网空威胁行为体的溯源方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术实施例涉及计算机技术领域，特别涉及一种网空威胁行为体的溯源方法、装置、电子设备及存储介质。其中，网空威胁行为体的溯源方法包括：构建溯源主体；其中，所述溯源主体具有虚假且可控的溯源载荷；利用所述溯源主体接收并触发网空威胁行为体的攻击载荷，以使所述网空威胁行为体获得所述溯源主体的访问权限；响应于所述网空威胁行为体触发所述溯源主体的所述溯源载荷，利用所述溯源载荷获取所述网空威胁行为体的属性信息，以对所述网空威胁行为体进行溯源。本发明专利技术提供的技术方案能够解决网空威胁行为体不能及时被溯源的问题。网空威胁行为体不能及时被溯源的问题。网空威胁行为体不能及时被溯源的问题。

【技术实现步骤摘要】
网空威胁行为体的溯源方法、装置、电子设备及存储介质


[0001]本专利技术实施例涉及计算机
，特别涉及一种网空威胁行为体的溯源方法、装置、电子设备及存储介质。

技术介绍

[0002]随着近年来各行各业都在不断开展信息化与智能化建设，社会信息化水平不断提升，对信息系统的安全防范也提出了新的要求，而网空威胁(即网络空间的攻击活动)对于信息系统安全会产生极大的影响。其中，网空威胁来源于网空威胁行为体，而网空威胁行为体是需要对网络安全事件产生的影响负责的个人或主体。
[0003]相关技术中，网空威胁行为体的溯源方法主要通过防御方的邮件网关和终端安全防护等溯源方式进行溯源。具体过程大致为：在网空威胁(例如攻击邮件)抵达防御方且被触发时，或者在网空威胁后续产生的异常行为被防御方感知时，防御方才意识到失陷事件的发生，此时防御方才开始利用上述溯源方式对网空威胁行为体进行溯源，以获取到网空威胁行为体的相关信息。而此时，网空威胁造成的损失已经产生。

