测到攻击设备的入侵行为时,响应于所述攻击设备的读写请求,向所述攻击设备传输诱饵文件;所述诱饵文件包括免杀木马。所述第二设备在所述攻击设备操作所述诱饵文件的情况下,基于所述免杀木马控制所述攻击设备。能够解决现有技术中硬件成本过高的问题。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种攻击反制方法、装置、计 算机设备和存储介质。
背景技术
随着安全攻防领域的技术不断迭代,企业的关键资产基础设施防护能力也 不断提升,企业防御体系逐渐从被动防御进化到主动防御,进而到攻击反制。
现有技术往往基于蜜罐技术来实现攻击反制,而蜜罐技术是通过摸拟一个 或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。由于蜜罐技术需 要单独的蜜罐主机来支持,存在硬件成本过高的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种攻击反制方法、装置、计算 机设备和存储介质。能够解决现有技术中硬件成本过高的问题。
一种攻击反制方法,应用于木马攻击防御系统,所述系统包括第一设备和 第二设备,所述第一设备上运行有虚拟机,所述方法包括:
所述第一设备的所述虚拟机检测到攻击设备的入侵行为时,响应于所述攻 击设备的读写请求,向所述攻击设备传输诱饵文件;所述诱饵文件包括免杀木 马。
所述第二设备在所述攻击设备操作所述诱饵文件的情况下,基于所述免杀 木马控制所述攻击设备。
在一种可能实现方式中,所述第一设备的所述虚拟机检测到攻击设备的入 侵行为时,响应于所述攻击设备的读写请求,向所述攻击设备传输诱饵文件之 前,还包括:
所述第一设备的所述虚拟机接收第一用户操作,响应于所述第一用户操作 运行来自所述攻击设备的木马文件,以便所述攻击设备控制所述虚拟机。
在一种可能实现方式中,所述第一用户操作包括在所述第一设备的所述虚 拟机中对目标邮箱的登录操作;所述目标邮箱包括钓鱼邮件,所述钓鱼邮件包 括所述木马文件。
在一种可能实现方式中,所述方法还包括:
所述第一设备接收来自服务器的提示信息,并展示所述提示信息;所述提 示信息用于提示用户在所述虚拟机上操作所述钓鱼邮件。
在一种可能实现方式中,所述诱饵文件包括所述攻击设备的待访问数据。
在一种可能实现方式中,所述第二设备在所述攻击设备操作所述诱饵文件 的情况下,基于所述免杀木马控制所述攻击设备,包括:
所述第二设备在所述攻击设备操作所述诱饵文件的情况下,通过监听端口 接收来自所述攻击设备的连接请求。
所述第二设备根据所述连接请求与所述攻击设备建立连接,以控制所述攻 击设备。
在一种可能实现方式中,所述第一设备的所述虚拟机检测到攻击设备的入 侵行为时,响应于所述攻击设备的读写请求,向所述攻击设备传输诱饵文件之 前,还包括:
所述第二设备生成所述诱饵文件,并将所述诱饵文件传输至所述第一设备。
所述第一设备将所述诱饵文件植入所述虚拟机中。
一种木马攻击防御系统,所述系统包括第一设备和第二设备,所述第一设 备上运行有虚拟机;
所述第一设备的所述虚拟机,用于检测到攻击设备的入侵行为时,响应于 所述攻击设备的读写请求,向所述攻击设备传输诱饵文件;所述诱饵文件包括 免杀木马;
所述第二设备,用于在所述攻击设备操作所述诱饵文件的情况下,基于所 述免杀木马控制所述攻击设备。
可选的,所述第一设备的所述虚拟机,还用于接收第一用户操作,响应于 所述第一用户操作运行来自所述攻击设备的木马文件,以便所述攻击设备控制 所述虚拟机。
在一种可能实现方式中,所述第一用户操作包括在所述第一设备的所述虚 拟机中对目标邮箱的登录操作;所述目标邮箱包括钓鱼邮件,所述钓鱼邮件包 括所述木马文件。
在一种可能实现方式中,所述第一设备,还用于接收来自服务器的提示信 息,并展示所述提示信息;所述提示信息用于提示用户在所述虚拟机上操作所 述钓鱼邮件。
在一种可能实现方式中,所述诱饵文件包括所述攻击设备的待访问数据。
在一种可能实现方式中,所述第二设备,具体用于在所述攻击设备操作所 述诱饵文件的情况下,通过监听端口接收来自所述攻击设备的连接请求。
所述第二设备,还用于所述根据所述连接请求与所述攻击设备建立连接, 以控制所述攻击设备。
在一种可能实现方式中,所述第二设备,还用于生成所述诱饵文件,并将 所述诱饵文件传输至所述第一设备。
所述第一设备,用于将所述第二设备传输的所述诱饵文件植入所述虚拟机 中。
一种计算机设备,该计算机设备可以是第一设备,也可以是第二设备,该 计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器 执行所述计算机程序时实现以下第一设备的步骤或者第二设备的步骤:
所述第一设备的所述虚拟机检测到攻击设备的入侵行为时,响应于所述攻 击设备的读写请求,向所述攻击设备传输诱饵文件;所述诱饵文件包括免杀木 马。
所述第二设备在所述攻击设备操作所述诱饵文件的情况下,基于所述免杀 木马控制所述攻击设备。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处 理器执行时实现以下第一设备的步骤或者第二设备的步骤:
所述第一设备的所述虚拟机检测到攻击设备的入侵行为时,响应于所述攻 击设备的读写请求,向所述攻击设备传输诱饵文件;所述诱饵文件包括免杀木 马。
所述第二设备在所述攻击设备操作所述诱饵文件的情况下,基于所述免杀 木马控制所述攻击设备。
上述攻击反制方法、计算节点、系统、计算机设备和存储介质,通过在第 一设备中设置的虚拟机,并在该虚拟机中配置已添加了免杀木马的诱饵文件来 诱惑攻击方对其进行获取。当攻击方需要读写诱饵文件时,会通过攻击设备向 第一设备的虚拟机传输对诱饵文件的读写请求,第一设备的虚拟机响应该读写 请求,将诱饵文件传输至攻击设备。并且在攻击设备操作诱饵文件时,将免杀木马反向植入攻击设备中,进而达到通过第二设备反向控制该攻击设备的效果。 这样,无需单独设置一个诱惑设备来诱惑攻击设备,从而降低攻击反制的硬件 成本。并且,通过另一设备实现对攻击设备的反向控制,能够有效延长攻击者发现已被反向控制的时间,以便从攻击设备中获取更多的有效信息。
