社会工程学交互方法、装置及存储介质

摘要

本发明提供一种社会工程学交互方法、装置及存储介质，该方法包括以下步骤：监测并记录来自社交平台的网络用户与监测端用户的会话消息；基于监测到的会话消息识别会话的身份认证状态；基于监测到的会话消息和预先设定的伪造场景数据识别会话的场景伪造状态；基于监测到的会话消息和预先设定的敏感操作数据识别会话的攻击实施状态；在识别到场景伪造状态后又识别到攻击实施状态的情况下，采用沙箱机制进行攻击处理；在识别到场景伪造状态后未识别到攻击实施状态的情况下，基于识别到的场景伪造状态中的伪造场景利用预建立的攻击诱导机制向网络用户发送攻击诱导性响应消息，以与网络用户进行交互，直至会话结束或识别到攻击实施状态。

说明书

技术领域

本发明涉及计算机技术领域、网络空间安全以及社会工程学领域，更具体地涉及一种社会工程学交互方法、装置及存储介质。

背景技术

目前，对于社会工程学的研究主要集中于攻击模型理解、人格脆弱性分析、攻击检测、防御等。攻击模型虽然提出了不少种结构，但理论上都是凯文·米特尼克的攻击模型的延伸和完善，比如现有文献将一次社工攻击分为8个阶段：1)收集信息；2)确定策略；3)利用心理因素；4)接近受害者；5)角色扮演；6)信任建立；7)等待时机；8)开启攻击，整个过程非常详细，但是没有表现出各阶段之间的关系性。

当今对社会工程学攻击的检测研究层出不穷，从人和技术两个方面出发，主要分为基于安全教育和基于技术手段的检测机制。基于安全教育的检测机制将重心放在制定一系列的安全规则，提高个人的安全意识，但由于人并不是机器，随时都会出现疏忽，需要漫长的时间来训练才能得到提升，所以这种方法可靠性不强。基于技术手段的检测机制是从社会工程学攻击流程出发，通过提取一系列的特征来检测攻击，可以达到高准确性，快速性，对用户带来全方位的防护。但目前的攻击检测方式应用单一，灵活性差，例如就钓鱼邮件和钓鱼网站的检测方法而言，就需要两种不同的检测方式，并且缺乏对直接对话形式的社工攻击的检测，因此不能满足对诸如对话式的复杂、交叉的社会工程学攻击的检测。

因此，如何实现对复杂、交叉的社会工程学攻击的检测，是一个亟待解决的技术问题。

发明内容

鉴于此，本发明实施例提供了一种社会工程学交互方法、装置及存储介质，以消除或改善现有技术中存在的一个或更多个缺陷。

本发明的技术方案如下：

一种社会工程学交互方法，该方法包括以下步骤：

监测并记录来自社交平台的网络用户与监测端用户的会话消息；

基于监测到的会话消息识别会话的身份认证状态；

基于监测到的会话消息和预先设定的伪造场景数据识别会话的场景伪造状态；

基于监测到的会话消息和预先设定的敏感操作数据识别会话的攻击实施状态；

在识别到场景伪造状态又识别到攻击实施状态的情况下，进行攻击处理；

在识别到场景伪造状态而未识别到攻击实施状态的情况下，基于识别到的场景伪造状态中的伪造场景利用预建立的场景会话模式与网络用户进行会话，直至会话结束或识别到攻击实施状态，并在识别到攻击实施状态的情况下，进行攻击处理。

在一实施例中，所述方法还包括：在未识别到场景伪造状态且未识别到攻击实施状态的情况下，采用预定的常规会话模式与网络用户自动进行会话交互。

在一实施例中，所述基于监测到的会话消息识别会话身份认证状态的步骤包括：

采用自然语言处理进行命名实体识别，来识别会话的身份认证状态。

在一实施例中，所述基于监测到的会话消息和预先设定的场景数据识别会话的场景伪造状态的步骤包括：采用自然语言处理提取当前监测的会话消息的发言关键词，与预先设定的伪造场景数据进行匹配，并基于匹配结果识别会话的场景伪造状态。

在一实施例中，所述基于监测到的会话消息和预先设定的敏感操作数据识别会话的攻击实施状态的步骤包括：利用自然语言处理句法分析技术，提取当前监测的会话消息的动宾结构；将提取的动宾结构与所述敏感操作数据中的敏感操作通过基于词义的相似度算法进行匹配，并基于匹配结果识别会话的攻击实施状态。

