[发明专利]一种针对后门攻击的主动对抗方法、系统、设备及介质

说明书

本发明实施例提供了一种针对后门攻击的主动对抗方法、系统、设备及介质，通过实时检测黑客后门攻击入侵成功之后，由替换后的代理程序将整个攻击访问请求转发至蜜罐中，在蜜罐环境中模拟执行后门功能，并将后门执行结果由代理程序转发给攻击访问主体，以响应所述攻击访问主体的请求。本发明实施例中，由原来蜜罐被动等待黑客触达转为主动引导并转发攻击访问至蜜罐环境，防御中无需删除/隔离后门，对实际业务不会造成损失。在黑客访问后门执行进一步攻击时，再主动引导黑客请求进入蜜罐，确保蜜罐能够触达黑客攻击，无需部署大量的蜜罐被动监听，保证拟真性。

技术领域

本发明实施例涉及信息安全技术领域，具体涉及一种针对后门攻击的主动对抗方法、系统、设备及介质。

背景技术

在信息安全领域，后门是指绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。

主机上的后门来源主要有以下几种：攻击者利用欺骗的手段，通过发送电子邮件或者文件，并诱使主机的操作员打开或运行藏有木马程序的邮件或文件，这些木马程序就会在主机上创建一个后门。攻击者攻陷一台主机，获得其控制权后，在主机上建立后门，比如安装木马程序，以便下一次入侵时使用。

目前针对后门黑客攻击，利用直接删除/隔离后门作为防御手段，这样容易被黑客发现，从而再次入侵并隐藏避免被发现。

另外，通常利用蜜罐部署来防御后门黑客攻击。传统蜜罐部署需要和真实业务并行部署，比如作为业务的子域名或子链接，黑客通常只会攻击业务的主要域名，对于边缘的子域名很难被黑客触达到。

同时传统蜜罐部署中采用蜜罐被动监听，主要通过大规模部署让黑客有一定概率触达，需要大量的蜜罐/诱饵来接触到攻击事件，蜜罐部署成本高。或者在黑客攻击时发送虚假信息引导，传统蜜罐对业务的模拟，也是通过学习真实业务网站进行的，学习的深度和可交互性受成本制约，在复杂操作后会被识别出来，因此，其真实度也较低。

发明内容

为此，本发明实施例提供一种针对后门攻击的主动对抗方法、系统、设备及介质，以解决传统后门黑客攻击防御手段效果差的技术问题。

为了实现上述目的，本发明实施例提供如下技术方案：

根据本发明实施例的第一方面，本申请实施例提供了一种针对后门攻击的主动对抗方法，所述方法包括：

实时监测主机是否存在后门；

如果主机存在后门，将所述后门上传至蜜罐，并获取所述后门在蜜罐中的访问地址w_uri；

将所述后门替换为代理程序；

当接收到攻击访问，将HTTP请求中的URI替换为所述访问地址w_uri；

由代理程序将整个攻击访问请求基于所述访问地址w_uri转发至蜜罐；

在蜜罐环境中基于攻击访问请求的内容模拟执行后门功能，并将后门执行结果返回给代理程序；

由代理程序将所述后门执行结果转发给攻击访问主体，以响应所述攻击访问主体的请求。

进一步地，所述方法还包括：

当监测到主机存在后门时，上报主机被植入后门；

基于用户的配置/指令实施调度任务，下发主动对抗请求；

接收到主动对抗请求，将所述后门上传至蜜罐。

进一步地，所述方法还包括：

从所述蜜罐接收上传的访问日志；

基于所述访问日志，解析攻击访问主体行为，生成攻击溯源报告。