附图说明
图1为一个实施例中木马攻击防御系统的结构示意图;
图2为一个实施例中攻击反制方法的流程示意图;
图3为一个实施例中攻击反制方法的流程示意图;
图4为一个实施例中攻击反制方法的流程示意图;
图5为一个实施例中计算机设备的结构示意图;
元件标号说明:
攻击设备:1;第一设备:10;第二设备:20;服务器:30;虚拟机:100; 木马攻击防御系统50。
具体实施方式
下面将结合附图,对本申请一些实施例中的技术方案进行清楚、完整地描 述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。 基于本申请所提供的实施例,本领域普通技术人员所获得的所有其他实施例, 都属于本申请保护的范围。
除非上下文另有要求,否则,在整个说明书和权利要求书中,术语“包括(comprise)”及其其他形式例如第三人称单数形式“包括(comprises)”和现在 分词形式“包括(comprising)”被解释为开放、包含的意思,即为“包含,但 不限于”。在说明书的描述中,术语“一个实施例(one embodiment)”、“一些实 施例(some embodiments)”、“示例性实施例(exemplary embodiments)”、“示例(example)”、“特定示例(specific example)”或“一些示例(some examples)” 等旨在表明与该实施例或示例相关的特定特征、结构、材料或特性包括在本申 请的至少一个实施例或示例中。上述术语的示意性表示不一定是指同一实施例或示例。此外,所述的特定特征、结构、材料或特点可以以任何适当方式包括 在任何一个或多个实施例或示例中。
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示 相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第 二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请实施例 的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在描述一些实施例时,可能使用了“耦接”和“连接”及其衍伸的表达。 例如,描述一些实施例时可能使用了术语“连接”以表明两个或两个以上部件 彼此间有直接物理接触或电接触。又如,描述一些实施例时可能使用了术语“耦 接”以表明两个或两个以上部件有直接物理接触或电接触。然而,术语“耦接” 或“通信耦合(communicatively coupled)”也可能指两个或两个以上部件彼此间 并无直接接触,但仍彼此协作或相互作用。这里所公开的实施例并不必然限制于本文内容。
“A、B和C中的至少一个”与“A、B或C中的至少一个”具有相同含义, 均包括以下A、B和C的组合:仅A,仅B,仅C,A和B的组合,A和C的 组合,B和C的组合,及A、B和C的组合。
如本文中所使用,根据上下文,术语“如果”任选地被解释为意思是“当…… 时”或“在……时”或“响应于确定”或“响应于检测到”。类似地,根据上下 文,短语“如果确定……”或“如果检测到[所陈述的条件或事件]”任选地被解 释为是指“在确定……时”或“响应于确定……”或“在检测到[所陈述的条件 或事件]时”或“响应于检测到[所陈述的条件或事件]”。
本文中“适用于”或“被配置为”的使用意味着开放和包容性的语言,其 不排除适用于或被配置为执行额外任务或步骤的设备。
另外,“基于”或“根据”的使用意味着开放和包容性,因为“基于”或“根 据”一个或多个所述条件或值的过程、步骤、计算或其他动作在实践中可以基 于额外条件或超出所述的值。
随着安全攻防领域的技术不断迭代,企业的关键资产基础设施防护能力也 不断提升,企业防御体系逐渐从被动防御进化到主动防御,进而到进攻反制。 网络安全的本质是对抗,对抗的本质是攻防两端能力的较量,对抗的内核是人, 而网络终端、网络设备、介质以及各种工具和平台仅仅是作为辅助手段而存在。 防守方在做好企业资产防护的同时,不断探索反制溯源的方法,做到进攻反制,先发制人,以此提高企业网络安全能力。
在攻防对抗中,基于人性的弱点,社会工程学因成本低且可操作性强受到 广泛推广,其中钓鱼攻击成为最受喜爱的社工手段,包括钓鱼邮件、钓鱼WIFI、 钓鱼二维码、鱼叉式网络钓鱼、U盘钓鱼等。例如,在真实钓鱼邮件攻击中,面 对攻击者“大面积撒网,重点捞鱼”的攻击布局时,防守方常用的防御手段是 通过邮件网关和邮件沙箱有效阻止已识别的钓鱼邮件,并对其中部分恶意钓鱼 内容进行反编译、逆向分析等溯源操作,但是因为攻击者可能会通过IP欺骗、 域前置隐藏等手段躲避被溯源,使得对攻击者的溯源分析工作难易实现。因此 企业防御体系逐渐从被动防御进化到主动防御,进而到攻击反制。现有技术往往基于蜜罐技术来实现反制,而蜜罐技术是通过摸拟一个或多个易受攻击的主 机,给攻击者提供一个容易攻击的目标。由于蜜罐技术需要单独的蜜罐主机来 支持,存在硬件成本过高的问题。
针对上述技术问题,本申请实施例提供一种攻击反制方法,该方法的目的 是为了在实际网络攻击中,让防守方更高效的做好溯源反制工作。通过精心设 计的虚拟机100让攻击方相信其钓鱼成功,配合攻击方进行当前攻击,使攻击 方控制为其尽心设计的虚拟机100后,通过诱导其操作已植入木马的诱导文件, 从而进行反向钓鱼。
为了便于使用本实施例,参见图1所示的木马攻击防御系统50的架构,在 该系统中,包括第一设备10和第二设备20。第一设备10中运行有虚拟机100; 该虚拟机100可以模拟用户真实的操作环境,通过在第一设备10中运行虚拟机 100能够在攻击设备1控制第一设备10时,为攻击设备1展示虚拟机100的操作环境。
