[发明专利]基于恶意代码外联行为的欺骗防御方法及装置、电子设备

权利要求书

1.一种基于恶意代码外联行为的欺骗防御方法，其特征在于，包括如下步骤：

将网络安全装置的外联网络流量转发至蜜罐网关外联欺骗模块的IP地址；

令所述蜜罐网关外联欺骗模块接收恶意代码主动发起的外联请求，模拟联网环境响应恶意代码的主动外联行为，欺骗该恶意代码执行下一步动作；

其中，所述模拟联网环境响应恶意代码的主动外联行为，包括：

当恶意代码主动发起TCP外联请求时，所述蜜罐网关外联欺骗模块应答TCP响应包，完成三次握手，包括：

恶意代码发送真实SYN包至所述蜜罐网关外联欺骗模块，进行第一次握手；

所述蜜罐网关外联欺骗模块对恶意代码欺骗应答ACK包，进行第二次握手；

恶意代码发送SYN包至所述蜜罐网关外联欺骗模块，进行第三次握手；

相关联动的网络安全装置对该恶意代码在三次握手成功后发送的、携带真实攻击目的的首包进行检测；

当恶意代码主动发起DNS解析外联请求时，所述蜜罐网关外联欺骗模块模拟DNS服务器，应答域名对应的解析IP地址，包括：

恶意代码请求DNS解析，发送DNS查询请求至所述蜜罐网关外联欺骗模块，请求解析域名；

所述蜜罐网关外联欺骗模块在本地库中查询域名；若本地库中已存储被查询域名与解析后的IP地址对应关系，则返回本地库中的解析IP地址至该恶意代码；若本地库无结果且所述蜜罐网关外联欺骗模块可访问外网，则将本地库无查询结果的域名发送至外网的真实DNS服务器，请求真实DNS服务器解析，并返回查询后的解析IP地址至该恶意代码；若本地库无结果且所述蜜罐网关外联欺骗模块无法访问外网，则返回虚假的解析IP地址；

相关联动的网络安全装置监测该恶意代码在获取域名对应的解析IP地址后，对该解析IP地址进行的下一步连接行为；

当恶意代码主动发起PING外联请求时，所述蜜罐网关外联欺骗模块返回PING成功响应包，包括：

恶意代码主动向外网IP或域名发送PING命令，发送ICMP请求包至所述蜜罐网关外联欺骗模块；

所述蜜罐网关外联欺骗模块返回PING成功响应包，发送ICMP响应包至该恶意代码；

相关联动的网络安全装置监测该恶意代码下一步攻击行为；

当恶意代码主动发起HTTP URL外联请求时，所述蜜罐网关外联欺骗模块根据URL外联请求是否包含文件名后缀返回后缀相同的虚假文件或200状态码，包括：

恶意代码主动外联，发送HTTP URL请求至所述蜜罐网关外联欺骗模块；

所述蜜罐网关外联欺骗模块判断URL外联请求是否包含文件名后缀，若无文件名后缀，则返回200状态码至该恶意代码，若有文件名后缀，则返回与该文件名后缀相同的虚假文件，进行HTTP URL欺骗应答；

相关联动的网络安全装置监测该恶意代码下一步攻击行为。