本發明涉及一種基于主機蜜罐對抗勒索軟件攻擊的方法和系統。該方法包括：1)在主機群中搭建主機蜜罐環境；2)在主機蜜罐中生成并部署蜜餌文件，并記錄其初始文件類型和熵值狀態；3)監控主機蜜罐的遠程登錄狀態，當檢測到具有遠程登錄操作發生時，通知主機蜜罐開啟實時監控行為；4)監控蜜餌文件的文件類型和熵值信息，當文件類型和熵值均發生異常變化時，判定為勒索軟件攻擊；5)當主機蜜罐檢測到勒索軟件攻擊時，收集攻擊者主機的可溯源信息；6)將收集到的攻擊者主機的可溯源信息，作為可溯源線索發送到安全主機中。本發明能夠在低消耗、零損失的條件下通過欺騙攻擊者防御勒索軟件的攻擊，保護用戶和企業的數據與財產安全。

技術領域

本發明屬于計算機網絡安全領域，涉及一種基于主機蜜罐對抗勒索軟件攻擊的方法和系統。

背景技術

勒索軟件(Ransomware)被廣泛認為是一類以加密數據鎖定設備為攻擊方式、勒索贖金為主要目的的惡意軟件。傳統惡意軟件通常旨在實現隱身，在不引起懷疑的前提下收集私密信息，如銀行憑證、用戶按鍵、屏幕截圖等。勒索軟件與傳統的惡意軟件相比表現出明顯行為上的差異，通常以索要贖金為目的，公開地通知用戶被感染。

近年來，勒索軟件攻擊愈演愈烈，已成為當今互聯網的嚴重安全威脅。勒索軟件在給被感染用戶帶來嚴重的數據及財產損失的同時，也引起國內外安全業界的充分重視。

由于近幾年匿名貨幣的興起，勒索軟件借助這種支付方式，在2013年左右達到一個爆發。以比特幣為首的匿名貨幣以其去中心化、匿名、難以追蹤溯源等特點，為犯罪分子提供了便利。賽門鐵克(Symantec)公司公布的勒索軟件發展報告指出，2013年勒索軟件的數量與前幾年相比增長了500％，僅2013至2014年出現的新型勒索軟件家族比例達到250％。網絡威脅聯盟(Cyber Threat Alliance,CTA)針對CryptoWall 3.0的報告顯示，截至2016年9月已發現其40余萬感染案例，造成直接經濟損失至少3.25億。2017年5月，勒索軟件WannaCry在全世界范圍爆發，4天內席卷至少150個國家20多萬臺電腦，國內包括中石油在內的眾多大型企業、高校、實驗室均受到波及，多地加油終端、醫療系統癱瘓，嚴重影響公民日常生活。

勒索軟件攻擊手段主要有：影響用戶使用，恐嚇用戶，綁架用戶數據三類。勒索軟件感染主機后，通過鎖定系統屏幕、設置無盡彈窗、修改文件正常關聯、攔截手機來電等，會影響用戶使用的方式阻礙用戶使用被感染設備；通過偽裝成殺毒軟件、執法機構等方式恐嚇、威脅用戶；通過加密用戶數據文檔、通訊錄，刪除、隱藏用戶文件等方式控制用戶資源。勒索軟件通過以上三種方式攻擊用戶，并以此向用戶索要贖金。如今，勒索軟件趨于框架化、服務化，降低了犯罪分子的技術門檻，更加重了其威脅程度。

現有的勒索軟件對抗技術主要分為兩部分，其一，通過對靜態樣本分析和模式匹配的方式檢測勒索軟件，并分析出相應的解決方式。但是由于勒索軟件變種多種多樣，這類對抗技術在定向的勒索軟件攻擊中收效甚微。所以常需要通過實時的發現和阻止勒索軟件攻擊的方式來保護主機，通常是基于對勒索軟件攻擊的檢測實現對抗和防御。例如對密鑰傳遞的攔截和主機行為監控實時監測勒索軟件的攻擊行為，進而阻止勒索軟件的進一步攻擊。然而單一的檢測防御技術不能對攻擊者形成威懾或扼制勒索軟件的傳播。目前尚沒有針對高級勒索軟件攻擊者形成完整有效的取證和溯源技術，一定程度上助長了勒索軟件攻擊者的囂張氣焰。

發明內容

針對上述問題，本發明提出了一種基于主機蜜罐對抗勒索軟件攻擊的方法和系統。該方法可以通過誘導未知的勒索軟件攻擊來保護真實主機，并且通過監控蜜罐中攻擊者的攻擊行為收集可溯源信息，使用追蹤溯源技術從根本上遏制勒索軟件的傳播，對抗勒索軟件。

為達到上述目的，本發明采取的具體技術方案是：

一種基于主機蜜罐對抗勒索軟件攻擊的方法，利用新型主機蜜罐實時發現勒索軟件攻擊，并通過收集攻擊者可溯源信息，利用追蹤溯源技術對抗勒索軟件攻擊，該方法包括以下步驟：