专利 攻击反制方法、装置、计算机设备和存储介质

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202111351883.7 (22)申请日 2021.11.16 (71)申请人中国工商银行股份有限公司地址 100140 北京市西城区复兴门内大街 55号 (72)发明人曹伟娜　 (74)专利代理机构华进联合专利商标代理有限公司 44224 代理人成亚婷 (51)Int.Cl. H04L 9/40(2022.01) G06F 9/455(2006.01) (54)发明名称攻击反制方法、装置、计算机设备和存储介质 (57)摘要本申请涉及一种攻击反制方法、装置、计算机设备和存储介质，涉及信息安全技术领域。攻击反制方法应用于木马攻击防御系统，所述系统包括第一设备和第二设备，所述第一设备上运行有虚拟机，所述方法包括：所述第一设备的所述虚拟机检测到攻击设备的入侵行为时，响应于所述攻击设备的读写请求，向所述攻击设备传输诱饵文件；所述诱饵文件包括免杀木马。所述第二设备在所述攻击设备操作所述诱饵文件的情况下，基于所述免杀木马控制所述攻击设备。能够解决现有技术中硬件成本过高的问题。权利要求书2页说明书11页附图3页 CN 114157454 A 2022.03.08 CN 114157454 A 1.一种攻击反制方法，其特征在于，应用于木马攻击防御系统，所述系统包括第一设备和第二设备，所述第一设备上运行有虚拟机，所述方法包括：所述第一设备的所述虚拟机检测到攻击设备的入侵行为时，响应于所述攻击设备的读写请求，向所述攻击设备传输诱饵文件；所述诱饵文件包括免杀木马；所述第二设备在所述攻击设备操作所述诱饵文件的情况下，基于所述免杀木马控制所述攻击设备。 2.根据权利要求1所述的攻击反制方法，其特征在于，所述第一设备的所述虚拟机检测到攻击设备的入侵行为时，响应于所述攻击设备的读写请求，向所述攻击设备传输诱饵文件之前，还包括：所述第一设备的所述虚拟机接收第一用户操作，响应于所述第一用户操作运行来自所述攻击设备的木马文件，以便所述攻击设备控制所述虚拟机。 3.根据权利要求2所述的攻击反制方法，其特征在于，所述第一用户操作包括在所述第一设备的所述虚拟机中对目标邮箱的登录操作；所述目标邮箱包括钓鱼邮件，所述钓鱼邮件包括所述木马文件。 4.根据权利要求3所述的攻击反制方法，其特征在于，所述方法还包括：所述第一设备接收来自服务器的提示信息，并展示所述提示信息；所述提示信息用于提示用户在所述虚拟机上操作所述钓鱼邮件。 5.根据权利要求1 ‑4任一项所述的攻击反制方法，其特征在于，所述诱饵文件包括所述攻击设备的待访问数据。 6.根据权利要求1 ‑4任一项所述的攻击反制方法，其特征在于，所述第二设备在所述攻击设备操作所述诱饵文件的情况下，基于所述免杀木马控制所述攻击设备，包括：所述第二设备在所述攻击设备操作所述诱饵文件的情况下，通过监听端口接收来自所述攻击设备的连接请求；所述第二设备根据所述连接请求与所述攻击设备建立连接，以控制所述攻击设备。 7.根据权利要求1 ‑4任一项所述的攻击反制方法，其特征在于，所述第一设备的所述虚拟机检测到攻击设备的入侵行为时，响应于所述攻击设备的读写请求，向所述攻击设备传输诱饵文件之前，还包括：所述第二设备生成所述诱饵文件，并将所述诱饵文件传输至所述第一设备；所述第一设备将所述诱饵文件植入所述虚拟机中。 8.一种木马攻击防御系统，其特征在于，所述系统包括第一设备和第二设备，所述第一设备上运行有虚拟机；所述第一设备的所述虚拟机，用于检测到攻击设备的入侵行为时，响应于所述攻击设备的读写请求，向所述攻击设备传输诱饵文件；所述诱饵文件包括免杀木马；所述第二设备，用于在所述攻击设备操作所述诱饵文件的情况下，基于所述免杀木马控制所述攻击设备。 9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要1 ‑7任一项所述方法的第一设备的步骤；或者，所述处理器执行所述计算机程序时实现权利要1 ‑7任一项所述的方法的第二设备的步权　利　要　求　书 1/2 页 2 CN 114157454 A 2骤。 10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1 ‑7任一项所述的方法的第一设备的步骤；或者，所述计算机程序被处理器执行时实现权利要求1 ‑7任一项所述的方法的第二设备的步骤。权　利　要　求　书 2/2 页 3 CN 114157454 A 3

专利 攻击反制方法、装置、计算机设备和存储介质

专利攻击反制方法、装置、计算机设备和存储介质