在一实施例中，所述社交平台包括以下中的一种：微信平台、QQ平台、微博平台、电子邮件平台以及电信平台；

在所述会话为语音通话时，所述方法还包括：

将来自网络用户的语音自动转换成文字，以基于转换后的文字进行身份认证状态识别、场景伪造状态识别以及攻击实施状态识别；以及

将攻击诱导性响应消息由文字转换成语音，以向网络用户进行发送。

在一实施例中，所述监测端用户为监测端虚拟用户。

在一实施例中，所述监测端用户为监测端真实用户，所述方法还包括：在识别到场景伪造状态的情况下，通过交互界面和/或语音提示来请求进入监测端用户代理模式，在该请求被接受后进行所述行攻击处理步骤或与网络用户进行诱导性交互。

根据本发明的另一方面，还提供一种社会工程学交互装置，该装置包括处理器和存储器，所述存储器用于存储计算机程序，在所述计算机程序被处理器执行时实现如前所述的方法的步骤。

根据本发明的另一方面，还提供一种计算机存储介质，该计算机存储介质中存储有计算机程序，在所述计算机程序被执行时实现如前所述的方法的步骤。

本发明的社会工程学交互方法及装置采用基于状态转移的社会工程学模式，能够依据其状态转移方向识别可能的攻击者，并与攻击者进行交互，从而可以获取攻击者信任，以此来维持攻击，获取更多攻击者信息。基于此模式，本发明在与攻击者的交流中检测其攻击状态，并依据其状态做出相应措施，达到与攻击者进行交互的目的。相对传统的社会工程学被动检测方法来说，本方法还能进行主动防御，在攻击的诱骗与维持中为攻击者的溯源提供了更大可能。

本领域技术人员将会理解的是，能够用本发明实现的目的和优点不限于以上具体所述，并且根据以下详细说明将更清楚地理解本发明能够实现的上述和其他目的。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，并不构成对本发明的限定。在附图中：

图1示出了本发明一实施例中的社会工程学状态转移示意图。

图2为本发明一实施例中基于状态转移的社会工程学交互方法的流程示意图。

图3为本发明一实施例中基于状态转移的社会工程学交互方法的流程示例。

图4为本发明一实施例中基于状态转移的社会工程学交互系统框图示意。

图5为本发明一实施例中利用自然语言理解中的句法分析的示例。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施方式和附图，对本发明做进一步详细说明。在此，本发明的示意性实施方式及其说明用于解释本发明，但并不作为对本发明的限定。

在此，还需要说明的是，为了避免因不必要的细节而模糊了本发明，在附图中仅仅示出了与根据本发明的方案密切相关的结构和/或处理步骤，而省略了与本发明关系不大的其他细节。

应该强调，术语“包括/包含”在本文使用时指特征、要素、步骤或组件的存在，但并不排除一个或更多个其它特征、要素、步骤或组件的存在或附加。

在此，还需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互结合。

本发明结合大量文献总结和案例分析，提出了一种基于状态转移的社会工程学模式，认为一次社会工程学攻击通常存在身份认证、场景伪造和实施攻击三个步骤(或状态)，基于此模式，本发明的方法在与攻击者的交流中检测其攻击状态，并依据其状态做出相应措施，达到与攻击者进行交互的目的。相对传统的社会工程学被动检测方法来说，此方法还能进行主动防御，在攻击的诱骗与维持中为攻击者的溯源提供了更大可能。

图1所示为本发明实施例中社会工程学状态转移示意图。如图1所示，社会工程学攻击通常存在身份认证、场景伪造和实施攻击三个步骤。现将这三个步骤定义如下：

(1)身份认证：攻击方假称自己属于权威机构或日常接触机构，例如：快递员，警察，法院的人员，检察院的人员，等等。

(2)场景伪造：攻击方通过伪造一个场景欺骗受害人，从而使受害人在短时间里内心陷入焦急、恐惧等情绪，判断能力下降。

(3)实施攻击：攻击方利用受害人焦急、恐惧等心理，要求受害人执行一些敏感操作，如通过获悉银行账号及密码、或者要求对方转账等方式使受害人利益受损。

如图1所示，身份认证和场景伪造通常发生在实施攻击之前，即通常在身份认证和场景伪造成功后攻击者才开始实施攻击，如果场景伪造或身份认证失败，攻击者将难以实现对受害人的欺骗或使得受害人产生信任，因此往往难以成功实施攻击。也就是说，在社会工程学攻击中，会发生从身份认证状态和/或场景伪造状态到实施攻击状态的转移。

基于上述社会工程学攻击中的状态转移情况，本文提出的交互方法原则即是在配合攻击者进行攻击状态转移的同时，维持与攻击者的信任关系，保护用户的个人隐私，并尝试去套取攻击者的信息，从而为完成社会工程学攻击检测和溯源奠定良好的基础。

