CN116781331A - 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置 - Google Patents

Abstract

基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置，利用HTTP反向代理服务器强制将攻击者劫持到蜜罐，为现有基于蜜罐的攻击者被动“踩雷”的防御方法提供了新思路，增强蜜罐***主动防御。当访问者被识别为正常用户时，返回的是正常页面，当访问者被识别为攻击者时，则攻击者被导向蜜罐页面。由于正常页面和蜜罐页面是同样的URL，只是根据访问者行为不同给予不同的返回，破解攻击者通过区分URL的方式绕过蜜罐的可能，为业务单位通过主动干预诱捕黑客提供了可能性；利用蜜罐页面中的溯源代码和真实业务相似的高仿蜜罐，为攻击溯源提供更多情报线索，最终达到延缓攻击进程、强制将攻击者请求流量无感知劫持至蜜罐的安全防御效果。

Description

基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置

技术领域

本发明属于网络安全处理技术领域，具体涉及一种基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置。

背景技术

蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷，是实现网络攻击溯源反制的重要基础。蜜罐能够模拟伪造各种操作***环境及漏洞环境，也可以虚拟伪造各种网络服务环境，是一个伪装成真目标的网络资源库，同时也是一个攻击信息的诱捕环境***。通过分析蜜罐***中收集的攻击入侵数据可以获得攻击者的相关信息，进而掌握攻击者的攻击手段、攻击工具、攻击策略和攻击意图，有助于重要防护目标采取有针对性的防御措施，并实现对攻击的追踪溯源。

目前，从技术角度来看，现有基于蜜罐的溯源手段以被动追踪溯源技术为主，缺少主动获取追踪溯源关键信息方面的技术。基于蜜罐的网络攻击防御属于攻击者“踩雷”的被动防御方法，缺乏主动将攻击者引导到蜜罐的能力。蜜罐的服务类型单一且蜜罐指纹信息唯一，一旦攻击者获悉了蜜罐的URL列表，攻击者就会绕过蜜罐进行攻击，对生产网络造成威胁

在实践上，当前的蜜罐都是在业务***之外部署一套蜜罐，被动的等待攻击者访问。被攻击单位即使知道来自某IP或某个用户是攻击者，也无法主动将对方引入到蜜罐进行反制。而追踪溯源的突破往往取决于若干少量的核心关键线索。被动追踪溯源收集到的是攻击者有意或无意泄露的信息，线索质量难以满足溯源方的预期。即传统的蜜罐***存在着致命的缺陷：“即破即失效”，蜜罐的URL被攻击者知晓，攻击者就会绕过蜜罐进行攻击，对生产网络造成威胁，蜜罐就毫无价值。

发明内容

为此，本发明提供一种基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置，能够延缓黑客攻击进程，通过HTTP反向代理将具有攻击特征的HTTP请求流量进行无感知劫持至蜜罐，通过获取攻击者信息以达到诱捕溯源等安全防御效果。

为了实现上述目的，本发明提供如下技术方案：基于反向代理的蜜罐诱捕的网络攻击溯源方法，包括：

采用指定方式判断访问请求是否为攻击行为，指定方式包括人工指定黑名单IP或黑名单特征，或通过特征规则自动识别；

若访问请求被识别为攻击行为，反向代理服务器将业务网络中非法的访问流量透明转发到蜜罐***，并根据攻击者的访问请求的报文首部中的Host字段，返回蜜罐***中该Host字段所对应的真实业务相似的高仿蜜罐和蜜罐页面中的溯源脚本；若访问请求识别结果不是攻击行为，则将访问请求转发到真实业务***服务器；

蜜罐***在接收到反向代理服务器的非法访问请求后，非法访问请求页面从溯源服务器中加载溯源脚本返回给攻击者，当攻击者执行溯源脚本获得溯源信息后，通过溯源脚本将捕获的攻击者身份信息、攻击者行为同步上传收集。

