一种蜜罐溯源方法、装置及相关设备与流程

1.本技术涉及计算机安全技术领域，特别涉及一种蜜罐溯源方法，还涉及一种蜜罐溯源装置、系统、设备、及计算机可读存储介质。


背景技术：

2.蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。
3.在当前的欺骗诱捕技术中，蜜罐的溯源能力是一项非常重要的指标，通过采集不同网站的特征开发溯源脚本(溯源js)，当攻击者攻击蜜罐时，蜜罐可通过溯源计算获取攻击者的多个社交网站的社交身份信息。一般来说，溯源js是根据不同社交站点的脆弱性特征开发出来的js脚本，通过集成溯源js，蜜罐系统即具备了溯源能力。但是，在通常情况下，在这些溯源js被广泛使用时，对应社交站点的网站脆弱性也会被相关公司关闭，导致原有的溯源js不可用，这就导致已经部署出来的溯源蜜罐能力失效，必须更新溯源js才能继续工作。此外，在攻防实战中，如果攻击者发现蜜罐的溯源js，则可根据此js指纹对其他的蜜罐进行批量匹配，从而使得其他蜜罐暴露，此时，对于防守一方来说就必须要及时关闭蜜罐的溯源能力，防止暴露自身。
4.然而，参考图1，图1为现有技术中一种蜜罐溯源系统的结构示意图，通常的蜜罐系统需要部署很多蜜罐节点，以扩大覆盖面积，而常见的蜜罐溯源功能通常集成在蜜罐节点中的监控程序中，显然，在这种架构模式下，想要批量更新或维护溯源能力就会变得异常艰难。
5.因此，如何实现蜜罐节点溯源功能的快速更新，提高蜜罐溯源系统的可维护性是本领域技术人员亟待解决的问题。


技术实现要素：

6.本技术的目的是提供一种蜜罐溯源方法，该蜜罐溯源方法可以实现蜜罐节点溯源功能的快速更新，提高蜜罐溯源系统的可维护性；本技术的另一目的是提供一种蜜罐溯源装置、系统、设备及计算机可读存储介质，均具有上述有益效果。
7.第一方面，本技术提供了一种蜜罐溯源方法，应用于蜜罐节点，包括：
8.接收页面访问请求；
9.根据所述页面访问请求从溯源服务器中加载溯源脚本；
10.执行所述溯源脚本获得溯源信息；
11.将所述溯源信息发送至所述溯源服务器，以使所述溯源服务器将所述溯源信息发送至管理端。
12.优选的，所述根据所述页面访问请求从溯源服务器中加载溯源脚本，包括：
13.确定nginx配置文件中的反向代理规则；
14.利用所述反向代理规则从所述溯源服务器中加载所述溯源脚本。
15.优选的，所述蜜罐溯源方法还包括：
16.接收所述反向代理规则对应的控制指令；
17.根据所述控制指令开启或关闭所述蜜罐节点的溯源功能。
18.优选的，所述蜜罐溯源方法还包括：
19.所述管理端对所述溯源服务器中的溯源脚本进行更新，获得更新后溯源脚本。
20.优选的，所述蜜罐溯源方法还包括：
21.所述管理端判断所述溯源信息中是否存在脚本暴露信息；
22.若是，则发送一键关停指令至所述溯源服务器。
23.优选的，所述蜜罐溯源方法还包括：
24.所述管理端将所述溯源信息发送至可视化界面进行展示。
25.第二方面，本技术还公开了一种蜜罐溯源装置，应用于蜜罐节点，包括：
26.请求接收模块，用于接收页面访问请求；
27.脚本加载模块，用于根据所述页面访问请求从溯源服务器中加载溯源脚本；
28.脚本执行模块，用于执行所述溯源脚本获得溯源信息；
29.信息上传模块，用于将所述溯源信息发送至所述溯源服务器，以使所述溯源服务器将所述溯源信息发送至管理端。
30.第三方面，本技术还公开了一种蜜罐溯源系统，包括：
31.蜜罐节点，用于根据接收的页面访问请求从溯源服务器中加载溯源脚本；执行所述溯源脚本获得溯源信息；将所述溯源信息上传至所述溯源服务器；
32.所述溯源服务器，用于为所述蜜罐节点提供所述溯源脚本，并将所述溯源信息上传至管理端；
33.所述管理端，用于接收并存储所述溯源信息。
34.第四方面，本技术还公开了一种蜜罐溯源设备，包括：
35.存储器，用于存储计算机程序；
36.处理器，用于执行所述计算机程序时实现如上所述的任一种蜜罐溯源方法的步骤。
