一种基于密签诱饵的威胁诱捕方法与流程

1.本发明涉及一种威胁诱捕方法，尤其涉及一种基于密签诱饵的威胁诱捕方法，属于网络安全技术领域。


背景技术：

2.随着网络技术的发展，网络技术革新带来便利的同时，网络安全形势也变得更加复杂和严峻，传统的被动安全技术往往受限于对威胁预判手段单一、处理能力不足，对威胁数据的获取、处理、分析和利用有限，难以应对未知的网络威胁事件，作为主动防御技术之一的蜜罐和蜜网技术受到了广泛的关注。蜜罐和蜜网技术由于其能诱使攻击者进行攻击，从而主动获取攻击数据，进而分析出网络威胁特征以得出具有针对性的防御措施，因而能够提高网络应对未知威胁的能力。在被攻击的系统中，获取重要信息文件是黑客最感兴趣的行为之一，因此保护重要文件，设置诱饵文件成为未来安全威胁诱捕的一大方向。
3.传统的蜜罐大部分采用低交换或者高交互的蜜罐引诱攻击者，在攻击者攻击时会浪费大量的时间，同时也会获取攻击者的部分信息。但是面对现在技术的逐步迭代很容易发现这是目标部署的蜜罐系统，从而放弃攻击，降低蜜罐的防御有效性。为此需要开发一种新的方法，通过知道黑客是何时通过何种方式获取诱饵文件以提高攻击者对目标服务器或者内容的诱导。