作为基于反向代理的蜜罐诱捕的网络攻击溯源方法优选方案，反向代理服务器将业务网络中非法的访问流量透明转发到蜜罐***的步骤包括：

反向代理服务器收到攻击者客户端发送的HTTP访问请求后，解析HTTP头部字段，获得Host字段，如果识别为攻击行为，将HTTP访问请求流量转发至蜜罐***；

反向代理服务器响应攻击者客户端，生成去往蜜罐***的HTTP数据包；

蜜罐***根据非法HTTP访问流量所请求的URL或IP，连接真实业务相似的高仿蜜罐；

蜜罐***接受、响应、回复反向代理服务器的响应头部和包体，包体是真实业务相似的高仿蜜罐页面，且页面包含溯源脚本；

反向代理服务器回复包含溯源脚本的真实业务相似的高仿蜜罐页面；

当攻击者客户端执行溯源脚本，与本地溯源服务器进行通信，溯源服务器捕获攻击者指纹信息。

作为基于反向代理的蜜罐诱捕的网络攻击溯源方法优选方案，蜜罐***加载执行溯源脚本的步骤包括：

反向代理服务器将攻击者非法访问流量强制劫持至蜜罐节点，使攻击者客户端打开/访问/读取蜜罐节点中的高仿真实web服务页面；

根据页面访问请求从溯源脚本库中加载溯源脚本，通过溯源脚本实现蜜罐节点的溯源功能，并将收集到的攻击者指纹上传；

蜜罐***通过反向代理服务器回复攻击者客户端，响应包体带有溯源脚本；

溯源脚本附带在高仿的真实web服务页面中，当攻击者对返回包体进行操作执行时，自动加载溯源脚本进行信息溯源；

当溯源脚本加载时，溯源脚本的URL通过反向代理服务器，与情报收集的溯源服务器进行通信。

作为基于反向代理的蜜罐诱捕的网络攻击溯源方法优选方案，通过溯源脚本将捕获的攻击者身份信息、攻击者行为同步上传收集过程中，对进入蜜罐***的所有行为进行监视与记录，包括网络数据包、主机日志、运行记录，当监控到对蜜罐***的非法操作时生成记录信息。

作为基于反向代理的蜜罐诱捕的网络攻击溯源方法优选方案，对进入蜜罐***的攻击行为进行限制，限制攻击者以被攻陷的蜜罐***主机为跳板渗透攻击周边***；

对溯源脚本进行更新，当进行溯源脚本更新时直接更新溯源服务器中的溯源脚本。

本发明还提供一种基于反向代理的蜜罐诱捕的网络攻击溯源装置，包括：

攻击行为识别模块，用于采用指定方式判断访问请求是否为攻击行为，指定方式包括人工指定黑名单IP或黑名单特征，或通过特征规则自动识别；

反向代理流量转发模块，用于若访问请求被识别为攻击行为，反向代理服务器将业务网络中非法的访问流量透明转发到蜜罐***，并根据攻击者的访问请求的报文首部中的Host字段，返回蜜罐***中该Host字段所对应的真实业务相似的高仿蜜罐和蜜罐页面中的溯源脚本；还用于若访问请求识别结果不是攻击行为，则将访问请求转发到真实业务***服务器；

