本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域，特別涉及異常感知和追蹤技術(shù)，更具體地，是一種基于文檔蜜標(biāo)技術(shù)的異常感知和追蹤方法及系統(tǒng)。

背景技術(shù)：

計(jì)算機(jī)的普及以及互聯(lián)網(wǎng)行業(yè)的高速發(fā)展，網(wǎng)絡(luò)已成為了人們生活中不可缺少的重要組成部分，隨之而來便是各種網(wǎng)絡(luò)安全問題，數(shù)據(jù)泄露已成為網(wǎng)絡(luò)安全的嚴(yán)重威脅之一。

一方面，難以有效檢測未知、高級攻擊。由于計(jì)算機(jī)操作系統(tǒng)、應(yīng)用程序軟件常出現(xiàn)多種漏洞，越來越多的計(jì)算機(jī)已悄然被黑客攻擊，受害者毫無察覺。新的攻擊形式尤其是apt類攻擊的出現(xiàn)，攻擊者使用的攻擊方式、攻擊手段和攻擊策略也層出不窮，對現(xiàn)有的被動(dòng)防御的安全機(jī)制形成了很大挑戰(zhàn)。而且，基于邊界的防御策略對于內(nèi)網(wǎng)的攻擊者是無法有效檢測出來的。

另一方面，無法有效對攻擊者追蹤溯源。網(wǎng)絡(luò)安全威脅日益嚴(yán)重，然而網(wǎng)絡(luò)追蹤的實(shí)現(xiàn)受到很大限制。主要體現(xiàn)在以下方面：首先，網(wǎng)絡(luò)攻擊手段的發(fā)展和代理、跳板技術(shù)的使用極大地增加了網(wǎng)絡(luò)追蹤的不可靠性和復(fù)雜性，使得溯源工作難以奏效；第二，要對網(wǎng)絡(luò)攻擊者進(jìn)行追蹤，則先要發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，但是現(xiàn)有的入侵檢測技術(shù)還不能完全解決入侵漏報(bào)和虛警的問題；第三，當(dāng)前主流的網(wǎng)絡(luò)追蹤技術(shù)是通過在報(bào)文或數(shù)據(jù)包中添加標(biāo)志數(shù)據(jù)(如數(shù)字水印)，然后對這些標(biāo)志數(shù)據(jù)的檢測與追蹤來實(shí)現(xiàn)對攻擊與入侵的追蹤，顯然會增加路由器或其他追蹤設(shè)備的開銷，并增加網(wǎng)絡(luò)的流量，實(shí)現(xiàn)和運(yùn)行成本較高。

apt(advancedpersistentthreat)攻擊，利用先進(jìn)的攻擊手段對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊，一般包括攻擊偵查與滲透、內(nèi)部平移、攻擊任務(wù)執(zhí)行三個(gè)階段，相比其他攻擊更具高級性和危害性。高級性主要體現(xiàn)在利用多種高級手段(如使用0day漏洞，0day漏洞是指已被發(fā)現(xiàn)但還沒有補(bǔ)丁的漏洞)可繞過已有的防御機(jī)制。危害性體現(xiàn)在竊取嚴(yán)密保護(hù)下的信息，破壞物理隔離系統(tǒng)，現(xiàn)有防御機(jī)制難以檢測和發(fā)現(xiàn)。此外，apt的重要特點(diǎn)之一是實(shí)施攻擊任務(wù)之前往往需要有內(nèi)部平移的過程，內(nèi)部平移又包括內(nèi)部偵查和內(nèi)部滲透。內(nèi)部偵查是指攻擊者在被攻陷的節(jié)點(diǎn)基礎(chǔ)之上，收集新信息，發(fā)現(xiàn)新節(jié)點(diǎn)，挖掘新關(guān)系，確定新目標(biāo)。內(nèi)部滲透是指利用內(nèi)部偵查獲取的多種信息進(jìn)行更加深入的攻擊滲透。而現(xiàn)有的防御機(jī)制對apt的內(nèi)部平移進(jìn)行檢測存在很大局限性。

barros于2003年提出了蜜標(biāo)(honeytoken)技術(shù)概念：蜜標(biāo)是一種用于吸引攻擊者進(jìn)行未經(jīng)授權(quán)而使用的信息資源。蜜標(biāo)有著多種數(shù)據(jù)形態(tài)，比如一個(gè)偽造的身份id、郵件地址、數(shù)據(jù)庫表項(xiàng)、word或excel文檔等。當(dāng)攻擊方從環(huán)境中竊取信息資源時(shí)，蜜標(biāo)將混雜在信息資源中同時(shí)被竊取，之后，一旦攻擊方在現(xiàn)實(shí)場景中使用蜜標(biāo)數(shù)據(jù)，比如使用一個(gè)經(jīng)過標(biāo)記的偽造身份id嘗試登陸業(yè)務(wù)系統(tǒng)，防御方就可以檢測并追溯這次實(shí)際攻擊。