37.第五方面，本技术还公开了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的任一种蜜罐溯源方法的步骤。
38.本技术所提供的一种蜜罐溯源方法，应用于蜜罐节点，包括接收页面访问请求；根据所述页面访问请求从溯源服务器中加载溯源脚本；执行所述溯源脚本获得溯源信息；将所述溯源信息发送至所述溯源服务器，以使所述溯源服务器将所述溯源信息发送至管理端。
39.可见，本技术所提供的蜜罐溯源方法，将溯源脚本部署于一个独立的溯源服务器中，使得各个蜜罐节点均可以加载该溯源脚本实现溯源功能，进而实现溯源信息的获取，由此，实现了蜜罐节点与溯源功能的解耦，进而实现了使用一个溯源服务器使多个蜜罐节点具有溯源能力，同时，还能够快速便捷的更新拓展溯源能力，使蜜罐节点能够获取到更多的
溯源信息，以及在溯源能力被发现时，可快速清空溯源配置，防止蜜罐批量暴露，有效地提高了蜜罐溯源系统的可维护性。
40.本技术所提供的一种蜜罐溯源装置、系统、设备及计算机可读存储介质，均具有上述有益效果，在此不再赘述。
附图说明
41.为了更清楚地说明现有技术和本技术实施例中的技术方案，下面将对现有技术和本技术实施例描述中需要使用的附图作简要的介绍。当然，下面有关本技术实施例的附图描述的仅仅是本技术中的一部分实施例，对于本领域普通技术人员来说，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图，所获得的其他附图也属于本技术的保护范围。
42.图1为现有技术中一种蜜罐溯源系统的结构示意图；
43.图2为本技术所提供的一种蜜罐溯源方法的流程示意图；
44.图3为本技术所提供的一种蜜罐溯源系统的结构示意图；
45.图4为本技术所提供的一种蜜罐溯源装置的结构示意图；
46.图5为本技术所提供的一种蜜罐溯源设备的结构示意图。
具体实施方式
47.本技术的核心是提供一种蜜罐溯源方法，该蜜罐溯源方法可以实现蜜罐节点溯源功能的快速更新，提高蜜罐溯源系统的可维护性；本技术的另一核心是提供一种蜜罐溯源装置、系统、设备及计算机可读存储介质，也具有上述有益效果。
48.为了对本技术实施例中的技术方案进行更加清楚、完整地描述，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行介绍。显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
49.本技术实施例提供了一种蜜罐溯源方法。
50.请参考图2，图2为本技术所提供的一种蜜罐溯源方法的流程示意图，该蜜罐溯源方法应用于蜜罐节点，可包括：
51.s101：接收页面访问请求；
52.需要说明的是，蜜罐溯源系统中一般部署有大量的蜜罐节点，以扩大覆盖面积，获得更多的溯源信息，本技术所提供的蜜罐溯源方法可应用于蜜罐溯源系统中的每一个蜜罐节点。
53.以上步骤旨在实现页面访问请求的接收，其中，页面访问请求由访问者(一般为攻击者)向蜜罐节点发起，用于打开/访问/读取蜜罐节点中的web服务页面。
54.s102：根据页面访问请求从溯源服务器中加载溯源脚本；
55.本步骤旨在实现溯源脚本的加载，该溯源脚本用于实现蜜罐节点的溯源功能。具体而言，在蜜罐溯源系统中，预先部署可与各个蜜罐节点进行数据通信(有线连接/无线连接)的溯源服务器，用于实现溯源脚本的部署，由此，对于蜜罐溯源系统中的每一个蜜罐节点而言，在接收到页面访问请求时，即可从上述溯源服务器中加载溯源脚本，并基于该溯源
脚本实现溯源功能，进而实现溯源信息的获取。
56.显然，由于将溯源脚本部署于一个独立的溯源服务器中，而非在每一个蜜罐节点上部署溯源功能，在进行溯源脚本更新时直接更新溯源服务器中的溯源脚本即可，而无需对每一个蜜罐节点进行溯源功能更新，实现了溯源脚本的快速更新，进而实现了蜜罐节点溯源功能的快速更新。
57.作为一种优选实施例，上述根据页面访问请求从溯源服务器中加载溯源脚本，可以包括：确定nginx配置文件中的反向代理规则；利用反向代理规则从溯源服务器中加载溯源脚本。