蜜罐欺骗模块，用于蜜罐***在接收到反向代理服务器的非法访问请求后，非法访问请求页面从溯源服务器中加载溯源脚本返回给攻击者；

情报收集模块，用于当攻击者执行溯源脚本获得溯源信息后，通过溯源脚本将捕获的攻击者身份信息、攻击者行为同步上传收集。

作为基于反向代理的蜜罐诱捕的网络攻击溯源装置优选方案，所述反向代理流量转发模块中：

反向代理服务器收到攻击者客户端发送的HTTP访问请求后，解析HTTP头部字段，获得Host字段，如果识别为攻击行为，将HTTP访问请求流量转发至蜜罐***；

反向代理服务器响应攻击者客户端，生成去往蜜罐***的HTTP数据包；

蜜罐***根据非法HTTP访问流量所请求的URL或IP，连接真实业务相似的高仿蜜罐；

蜜罐***接受、响应、回复反向代理服务器的响应头部和包体，包体是真实业务相似的高仿蜜罐页面，且页面包含溯源脚本；

反向代理服务器回复包含溯源脚本的真实业务相似的高仿蜜罐页面；

当攻击者客户端执行溯源脚本，与本地溯源服务器进行通信，溯源服务器捕获攻击者指纹信息。

作为基于反向代理的蜜罐诱捕的网络攻击溯源装置优选方案，所述蜜罐欺骗模块中：

反向代理服务器将攻击者非法访问流量强制劫持至蜜罐节点，使攻击者客户端打开/访问/读取蜜罐节点中的高仿真实web服务页面；

根据页面访问请求从溯源脚本库中加载溯源脚本，通过溯源脚本实现蜜罐节点的溯源功能，并将收集到的攻击者指纹上传；

蜜罐***通过反向代理服务器回复攻击者客户端，响应包体带有溯源脚本；

溯源脚本附带在高仿的真实web服务页面中，当攻击者对返回包体进行操作执行时，自动加载溯源脚本进行信息溯源；

当溯源脚本加载时，溯源脚本的URL通过反向代理服务器，与情报收集的溯源服务器进行通信。

作为基于反向代理的蜜罐诱捕的网络攻击溯源装置优选方案，所述情报收集模块中，通过溯源脚本将捕获的攻击者身份信息、攻击者行为同步上传收集过程中，对进入蜜罐***的所有行为进行监视与记录，包括网络数据包、主机日志、运行记录，当监控到对蜜罐***的非法操作时生成记录信息。

作为基于反向代理的蜜罐诱捕的网络攻击溯源装置优选方案，所述情报收集模块中，对进入蜜罐***的攻击行为进行限制，限制攻击者以被攻陷的蜜罐***主机为跳板渗透攻击周边***；

所述情报收集模块中，对溯源脚本进行更新，当进行溯源脚本更新时直接更新溯源服务器中的溯源脚本。

本发明利用HTTP反向代理服务器强制将攻击者劫持到蜜罐，为现有基于蜜罐的攻击者被动“踩雷”的防御方法提供了新思路，增强蜜罐***主动防御。最终效果是，同样的互联网URL资源，当访问者被识别为正常用户时，返回的是正常页面，当访问者被识别为攻击者时，则攻击者被导向蜜罐页面。由于正常页面和蜜罐页面是同样的URL，只是根据访问者行为不同给予不同的返回，破解了攻击者通过区分URL的方式绕过蜜罐的可能，为业务单位通过主动干预诱捕黑客提供了可能性；利用蜜罐页面中的溯源代码和真实业务相似的高仿蜜罐，增强了数据捕获的能力，为攻击溯源提供更多情报线索，最终达到延缓攻击进程、强制将攻击者请求流量进行无感知劫持至蜜罐的安全防御效果。

附图说明

为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引申获得其他的实施附图。

本说明书所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明可实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本发明所能产生的功效及所能达成的目的下，均应仍落在本发明所揭示的技术内容能涵盖的范围内。

图1为本发明实施例1提供的基于反向代理的蜜罐诱捕的网络攻击溯源方法示意图；

图2为本发明实施例1提供的基于反向代理的蜜罐诱捕的网络攻击溯源方法中HTTP反向代理通信流程示意图；

图3为本发明实施例1提供的基于反向代理的蜜罐诱捕的网络攻击溯源方法中网络攻击溯源流程示意图；

图4为本发明实施例2提供的基于反向代理的蜜罐诱捕的网络攻击溯源装置示意图。

具体实施方式

以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

相关技术中，蜜罐是一种网络安全技术，用于诱骗黑客进入并攻击一个虚假的业务***，以便收集攻击行为和信息，帮助安全人员研究和防范类似攻击的发生。蜜罐通常是一个虚拟机或者网络环境，伪装成一个真实的***，看起来像一个易受攻击的目标，吸引攻击者进入并实施攻击。

相关技术中，URL:Uniform Resource Locator，中文名：统一资源定位符，统一资源定位符是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示，是互联网上标准资源的地址。互联网上的每个文件都有一个唯一的URL，它包含的信息指出文件的位置以及浏览器应该怎么处理它。

相关技术中，HTTP协议定义Web客户端如何从Web服务器请求Web页面，以及服务器如何把Web页面传送给客户端。HTTP协议采用了请求/响应模型。客户端向服务器发送一个请求报文，请求报文包含请求的方法、URL、协议版本、请求头部和请求数据。服务器以一个状态行作为响应，响应的内容包括协议的版本、成功或者错误代码、服务器信息、响应头部和响应数据。

相关技术中，HTTPS(Hypertext Transfer Protocol Secure)，是以安全为目标的HTTP通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS在HTTP的基础下加入SSL，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个***提供了身份验证与加密通讯方法。