在一种实现方式中,攻击设备1是针对第一设备10的攻击,通过在第一设 备10中设置虚拟机100,诱惑攻击设备1对虚拟机100中已添加了免杀木马的 诱饵文件进行本地操作,实现第二设备20对攻击设备1的反向控制。
通常情况下,控制设备10和第二设备20均可以为终端设备;该终端设备 可以是一种具有无线收发功能的设备。该终端设备可以有不同的名称,例如用 户设备(userequipment,UE)、接入设备、终端单元、终端站、移动站、移动 台、远方站、远程终端、移动设备、无线通信设备、终端代理或终端装置等。 终端设备可以被部署在陆地上,包括室内或室外、手持或车载;也可以被部署 在水面上(如轮船等);还可以被部署在空中(例如飞机、气球和卫星上等)。 终端设备包括具有无线通信功能的手持式设备、车载设备、可穿戴设备或者计 算设备。例如,终端设备可以是手机(mobile phone)、平板电脑或带无线收发 功能的电脑。终端设备还可以是虚拟现实(virtual reality,VR)设备、增强现实 (augmentedreality,AR)设备、工业控制中的无线终端、无人驾驶中的无线终 端、远程医疗中的无线终端、智能电网中的无线终端、智慧城市(smart city) 中的无线终端、智慧家庭(smarthome)中的无线终端等。本申请实施例中,用 于实现第一设备10的功能的装置可以是第一设备10,也可以是能够支持第一设 备10实现该功能的装置,例如芯片系统等。本申请中,芯片系统可以有芯片构成,也可以包括芯片和其他分立器件。第二设备20同理,此处不再赘述。
进一步的,木马攻击防御系统50还包括服务器30,服务器30可以用独立 的服务器30或者是多个服务器30组成的服务器30集群来实现。
结合上述图1,对本申请实施例提供的攻击反制方法进行详细介绍,参照图 2,本申请实施例提供的攻击反制方法应用于木马攻击防御系统50,该木马攻击 防御系统50包括第一设备10和第二设备20,第一设备10上运行有虚拟机100,该方法具体包括如下步骤。
S21、第一设备10的虚拟机100检测到攻击设备1的入侵行为时,响应于 攻击设备1的读写请求,向攻击设备1传输诱饵文件;诱饵文件包括免杀木马。
在一种实现方式中,第一设备10的虚拟机100的操作环境能够模拟第一设 备10真实的操作环境,例如,在第一设备10的虚拟机100的操作环境中显示 包括我的电脑、回收站、文件系统、磁盘分配、系统进程、vmtools、网卡特征 等内容,以便让攻击者以为远程控制的是第一设备10真实的操作环境。因此, 当攻击设备1通过攻击获取了第一设备10的操作权限后,在攻击设备1中展示 第一设备10的操作环境实际上第一设备10的虚拟机100的操作环境。
可选的,在第一设备10的虚拟机100中可以安装监控工具来检测攻击设备 1的入侵行为,比如通过虚拟机100中安装的火绒剑来监控出入的流量以及日志, 来确定虚拟机100上包括进程、启动项、服务、驱动、网络等指标的变化情况, 当进程、启动项、服务、驱动、网络等指标对应的流量以及日志发生变化的情 况下,确定攻击设备1对第一设备10实施了入侵行为。
S22、第二设备20在攻击设备1操作诱饵文件的情况下,基于免杀木马控 制攻击设备1。
在实际应用中,攻击设备1操作诱饵文件具体可以包括:对诱饵文件的解 压操作或打开操作等。
上述攻击反制方法,通过在第一设备10中设置的虚拟机100,并在该虚拟 机100中配置已添加了免杀木马的诱饵文件来诱惑攻击方对其进行获取。当攻 击方需要读写诱饵文件时,会通过攻击设备1向第一设备10的虚拟机100传输 对诱饵文件的读写请求,第一设备10的虚拟机100响应该读写请求,将诱饵文 件传输至攻击设备1。并且在攻击设备1操作诱饵文件时,将免杀木马反向植入 攻击设备1中,进而达到通过第二设备20反向控制该攻击设备1的效果。这样, 无需单独设置一个诱惑设备来诱惑攻击设备1,从而降低攻击反制的硬件成本。 并且,通过另一设备实现对攻击设备1的反向控制,能够有效延长攻击者发现已被反向控制的时间,以便从攻击设备1中获取更多的有效信息。
在一个实施例中,S21之前,还包括:第一设备10的虚拟机100接收第一 用户操作,响应于第一用户操作运行来自攻击设备1的木马文件,以便攻击设 备1控制虚拟机100。
在一种实现方式中,第一用户操作包括在第一设备10的虚拟机100中对目 标邮箱的登录操作;目标邮箱包括钓鱼邮件,钓鱼邮件包括木马文件。
具体的,钓鱼邮件是指钓鱼攻击者通过攻击设备1伪造发件人地址,向收 件人发送带有欺骗性内容的电子邮件,例如,向收件人发送声称来自银行或者 其他知名机构的欺骗性垃圾邮件,诱使收件人访问伪造的网页(Web)站点,或 者,通过回复邮件的方式获取收件人的敏感信息。最常见的钓鱼邮件大致分为 三类:仿冒钓鱼邮件、链接钓鱼邮件和附件钓鱼邮件,其中,仿冒钓鱼邮件为: 攻击者通过自己构建的发件服务器30,实现隐藏真实发件人信息,并伪装成任 意发件人,而这种类型的钓鱼邮件是目前邮件用户困扰最大,识别难度最高,也是信息安全防治最无力的。链接钓鱼邮件为:在正常邮件内嵌入钓鱼链接(如超链接或直接链接),并在邮件内或在打开的链接页面中要求用户输入账户信息 以查看订单或样本。附件钓鱼邮件为:通过在邮件附件中植入病毒,而附件的 形式有多种,如,Html网页附件,Exe/Scr附件,Doc附件,Excel附件,PDF 附件等等,其中,Exe/Scr附件的风险程度最高,一般是病毒执行程序。
进一步的,第一用户操作还可以包括用户对木马文件的打开操作或者解压 操作。当第一设备10为办公电脑,木马文件为未进行压缩的文档时,对木马文 件的打开操作可以是用户通过鼠标左键对木马文件的单击或双击等;木马文件 为压缩的文档时,对木马文件的解压操作可以是通过鼠标右键为木马文件进行 的解压操作。