58.本优选实施例提供了一种溯源脚本的加载方法，即基于蜜罐节点中的反向代理规则实现。具体而言，可以在蜜罐溯源系统的每个蜜罐节点中部署nginx(web服务器)，并在nginx配置文件的指定路径下增设反向代理规则，该反向代理规则指向溯源服务器，以便于实现溯源服务器中溯源脚本的加载，并且，溯源系统内每个蜜罐节点的反向代理规则相同。由此，对于蜜罐节点而言，当接收到页面访问请求时，首先确定nginx配置文件中的反向代理规则，进而基于该反向代理规则自动加载溯源服务器中的溯源脚本。
59.作为一种优选实施例，该蜜罐溯源方法还可以包括：接收反向代理规则对应的控制指令；根据控制指令开启或关闭蜜罐节点的溯源功能。
60.如上所述，蜜罐节点可以利用反向代理规则实现溯源脚本的加载，同样，还可通过控制反向代理规则实现蜜罐节点溯源功能的开启与关闭。具体而言，当接收到关于反向代理规则的控制指令时，即可基于该控制指令实现对应蜜罐节点溯源功能的开启与关闭。显然，该溯源功能的开启与关闭是针对于当前蜜罐节点自身的，与溯源系统中的其他蜜罐节点无关。
61.s103：执行溯源脚本获得溯源信息；
62.本步骤旨在通过执行溯源脚本实现溯源信息的获取，对于蜜罐节点而言，在从溯源服务器中加载获得溯源脚本之后，即可直接执行该溯源脚本，实现溯源信息的获取。其中，溯源信息是指关于访问者的数据信息，如访问者在多个社交网站的社交身份信息、指纹信息以及攻击行为信息等，当然，其具体内容并不影响本技术方案的实施，本技术对此不做限定。可以理解的是，溯源信息的种类和数量越多，越便于蜜罐溯源系统更好的了解当前访问者所带来的安全威胁。
63.s104：将溯源信息发送至溯源服务器，以使溯源服务器将溯源信息发送至管理端。
64.本步骤旨在实现溯源信息的反馈功能。在具体实现过程中，蜜罐节点先将基于溯源脚本获得的溯源信息发送至溯源服务器，再由溯源服务器将溯源信息上传至管理端进行后续分析处理，至此，完成基于蜜罐节点的信息溯源。更进一步地，为保证溯源信息的安全性，溯源服务器可以通过加密传输通道将该溯源信息上传至管理端，或者对溯源信息进行加密处理获得加密后溯源信息，再将加密后溯源信息上传至管理端。
65.作为一种优选实施例，该蜜罐溯源方法还可以包括：管理端对溯源服务器中的溯源脚本进行更新，获得更新后溯源脚本。
66.本优选实施例所提供的蜜罐溯源方法旨在实现溯源脚本的更新功能，该更新过程可基于管理端实现。具体而言，当溯源服务器中的原有溯源脚本不可用需要进行脚本更新时，可由管理端将新的溯源脚本注入溯源服务器中，获得更新后溯源脚本。由此，通过对一
个溯源服务器中的一个溯源脚本进行更新，实现了溯源系统内各个蜜罐节点溯源功能的更新。
67.作为一种优选实施例，该蜜罐溯源方法还可以包括：管理端判断溯源信息中是否存在脚本暴露信息；若是，则发送一键关停指令至溯源服务器。
68.本优选实施例所提供的蜜罐溯源方法旨在实现溯源服务器的一键关停功能，该一键关停过程可基于管理端实现。具体而言，当管理端接收到溯源服务器上传的溯源信息后，即可对其进行分析，判断其中是否包括有脚本暴露信息，即判断当前溯源脚本是否暴露，当确定溯源信息中存在脚本暴露信息时，为保证溯源系统中各蜜罐节点的安全性，可下发一键关停指令至溯源服务器，使得溯源服务器中的溯源服务一键关停。由此，通过对一个溯源服务器中的溯源服务进行一键关停，实现了溯源系统内所有蜜罐节点溯源功能的一键关停。
69.作为一种优选实施例，该蜜罐溯源方法还可以包括：管理端将溯源信息发送至可视化界面进行展示。
70.本优选实施例所提供的蜜罐溯源方法旨在实现溯源信息的可视化展示功能，该可视化展示过程可基于管理端实现。具体而言，管理端直接将各个溯源节点反馈的溯源信息发送至相应的可视化界面进行显示即可，更加方便技术人员快速直观的了解到访问者的各类数据信息，从而确定当前是否存在安全威胁。更进一步地，管理端还可以将各溯源信息存储至相应的存储介质，以便实现后续信息溯源。