相关技术中，钩子程序：钩子(Hook)就是提供了一个入口，能够针对不同的消息或者API，在执行前，先执行预设的代码。在高仿真实web页面加入钩子程序，可以让攻击者运行蜜罐高仿真实Web页面的溯源脚本。

相关技术中，TCP协议全称传输控制协议,顾名思义,就是要对数据的传输进行一定的控制，它是一种面向连接的、可靠的、基于字节流的传输层通信协议。

相关技术中，socket用于网络中一台计算机中的程序与其他计算机的程序之间需要交换数据。socket也称作“套接字”，用于描述IP地址和端口，是一个通信链路的描述符。应用程序通常通过“套接字”向对端发出请求或者应答网络请求。socket是连接运行在网络上的两个程序之间的通信端点。通信的两端都有socket，它是一个通道，数据在两个socket之间进行传输。socket把复杂的TCP/IP协议隐藏在socket接口后面，对程序员来说，只要用好socket相关的函数，就可以完成数据通信。简单的讲，套接字就是一个可以双向读写的双向管道，本端(本计算机)套接字写入将在对端(对方计算机)套接字读取出来，对端套接字写入将在本端套接字读取。平时所说的IP地址和端口号，可以近似的理解为就是套接字。

相关技术中，反向代理服务器的规则和算法决定了请求将如何被分配到目标蜜罐，需要根据网站的实际情况进行设置。将客户端请求转发给不同的目标服务器，从而实现负载均衡。负载均衡可以提高服务器的性能和稳定性，避免单一服务器负载过高导致服务崩溃。

相关技术中，反向代理服务器位于用户与目标服务器之间，但是对于用户而言，反向代理服务器就相当于目标服务器，即用户直接访问反向代理服务器就可以获得目标服务器的资源。同时，用户不需要知道目标服务器的地址，也无须在用户端作任何设定。

相关技术中，低交互蜜罐又称伪***蜜罐，用于模拟服务和操作***，利用一些工具程序强大的模仿能力，伪造出不属于自己平台的“漏洞”。这种蜜罐容易部署，减少风险，但只能捕获少量的信息。

相关技术中，高交互蜜罐又称实***蜜罐，它是最真实的蜜罐，往往运行这真实的***并且带有真实可入侵漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的，可以捕获更丰富的信息，但部署复杂、风险较大。研究型蜜罐一般都属于高交互蜜罐。

代理服务器的本质是一个基于TCP协议的流量二传手，由于TCP协议本身保证了数据的有序传输，因而代理服务器软件的核心就是对两边可读可写的套接字(Socket)进行数据的双向复制，也即从A套接字读取的数据写入B套接字，从B套接字读取的数据写入A套接字。这里的意思是，代理服务器上有两个套接字A和B，其中A套接字和访问者通信，B套接字和真实业务服务器或蜜罐通信。代理服务器的过程是访问者和代理服务器的套接字A形成一个通信，代理服务器的套接字B和业务服务器或蜜罐通信，从A读取的访问者请求直接写到B转发到服务器，从B读取的服务器响应直接写入套接字A回复访问者。由于代理服务器在中间从事了双向复制工作，因而代理服务器可以审计并篡改访问者和服务器间的通信，这种审计和篡改能力是本技术方案的成立的技术基础。

传统的蜜罐***都存在着致命的缺陷：“即破即失效”。由于蜜罐往往针对生产网络的安全需求进行伪装服务配置，蜜罐的部署通常独立于真实业务***，需要被动等待攻击者“踩雷”，即使防守方知道某IP或某用户是攻击者，也无法将其强行引入到蜜罐。蜜罐的服务类型单一且蜜罐指纹信息唯一，一旦静态蜜罐指纹信息暴露，或者蜜罐的URL被攻击者知晓，攻击者就会绕过蜜罐进行攻击，对生产网络造成威胁，蜜罐就毫无价值。现有蜜罐指纹信息静态的特点，使得蜜罐容易被攻击者识别，虽然有一些蜜罐和蜜网能够高度伪装收集深度攻击数据，但其通常是针对特定场景的攻击类型进行数据捕获，目的单一且不适合于进一步获取威胁情报而进行溯源反制。有鉴于此，本发明实施例提供一种基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置，以下为本发明实施例的具体内容。