技术实现思路

[0004]为了解决网空威胁行为体不能及时被溯源的问题，本专利技术实施例提供了一种网空威胁行为体的溯源方法、装置、电子设备及存储介质。
[0005]第一方面，本专利技术实施例提供了一种网空威胁行为体的溯源方法，包括：
[0006]构建溯源主体；其中，所述溯源主体具有虚假且可控的溯源载荷；
[0007]利用所述溯源主体接收并触发网空威胁行为体的攻击载荷，以使所述网空威胁行为体获得所述溯源主体的访问权限；
[0008]响应于所述网空威胁行为体触发所述溯源主体的所述溯源载荷，利用所述溯源载荷获取所述网空威胁行为体的属性信息，以对所述网空威胁行为体进行溯源。
[0009]在一种可能的设计中，所述溯源主体包括陷阱邮箱和拟真主体，所述陷阱邮箱是基于防御方的身份信息进行构建的，所述拟真主体包括沙箱或蜜罐。
[0010]在一种可能的设计中，所述利用所述溯源主体接收并触发网空威胁行为体的攻击载荷，以使所述网空威胁行为体获得所述溯源主体的访问权限，包括：
[0011]利用所述陷阱邮箱接收网空威胁行为体的攻击邮件；其中，所述攻击邮件具有攻击载荷；
[0012]利用运行在所述拟真主体上的所述陷阱邮箱触发所述攻击载荷，以使所述网空威胁行为体获得所述陷阱邮箱的访问权限或所述拟真主体的访问权限。
[0013]在一种可能的设计中，在所述构建溯源主体之后和在所述利用所述陷阱邮箱接收网空威胁行为体的攻击邮件之前，还包括：
[0014]对所述陷阱邮箱进行预处理；
[0015]公开发布预处理后的所述陷阱邮箱。
[0016]在一种可能的设计中，所述预处理包括如下中的至少一种：
[0017]降低所述陷阱邮箱的访问权限；
[0018]开启所述陷阱邮箱的登陆者IP和地理位置记录功能；
[0019]在所述陷阱邮箱中预存多封具有预设时间跨度的正常邮件。
[0020]在一种可能的设计中，在所述利用运行在所述拟真主体上的所述陷阱邮箱触发所述攻击载荷之后和在所述响应于所述网空威胁行为体触发所述溯源主体的所述溯源载荷之前，还包括如下中的至少一个步骤：
[0021]响应于监测到所述陷阱邮箱存在异常行为，对由所述陷阱邮箱向外发送的邮件进行拦截，并在所述陷阱邮箱的邮件页面显示为已发送状态；
[0022]响应于监测到所述陷阱邮箱存在异常行为，向所述陷阱邮箱发送新的溯源载荷；其中，所述溯源载荷为陷阱邮件，所述陷阱邮件的内容具有预设的敏感信息；
[0023]响应于监测到所述拟真主体存在异常行为，向所述拟真主体发送新的溯源载荷；其中，所述溯源载荷为陷阱文件，所述陷阱文件的内容具有预设的敏感信息。
[0024]在一种可能的设计中，所述属性信息包括网络信息、主机信息和文件信息，其中：
[0025]所述网络信息包括IP地址、网络账号、WIFI信息；
[0026]所述主机信息包括系统语言、时区位置、进程服务、软件列表；
[0027]所述文件信息包括武器工具、程序源码、日记手册、客户协议。
[0028]第二方面，本专利技术实施例还提供了一种网空威胁行为体的溯源装置，包括：
[0029]构建模块，用于构建溯源主体；其中，所述溯源主体具有虚假且可控的溯源载荷；
[0030]触发模块，用于利用所述溯源主体接收并触发网空威胁行为体的攻击载荷，以使所述网空威胁行为体获得所述溯源主体的访问权限；
[0031]溯源模块，用于响应于所述网空威胁行为体触发所述溯源主体的所述溯源载荷，利用所述溯源载荷获取所述网空威胁行为体的属性信息，以对所述网空威胁行为体进行溯源。
[0032]第三方面，本专利技术实施例还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施例所述的方法。
[0033]第四方面，本专利技术实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行本说明书任一实施例所述的方法。
[0034]本专利技术实施例提供了一种网空威胁行为体的溯源方法、装置、电子设备及存储介质，通过构建溯源主体，如此可以利用溯源主体来主动诱导网空威胁行为体对其进行攻击；在防御方触发网空威胁行为体的攻击载荷时，可以使网空威胁行为体获得溯源主体的访问权限，这样就可以继续诱敌深入；当网空威胁行为体获得溯源主体的访问权限后，就可能会触发溯源主体的溯源载荷；在网空威胁行为体触发溯源载荷时，可以利用溯源载荷获取网空威胁行为体的属性信息，以对网空威胁行为体进行溯源。综上，上述技术方案能够解决网空威胁行为体不能及时被溯源的问题。
附图说明
[0035]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
[0036]图1是本专利技术一实施例提供的一种网空威胁行为体的溯源方法流程图；
[0037]图2是本专利技术一实施例提供的另一种网空威胁行为体的溯源方法流程图；
[0038]图3是本专利技术一实施例提供的一种电子设备的硬件架构图；
[0039]图4是本专利技术一实施例提供的一种网空威胁行为体的溯源装置结构图；
[0040]图5是本专利技术一实施例提供的另一种网空威胁行为体的溯源装置结构图；
[0041]图6是本专利技术一实施例提供的又一种网空威胁行为体的溯源装置结构图。
具体实施方式
[0042]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例，基于本专利技术中的实施例，本领域普通技术人员在没有做出创造本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网空威胁行为体的溯源方法，其特征在于，包括：构建溯源主体；其中，所述溯源主体具有虚假且可控的溯源载荷；利用所述溯源主体接收并触发网空威胁行为体的攻击载荷，以使所述网空威胁行为体获得所述溯源主体的访问权限；响应于所述网空威胁行为体触发所述溯源主体的所述溯源载荷，利用所述溯源载荷获取所述网空威胁行为体的属性信息，以对所述网空威胁行为体进行溯源。2.根据权利要求1所述的方法，其特征在于，所述溯源主体包括陷阱邮箱和拟真主体，所述陷阱邮箱是基于防御方的身份信息进行构建的，所述拟真主体包括沙箱或蜜罐。3.根据权利要求2所述的方法，其特征在于，所述利用所述溯源主体接收并触发网空威胁行为体的攻击载荷，以使所述网空威胁行为体获得所述溯源主体的访问权限，包括：利用所述陷阱邮箱接收网空威胁行为体的攻击邮件；其中，所述攻击邮件具有攻击载荷；利用运行在所述拟真主体上的所述陷阱邮箱触发所述攻击载荷，以使所述网空威胁行为体获得所述陷阱邮箱的访问权限或所述拟真主体的访问权限。4.根据权利要求3所述的方法，其特征在于，在所述构建溯源主体之后和在所述利用所述陷阱邮箱接收网空威胁行为体的攻击邮件之前，还包括：对所述陷阱邮箱进行预处理；公开发布预处理后的所述陷阱邮箱。5.根据权利要求4所述的方法，其特征在于，所述预处理包括如下中的至少一种：降低所述陷阱邮箱的访问权限；开启所述陷阱邮箱的登陆者IP和地理位置记录功能；在所述陷阱邮箱中预存多封具有预设时间跨度的正常邮件。6.根据权利要求3所述的方法，其特征在于，在所述利用运行在所述拟真主体上的所述陷阱邮箱触发所述攻击载荷之后和在所述响应于所述网空威胁行为体触发所述溯源主体的所述溯源载荷之前，还包括如下中的至少一...

【专利技术属性】
技术研发人员：李登锋，白淳升，
申请(专利权)人：安天科技集团股份有限公司，
类型：发明
国别省市：