为了实现本发明的基于状态转移的社会工程学交互方法，本发明在研究大量社会工程学案例的基础上，人工总结了社工攻击中常用的场景，以此来识别当前对话的场景是不是有高度社会工程学攻击的可能性。除此之外，会根据不同的场景训练对话系统，每个场景的对话系统只专注于该场景领域内的交互，以此来维持与攻击者的信任关系，诱使对方尽快成功的完成状态转移，同时获取更多对方信息，从而可以提供更有效的防护举措。

图2所示为本发明实施例中基于状态转移的社会工程学交互方法的流程示意图。如图2所示，该方法包括以下步骤：

步骤S210，监测并记录来自社交平台的网络用户与监测端用户的会话消息。

该社交平台可以是微信平台、QQ平台、微博平台、电子邮件平台、电信平台等各种类型的能够进行社交的网络平台，列举出的这些社交平台仅为举例，并非用于限制本发明。

社交平台的网络用户为在社交平台上注册的用户，其可能是攻击者，也有可能是正常用户。

本发明实施例中，监测端为能够实现监测以及数据处理的处理设备，如PC、手机、服务器等具有通信功能和处理功能的电子设备，但本发明并不限于此。

监测端用户可以是通过与社交平台有通信接口的模拟软件模拟出的虚拟用户，用于模拟真实社交网络中的用户，使其吸引社会工程学攻击者进行攻击。对于微信、QQ等文字聊天式平台，每个监测端用户都拥有自己的社交账号，伪装成正常用户和对方使用本发明的交互方法进行交流，以在检测到攻击之后进行攻击处理；对于电信平台，监测端用户可拥有自己的电话号码，监测端可以自主接听电话并进行语音和文字的相互转换，使用本发明交互方法和对方正常通话，以进行攻击检测。

在本发明另一实施例中，监测端用户也可以是在监测端的真实的网络用户，此时在用户的监测端还可安装有用于监控其他网络用户与该真实的网络用户的会话的监控软件。

本文中，会话消息是指通过社交平台传输的交互消息。例如，对于微信平台，会话消息是网络用户之间传输的文字消息或语音。对于电子邮件平台，会话消息为在邮件内容中携带的内容，包括网络链接地址等。对于电信平台，会话消息为语音通话。

本步骤中，对来自社交平台的网络用户的会话消息进行数据采集并存储。

步骤S220，基于监测到的会话消息识别会话的身份认证状态。

攻击者想实施攻击时，往往会先介绍自己以取得会话接收方的信任。因此，在本发明实施例中，接收到会话消息后，监测端会基于监测到的会话消息智能识别会话的身份认证状态。

如果接收到的消息为语音，本发明可先通过语音-文字转换技术将语音转换为文字，再对文字内容进行识别。如果接收到的消息为文字，可直接进行识别。可以采用自然语言处理进行命名实体识别，来识别会话的身份认证状态。作为示例，可以利用语言技术平台(language Technology Platform,LTP)进行命名实体识别，来识别人名、地名、机构名等。

如果识别出网络用户的身份，则将识别出的身份进行存储。

步骤S230，基于监测到的会话消息和预先设定的伪造场景数据识别会话的场景伪造状态。

本步骤中，可采用自然语言处理提取当前监测的会话消息的发言关键词，与预先设定的伪造场景数据进行匹配，并基于匹配结果识别会话的场景伪造状态。

此处，预先设定的伪造场景数据例如可以是预先设定的场景黑名单，如中奖、推销等等。

可采用自然语言处理(如自然语言理解技术)提取采集的会话消息中的关键词，来与伪造场景数据(如场景黑名单)相匹配。当与伪造场景数据中某场景的相似度达到预定阈值，则匹配成功，即识别出伪造场景状态。

如果识别出伪造场景状态，则将识别出的伪造场景状态进行存储或在监测软件中进行标记。

步骤S240，基于监测到的会话消息和预先设定的敏感操作数据识别会话的攻击实施状态。

本步骤中，可利用自然语言处理句法分析技术，提取当前监测的会话消息中的动宾结构。将提取的动宾结构与敏感操作数据中的敏感操作通过基于词义的相似度算法进行匹配，可基于匹配结果识别会话的攻击实施状态。