实施例1

参见图1，本发明实施例1提供一种基于反向代理的蜜罐诱捕的网络攻击溯源方法，包括以下步骤：

S1、采用指定方式判断访问请求是否为攻击行为，指定方式包括人工指定黑名单IP或黑名单特征，或通过特征规则自动识别；

S2、若访问请求被识别为攻击行为，反向代理服务器将业务网络中非法的访问流量透明转发到蜜罐***，并根据攻击者的访问请求的报文首部中的Host字段，返回蜜罐***中该Host字段所对应的真实业务相似的高仿蜜罐和蜜罐页面中的溯源脚本；若访问请求识别结果不是攻击行为，则将访问请求转发到真实业务***服务器；

S3、蜜罐***在接收到反向代理服务器的非法访问请求后，非法访问请求页面从溯源服务器中加载溯源脚本返回给攻击者；

S4、当攻击者执行溯源脚本获得溯源信息后，通过溯源脚本将捕获的攻击者身份信息、攻击者行为同步上传收集。

本实施步骤S1中，攻击行为识别主要从攻击规则匹配、黑名单IP库匹配、访问行为特征进行识别。通过人工干预可定期更新攻击规则、黑名单IP库，以及加白通过研判后触发攻击规则所产生的误告警源IP。

其中，攻击行为识别和HTTP反向代理流量的伪代码如下：

本实施例步骤S2中，由于反向代理服务器通常会承担将通信解密的工作，如果攻击者通过HTTPS加密协议访问企业业务，反向代理业务服务器与业务服务器(蜜罐)的通信是解密后的HTTP协议，所以反向代理业务服务器与蜜罐(或真实服务器)之间的通信都是HTTP协议。

辅助图2，其中，反向代理服务器将业务网络中非法的访问流量透明转发到蜜罐***的步骤包括：

反向代理服务器收到攻击者客户端发送的HTTP访问请求后，解析HTTP头部字段，获得Host字段，如果识别为攻击行为，将HTTP访问请求流量转发至蜜罐***；

反向代理服务器响应攻击者客户端，生成去往蜜罐***的HTTP数据包；

蜜罐***根据非法HTTP访问流量所请求的URL或IP，连接真实业务相似的高仿蜜罐；

蜜罐***接受、响应、回复反向代理服务器的响应头部和包体，包体是真实业务相似的高仿蜜罐页面，且页面包含溯源脚本；

反向代理服务器回复包含溯源脚本的真实业务相似的高仿蜜罐页面；

当攻击者客户端执行溯源脚本，与本地溯源服务器进行通信，溯源服务器捕获攻击者指纹信息。

其中，HTTP反向代理通信过程如下(举例说明)：

攻击者使用IP地址1.1.1.1访问http://a.example.com/evil.php。http请求首部如下：

“GET/evil.php HTTP/1.1

Host:a.example.com

其它首部行：略”。

反向代理服务器收到请求后，如果转发的蜜罐是具备动态交互能力的高仿蜜罐，则在首部行追加X-Forwarded-For信息，提供攻击者相关的IP信息。根据攻击行为识别鉴别的非法访问结果将攻击者请求转发至蜜罐***。去往蜜罐的请求包如下：

“GET/evil.php HTTP/1.1

Host:a.example.com

其它首部行：略

X-Forwarded-For:1.1.1.1”。

如果选择被转发的蜜罐只是一般的低交互性蜜罐，或外部蜜罐，由于做不到高仿蜜罐响应未知Host与未知页面的能力，因而，需要将头部变换成一下形式(假设某蜜罐提供溯源页面的URL是http://miguan.com/miguan.html)。

“GET/miguan.html HTTP/1.1

Host:miguan.com

其它首部行：略

X-Forwarded-For:1.1.1.1”。

如此，低交互蜜罐或外部蜜罐所接收到的请求看起来就像是攻击者直接访问了蜜罐页面，因而返回的页面也将是正常的蜜罐溯源页面。

本实施例步骤S3中，蜜罐欺骗包含与正常业务相同URL高仿Web服务页面、虚假敏感数据交互，高仿Web服务页面包含可执行的溯源脚本，一旦攻击者执行溯源脚本，防守方的角色将攻击者角色互换。虚假敏感数据交互可诱导攻击者扫描、探测及入侵蜜罐主机，从而可收集到攻击者指纹。

