(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111607078.6 (22)申请日 2021.12.27 (71)申请人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 陈杰　童兆丰　薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种攻击 检测溯源方法、 装置及系统 (57)摘要 本申请实施例提供一种攻击检测溯源 方法、 装置及系统， 涉及网络安全技术领域， 该攻击检 测溯源方法包括： 先通过预先部署的诱饵服务程 序诱导攻击者对目标主机发起攻击行为； 然后对 攻击行为进行追踪溯源， 得到攻击主机的指纹信 息， 并获取攻击行为对目标主机的攻击信息； 再 根据指纹信息和攻击信息生 成攻击者画像； 最后 根据攻击者画 像进行全网覆 盖检测， 确定出被攻 击主机攻击的沦陷主机， 并对沦陷主机进行隔离 处理。 可见， 实施该方法， 能够针对性的对某一攻 击行为进行攻击检测 并溯源， 准确率高， 误报率 低， 不需要人工排 查检测结果， 节省人力物力。 权利要求书2页 说明书10页 附图4页 CN 113992435 A 2022.01.28 CN 113992435 A 1.一种攻击检测溯源方法， 其特 征在于， 包括： 通过预先部署的诱饵服 务程序诱导攻击者对目标主机发起 攻击行为； 对所述攻击行为进行追踪溯源， 得到攻击主机的指纹信息， 并获取所述攻击行为对所 述目标主机的攻击信息； 根据所述指纹信息和所述 攻击信息生成攻击者画像； 根据所述攻击者画像进行全网覆盖检测， 确定出被所述攻击主机攻击的沦陷主机， 并 对所述沦陷主机进行隔离处 理。 2.根据权利要求1所述的攻击检测溯源方法， 其特征在于， 在所述通过预先部署的诱饵 服务程序诱导攻击者对目标主机发起 攻击行为之前， 所述方法还 包括： 在与蜜罐服 务端进行互联后， 接收所述蜜罐服 务端发送的诱饵服 务指令； 根据所述诱饵服务指令下载诱饵服务程序至目标主机， 并启动所述诱饵服务程序、 预 先配置的文件监控 模块和预 先配置的事 件监听模块。 3.根据权利要求1所述的攻击检测溯源方法， 其特征在于， 对所述攻击行为进行追踪溯 源， 得到攻击主机的指纹信息， 包括： 获取所述攻击行为的行为数据和操作逻辑； 根据所述行为数据和所述操作逻辑进行追踪溯源， 得到攻击主机的主机信息； 根据所述主机信息生成所述 攻击主机的指纹信息 。 4.根据权利要求2所述的攻击检测溯源方法， 其特征在于， 获取所述攻击行为对所述目 标主机的攻击信息， 包括： 通过所述文件监控 模块实时监控所述 诱饵服务程序的配置文件； 获取所述攻击行为对所述配置文件进行修改的修改数据； 通过所述事件监听模块获取所述攻击行为对所述目标主机的操作信息和反弹的远程 地址信息； 汇总所述 修改数据、 所述操作信息和所述反弹的远程 地址信息， 得到攻击信息 。 5.根据权利要求1所述的攻击检测溯源方法， 其特征在于， 根据 所述指纹信 息和所述攻 击信息生成攻击者画像， 包括： 根据所述指纹信息、 所述 攻击信息确定所述 攻击行为的攻击手法和攻击步骤信息； 根据所述 攻击手法和所述 攻击步骤信息构建攻击者画像； 将所述指纹信 息、 所述攻击信息、 所述攻击者画像标记为攻击特征信 息， 并将所述攻击 特征信息上报至攻击检测服务端， 以使所述攻击检测服务端根据所述攻击特征信息对预存 的画像库和威胁情 报库进行 更新。 6.根据权利要求1所述的攻击检测溯源方法， 其特征在于， 根据 所述攻击者画像进行全 网覆盖检测， 确定出被所述 攻击主机攻击沦陷的沦陷主机， 包括： 根据所述 攻击者画像对接入的至少一个主机设备进行全网覆盖检测， 得到检测结果； 根据所述检测结果判断所述至少一个主机设备中是否存在被攻击的沦陷主机； 如果是， 则根据所述检测结果确定所述沦陷主机 。 7.一种攻击检测溯源 装置， 其特 征在于， 所述 攻击检测溯源 装置包括： 诱导攻击单元， 用于通过预先部署的诱饵服务程序诱导攻击者对目标主机发起攻击行 为；权　利　要　求　书 1/2 页 2 CN 113992435 A 2追踪溯源单 元， 用于对所述 攻击行为进行追踪溯源， 得到攻击主机的指纹信息； 攻击信息获取 单元， 用于获取 所述攻击行为对所述目标主机的攻击信息； 画像生成单 元， 用于根据所述指纹信息和所述 攻击信息生成攻击者画像； 全网检测单元， 用于根据所述攻击者画像进行全网覆盖检测， 确定出被所述攻击主机 攻击沦陷的沦陷主机； 隔离单元， 用于对所述沦陷主机进行隔离处 理。 8.一种攻击检测溯源系统， 其特征在于， 所述攻击检测溯源系统包括： 蜜罐服务端以及 权利要求7 所述的攻击检测溯源 装置， 其中， 所述蜜罐服务端， 用于与所述攻击检测溯源装置进行互联， 发送与目标主机相匹配的 诱饵服务指令至攻击检测溯源 装置； 所述攻击检测溯源装置， 用于接收所述诱饵服务指令， 并发送针对所述诱饵服务指令 的接收成功信息至所述蜜罐服务端； 以及根据所述诱饵服务下载诱饵服务程序， 通过所述 诱饵服务程序诱导攻击者对目标主机发起攻击行为； 并对所述攻击行为进行追踪溯源， 得 到攻击主机的指纹信息， 并获取所述攻击行为对所述 目标主机的攻击信息； 以及根据所述 指纹信息和所述攻击信息生成攻击者画像； 以及根据所述攻击者画像进行全网覆盖检测， 确定出被所述 攻击主机攻击沦陷的沦陷主机， 并对所述沦陷主机进行隔离处 理。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至6中 任一项所述的攻击检测溯源方法。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所 述计算机程序指 令被一处理器读取并运行时， 执行权利要求 1至6任一项 所述的攻击检测 溯 源方法。权　利　要　求　书 2/2 页 3 CN 113992435 A 3