技术实现要素：

4.为了解决上述技术所存在的不足之处，本发明提供了一种基于密签诱饵的威胁诱捕方法。该方法通过提供加密的诱饵文件，诱饵文件内保存大量的虚假的敏感信息，同时在对该诱饵文件操作时会记录黑客的信息提供给服务端，服务端对这些流量信息进行数据分析，继而得出黑客的意图，攻击方式等溯源信息，从而增加蜜罐的诱捕维度。
5.为了解决以上技术问题，本发明采用的技术方案是：一种基于密签诱饵的威胁诱捕方法，该方法通过模拟易受攻击的系统来诱使黑客进行攻击，然后将黑客的活动记录，进而分析，为往后防御提供指导，从而达到安全威胁诱捕的目的。
6.优选的，方法包括以下步骤：
7.步骤s1：设置诱饵文件；
8.步骤s2：设置诱饵信标；
9.步骤s3：通过密签技术生成带有诱饵信标的诱饵文件，将诱饵文件保存到安全威胁诱捕系统监控下的网络服务器中；
10.步骤s4：测试诱饵信标是否加密成功；
11.步骤s5：测试通过后，在诱饵信标中设置url路径并附上唯一标识符，标识符在被操作后会发出不同的可信指令到安全威胁诱捕系统中，并同时记录黑客的连接信息；
12.步骤s6：通过上述步骤s1-s5，准备不同的诱饵文件后将诱饵文件上传到安全威胁诱捕系统中，通过上述系统将不同的诱饵文件分配到不同的诱捕蜜罐中；
13.步骤s7：安全威胁诱捕系统会将诱饵文件进一步伪装成具体的系统文件、重要文件；
14.步骤s8：黑客获取安全威胁诱捕系统权限访问诱饵文件时，根据黑客动作诱饵文件会向探针发送不同的信息；
15.步骤s9：探针将信息通过tcp/ip协议转发传入服务端进行数据分析；
16.步骤s10：将数据分析结果显示到诱捕蜜罐的前端页面上，从而通过安全威胁诱捕系统监控黑客是否获得系统访问权限并试图访问并窃取诱饵文件。
17.优选的，步骤s1中，将诱饵文件设置成图片、office、数据库文件、日志中的一种或几种。
18.优选的，步骤s2中，通过密签技术将黑客信息链接到诱饵信标中，诱饵信标完全透明，其中，设置诱饵信标的过程如下：
19.将诱饵信标嵌入存储在web服务器上的链接信息，每当访问/打开诱饵文件时，诱饵文件尝试从远程位置即web服务器加载，反过来又向web服务器发送http请求，web服务器查找相应的信息并将黑客信息交付以嵌入到诱饵文件中，还会为此入站请求创建一个日志条目，该日志条目描述有人已渗透安全威胁诱捕系统并试图窃取敏感信息。
20.优选的，步骤s4的测试过程为：
21.步骤i、通过安全威胁诱捕系统创建一个诱饵信标，诱饵信标将连接到诱饵文件中，将此诱饵文件保存在网络服务器的web目录中，启动web服务器并检查网络浏览器中是否出现测试页面，如出现测试页面则证明诱饵信标可以使用；
22.步骤ii、将远程部署的诱饵信标嵌入到办公文档文件中，插入诱饵文件并输入诱饵信标，即可完成一个诱饵信标的使用；
23.步骤iii、诱饵信标需要设置url路径和唯一标识符；
24.步骤vi、诱饵文件准备完毕后对整个办公文档文件进行加密签名；将指定的链路信息与诱饵文件绑定，对诱饵文件进行操作会向指定探针服务器发起请求，并记录相应的日志信息；
25.步骤v、安全威胁诱捕系统的监控层采用falco对linux系统调用行为进行监控，并设置全覆盖的监控规则，完善诱饵监控视角；
26.步骤iv、如果能监控到诱饵信标的完整活动路径则证明诱饵信标加密成功，否则证明诱饵信标加密不成功，重复上述步骤i-v直至诱饵信标加密成功。
27.优选的，诱饵文件部署在笔记本电脑或服务器或台式机或电子邮件或手机上。
28.本发明使用的密签诱饵，其本身有比较严格的监控体系，能够引诱网站入侵人员主动对该诱饵发起进攻，从而利用相关的监控设施分析出入侵者利用何种工具及如何完成攻击活动，这样在后续工作开展过程中，能够有针对性选择一些防范办法，从而有效再次避免入侵者给网络系统带来的危害。另外相对于传统的网络安全措施，密签诱饵具有更好的针对性，尤其是对于窃听入侵方式来说能够有效收集入侵者使用的设备工具信息，从而起到更好的防护作用。
29.本发明通过密签诱饵提高攻击者对目标服务器或者内容的诱导，通过增加诱饵文件，提高攻击者继续攻击的意图，并在攻击后把相应的痕迹保存，为以后溯源提供证据。
附图说明
30.图1为本发明的流程图。
31.图2为安全威胁诱捕系统的系统框图。
32.图3为诱饵信标的测试过程。
33.图4为安全威胁诱捕系统的部署图。
具体实施方式
34.下面结合附图和具体实施方式对本发明作进一步详细的说明。
35.如图1、图4所示的一种基于密签诱饵的威胁诱捕方法，该方法通过模拟易受攻击的系统来诱使黑客进行攻击，然后将黑客的活动记录，进而分析，为往后防御提供指导，从而达到安全威胁诱捕的目的。
36.方法包括以下步骤：
37.步骤s1：设置诱饵文件；将诱饵文件设置成图片、office、数据库文件、日志中的一种或几种。
38.步骤s2：设置诱饵信标；通过密签技术将黑客信息链接到诱饵信标中，诱饵信标完全透明，一旦打开诱饵文件，很难发现诱饵信标的存在，其中，设置诱饵信标的过程如下：
39.将诱饵信标嵌入存储在web服务器上的链接信息，每当访问/打开诱饵文件时，诱饵文件尝试从远程位置即web服务器加载，反过来又向web服务器发送http请求，web服务器查找相应的信息并将黑客信息交付以嵌入到诱饵文件中，还会为此入站请求创建一个日志条目，该日志条目描述有人已渗透安全威胁诱捕系统并试图窃取敏感信息。
