[发明专利]一种基于密签诱饵的威胁诱捕方法

权利要求书

1.一种基于密签诱饵的威胁诱捕方法，其特征在于：该方法通过模拟易受攻击的系统来诱使黑客进行攻击，然后将黑客的活动记录，进而分析，为往后防御提供指导，从而达到安全威胁诱捕的目的。

2.根据权利要求1所述的基于密签诱饵的威胁诱捕方法，其特征在于：所述方法包括以下步骤：

步骤S1：设置诱饵文件；

步骤S2：设置诱饵信标；

步骤S3：通过密签技术生成带有诱饵信标的诱饵文件，将诱饵文件保存到安全威胁诱捕系统监控下的网络服务器中；

步骤S4：测试诱饵信标是否加密成功；

步骤S5：测试通过后，在诱饵信标中设置URL路径并附上唯一标识符，标识符在被操作后会发出不同的可信指令到安全威胁诱捕系统中，并同时记录黑客的连接信息；

步骤S6：通过上述步骤S1-S5，准备不同的诱饵文件后将诱饵文件上传到安全威胁诱捕系统中，通过上述系统将不同的诱饵文件分配到不同的诱捕蜜罐中；

步骤S7：安全威胁诱捕系统会将诱饵文件进一步伪装成具体的系统文件、重要文件；

步骤S8：黑客获取安全威胁诱捕系统权限访问诱饵文件时，根据黑客动作诱饵文件会向探针发送不同的信息；

步骤S9：探针将信息通过TCP/IP协议转发传入服务端进行数据分析；

步骤S10：将数据分析结果显示到诱捕蜜罐的前端页面上，从而通过安全威胁诱捕系统监控黑客是否获得系统访问权限并试图访问并窃取诱饵文件。

3.根据权利要求2所述的基于密签诱饵的威胁诱捕方法，其特征在于：所述步骤S1中，将诱饵文件设置成图片、Office、数据库文件、日志中的一种或几种。

4.根据权利要求2所述的基于密签诱饵的威胁诱捕方法，其特征在于：所述步骤S2中，通过密签技术将黑客信息链接到诱饵信标中，诱饵信标完全透明，其中，设置诱饵信标的过程如下：

将诱饵信标嵌入存储在Web服务器上的链接信息，每当访问/打开诱饵文件时，诱饵文件尝试从远程位置即Web服务器加载，反过来又向Web服务器发送HTTP请求，Web服务器查找相应的信息并将黑客信息交付以嵌入到诱饵文件中，还会为此入站请求创建一个日志条目，该日志条目描述有人已渗透安全威胁诱捕系统并试图窃取敏感信息。

5.根据权利要求2所述的基于密签诱饵的威胁诱捕方法，其特征在于：所述步骤S4的测试过程为：

步骤I、通过安全威胁诱捕系统创建一个诱饵信标，诱饵信标将连接到诱饵文件中，将此诱饵文件保存在网络服务器的web目录中，启动web服务器并检查网络浏览器中是否出现测试页面，如出现测试页面则证明诱饵信标可以使用；

步骤II、将远程部署的诱饵信标嵌入到办公文档文件中，插入诱饵文件并输入诱饵信标，即可完成一个诱饵信标的使用；

步骤III、诱饵信标需要设置URL路径和唯一标识符；

步骤VI、诱饵文件准备完毕后对整个办公文档文件进行加密签名；将指定的链路信息与诱饵文件绑定，对诱饵文件进行操作会向指定探针服务器发起请求，并记录相应的日志信息；

步骤V、安全威胁诱捕系统的监控层采用Falco对Linux系统调用行为进行监控，并设置全覆盖的监控规则，完善诱饵监控视角；

步骤IV、如果能监控到诱饵信标的完整活动路径则证明诱饵信标加密成功，否则证明诱饵信标加密不成功，重复上述步骤I-V直至诱饵信标加密成功。

6.根据权利要求2-5任一项所述的基于密签诱饵的威胁诱捕方法，其特征在于：所述诱饵文件部署在笔记本电脑或服务器或台式机或电子邮件或手机上。