71.可见，本技术所提供的蜜罐溯源方法，将溯源脚本部署于一个独立的溯源服务器中，使得各个蜜罐节点均可以加载该溯源脚本实现溯源功能，进而实现溯源信息的获取，由此，实现了蜜罐节点与溯源功能的解耦，进而实现了使用一个溯源服务器使多个蜜罐节点具有溯源能力，同时，还能够快速便捷的更新拓展溯源能力，使蜜罐节点能够获取到更多的溯源信息，以及在溯源能力被发现时，可快速清空溯源配置，防止蜜罐批量暴露，有效地提高了蜜罐溯源系统的可维护性。
72.基于以上各实施例，本技术实施例提供了另一种蜜罐溯源方法。
73.请参考图3，图3为本技术所提供的一种蜜罐溯源系统的结构示意图，该蜜罐溯源系统主要包括web管理端，溯源服务器以及多个蜜罐节点，对应实现功能如下：
74.1、web管理端，用于接收并展示溯源信息。
75.2、溯源服务器，用于接收各蜜罐节点发送的溯源请求，并将相应的溯源结果(溯源信息)发送至web管理端进行展示：
76.溯源服务器中部署有溯源服务，具体可以为在一个独立的虚拟机中安装溯源程序，由此，溯源服务即可根据溯源请求向蜜罐节点注入溯源脚本，使得蜜罐节点可以依赖该溯源脚本在攻击者浏览网页段获取其在不同社交站点的社交信息，并将其回传至溯源服务器。进一步，溯源服务器在接收到溯源信息时可以通过加密传输通道将其上传至web管理端，进行分析与可视化呈现。
77.3、蜜罐节点，用于向溯源服务器发起溯源请求以加载溯源脚本，进而通过执行溯源脚本获得溯源信息，并将溯源信息上传至溯源服务器：
78.首先，各个蜜罐节点中部署有web服务(nginx)，进而基于nginx实现反向代理，具体可以为在nginx的配置文件中通过proxy_pass增加反向代理规则；在部署实现时，可以在
nginx配置文件的指定路径下增加一个指向溯源服务器的反向代理规则，且每个蜜罐节点中的反向代理规则均相同。进一步，当攻击者打开蜜罐节点的web页面时，浏览器会自动加载溯源服务器中的溯源脚本进行信息溯源；在具体实现时，反向代理规则会在nginx返回页面响应之前，将溯源脚本插入至html的响应体中实现溯源脚本加载，此时，溯源脚本被执行，即触发溯源动作。最后，当蜜罐节点加载溯源脚本时，溯源脚本的url可通过proxy_pass代理到溯源服务器，当然，这里是指所有蜜罐节点的溯源脚本请求均会代理到溯源服务器；在具体实现时，可基于nginx的子解析器功能，在返回页面响应时在页面中插入溯源脚本的加载路径，由此，蜜罐节点的浏览器端在获取页面响应后将会加载页面中的溯源脚本，但是，该加载请求实际会根据nginx的proxy_pass规则转发到溯源服务器，由溯源服务器返回真正的溯源脚本。
79.此外，当有新的溯源脚本需要集成时，只需通过web管理端替换溯源服务器中的溯源主程序，此时，所有的蜜罐节点均将立即拥有最新的溯源能力。并且，当蜜罐节点因溯源行为面临暴露风险时，可以通过web管理端对溯源服务器开启一键关停服务，此时，攻击者端将无法获取对应的溯源脚本，避免蜜罐暴露。
80.可见，本技术实施例所提供的蜜罐溯源方法，将溯源脚本部署于一个独立的溯源服务器中，使得各个蜜罐节点均可以加载该溯源脚本实现溯源功能，进而实现溯源信息的获取，由此，实现了蜜罐节点与溯源功能的解耦，进而实现了使用一个溯源服务器使多个蜜罐节点具有溯源能力，同时，还能够快速便捷的更新拓展溯源能力，使蜜罐节点能够获取到更多的溯源信息，以及在溯源能力被发现时，可快速清空溯源配置，防止蜜罐批量暴露，有效地提高了蜜罐溯源系统的可维护性。
81.为解决上述技术问题，本技术还提供了一种蜜罐溯源装置，请参考图4，图4为本技术所提供的一种蜜罐溯源装置的结构示意图，该蜜罐溯源装置应用于蜜罐节点，可包括：
82.请求接收模块1，用于接收页面访问请求；
83.脚本加载模块2，用于根据页面访问请求从溯源服务器中加载溯源脚本；
84.脚本执行模块3，用于执行溯源脚本获得溯源信息；
85.信息上传模块4，用于将溯源信息发送至溯源服务器，以使溯源服务器将溯源信息发送至管理端。
