公开(公告)号：CN109495443B

公开(公告)日：2021-02-19

申请号：CN201811065691.8

申请日：2018-09-13

Applicant: 中国科学院信息工程研究所

Inventor： 王梓晗 ,  刘潮歌 ,  崔翔 ,  刘奇旭

IPC: H04L29/06

Abstract: 本发明涉及一种基于主机蜜罐对抗勒索软件攻击的方法和系统。该方法包括：1)在主机群中搭建主机蜜罐环境；2)在主机蜜罐中生成并部署蜜饵文件，并记录其初始文件类型和熵值状态；3)监控主机蜜罐的远程登录状态，当检测到具有远程登录操作发生时，通知主机蜜罐开启实时监控行为；4)监控蜜饵文件的文件类型和熵值信息，当文件类型和熵值均发生异常变化时，判定为勒索软件攻击；5)当主机蜜罐检测到勒索软件攻击时，收集攻击者主机的可溯源信息；6)将收集到的攻击者主机的可溯源信息，作为可溯源线索发送到安全主机中。本发明能够在低消耗、零损失的条件下通过欺骗攻击者防御勒索软件的攻击，保护用户和企业的数据与财产安全。

公开(公告)号：CN109495443A

公开(公告)日：2019-03-19

申请号：CN201811065691.8

申请日：2018-09-13

Applicant: 中国科学院信息工程研究所

Inventor： 王梓晗 ,  刘潮歌 ,  崔翔 ,  刘奇旭

IPC: H04L29/06

Abstract: 本发明涉及一种基于主机蜜罐对抗勒索软件攻击的方法和系统。该方法包括：1)在主机群中搭建主机蜜罐环境；2)在主机蜜罐中生成并部署蜜饵文件，并记录其初始文件类型和熵值状态；3)监控主机蜜罐的远程登录状态，当检测到具有远程登录操作发生时，通知主机蜜罐开启实时监控行为；4)监控蜜饵文件的文件类型和熵值信息，当文件类型和熵值均发生异常变化时，判定为勒索软件攻击；5)当主机蜜罐检测到勒索软件攻击时，收集攻击者主机的可溯源信息；6)将收集到的攻击者主机的可溯源信息，作为可溯源线索发送到安全主机中。本发明能够在低消耗、零损失的条件下通过欺骗攻击者防御勒索软件的攻击，保护用户和企业的数据与财产安全。