雖然蜜標(biāo)的技術(shù)思想和定義早已提出，但本領(lǐng)域?qū)υ摷夹g(shù)具體如何實(shí)施和應(yīng)用的研究較少。

技術(shù)實(shí)現(xiàn)要素：

針對上述問題，本發(fā)明的目的是提出了一種基于文檔蜜標(biāo)技術(shù)來進(jìn)行異常感知和追蹤溯源的方法及系統(tǒng)。該方法的實(shí)施及系統(tǒng)的部署不依賴主機(jī)的服務(wù)環(huán)境，與攻擊者的攻擊方法無關(guān)，能夠有效檢測多種異常行為，并對竊密型攻擊實(shí)施有效追蹤溯源。

為達(dá)上述目的，本發(fā)明采取的具體技術(shù)方案是：

一種異常感知和追蹤方法，包括以下步驟：

1)在受保護(hù)的主機(jī)中生成嵌入蜜標(biāo)的蜜標(biāo)文檔，并記錄蜜標(biāo)文檔攜帶的蜜標(biāo)生成信息；

2)根據(jù)嵌入蜜標(biāo)的方式，設(shè)定判斷異常條件；

3)當(dāng)蜜標(biāo)文檔被觸發(fā)時(shí)，發(fā)送判斷請求；

4)分析該判斷請求，提取觸發(fā)蜜標(biāo)文檔的指紋信息及被觸發(fā)的蜜標(biāo)文檔的蜜標(biāo)生成信息；基于該指紋信息及蜜標(biāo)生成信息，根據(jù)判斷異常條件，判斷是否出現(xiàn)異常；

如是，則進(jìn)行異常警告，并通知指定用戶；

如蜜標(biāo)文檔脫離受保護(hù)的主機(jī)被觸發(fā)，并判斷為出現(xiàn)異常，則在進(jìn)行異常警告同時(shí)獲取該指紋信息，作為攻擊者的指紋信息，并據(jù)此對攻擊者進(jìn)行追蹤。

進(jìn)一步地，步驟1)中所述嵌入蜜標(biāo)的過程為：在文檔中插入特定域代碼、宏代碼作為信標(biāo)，所述信標(biāo)的核心為一uri地址，該地址uri包含一個(gè)利用主機(jī)編號、當(dāng)前時(shí)間、隨機(jī)數(shù)的具有唯一性的字符串，所述蜜標(biāo)生成信息包括該字符串、主機(jī)ip及文檔名稱。

進(jìn)一步地，步驟1)中嵌入蜜標(biāo)的方式包括：通過在本地新生成的文檔進(jìn)行嵌入蜜標(biāo)操作，和/或通過對一或多個(gè)已有文檔進(jìn)行嵌入蜜標(biāo)操作，和/或?qū)ψ詣?dòng)生成的虛假文檔進(jìn)行嵌入蜜標(biāo)操作。

進(jìn)一步地，步驟2)中所述判斷異常條件包括：文檔本地觸碰即異常和文檔異地觸碰即異常；所述文檔本地觸碰即異常為只要蜜標(biāo)文檔被觸發(fā)，即視為異常操作；所述文檔異地觸碰即異常為只有當(dāng)蜜標(biāo)文檔所處于與其生成時(shí)的所在主機(jī)ip不相同的主機(jī)ip被觸發(fā)，才視為異常操作。

進(jìn)一步地，當(dāng)受保護(hù)主機(jī)上的蜜標(biāo)文檔被觸發(fā)時(shí)，向前述uri地址發(fā)送判斷請求。

一種異常感知和追蹤系統(tǒng)，包括：

一蜜標(biāo)生成系統(tǒng)模塊，用以在受保護(hù)的主機(jī)中生成嵌入蜜標(biāo)的蜜標(biāo)文檔；

一主控模塊，用以記錄蜜標(biāo)文檔攜帶的蜜標(biāo)生成信息；并根據(jù)蜜標(biāo)文檔的類型及嵌入蜜標(biāo)的方式，設(shè)定判斷異常條件；當(dāng)蜜標(biāo)文檔被觸發(fā)時(shí)，發(fā)送判斷請求，并分析該判斷請求，提取觸發(fā)蜜標(biāo)文檔的指紋信息及被觸發(fā)的蜜標(biāo)文檔攜帶的蜜標(biāo)生成信息；根據(jù)判斷異常條件，判斷是否出現(xiàn)異常；如是，則進(jìn)行異常警告，并通知指定用戶；