本实现方式,当攻击者的攻击方式是向用户的邮箱中发送钓鱼邮件,通过 在第一设备10的虚拟机100中对目标邮箱进行登录,进而实现在虚拟机100中 对木马文件的操作,从而与用户真实的操作环境进行隔离。
在另一种实现方式中,当木马文件来自推送的广告页面或通知消息时,第 一用户操作包括在第一设备10的虚拟机100中对广告页面或通知消息的详情的 打开操作。
本实施例中,用户通过在第一设备10的虚拟机100中进行第一用户操作, 使得来自攻击设备1的木马文件能够在第一设备10的虚拟机100中运行,以便 攻击设备1能够控制为其构造的虚拟机100,在攻击设备1中展示虚拟机100的 操作环境,从而达到诱导攻击者的目的。
在一个实施例中,本申请实施例所提供的攻击反制方法还包括:第一设备 10接收来自服务器30的提示信息,并展示提示信息;提示信息用于提示用户在 虚拟机100上操作钓鱼邮件。
在一种可能实现方式中,第一设备10接收来自服务器30的提示信息,并 展示提示信息;提示信息用于提示用户在虚拟机100上操作推送信息,该推送 信息中包含木马文件。
通常情况下,比如在办公场所中,一般是在第一设备10真实的操作环境中 登录目标邮箱,服务器30会向该目标邮箱发送关于钓鱼邮件的提示信息,并展 示提示信息。当用户看到该提示信息的情况下,打开虚拟机100的操作环境, 在虚拟机100中登录目标邮箱并操作钓鱼邮件。
在一种实现方式中,服务器30中安装有安全监控系统,该安全监控系统可以是SIEM(security information andevent management,安全信息和事件管理) 系统,可以接收安全设备收集到的攻击数据,通过阈值等规则判断采取告警、 拦截等应对措施。安全设备可以是防火墙、入侵检测系统(intrusion detection system,IDS)等,用于捕获待网络攻击数据后,发送给安全监控系统。网络攻 击数据可以括待反制目标信息和攻击类型,其中待反制目标信息可以包括待反 制目标的物理信息以及攻击信息,例如待反制目标的地址、相关链接等,攻击 类型可以包括端口攻击、钓鱼攻击、账户劫持、DNS劫持等。安全监控系统可 以从安全设备获取待反制目标信息和攻击类型,并生成携带有待反制目标信息 和攻击类型的告警指令(即提示信息),将告警指令发送给第一设备10。
可选的,第一设备10发现有来自用户真实网络的攻击行为,除实时通报外, 还可将已发生的攻击行为通过技术手段转移至与用户真实的操作环境隔离的虚 拟机100中,吸引攻击方对虚拟的用户网络进行下一步攻击,拖延攻击者的动作,从而给用户争取响应时间,及时对该攻击事件进行处理,最终将用户真实 的操作环境从攻击设备1的攻击链路上脱离,在攻击方难以察觉的情况下用虚 拟机100的操作环境替代用户真实的操作环境。
本实施例中,服务器30向第一设备10发送关于钓鱼邮件的提示信息,使 得第一设备10能够将该提示信息进行展示,以便用户在使用第一设备10能够 查看该提示信息。
在一个实施例中,诱饵文件包括攻击设备1的待访问数据。
可选的,诱饵文件的文件名具有诱惑性,以便通过文件名即可诱惑攻击方 通过攻击设备1向第一设备10的虚拟机100发送读写请求。示例性的,文件名 中可以包括密码、password、IP、用户名、username中任一变形或任一变形的 组合,或用于表示与身份验证相关的具有相同含义的信息。
本实施例中,在诱饵文件中添加攻击设备1的待访问数据,能够进一步吸 引攻击设备1将其转移至本地进行操作,从而实现攻击反制的目的。
在一个实施例中,参照图3,S22具体包括:
S221、第二设备20在攻击设备1操作诱饵文件的情况下,通过监听端口接 收来自攻击设备1的连接请求。
具体的,通过第二设备20中的远控工具监听攻击设备1操作诱饵文件。
在一种可能的实现方式中,该远控工具可以是Cobalt Strike,Cobalt Strike 一款以Metasploit为基础的GUI框架式渗透测试工具,集成了端口转发、服务 扫描,自动化溢出,多模式端口监听,exe、powershell木马生成等。还可以进行钓鱼攻击包括:网站克隆、目标信息获取、java执行、浏览器攻击等。使用 方法常见有生成shellcode,在远程主机上使用加载器,或powershell等进行加载, 进而达到远程控制主机的方式。
S222、第二设备20根据连接请求与攻击设备1建立连接,以控制攻击设备 1。
可选的,第二设备20可以根据在攻击设备1操作诱饵文件时,通过免杀木 马获取攻击设备1的控制权限,对该攻击设备1执行预先配置的一种或者多种 控制措施,例如控制其键盘、鼠标或者针对屏幕进行录屏等,并将该结果发送 给第二设备20。
本实施例中,通过第二设备20在攻击设备1操作诱饵文件的情况下,通过 监听端口接收来自攻击设备1的连接请求,以便根据连接请求与攻击设备1实 现连接,采用这种被动连接攻击设备1的方式,能够在与攻击设备1连接的过 程中,增加第二设备20的隐蔽性,避免被攻击设备1的发现第二设备20的攻 击行为。
在一个实施例中,参照图4,S21之前还包括:
S11、第二设备20生成诱饵文件,并将诱饵文件传输至第一设备10。
示例性的,诱饵文件中的免杀木马可以是远控木马,远控木马类型包括: 企业内部工作类型、企业的人员安排类型以及其他类型等。具体的:企业内部 工作类型可以包括:个人各系统登录密码_每个月换.xlsx、各个安全防护设备的账号密码.doc、威胁感知平台项目采购资料.zip、全行网络拓扑图.pdf、行内采购 供应商合集.xlsx、行内各机构各部室各产品线负责人联系方式.xlsx、全行资产统 计结果汇总.zip等。企业的人员安排类型可以包括:其他机构部门对接联系人信 息.rar、组织架构图.pdf等其他类型可以包括:Notepad_setup.zip、行内VPN.exe、 内网OA.exe、cmd.exe等。