40.其中，http的工作原理：在http请求/响应模式的情况下，网络浏览器发起对某些内容的请求。web服务器定位请求的内容并将其作为响应的一部分提供给网络浏览器。然后网络浏览器解释内容并最终呈现它。最初，当请求到达web服务器时，会在日志(例如access.log)中创建一个日志条目，描述来源、用户代理、时间戳等。
41.步骤s3：通过密签技术生成带有诱饵信标的诱饵文件，将诱饵文件保存到安全威胁诱捕系统(如图2所示)监控下的网络服务器中；
42.步骤s4：测试诱饵信标是否加密成功；
43.如图3所示，测试过程为：
44.步骤i、通过安全威胁诱捕系统创建一个诱饵信标，诱饵信标将连接到诱饵文件中，诱饵信标的大小为1
×
1透明像素，一旦打开正常查看是很难发现的。将此诱饵文件保存在网络服务器的web目录中，启动web服务器并检查网络浏览器中是否出现测试页面，如出现测试页面则证明诱饵信标可以使用；
45.步骤ii、将远程部署的诱饵信标嵌入到办公文档文件中，办公文档文件里有大量的虚假的敏感信息，插入诱饵文件并输入诱饵信标，即可完成一个诱饵信标的使用；
46.步骤iii、诱饵信标需要设置url路径和唯一标识符；
47.步骤vi、诱饵文件准备完毕后对整个办公文档文件进行加密签名；将指定的链路信息(即url路径和唯一标识符)与诱饵文件绑定，对诱饵文件进行复制、下载等操作会向指定探针服务器(指定探针服务器的地址即url路径)发起请求，并记录相应的日志信息；
48.步骤v、安全威胁诱捕系统的监控层采用falco(引擎)对linux系统调用行为进行
监控，并设置全覆盖的监控规则，完善诱饵监控视角；
49.步骤iv、如果能监控到诱饵信标的完整活动路径则证明诱饵信标加密成功，否则证明诱饵信标加密不成功，重复上述步骤i-v直至诱饵信标加密成功。
50.步骤s5：测试通过后，在诱饵信标中设置url路径并附上唯一标识符，标识符在被操作后会发出不同的可信指令到安全威胁诱捕系统中，并同时记录黑客的连接信息；
51.作为优选，诱饵信标可以设置多条唯一标识符，标识符在被复制、下载、修改、删除、查看等操作发出不同的可信指令到安全威胁诱捕系统中。通过上述步骤更容易区分被攻击的服务器/主机；
52.诱饵文件部署在笔记本电脑或服务器或台式机或电子邮件或手机上。作为优选，诱饵文件可以部署在任何地方，包括笔记本电脑、服务器、台式机、电子邮件、手机等。通常，诱饵文件可以部署在hvt(高价值目标)系统上。
53.步骤s6：通过上述步骤s1-s5，准备不同的诱饵文件后将诱饵文件上传到安全威胁诱捕系统中，通过上述系统将不同的诱饵文件分配到不同的诱捕蜜罐中；
54.步骤s7：安全威胁诱捕系统会将诱饵文件进一步伪装成具体的系统文件、重要文件，具有极大的迷惑性；
55.步骤s8：黑客获取安全威胁诱捕系统权限访问诱饵文件时，根据黑客动作诱饵文件会向探针发送不同的信息；
56.步骤s9：探针将信息通过tcp/ip协议转发传入服务端进行数据分析；
57.步骤s10：将数据分析结果显示到诱捕蜜罐的前端页面上，从而通过安全威胁诱捕系统监控黑客是否获得系统访问权限并试图访问并窃取诱饵文件。
58.安全威胁诱捕系统技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。
59.安全威胁诱捕系统是情报收集系统，是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，系统会记录威胁来自方向，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。
60.安全威胁诱捕系统支持丰富的通用蜜罐：tomcat、redis、ssh等。
61.为了便于取证，安全威胁诱捕系统还布置了网络日志脚本记录程序，对异常的访问(攻击)行为进行记录与目的分析。总之，它只是一个陷阱，一个可以进行主动防御的陷阱，可以大幅提高检测正确率。
62.安全威胁诱捕系统网络相对封闭，即不会有陌生访问。当攻击者发起网络攻击行为时，一般先会扫描服务器，然后发出请求。这样就可以认定，只要是安全威胁诱捕系统记录到的访问请求都来自攻击者。
63.安全威胁诱捕系统适用范围广，其内置的算法可以识别多种攻击技术，并不局限在单一的攻击技术或者是某一种攻击行为。对不同种类的攻击行为具有广泛的适用性，即使攻击者采用未知类型的攻击技术，也会起到一定的效果。安全威胁诱捕系统技术成熟，结构简单，构建容易。关键是找好特定位置搭建服务器即可构建安全威胁诱捕系统。一般技术
力量都可以完成一个甚至多个安全威胁诱捕系统的搭建工作，维护与升级也相对简单。
64.名词解释：
65.密签技术：通过哈希计算、加密解密功能以及签名验证等功能将特定的信息保存到指定文件中；
66.诱饵技术：诱饵是指设置一些虚假的敏感数据，并设置成极具诱惑性的名称，从而诱骗攻击者获取这些文件，保护真实文件的目的。
67.密签诱饵，在网络技术使用过程当中属于诱骗系统的范畴，目前在网络安全领域当中作为重要的安全资源系统使用。
68.上述实施方式并非是对本发明的限制，本发明也并不仅限于上述举例，本技术领域的技术人员在本发明的技术方案范围内所做出的变化、改型、添加或替换，也均属于本发明的保护范围。