一異常感知追蹤模塊；如蜜標(biāo)文檔脫離受保護(hù)的主機(jī)被觸發(fā)，并判斷為出現(xiàn)異常，則在進(jìn)行異常警告同時(shí)獲取該指紋信息，作為攻擊者的指紋信息，并據(jù)此對攻擊者進(jìn)行追蹤。

進(jìn)一步地，所述蜜標(biāo)生成系統(tǒng)模塊包括蜜標(biāo)生成本地服務(wù)模塊及蜜標(biāo)生成遠(yuǎn)程服務(wù)模塊；

所述蜜標(biāo)生成本地服務(wù)模塊安裝在受保護(hù)的主機(jī)上，具有新文檔打蜜標(biāo)模塊、已有文檔打蜜標(biāo)模塊及網(wǎng)絡(luò)欺騙功能模塊；

所述蜜標(biāo)生成遠(yuǎn)程服務(wù)模塊具有已有文檔打蜜標(biāo)模塊及網(wǎng)絡(luò)欺騙功能模塊；

所述新文檔打蜜標(biāo)模塊用以在本地新生成的文檔進(jìn)行嵌入蜜標(biāo)操作；所述已有文檔打蜜標(biāo)模塊用以對一或多個(gè)已有文檔進(jìn)行嵌入蜜標(biāo)操作；所述網(wǎng)絡(luò)欺騙功能模塊用以自動(dòng)生成虛假文檔，并對虛假文檔進(jìn)行嵌入蜜標(biāo)操作。

進(jìn)一步地，所述主控模塊包括：數(shù)據(jù)庫系統(tǒng)模塊；蜜標(biāo)請求處理系統(tǒng)模塊；分析控制系統(tǒng)模塊及異常通知模塊；

其中，數(shù)據(jù)庫系統(tǒng)模塊，用以記錄蜜標(biāo)生成系統(tǒng)返回的蜜標(biāo)生成信息，包括標(biāo)識蜜標(biāo)的uri地址、蜜標(biāo)文檔所在主機(jī)ip及文檔名稱；用以記錄蜜標(biāo)文件被觸發(fā)時(shí)的指紋信息，包括所在主機(jī)源ip、操作系統(tǒng)及文檔版本；并用以為分析系統(tǒng)控制模塊提供統(tǒng)計(jì)查詢、配置接口，根據(jù)查詢條件，自動(dòng)生成相關(guān)查詢結(jié)果并返回；

蜜標(biāo)請求處理系統(tǒng)模塊，用以當(dāng)受保護(hù)設(shè)備上的蜜標(biāo)文檔被觸發(fā)時(shí)，向前述uri地址發(fā)送分析請求；并分析該請求以獲得前述蜜標(biāo)生成信息及指紋信息，并將二者發(fā)送給分析控制系統(tǒng)模塊；

分析控制系統(tǒng)模塊，用以做為蜜標(biāo)生成系統(tǒng)模塊和數(shù)據(jù)庫系統(tǒng)模塊的接口，對外接收蜜標(biāo)生成系統(tǒng)發(fā)送的蜜標(biāo)生成信息，對內(nèi)將其轉(zhuǎn)發(fā)給數(shù)據(jù)庫模塊進(jìn)行記錄；還用接收蜜標(biāo)請求處理系統(tǒng)模塊獲得的蜜標(biāo)生成信息和指紋信息，并與數(shù)據(jù)庫系統(tǒng)模塊中的蜜標(biāo)信息進(jìn)行查詢、關(guān)聯(lián)，根據(jù)異常感知條件，判斷、定位是否發(fā)生異常以及異常所在，并將異常警告發(fā)送給異常通知模塊；

異常通知模塊，用以分析控制系統(tǒng)模塊傳來的異常警告通知給指定用戶；異常信息包括異常主機(jī)ip、異常文檔名稱、攻擊者ip及攻擊者操作系統(tǒng)。

進(jìn)一步地，所述分析控制系統(tǒng)模塊包括一系統(tǒng)配置模塊，用以對異常感知條件進(jìn)行配置。

與現(xiàn)有的異常檢測和溯源追蹤系統(tǒng)相比，本發(fā)明具有以下幾點(diǎn)優(yōu)勢：

1.異常檢測不依賴攻擊類型，不依賴規(guī)則匹配，只要攻擊者觸碰到蜜標(biāo)文件，后臺分析模塊就可實(shí)時(shí)監(jiān)測到，并根據(jù)異常條件自動(dòng)判斷該活動(dòng)是否異常，如有異常自動(dòng)進(jìn)行實(shí)時(shí)警告通知，系統(tǒng)誤報(bào)率為零。