可选的,第一设备10可以包括但不限于:与第二设备20建立有线连接或 无线连接(例如蓝牙连接、WLAN连接等)的设备,还可以通过但不限于采用 能够传输文件的第三方应用,例如彩信、微信、腾讯QQ以及邮箱等。
在一种实现方式中,第一设备10可以与第二设备20建立网络连接,将第 二设备20的诱饵文件存储到第一终端中指定的文件夹。
例如,第一设备10可以设置一个监听端口,监听第二设备20的文件传输 请求。当接收到来自第二设备20的文件传输请求时,可以响应请求与第二设备 20建立连接。其中,文件传输可以是基于TCP/IP协议的点对点文件传输。根 据本申请的一个实施例,第一设备10可以基于TCP/IP协议,与第二设备20建 立网络连接。其中,TCP/IP网络协议栈分为应用层、传输层、网络层和链路层。每层协议都要对数据进行封装。第一设备10和第二设备20成功建立连接后, 就可以将文件封装打包给传输层。传输层协议主要包括TCP和UDP,TCP协议适用于对数据可靠性要求较高的情况,UDP适用于对数据可靠性要求不高对速度要求高的情况。传输层将封装后的文件传给网络层,由网络层的IP协议封装 成IP数据报文件,然后通过网络、路由器转发等操作传输给第一设备10,第一 设备10将接收到诱饵文件后将其放置在虚拟机100中。
S12、第一设备10将诱饵文件植入虚拟机100中。
在一种实现方式中,第二设备20将诱饵文件直接传输至第一设备10的虚 拟机100中。实现直接传输的方式包括:方式一,可以在虚拟机100中安装支 持FTP、HTTP协议的第3方软件,通过第3方软件提供出的访问客户端,将诱 饵文件传输到该虚拟机100中。方式二,对于虚拟机100是Linux系统,可以采 用类似XShell这种软件,通过SSH协议将文件上传到虚拟机100中;对于虚拟 机100是windows系统,可以通过文件共享协议SMB/CIFS或者通过windows 的RDB协议远程桌面来拷贝文件。方式三,在虚拟机100中写一个小程序,该 程序对外提供HTTP方式的访问接口,该程序实现接收外面的文件并转化成文 件流写入虚拟机100的本地磁盘,这种方式对于客户虚拟机100的侵入性较高。
本实现方式中,通过第二设备20生成诱饵文件,并将该诱饵文件传输至第 一设备10的虚拟机100中,以便攻击设备1在本地操作诱饵文件时,第二设备 20能够实现对攻击设备1的控制。
应该理解的是,虽然图2-4的流程图中的各个步骤按照箭头的指示依次显示, 但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的 说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执 行。而且,图2-4中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步 骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其 它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,结合图1,提供了一种木马攻击防御系统50,系统包括 第一设备10和第二设备20,第一设备10上运行有虚拟机100,具体的,
第一设备10的虚拟机100,用于检测到攻击设备1的入侵行为时,响应于 攻击设备1的读写请求,向攻击设备1传输诱饵文件;诱饵文件包括免杀木马;
第二设备20,用于在攻击设备1操作诱饵文件的情况下,基于免杀木马控 制攻击设备1。
可选的,第一设备10的虚拟机100,还用于接收第一用户操作,响应于第 一用户操作运行来自攻击设备1的木马文件,以便攻击设备1控制虚拟机100。
可选的,第一用户操作包括在第一设备10的虚拟机100中对目标邮箱的登 录操作;目标邮箱包括钓鱼邮件,钓鱼邮件包括木马文件。
可选的,第一设备10,还用于接收来自服务器30的提示信息,并展示提示 信息;提示信息用于提示用户在虚拟机100上操作钓鱼邮件。
可选的,诱饵文件包括攻击设备1的待访问数据。
可选的,第二设备20,具体用于在攻击设备1操作诱饵文件的情况下,通 过监听端口接收来自攻击设备1的连接请求。
第二设备20,还用于根据连接请求与攻击设备1建立连接,以控制攻击设 备1。
可选的,第二设备20,还用于生成诱饵文件,并将诱饵文件传输至第一设 备10。
第一设备10,用于将第二设备20传输的诱饵文件植入虚拟机100中。
关于木马攻击防御系统50的具体限定可以参见上文中对于攻击反制方法的 限定,在此不再赘述。上述木马攻击防御系统50中的各个模块可全部或部分通 过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以 便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器, 其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、 存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。 该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介 质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中 的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储初 始数据,计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种攻击反制方法中第一设备10的执行步骤或者 第二设备20的执行步骤。该计算机设备的显示屏可以是液晶显示屏或者电子墨 水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是 计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控 板或鼠标等。