在一些实施例中，敏感操作数据例如是预先设定的铭感操作黑名单，该操作黑名单中每一个操作可包括动词和名词两部分，如{给，密码}、{转，钱}等。

在敏感操作识别过程中，可利用自然语言理解中的句法分析，提取当前监测的会话消息中的动宾结构(VOB)。例如，图5中所示为自然语言理解中的句法分析的示例，其中“HED”、“POB”、“VOB”、“RAD”、“WP”、“ATT”分别表示“核心关系”、“介宾关系”、“动宾关系”、“右附加关系”、“标点关系”、“定中关系”，图5中动宾结构为{给，密码}。将提取的动宾结构和黑名单中的敏感操作通过基于词义的相似度算法进行匹配，当相似度达到设定的阈值后，则可判断为一次社工攻击，即识别出会话的攻击实施状态。

步骤S250，在识别到身份认证状态和场景伪造状态后又识别到攻击实施状态的情况下，采用沙箱机制进行攻击处理。

在整个会话过程中，如果通过前述步骤已经识别出了身份认证状态和场景伪造状态，并随后又识别出了攻击实施状态，即出现了从前两个状态到攻击实施状态的转移，则进行攻击处理，例如采用沙箱机制进行攻击处理。沙箱机制是一个限制应用程序对系统资源的访问的运行环境的机制。沙箱通常实现在虚拟机(VM)中，由于本步骤的攻击处理可以采用现有的沙箱机制，在此不再赘述。

在本发明一实施例中，也有可能存在仅识别出场景伪造状态而尚未识别出身份认证状态，而随后又识别出了攻击实施状态的情况，在这种情况下，也可以认为是出现社工攻击，可以同样采用沙箱机制等安全机制进行攻击处理。

在本发明另一实施例中，也有可能存在仅识别出身份认证状态而尚未识别出场景伪造状态，但又识别出了攻击实施状态的情况，在这种情况下，可以利用预建立的诱导性回应机制向网络用户发送诱导性响应消息，以诱导网络用户给出场景信息，然后采用沙箱机制进行攻击处理。

在本发明另一实施例中，在识别到场景伪造状态后未识别到攻击实施状态的情况下，基于识别到的场景伪造状态中的伪造场景利用预建立的攻击诱导机制向网络用户发送攻击诱导性响应消息，以与网络用户进行诱导性交互，直至会话结束或识别到攻击实施状态，并在识别到攻击实施状态的情况下，采用沙箱机制等安全机制进行攻击处理。

在本发明另一实施例中，在识别身份认证状态后未识别到场景伪造状态和攻击实施状态的情况下，可利用预建立的诱导性会话机制向网络用户发送诱导性响应消息，以与网络用户进行诱导性交互，诱导网络用户给出伪造场景并实施攻击，直至会话结束或识别到攻击实施状态，并在识别到攻击实施状态的情况下，采用沙箱机制等安全机制进行攻击处理。

图3所示为本发明一实施例中基于状态转移的社会工程学交互方法的流程示例。在该流程中，当监测端基于社交平台通信接口接收(收集)到来自网络用户的一条新消息时(步骤S301)，可以先基于对当前会话中之前消息的识别结果确定该对话是否已经身份认证并处于特定伪造场景下(步骤S302)，如果在伪造场景下，进一步确定是否有敏感操作(步骤S303)，如果有敏感操作，则确定网络用户实施社工攻击，于是采取诸如沙箱机制的攻击处理(步骤S305)；如果无敏感操作，利用智能模拟会话软件采用场景会话交互模式与对方进行交互(步骤S307)，以维持在识别出的当前会话场景下与对方进行交互，以诱导对方实施攻击，从而获取更多攻击者信息。如果在步骤S302确定已经进行身份认证但未处于特定伪造场景下，则对当前消息进行场景识别和敏感操作识别(步骤S304)。如果在步骤S302确定未进行身份认证但未处于特定伪造场景下，则在步骤S304对当前消息进行身份认证识别和敏感操作识别。如果在步骤S304识别到无敏感操作且无场景伪造，则利用智能模拟会话软件采用普通会话交互模式与对方进行交互，以获取攻击者信任，并诱导对方进入场景伪造状态并实施攻击，以此来维持攻击，获取更多攻击者信息。如果在步骤S304识别到无敏感操作但有场景伪造，则利用智能模拟会话软件采用场景会话交互模式与对方进行交互，以获取攻击者信任，并诱导对方实施攻击，从而获取更多攻击者信息。在对当前消息的识别完成并采取相应处理后，将识别结果和/或相应处理在监测端进行标记。并继续针对新接收的后续新消息进行处理，直至完成对整个会话的处理。