2.加入網(wǎng)絡(luò)欺騙技術(shù)，使得攻擊者不能分辨真假信息，可以有效吸引、發(fā)現(xiàn)各種高級持續(xù)性攻擊，還可有效發(fā)現(xiàn)內(nèi)網(wǎng)攻擊，提高異常檢測成功率。

3.本系統(tǒng)部署方便，高效，相比現(xiàn)有的異常檢測系統(tǒng)和追蹤系統(tǒng)，只需簡單部署控制服務(wù)器，不需增加路由器、防火墻、ips等額外的硬件資源，可有效節(jié)約成本，提高異常感知的效率。

4.進(jìn)行實(shí)時(shí)異常告警的同時(shí)，實(shí)現(xiàn)對竊密攻擊者可靠、零成本的追蹤溯源。解決了攻擊者利用跳板網(wǎng)絡(luò)而無法有效獲取其真實(shí)ip的問題。

附圖說明

圖1是本發(fā)明一實(shí)施例中異常感知和追蹤系統(tǒng)整體構(gòu)成示意圖。

圖2是本發(fā)明一實(shí)施例中蜜標(biāo)生成系統(tǒng)構(gòu)成示意圖。

圖3是本發(fā)明一實(shí)施例中異常感知和追蹤主控模塊構(gòu)成示意圖。

圖4是本發(fā)明一實(shí)施例中建立和總括流程圖。

圖5是本發(fā)明一實(shí)施例中蜜標(biāo)生成系統(tǒng)部署總括示意圖。

圖6是本發(fā)明一實(shí)施例中主控系統(tǒng)配置部署總括示意圖。

圖7是本發(fā)明一實(shí)施案例中對一個(gè)竊密攻擊的發(fā)現(xiàn)和追蹤流程示意圖。

具體實(shí)施方式

在蜜標(biāo)(honeytoken)技術(shù)概念中，文檔蜜標(biāo)是指在文檔中插入特殊代碼等，當(dāng)文檔被觸碰、被打開時(shí)，該代碼會向指定uri發(fā)送請求，防御方可獲得攻擊者的ip等指紋信息，從而進(jìn)行溯源追蹤。本發(fā)明即基于文檔蜜標(biāo)的實(shí)現(xiàn)和應(yīng)用提出了具體的方法和系統(tǒng)。

對于系統(tǒng)的組成，主要包括如下模塊：

1.蜜標(biāo)生成系統(tǒng)模塊。其客戶端服務(wù)安裝在受保護(hù)的主機(jī)、服務(wù)器設(shè)備上，并掛入設(shè)備的操作系統(tǒng)。其核心作用在于，對本地新生成的文檔進(jìn)行嵌入蜜標(biāo)操作。對新生成的文檔嵌入過程為，客戶端進(jìn)程監(jiān)聽文檔操作接口的調(diào)用，每次生成新文檔時(shí)，自動(dòng)對其嵌入蜜標(biāo)。嵌入蜜標(biāo)的過程為，在文檔中插入特定域代碼、宏代碼作為信標(biāo)，信標(biāo)的核心是一個(gè)特殊構(gòu)造的uri地址，該地址包含一個(gè)利用主機(jī)編號、當(dāng)前時(shí)間、隨機(jī)數(shù)等生成的具有唯一性的字符串，插入信標(biāo)的同時(shí)，將該字符串、主機(jī)ip、文檔名稱等蜜標(biāo)生成信息發(fā)送給數(shù)據(jù)庫系統(tǒng)模塊進(jìn)行存儲。

2.數(shù)據(jù)庫系統(tǒng)模塊。安裝在主控服務(wù)器上，其提供兩方面的功能，一方面，記錄蜜標(biāo)生成系統(tǒng)返回的蜜標(biāo)生成信息，包括標(biāo)識蜜標(biāo)的唯一性字符串、蜜標(biāo)所在主機(jī)ip、文檔名稱等。記錄蜜標(biāo)文件被觸發(fā)時(shí)所在主機(jī)源ip、操作系統(tǒng)、文檔版本等指紋信息。另一方面，給后臺分析系統(tǒng)提供統(tǒng)計(jì)查詢、配置接口，根據(jù)查詢條件，自動(dòng)生成相關(guān)查詢結(jié)果并返回。

3.蜜標(biāo)請求處理系統(tǒng)模塊。安裝在主控服務(wù)器上，當(dāng)受保護(hù)設(shè)備上的蜜標(biāo)文檔被打開、復(fù)制、刪除時(shí)，信標(biāo)被觸發(fā)，向該模塊地址(即上述1構(gòu)造的uri地址)發(fā)送請求。蜜標(biāo)請求處理系統(tǒng)模塊的作用在于，可分析該請求并獲得信標(biāo)的唯一性字符串以及其所在主機(jī)的源ip、操作系統(tǒng)、文檔版本等指紋信息，并將這些信息發(fā)送給后臺分析控制系統(tǒng)模塊分析。