本领域技术人员可以理解,图5示出的结构,仅仅是与本申请方案相关的 部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定, 具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件, 或者具有不同的部件布置。
在一个实施例中,提供一种计算机设备,包括存储器和处理器,存储器存 储有计算机程序,该计算机设备可以是第一设备10,也可以是第二设备20,当 计算机设备为第一设备10时,处理器执行计算机程序时实现以下步骤:
所述第一设备10的所述虚拟机100检测到攻击设备1的入侵行为时,响应 于所述攻击设备1的读写请求,向所述攻击设备1传输诱饵文件;所述诱饵文 件包括免杀木马。
当计算机设备为第二设备20时,处理器执行计算机程序时实现以下步骤:
所述第二设备20在所述攻击设备1操作所述诱饵文件的情况下,基于所述 免杀木马控制所述攻击设备1。
在一个实施例中,当计算机设备为第一设备10时,处理器执行计算机程序 时还实现以下步骤:
所述第一设备10的所述虚拟机100接收第一用户操作,响应于所述第一用 户操作运行来自所述攻击设备1的木马文件,以便所述攻击设备1控制所述虚 拟机100。
在一个实施例中,当计算机设备为第一设备10时,处理器执行计算机程序 时还实现以下步骤:
所述第一设备10接收来自服务器30的提示信息,并展示所述提示信息; 所述提示信息用于提示用户在所述虚拟机100上操作所述钓鱼邮件。
在一个实施例中,当计算机设备为第二设备20时,处理器执行计算机程序 时还实现以下步骤:
所述第二设备20在所述攻击设备1操作所述诱饵文件的情况下,通过监听 端口接收来自所述攻击设备1的连接请求。
所述第二设备20根据所述连接请求与所述攻击设备1建立连接,以控制所 述攻击设备1。
在一个实施例中,当计算机设备为第二设备20时,处理器执行计算机程序 时还实现以下步骤:
所述第二设备20生成所述诱饵文件,并将所述诱饵文件传输至所述第一设 备10。
当计算机设备为第一设备10时,处理器执行计算机程序时还实现以下步骤:
所述第一设备10将所述诱饵文件植入所述虚拟机100中。
在一个实施例中,提供一种计算机可读存储介质,其上存储有计算机程序, 计算机程序被处理器执行时实现以下第一设备10的方法步骤:
所述第一设备10的所述虚拟机100检测到攻击设备1的入侵行为时,响应 于所述攻击设备1的读写请求,向所述攻击设备1传输诱饵文件;所述诱饵文 件包括免杀木马。
计算机程序被处理器执行时实现以下第二设备20的方法步骤:
所述第二设备20在所述攻击设备1操作所述诱饵文件的情况下,基于所述 免杀木马控制所述攻击设备1。
在一个实施例中,计算机程序被处理器执行时还实现以下第一设备10的方 法步骤:
所述第一设备10的所述虚拟机100接收第一用户操作,响应于所述第一用 户操作运行来自所述攻击设备1的木马文件,以便所述攻击设备1控制所述虚 拟机100。
在一个实施例中,计算机程序被处理器执行时还实现以下第一设备10的方 步骤:
所述第一设备10接收来自服务器30的提示信息,并展示所述提示信息; 所述提示信息用于提示用户在所述虚拟机100上操作所述钓鱼邮件。
在一个实施例中,计算机程序被处理器执行时还实现以下第二设备20的方 步骤:
所述第二设备20在所述攻击设备1操作所述诱饵文件的情况下,通过监听 端口接收来自所述攻击设备1的连接请求。
所述第二设备20根据所述连接请求与所述攻击设备1建立连接,以控制所 述攻击设备1。
在一个实施例中,计算机程序被处理器执行时还实现以下第二设备20的方 步骤:
所述第二设备20生成所述诱饵文件,并将所述诱饵文件传输至所述第一设 备10。
计算机程序被处理器执行时还实现以下第一设备10的方步骤:
所述第一设备10将所述诱饵文件植入所述虚拟机100中。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程, 是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于 一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述 各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、 存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁 带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM) 或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述 实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特 征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细, 但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的 普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改 进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权 利要求为准。
Claims (10)
1.一种攻击反制方法,其特征在于,应用于木马攻击防御系统,所述系统包括第一设备和第二设备,所述第一设备上运行有虚拟机,所述方法包括:
