技術(shù)特征：

1.一種面向高級持續(xù)威脅的攻擊主動誘捕方法，其特征在于，所述方法包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述生成誘捕目標(biāo)，以使誘導(dǎo)攻擊者基于高級持續(xù)威脅對保護(hù)對象、誘捕服務(wù)器或/和誘捕內(nèi)網(wǎng)區(qū)發(fā)動攻擊，包括：

3.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述生成誘捕目標(biāo)，以使誘導(dǎo)攻擊者基于高級持續(xù)威脅對保護(hù)對象、誘捕服務(wù)器或/和誘捕內(nèi)網(wǎng)區(qū)發(fā)動攻擊，包括：

4.根據(jù)權(quán)利要求3所述的方法，其特征在于，生成所述誘捕服務(wù)器對目的地址不是真實(shí)信息系統(tǒng)的探測數(shù)據(jù)包的應(yīng)答，包括：

5.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述生成誘捕目標(biāo)，以使誘導(dǎo)攻擊者基于高級持續(xù)威脅對保護(hù)對象、誘捕服務(wù)器或/和誘捕內(nèi)網(wǎng)區(qū)發(fā)動攻擊，包括：

6.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述生成誘捕目標(biāo)，以使誘導(dǎo)攻擊者基于高級持續(xù)威脅對保護(hù)對象、誘捕服務(wù)器或/和誘捕內(nèi)網(wǎng)區(qū)發(fā)動攻擊，包括：

7.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述基于攻擊過程所產(chǎn)生的流量，識別該高級持續(xù)威脅對應(yīng)的惡意代碼文件，包括：

8.根據(jù)權(quán)利要求7所述的方法，其特征在于，將所述可疑文件進(jìn)行惡意代碼識別，得到該高級持續(xù)威脅對應(yīng)的惡意代碼文件之后，還包括：

9.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述獲取攻擊者對保護(hù)對象、誘捕服務(wù)器或內(nèi)網(wǎng)系統(tǒng)攻擊時產(chǎn)生的活動記錄，并結(jié)合攻擊情況，感知該高級持續(xù)威脅的攻擊狀態(tài)，包括：

10.一種面向高級持續(xù)威脅的攻擊主動誘捕系統(tǒng)，其特征在于，所述系統(tǒng)包括：

技術(shù)總結(jié)
本發(fā)明公開一種面向高級持續(xù)威脅的攻擊主動誘捕方法及系統(tǒng)，屬于安全監(jiān)控技術(shù)領(lǐng)域。所述方法包括：生成誘捕目標(biāo)，以使誘導(dǎo)攻擊者基于高級持續(xù)威脅對保護(hù)對象、誘捕服務(wù)器或/和誘捕內(nèi)網(wǎng)區(qū)發(fā)動攻擊；其中，誘捕服務(wù)器上部署真實(shí)服務(wù)軟件和高仿真數(shù)據(jù)，誘捕內(nèi)網(wǎng)區(qū)為包含常規(guī)內(nèi)網(wǎng)的服務(wù)、應(yīng)用和數(shù)據(jù)的仿真網(wǎng)絡(luò)；基于攻擊過程所產(chǎn)生的流量，識別高級持續(xù)威脅對應(yīng)的惡意代碼文件；獲取攻擊者對保護(hù)對象、誘捕服務(wù)器或內(nèi)網(wǎng)系統(tǒng)攻擊時產(chǎn)生的活動記錄，并結(jié)合攻擊情況，感知高級持續(xù)威脅的攻擊狀態(tài)。本發(fā)明能夠主動暴露攻擊面和高價值資產(chǎn)給攻擊者，誘導(dǎo)攻擊者進(jìn)行探查和攻擊，從而可以獲取攻擊手段，捕獲惡意代碼，吸引攻擊者注意力，保護(hù)真實(shí)信息系統(tǒng)。

技術(shù)研發(fā)人員：肖軍,徐小琳,李書豪,云曉春
受保護(hù)的技術(shù)使用者：北京中關(guān)村實(shí)驗(yàn)室
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/30