4.分析控制系統(tǒng)模塊。安裝在主控服務(wù)器上，其作用在于，第一，做為蜜標(biāo)生成系統(tǒng)模塊和數(shù)據(jù)庫系統(tǒng)模塊的接口，對外接收蜜標(biāo)生成系統(tǒng)發(fā)送的蜜標(biāo)生成信息，對內(nèi)將其轉(zhuǎn)發(fā)給數(shù)據(jù)庫模塊進(jìn)行存儲。第二，接收蜜標(biāo)請求處理系統(tǒng)模塊獲得的蜜標(biāo)和指紋信息，并與數(shù)據(jù)庫中的蜜標(biāo)信息進(jìn)行查詢、關(guān)聯(lián)，根據(jù)設(shè)定的異常感知條件，判斷、定位是否發(fā)生異常以及異常所在，進(jìn)行圖形界面的實(shí)時(shí)分析展示，并將異常警告發(fā)送給異常通知模塊。

5.異常通知模塊。安裝在主控服務(wù)器上，其作用在于將后臺分析控制系統(tǒng)模塊傳來的異常信息，通過短信通知、郵件通知等發(fā)送給指定用戶，異常信息包括異常主機(jī)ip、異常文檔名稱，攻擊者ip、攻擊者操作系統(tǒng)等指紋信息。

作為優(yōu)化方案，蜜標(biāo)生成系統(tǒng)模塊還包括：

已有文檔打蜜標(biāo)模塊。其作用在于，可選定一個(gè)或多個(gè)已有文檔進(jìn)行批量嵌入蜜標(biāo)?？蛇x定某個(gè)目錄，自動(dòng)掃描文件嵌入蜜標(biāo)。其中，對已有文檔的篩選，可由用戶根據(jù)需要決定篩選條件，例如文檔重要程度，建立時(shí)間等，本申請主要提供文檔蜜標(biāo)的構(gòu)成和應(yīng)用，不限定具體的篩選內(nèi)容和篩選方式。

網(wǎng)絡(luò)欺騙功能模塊，其作用在于，站在攻擊者的角度，在目標(biāo)系統(tǒng)中根據(jù)用戶輸入的關(guān)鍵詞自動(dòng)生成特定類型名稱和內(nèi)容的虛假文檔，并插入蜜標(biāo)，其價(jià)值在于引誘攻擊者對其進(jìn)行觸碰、查看或竊取，從而及時(shí)發(fā)現(xiàn)異常和攻擊行為。

遠(yuǎn)程蜜標(biāo)生成系統(tǒng)服務(wù)模塊。不同于蜜標(biāo)本地生成客戶端，其遠(yuǎn)程服務(wù)安裝在任何可信的內(nèi)網(wǎng)服務(wù)器上，其通過web提供服務(wù)，具有已有文檔嵌入蜜標(biāo)模塊和網(wǎng)絡(luò)欺騙功能模塊兩部分的功能。用戶通過瀏覽器訪問指定頁面，可以選擇上傳本地文檔打蜜標(biāo)，也可輸入指定類型關(guān)鍵字，服務(wù)端自動(dòng)生成嵌入蜜標(biāo)的虛假文檔。服務(wù)端對文檔進(jìn)行打蜜標(biāo)，同時(shí)將標(biāo)識蜜標(biāo)的唯一性字符串、用戶主機(jī)ip、文檔名稱、用戶輸入的文件異常警告信息發(fā)送給數(shù)據(jù)庫系統(tǒng)模塊。對于不經(jīng)常創(chuàng)建新文檔的受保護(hù)主機(jī)、服務(wù)器，遠(yuǎn)程終端模塊提供的服務(wù)更靈活、更快捷。

作為第二優(yōu)化方案，分析控制系統(tǒng)模塊還包括：

系統(tǒng)配置模塊。該模塊可將異常感知條件進(jìn)行配置，舉例而言，具體可配置為文檔本地觸碰即異常和異地觸碰即異常。文檔本地觸碰即異常，是指只要文檔被觸碰、被打開，無論當(dāng)時(shí)蜜標(biāo)所處主機(jī)ip和創(chuàng)建蜜標(biāo)時(shí)的所在主機(jī)ip相不相同，都視為異常操作。文檔異地觸碰即異常，是指只有當(dāng)蜜標(biāo)所處主機(jī)ip和創(chuàng)建蜜標(biāo)時(shí)的所在主機(jī)ip不相同時(shí)，才視為異常操作。當(dāng)然，上述僅作一種可選的示例，對應(yīng)不同的需求，系統(tǒng)配置模塊可以更改配置條件，對異常感知條件進(jìn)行自定義操作，本申請對此并不做限定。