所述第一设备的所述虚拟机检测到攻击设备的入侵行为时,响应于所述攻击设备的读写请求,向所述攻击设备传输诱饵文件;所述诱饵文件包括免杀木马;
所述第二设备在所述攻击设备操作所述诱饵文件的情况下,通过监听端口接收来自所述攻击设备的连接请求;所述第二设备根据所述连接请求与所述攻击设备建立连接,以基于所述免杀木马控制所述攻击设备。
2.根据权利要求1所述的攻击反制方法,其特征在于,所述第一设备的所述虚拟机检测到攻击设备的入侵行为时,响应于所述攻击设备的读写请求,向所述攻击设备传输诱饵文件之前,还包括:
所述第一设备的所述虚拟机接收第一用户操作,响应于所述第一用户操作运行来自所述攻击设备的木马文件,以便所述攻击设备控制所述虚拟机。
3.根据权利要求2所述的攻击反制方法,其特征在于,所述第一用户操作包括在所述第一设备的所述虚拟机中对目标邮箱的登录操作;所述目标邮箱包括钓鱼邮件,所述钓鱼邮件包括所述木马文件。
4.根据权利要求3所述的攻击反制方法,其特征在于,所述方法还包括:
所述第一设备接收来自服务器的提示信息,并展示所述提示信息;所述提示信息用于提示用户在所述虚拟机上操作所述钓鱼邮件。
5.根据权利要求1-4任一项所述的攻击反制方法,其特征在于,所述诱饵文件包括所述攻击设备的待访问数据。
6.根据权利要求2所述的攻击反制方法,其特征在于,所述第一用户操作包括对所述诱饵文件的打开操作或者解压操作。
7.根据权利要求1-4任一项所述的攻击反制方法,其特征在于,所述第一设备的所述虚拟机检测到攻击设备的入侵行为时,响应于所述攻击设备的读写请求,向所述攻击设备传输诱饵文件之前,还包括:
所述第二设备生成所述诱饵文件,并将所述诱饵文件传输至所述第一设备;
所述第一设备将所述诱饵文件植入所述虚拟机中。
8.一种木马攻击防御系统,其特征在于,所述系统包括第一设备和第二设备,所述第一设备上运行有虚拟机;
所述第一设备的所述虚拟机,用于检测到攻击设备的入侵行为时,响应于所述攻击设备的读写请求,向所述攻击设备传输诱饵文件;所述诱饵文件包括免杀木马;
所述第二设备,用于在所述攻击设备操作所述诱饵文件的情况下,通过监听端口接收来自所述攻击设备的连接请求;所述第二设备根据所述连接请求与所述攻击设备建立连接,以基于所述免杀木马控制所述攻击设备。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-7任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111351883.7A CN114157454B (zh) | 2021-11-16 | 2021-11-16 | 攻击反制方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111351883.7A CN114157454B (zh) | 2021-11-16 | 2021-11-16 | 攻击反制方法、装置、计算机设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114157454A CN114157454A (zh) | 2022-03-08 |
CN114157454B true CN114157454B (zh) | 2024-04-02 |
Family
ID=80456421
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111351883.7A Active CN114157454B (zh) | 2021-11-16 | 2021-11-16 | 攻击反制方法、装置、计算机设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114157454B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115659320B (zh) * | 2022-12-28 | 2023-04-21 | 北京微步在线科技有限公司 | 用于对客户端进行预设操作的方法、系统、装置及介质 |
CN116668063B (zh) * | 2023-04-11 | 2024-01-30 | 应急管理部大数据中心 | 基于中间件进程植入的网络攻击反制方法及软件系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108540441A (zh) * | 2018-02-07 | 2018-09-14 | 广州锦行网络科技有限公司 | 一种基于真实性虚拟网络的主动防御系统及方法 |
CN110071929A (zh) * | 2019-04-28 | 2019-07-30 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
CN110099040A (zh) * | 2019-03-01 | 2019-08-06 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
CN112134868A (zh) * | 2020-09-16 | 2020-12-25 | 广州锦行网络科技有限公司 | 一种基于rdp磁盘映射的攻击反制方法及系统 |
CN112242974A (zh) * | 2019-07-16 | 2021-01-19 | 中国移动通信集团浙江有限公司 | 基于行为的攻击检测方法、装置、计算设备及存储介质 |
CN112600822A (zh) * | 2020-12-09 | 2021-04-02 | 国网四川省电力公司信息通信公司 | 一种基于自动化引流工具的网络安全系统及方法 |
-
2021
