公开(公告)号：CN107046535B

公开(公告)日：2019-11-29

申请号：CN201710183157.6

申请日：2017-03-24

Applicant: 中国科学院信息工程研究所

Inventor： 刘潮歌 ,  林建宝 ,  崔翔 ,  刘奇旭 ,  贾召鹏

IPC: H04L29/06

Abstract: 本发明提出了一种基于文档蜜标技术来进行异常感知和追踪溯源的方法，包括以下步骤：1)在受保护的主机中生成嵌入蜜标的蜜标文档，并记录蜜标文档携带的蜜标生成信息；2)根据蜜标文档的类型及嵌入蜜标的方式，设定判断异常条件；3)当蜜标文档被触发时，发送判断请求；4)分析该判断请求，提取触发蜜标文档的指纹信息及被触发的蜜标文档的蜜标生成信息；基于该指纹信息及蜜标生成信息，根据判断异常条件，判断是否出现异常并对攻击者进行追踪。同时提供实现上述方法的系统。该方法的实施及系统的部署不依赖主机的服务环境，与攻击者的攻击方法无关，能够有效检测多种异常行为，并对窃密型攻击实施有效追踪溯源。

公开(公告)号：CN107046535A

公开(公告)日：2017-08-15

申请号：CN201710183157.6

申请日：2017-03-24

Applicant: 中国科学院信息工程研究所

Inventor： 刘潮歌 ,  林建宝 ,  崔翔 ,  刘奇旭 ,  贾召鹏

IPC: H04L29/06

Abstract: 本发明提出了一种基于文档蜜标技术来进行异常感知和追踪溯源的方法，包括以下步骤：1)在受保护的主机中生成嵌入蜜标的蜜标文档，并记录蜜标文档携带的蜜标生成信息；2)根据蜜标文档的类型及嵌入蜜标的方式，设定判断异常条件；3)当蜜标文档被触发时，发送判断请求；4)分析该判断请求，提取触发蜜标文档的指纹信息及被触发的蜜标文档的蜜标生成信息；基于该指纹信息及蜜标生成信息，根据判断异常条件，判断是否出现异常并对攻击者进行追踪。同时提供实现上述方法的系统。该方法的实施及系统的部署不依赖主机的服务环境，与攻击者的攻击方法无关，能够有效检测多种异常行为，并对窃密型攻击实施有效追踪溯源。