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案，并使本發(fā)明的目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖和示例對本發(fā)明中技術(shù)核心作進(jìn)一步詳細(xì)的說明。

在本發(fā)明的一實(shí)施例中，基于蜜標(biāo)技術(shù)設(shè)計(jì)了一套可靠地異常檢測與追蹤系統(tǒng)，能夠有效解決上述所存在的問題，所述系統(tǒng)包括如下：

如圖1所示，異常感知和追蹤系統(tǒng)整體構(gòu)成示意圖，物理上由多個(gè)嵌入目標(biāo)主機(jī)系統(tǒng)的蜜標(biāo)生成客戶端、一個(gè)遠(yuǎn)程提供打蜜標(biāo)服務(wù)的蜜標(biāo)生成遠(yuǎn)程服務(wù)和一個(gè)綜合管控的異常感知和追蹤主控服務(wù)三部分構(gòu)成，后兩者可以共用同一臺物理設(shè)備。

如圖2所示，蜜標(biāo)生成系統(tǒng)由蜜標(biāo)生成本地服務(wù)和蜜標(biāo)生成遠(yuǎn)程服務(wù)系統(tǒng)構(gòu)成。前者是在受保護(hù)主機(jī)系統(tǒng)嵌入蜜標(biāo)系統(tǒng)客戶端程序，后者是將蜜標(biāo)生成服務(wù)安裝在遠(yuǎn)程設(shè)備上，通過web提供蜜標(biāo)嵌入服務(wù)。

如圖3所示，異常感知和追蹤主控系統(tǒng)模塊，包括數(shù)據(jù)庫系統(tǒng)模塊、蜜標(biāo)請求處理系統(tǒng)模塊、后臺分析控制模塊、異常通知模塊、系統(tǒng)配置模塊。

如圖4所示，本發(fā)明異常感知與追蹤系統(tǒng)建立和總括運(yùn)行流程圖，包括：

步驟100，蜜標(biāo)生成系統(tǒng)部署，在本地安裝蜜標(biāo)服務(wù)客戶端或利用遠(yuǎn)程蜜標(biāo)服務(wù)進(jìn)行文檔蜜標(biāo)的生成和部署，利用網(wǎng)絡(luò)欺騙模塊生成虛假的文檔，吸引攻擊者觸碰、竊取，及時(shí)發(fā)現(xiàn)異常，進(jìn)行追蹤，具體如圖5所示。

步驟200，主控系統(tǒng)配置部署，接收蜜標(biāo)生成系統(tǒng)生成的蜜標(biāo)信息并存入數(shù)據(jù)庫，對判斷異常的條件、異常通知信息和異常通知通訊錄進(jìn)行配置，具體如圖6所示。

步驟300，異常發(fā)現(xiàn)、通知，對竊密者追蹤。主控系統(tǒng)接收蜜標(biāo)文檔觸發(fā)后請求信息，與數(shù)據(jù)庫中的蜜標(biāo)信息進(jìn)行數(shù)據(jù)關(guān)聯(lián)，根據(jù)系統(tǒng)配置判斷異常的條件，自動(dòng)化發(fā)現(xiàn)并定位異常，并向配置的異常通知通訊錄進(jìn)行異常通知，并根據(jù)蜜標(biāo)文檔的觸發(fā)形式進(jìn)行追蹤溯源，具體如圖7所示。

如圖5所示，蜜標(biāo)生成系統(tǒng)包括蜜標(biāo)生成服務(wù)本地模塊，蜜標(biāo)生成服務(wù)遠(yuǎn)程模塊。前者有新建文檔打蜜標(biāo)、已有文檔打蜜標(biāo)、網(wǎng)絡(luò)欺騙三部分功能。后者有已有文檔打蜜標(biāo)、網(wǎng)絡(luò)欺騙兩部分功能。具體為：

步驟110，蜜標(biāo)生成服務(wù)本地模塊對新文檔打蜜標(biāo)步驟為，客戶端后臺程序?qū)崟r(shí)監(jiān)聽系統(tǒng)對文檔處理函數(shù)的調(diào)用，當(dāng)創(chuàng)建新文檔時(shí)，程序自動(dòng)給新建文件嵌入蜜標(biāo)。嵌入蜜標(biāo)的過程為，在文檔的特定位置插入域代碼、宏代碼等作為信標(biāo)，信標(biāo)的關(guān)鍵是一個(gè)特殊構(gòu)造的uri地址，其中包含一個(gè)利用主機(jī)編號、當(dāng)前時(shí)間、隨機(jī)數(shù)等生成的具有唯一性的字符串，插入信標(biāo)的同時(shí)，將該字符串、保護(hù)主機(jī)ip、文檔名稱等信息發(fā)送給數(shù)據(jù)庫系統(tǒng)模塊。