- 2021-11-16 CN CN202111351883.7A patent/CN114157454B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108540441A (zh) * | 2018-02-07 | 2018-09-14 | 广州锦行网络科技有限公司 | 一种基于真实性虚拟网络的主动防御系统及方法 |
CN110099040A (zh) * | 2019-03-01 | 2019-08-06 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
CN110071929A (zh) * | 2019-04-28 | 2019-07-30 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
CN112242974A (zh) * | 2019-07-16 | 2021-01-19 | 中国移动通信集团浙江有限公司 | 基于行为的攻击检测方法、装置、计算设备及存储介质 |
CN112134868A (zh) * | 2020-09-16 | 2020-12-25 | 广州锦行网络科技有限公司 | 一种基于rdp磁盘映射的攻击反制方法及系统 |
CN112600822A (zh) * | 2020-12-09 | 2021-04-02 | 国网四川省电力公司信息通信公司 | 一种基于自动化引流工具的网络安全系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114157454A (zh) | 2022-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9773109B2 (en) | Alternate files returned for suspicious processes in a compromised computer network | |
US10282548B1 (en) | Method for detecting malware within network content | |
US10523609B1 (en) | Multi-vector malware detection and analysis | |
CN114157454B (zh) | 攻击反制方法、装置、计算机设备和存储介质 | |
US20180183749A1 (en) | Automated message security scanner detection system | |
US11171973B2 (en) | Threat protection in documents | |
CN108768989A (zh) | 一种采用拟态技术的apt攻击防御方法、系统 | |
CN112751864B (zh) | 网络攻击反制系统、方法、装置和计算机设备 | |
US11645943B2 (en) | Method and apparatus for training email recipients against phishing attacks using real threats in realtime | |
WO2009032379A1 (en) | Methods and systems for providing trap-based defenses | |
US9866575B2 (en) | Management and distribution of virtual cyber sensors | |
CN106778242B (zh) | 基于虚拟机的内核漏洞检测方法及装置 | |
CN114826787B (zh) | 一种针对后门攻击的主动对抗方法、系统、设备及介质 | |
CN112242974A (zh) | 基于行为的攻击检测方法、装置、计算设备及存储介质 | |
Wang et al. | Detecting targeted attacks by multilayer deception | |
Adkins | Red teaming the red team: Utilizing cyber espionage to combat terrorism | |
Fan et al. | Taxonomy of honeynet solutions | |
CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
Dakpa et al. | Study of phishing attacks and preventions | |
CN111181914B (zh) | 一种局域网内部数据安全监控方法、装置、系统和服务器 | |
CN116781331A (zh) | 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置 | |
Avery et al. | Offensive deception in computing | |
Sontakke et al. | Impact and analysis of denial-of-service attack on an autonomous vehicle test bed setup | |
CN114298684A (zh) | 电子邮件安全检测方法、装置、电子设备及存储介质 | |
EP3252645A1 (en) | System and method of detecting malicious computer systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |