[发明专利]基于恶意代码外联行为的欺骗防御方法及装置、电子设备

说明书

本发明涉及一种基于恶意代码外联行为的欺骗防御方法及装置，该方法包括：将网络安全装置的外联网络流量转发至蜜罐网关外联欺骗模块的IP地址；令蜜罐网关外联欺骗模块接收恶意代码主动发起的外联请求，模拟联网环境响应恶意代码的主动外联行为，欺骗该恶意代码执行下一步动作。本发明的方案能够同时保证网络安全装置的安全性与检测深度。

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种基于恶意代码外联行为的欺骗防御方法及装置、电子设备、计算机可读介质。

背景技术

恶意代码普遍具有对外发起网络连接的特点，对外发起网络连接是其向外传播或受控的前提，正因为该特点，在恶意代码分析、检测、欺骗防御类产品的使用中，必然会出现检测深度与产品安全性之间的取舍。欺骗防御技术，指安全防御人员在己方信息通信布设骗局，干扰、误导攻击者对己方信息系统的认知，使攻击者采取对防御方有利的动作(或不行动)，从而有助于发现、延迟或阻断攻击者的活动，达到增加信息通信系统安全的目的。

以现有技术中的蜜罐产品为例，蜜罐因其吸引攻击者、欺骗防御的功能而深受使用者的青睐。也正因为该功能，给使用者带来蜜罐成为跳板机攻击其它资产主机的担忧。恶意代码攻入蜜罐后，蜜罐出于安全性考虑，必然需要阻止恶意代码从蜜罐内主动向外连接。但阻止外联的同时，也无法激发恶意代码的进一步恶意行为。这一问题同样存在于恶意代码分析沙箱产品中。根据现有的技术，在隔离网环境流量检测产品使用场景中，因隔离网环境无法连接互联网，故缺少网络通信数据包，进而导致流量检测产品无法检测失陷主机的后续的通信行为。

因此，针对以上不足，需要提供一种基于恶意代码外联行为的欺骗防御方法。

发明内容

本发明要解决的技术问题在于现有技术中为了保证网络安全产品的安全性而舍弃检测深度的问题，针对现有技术中的缺陷，提供一种基于恶意代码外联行为的欺骗防御方法。

为了解决上述技术问题，本发明提供了一种基于恶意代码外联行为的欺骗防御方法，包括如下步骤：

将网络安全装置的外联网络流量转发至蜜罐网关外联欺骗模块的IP地址；

令所述蜜罐网关外联欺骗模块接收恶意代码主动发起的外联请求，模拟联网环境响应恶意代码的主动外联行为，欺骗该恶意代码执行下一步动作。

在一种可能的实现方式中，所述模拟联网环境响应恶意代码的主动外联行为，进一步包括：

当恶意代码主动发起TCP外联请求时，所述蜜罐网关外联欺骗模块应答TCP响应包，完成三次握手；

当恶意代码主动发起DNS解析外联请求时，所述蜜罐网关外联欺骗模块模拟DNS服务器，应答域名对应的解析IP地址；

当恶意代码主动发起PING外联请求时，所述蜜罐网关外联欺骗模块返回PING成功响应包；

当恶意代码主动发起HTTP URL外联请求时，所述蜜罐网关外联欺骗模块根据URL外联请求是否包含文件名后缀返回后缀相同的虚假文件或200状态码。

在一种可能的实现方式中，当恶意代码主动发起TCP外联请求时，所述蜜罐网关外联欺骗模块应答TCP响应包，完成三次握手，进一步包括：

恶意代码发送真实SYN包至所述蜜罐网关外联欺骗模块，进行第一次握手；

所述蜜罐网关外联欺骗模块对恶意代码欺骗应答ACK包，进行第二次握手；

恶意代码发送SYN包至所述蜜罐网关外联欺骗模块，进行第三次握手。

在一种可能的实现方式中，当恶意代码主动发起DNS解析外联请求时，所述蜜罐网关外联欺骗模块模拟DNS服务器，应答域名对应的解析IP地址，进一步包括：