步驟120，蜜標(biāo)生成服務(wù)本地模塊對已有文檔打蜜標(biāo)步驟為，用戶選擇某些文檔或文件夾，程序可瀏覽所有文檔對其嵌入蜜標(biāo)，嵌入蜜標(biāo)操作如步驟110所述。

步驟130，蜜標(biāo)生成服務(wù)本地模塊網(wǎng)絡(luò)欺騙功能為，用戶可輸入或選定某類關(guān)鍵詞，如輸入“商業(yè)”、“經(jīng)濟(jì)”、“公司”等關(guān)鍵詞，則程序會自動(dòng)生成虛假的、文件名類似為商業(yè)機(jī)密名稱的文檔，并嵌入蜜標(biāo)，用戶可將這些文件放置到易于被攻擊觸碰或竊取的位置。該模塊的作用是，生成的虛假蜜標(biāo)文檔讓攻擊者發(fā)現(xiàn)并引起極大興趣，誘導(dǎo)其對文檔觸碰、竊取，從而進(jìn)行異常感知和追蹤。

步驟140，蜜標(biāo)生成遠(yuǎn)程服務(wù)對已有文檔打蜜標(biāo)操作為，用戶瀏覽該服務(wù)的web頁面，上傳本地文檔，服務(wù)端按照步驟110所述進(jìn)行蜜標(biāo)嵌入操作后，用戶下載文檔即可。

步驟150，蜜標(biāo)生成遠(yuǎn)程服務(wù)的網(wǎng)絡(luò)欺騙功能為，用戶瀏覽該服務(wù)指定web頁面，輸入或選定關(guān)鍵詞，輸入生成文檔的個(gè)數(shù)，服務(wù)器根據(jù)關(guān)鍵詞類型自動(dòng)生成指定個(gè)數(shù)的虛假蜜標(biāo)文檔，用戶下載到本地，放置到易吸引攻擊者的位置。對于一些不便安裝蜜標(biāo)生成服務(wù)客戶端或不經(jīng)常創(chuàng)建文檔的設(shè)備，使用遠(yuǎn)程服務(wù)相比本地服務(wù)更加方便快捷。用戶可根據(jù)具體環(huán)境需求，自主選擇上述蜜標(biāo)生成系統(tǒng)的某一種或幾種功能進(jìn)行蜜標(biāo)的生成和部署。

如圖6所示，所述異常感知和追蹤系統(tǒng)主控模塊，包括：

步驟210，數(shù)據(jù)庫系統(tǒng)模塊，一方面，存儲蜜標(biāo)生成系統(tǒng)創(chuàng)建蜜標(biāo)時(shí)生成的蜜標(biāo)唯一性字符串、蜜標(biāo)文檔所在主機(jī)ip、蜜標(biāo)文檔名稱，觸碰警告提示信息等。另一方面，為后臺分析控制模塊提供查詢接口，進(jìn)行異常判斷和異常通知。

步驟220，蜜標(biāo)請求處理模塊，該模塊接收并處理蜜標(biāo)文檔被觸發(fā)后的蜜標(biāo)請求，通過該請求，獲取被觸發(fā)蜜標(biāo)文檔所在設(shè)備的ip、操作系統(tǒng)、文檔操作軟件、標(biāo)識蜜標(biāo)的唯一性字符串等指紋信息和系統(tǒng)當(dāng)前時(shí)間，將上述信息傳送給后臺分析控制模塊進(jìn)行數(shù)據(jù)查詢關(guān)聯(lián)和異常分析。

步驟230，后臺分析控制模塊，接收蜜標(biāo)請求處理模塊傳來的蜜標(biāo)所在主機(jī)相關(guān)指紋信息，一方面將數(shù)據(jù)傳入數(shù)據(jù)庫進(jìn)行存儲。另一方面，讀取數(shù)據(jù)庫，通過蜜標(biāo)唯一性字符串和數(shù)據(jù)庫中存儲的蜜標(biāo)信息進(jìn)行關(guān)聯(lián)，獲取蜜標(biāo)生成時(shí)存儲的信息。將蜜標(biāo)生成時(shí)的所在主機(jī)ip與蜜標(biāo)請求所在主機(jī)ip進(jìn)行對比，根據(jù)系統(tǒng)配置模塊配置的判斷異常的條件，判斷此次蜜標(biāo)請求是否進(jìn)行異常警告，如有異常，則將異常的蜜標(biāo)信息、主機(jī)信息和警告信息、警告通知號碼、郵箱地址等發(fā)送給異常通知模塊，進(jìn)行實(shí)時(shí)的異常通知。