以电信社交平台为例，监测端的模拟用户接听对方电话并作出回复，在与对方交流的过程中，将收到的新消息输入，识别对方身份，根据词语间相似度来匹配相应的攻击场景，交给合适的对话系统产生回复。如果识别到攻击，则直接进行攻击处理。

本发明实施例创新性的提出了一次完整社会工程学攻击中的身份认证、场景伪造和实施攻击三个状态，并提出基于状态转移的社会工程学模式，基于此提出与攻击者的交互方法。本方法在与攻击者的交流中检测其攻击状态，依据其状态转移方向做出相应措施，与攻击者进行交互，获取攻击者信任，以此来维持攻击，获取更多攻击者信息。相对传统的社会工程学被动检测方法来说，本发明提出的基于状态转移的社会工程学交互方法可以积极主动的与攻击者进行交互，在攻击真正实施前起到主动防御的作用，在攻击的诱骗与维持中为攻击者的溯源提供了更大可能。

本发明的如上方法可由运行在处理器中的计算机程序来实现，该计算机程序与存储该计算机程序的存储器以及执行该计算机程序的处理器一起构成实现如上方法的基于状态转移的社会工程学交互装置。

图4示出了本发明一实施例中基于状态转移的社会工程学交互系统框图示意。该社会工程学交互系统主要分为三部分：“信息获取”、“攻击状态分析”和“作出响应”，信息获取部分利用信息数据收集端(信息数据收集接口)从社交网络获取信息，监测受害者与攻击者的交流；攻击状态分析部分对获取到的消息进行检测分析，根据社会工程学模式识别攻击状态并记录；作出响应部分根据分析结论做出相应措施。

在利用数据收集端进行消息获取时，可利用语音、文字转换等技术获取到交流中的数据，数据主要包括用户收到的消息和对方相关的账号信息等。本发明不受社交平台的限制，可扩展性强。

攻击状态分析部分可分为特征提取、社工检测、数据库和社工模式四个模块，这些模块可以通过计算机软件来实现。特征提取模块用于接收输入的原始数据，进行预处理，并提取检测所需的特征。社工检测模块是将收到的新消息输入，检测是否存在社工攻击中的三个状态，并基于检测结果匹配相应的攻击场景，并基于场景交给“作出响应”部分的合适的对话系统产生回复。如果识别到攻击，则直接利用攻击处理模块进行攻击处理。数据库用来存储数据和标记当前对话状态。社工模式用于设定一次社会工程学攻击的身份认证、场景伪造和实施攻击三个步骤或状态。

本方案在整理分析大量社工案例的基础上总结出常用的社工场景，并分别训练出应对不同情况的对话系统，在攻击识别中匹配到相应场景产生回复或者进行攻击处理。如果检测到攻击，则根据攻击者要求执行的敏感操作对应做出相应的处理；如果检测到相应社工场景，则交给对应场景对话系统产生回复；如果没有检测到异常，则交给普通对话系统产生回复。

本发明的技术方案不仅可以应用于社工蜜罐场景，也可以应用于真实用户，对真实用户进行安全性保护。

在社工蜜罐场景中，可以根据人的上百种不同属性和特性模拟创建出大量具有真实社交行为的网络用户，以模拟真实社交网络中的用户，使其吸引社会工程学攻击者进行攻击。对于微信、QQ等文字聊天式平台，每个模拟的用户都拥有自己的社交账号，伪装成正常用户和对方使用本发明交互方法进行交流，检测到攻击之后进行攻击处理；对于电信平台，模拟的用户拥有自己的电话号码，可以自主接听电话并进行语音和文字的相互转换，使用本发明交互方法和对方正常通话，进行攻击检测。

在真实用户场景中，对于微信、QQ等文字聊天式平台，实时监测用户与其他人员的交互信息，一旦检测到攻击发生的可能，提示用户并且在用户的许可下进入代理模式，即后续用户不再与对方交流，本发明在用户交互的基础上继续与对方聊天，直至攻击发生。从而可以使得用户免受损失。

本公开还涉及存储介质，其上可以存储有计算机程序，当程序被执行时可以实现本发明的方法的各种实施例，该存储介质可以是有形存储介质，诸如光盘、U盘、软盘、硬盘等。

本领域普通技术人员应该可以明白，结合本文中所公开的实施方式描述的各示例性的组成部分、系统和方法，能够以硬件、软件或者二者的结合来实现。具体究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

还需要说明的是，本发明中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或系统。但是，本发明不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。

本发明中，针对一个实施方式描述和/或例示的特征，可以在一个或更多个其它实施方式中以相同方式或以类似方式使用，和/或与其他实施方式的特征相结合或代替其他实施方式的特征。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。