86.可见，本技术实施例所提供的蜜罐溯源装置，将溯源脚本部署于一个独立的溯源服务器中，使得各个蜜罐节点均可以加载该溯源脚本实现溯源功能，进而实现溯源信息的获取，由此，实现了蜜罐节点与溯源功能的解耦，进而实现了使用一个溯源服务器使多个蜜罐节点具有溯源能力，同时，还能够快速便捷的更新拓展溯源能力，使蜜罐节点能够获取到更多的溯源信息，以及在溯源能力被发现时，可快速清空溯源配置，防止蜜罐批量暴露，有效地提高了蜜罐溯源系统的可维护性。
87.作为一种优选实施例，上述脚本加载模块2可具体用于确定nginx配置文件中的反向代理规则；利用反向代理规则从溯源服务器中加载溯源脚本。
88.作为一种优选实施例，该蜜罐溯源装置还可以包括溯源功能控制模块，用于接收反向代理规则对应的控制指令；根据控制指令开启或关闭蜜罐节点的溯源功能。
89.对于本技术提供的装置的介绍请参照上述方法实施例，本技术在此不做赘述。
90.为解决上述技术问题，本技术还提供了一种蜜罐溯源系统，该蜜罐溯源系统可包
括：
91.蜜罐节点，用于根据接收的页面访问请求从溯源服务器中加载溯源脚本；执行溯源脚本获得溯源信息；将溯源信息上传至溯源服务器；
92.溯源服务器，用于为蜜罐节点提供溯源脚本，并将溯源信息上传至管理端；
93.管理端，用于接收并存储溯源信息。
94.可见，本技术实施例所提供的蜜罐溯源系统，将溯源脚本部署于一个独立的溯源服务器中，使得各个蜜罐节点均可以加载该溯源脚本实现溯源功能，进而实现溯源信息的获取，由此，实现了蜜罐节点与溯源功能的解耦，进而实现了使用一个溯源服务器使多个蜜罐节点具有溯源能力，同时，还能够快速便捷的更新拓展溯源能力，使蜜罐节点能够获取到更多的溯源信息，以及在溯源能力被发现时，可快速清空溯源配置，防止蜜罐批量暴露，有效地提高了蜜罐溯源系统的可维护性。
95.作为一种优选实施例，上述管理端还可用于对溯源服务器中的溯源脚本进行更新，获得更新后溯源脚本。
96.作为一种优选实施例，上述管理端还可用于判断溯源信息中是否存在脚本暴露信息；若是，则发送一键关停指令至溯源服务器。
97.作为一种优选实施例，上述管理端还可用于将溯源信息发送至可视化界面进行展示。
98.对于本技术提供的系统的介绍请参照上述方法实施例，本技术在此不做赘述。
99.为解决上述技术问题，本技术还提供了一种蜜罐溯源设备，请参考图5，图5为本技术所提供的一种蜜罐溯源设备的结构示意图，该蜜罐溯源设备可包括：
100.存储器10，用于存储计算机程序；
101.处理器20，用于执行计算机程序时可实现如上述任意一种蜜罐溯源方法的步骤。
102.对于本技术提供的设备的介绍请参照上述方法实施例，本技术在此不做赘述。
103.为解决上述问题，本技术还提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时可实现如上述任意一种蜜罐溯源方法的步骤。
104.该计算机可读存储介质可以包括：u盘、移动硬盘、只读存储器(read
‑
only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
105.对于本技术提供的计算机可读存储介质的介绍请参照上述方法实施例，本技术在此不做赘述。
106.说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
107.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业
技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
108.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd
‑
rom或技术领域内所公知的任意其它形式的存储介质中。
109.以上对本技术所提供的技术方案进行了详细介绍。本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术的保护范围内。