步驟240，異常通知模塊，將后臺分析控制模塊傳輸?shù)漠惓Ｍㄖ畔?，通過短信、郵箱等方式進(jìn)行實(shí)時(shí)通知。

步驟250，系統(tǒng)配置模塊，最主要的功能是配置分析控制模塊判斷異常的條件(如上所述，可配置為文檔本地觸碰即異常和異地觸碰即異常)。默認(rèn)情況下，已有文檔和客戶端生成的正常文檔嵌入的蜜標(biāo)，配置為文檔異地觸碰即異常，即正常用戶在本機(jī)進(jìn)行文檔操作不會引起異常，而當(dāng)蜜標(biāo)文檔脫離本機(jī)后被觸碰，則會引起異常告警。網(wǎng)絡(luò)欺騙模塊生成的蜜標(biāo)文檔，配置為文檔本地觸碰即異常，即該類文檔是正常情況下不會觸碰的，一旦有人觸碰，則意味著發(fā)生異常。由于對所有創(chuàng)建的新文檔都嵌入蜜標(biāo)，也就意味著，根據(jù)異常感知條件，受保護(hù)主機(jī)的所有新建文檔一旦被異地觸發(fā)就會發(fā)出異常警告。除此之外，通過該模塊可進(jìn)行異常通知號碼、郵箱地址、異常通知警告信息等的配置。

如圖7所示，本發(fā)明實(shí)施案例中對一個(gè)竊密攻擊的發(fā)現(xiàn)和追蹤流程，包括：

步驟310，如上所述，異常感知與追蹤系統(tǒng)部署完成。

步驟320，攻擊者在受害主機(jī)上觸碰到如步驟130或步驟150中生成的虛假蜜標(biāo)文檔，如步驟250所述，該類文檔意義在于吸引攻擊者觸碰、竊取，其異常條件屬于文檔觸碰即異常類型，因此攻擊者對其觸碰后，會立刻觸發(fā)步驟340進(jìn)行異常警告和通知，防御者可迅速發(fā)現(xiàn)異常。

步驟330，攻擊者竊取受害主機(jī)上的蜜標(biāo)文檔，當(dāng)其在除受害主機(jī)外的任何設(shè)備上打開被竊取的蜜標(biāo)文檔，都會觸發(fā)蜜標(biāo)請求。由于蜜標(biāo)文檔已脫離受害主機(jī)，當(dāng)蜜標(biāo)被觸發(fā)后，一方面，異常感知和追蹤系統(tǒng)主控模塊會如步驟340所示進(jìn)行異常警告。另一方面，主控模塊可獲取到攻擊者的諸如主機(jī)ip、操作系統(tǒng)等指紋信息，從而進(jìn)行溯源追蹤。

步驟340，將異常信息進(jìn)行可視化展示和短信、郵件的實(shí)時(shí)通知。

步驟350，獲取蜜標(biāo)異常時(shí)所在主機(jī)ip(即蜜標(biāo)發(fā)起請求時(shí)的源ip地址)、主機(jī)操作系統(tǒng)等指紋，進(jìn)行溯源追蹤。

綜上，本申請為保護(hù)指定網(wǎng)絡(luò)內(nèi)主機(jī)和網(wǎng)絡(luò)數(shù)據(jù)安全，能夠?qū)崿F(xiàn)有效的異常感知、攻擊溯源。通過采用蜜標(biāo)技術(shù)，并加入相關(guān)網(wǎng)絡(luò)欺騙技術(shù)，高效、低成本的實(shí)現(xiàn)文件系統(tǒng)異常感知，有效發(fā)現(xiàn)包括高級持續(xù)性威脅和內(nèi)網(wǎng)攻擊在內(nèi)的多種威脅。保護(hù)目標(biāo)網(wǎng)絡(luò)主機(jī)和數(shù)據(jù)安全，并實(shí)現(xiàn)可靠地異常感知和竊密攻擊溯源追蹤。

最后所應(yīng)說明的是，以上實(shí)施案例僅用以說明本發(fā)明的技術(shù)方案而非限制，盡管使用事例對本發(fā)明進(jìn)行了詳細(xì)說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解，可對本發(fā)明的技術(shù)方案進(jìn)行修改或者等價(jià)替換，而不脫離本發(fā)明技術(shù)方案的精神和范圍，其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。