辅助图3，其中，蜜罐***加载执行溯源脚本的步骤包括：

反向代理服务器将攻击者非法访问流量强制劫持至蜜罐节点，使攻击者客户端打开/访问/读取蜜罐节点中的高仿真实web服务页面；

根据页面访问请求从溯源脚本库中加载溯源脚本，通过溯源脚本实现蜜罐节点的溯源功能，并将收集到的攻击者指纹上传；

蜜罐***通过反向代理服务器回复攻击者客户端，响应包体带有溯源脚本；

溯源脚本附带在高仿的真实web服务页面中，当攻击者对返回包体进行操作执行时，自动加载溯源脚本进行信息溯源；

当溯源脚本加载时，溯源脚本的URL通过反向代理服务器，与情报收集的溯源服务器进行通信。

本实施例步骤S4中，通过溯源脚本将捕获的攻击者身份信息、攻击者行为同步上传收集过程中，对进入蜜罐***的所有行为进行监视与记录，包括网络数据包、主机日志、运行记录，当监控到对蜜罐***的非法操作时生成记录信息。对进入蜜罐***的攻击行为进行限制，限制攻击者以被攻陷的蜜罐***主机为跳板渗透攻击周边***；对溯源脚本进行更新，当进行溯源脚本更新时直接更新溯源服务器中的溯源脚本。

具体的，情报收集主要解决对蜜罐溯源脚本和攻击者的请求历史行为进行存储，以实现情报的收集和对溯源脚本的持续更新。通过对进入蜜罐***的所有行为进行监视与记录，包括各类网络数据包、主机日志、运行记录等，一旦监控到有对蜜罐***的非法操作，马上生成相关记录信息，其日志记录信息分别存放。对进入蜜罐***的攻击行为进行限制，从而保证攻击者不会以被攻陷的蜜罐主机为跳板，渗透攻击其他***并造成危害。

其中，溯源脚本采用自主化更新，由于溯源脚本的存在，让本该是防守方的企业转变成攻击方，可对高级黑客或APT组织攻击进行反制。由于将溯源脚本部署于一个独立的溯源服务器中，而非在每一个蜜罐节点上部署溯源功能，在进行溯源脚本更新时直接更新溯源服务器中的溯源脚本即可，而无需对每一个蜜罐节点进行溯源功能更新，实现了溯源脚本的快速更新，进而实现了蜜罐节点溯源功能的快速更新。

综上所述，本发明实施例通过将攻击者流量劫持至蜜罐，每一个攻击者请求的URL都会有对应的高仿Web服务页面的蜜罐诱饵与其通信，在蜜罐诱饵中配置溯源脚本钩子程序，诱发攻击者执行。通过攻击者行为，以获取IP关联地理位置、域名、执行命令、数据包负载特征以及对主机实施的各类其他操作等攻击者指纹。低交互蜜罐可获得攻击者的基本身份信息，如IP关联地理位置、域名等信息，中交互蜜罐可获得攻击者执行命令、攻击行为特征、对主机实施的各类其他操作等信息。根据页面访问请求自定义化加载溯源脚本。蜜罐溯源***中一般部署有大量的蜜罐节点，每一个攻击者请求的URL都会有和与之相同URL高仿页面以及多个溯源脚本，每一个蜜罐节点在接收到页面访问请求时，即可从上述溯源服务器中加载溯源脚本，并基于该溯源脚本实现溯源功能，进而实现溯源信息的获取。对于蜜罐节点而言，在从溯源服务器中加载获得溯源脚本之后，攻击者客户端接收到反向代理的HTTP返回包后，由于正常页面和蜜罐页面都是同样的URL和溯源脚本程序的存在，攻击者一旦读取了HTTP返回包，攻击者客户端将与溯源服务器进行通信，所有蜜罐节点的溯源脚本请求均会代理到溯源服务器。此外，收集蜜罐***日志、网络流量载荷、***行为，攻击者身份信息以及溯源服务器所获取攻击者行为信息。基于获取的攻击者信息，可自定义更新溯源脚本库，记录同一源IP地址历史行为，并通过人工干预的方式对攻击进行研判，可根据研判结果对攻击源IP进行加白或加黑。

需要说明的是，本公开实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。

需要说明的是，上述对本公开的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

实施例2

参见图4，本发明实施例2提供一种基于反向代理的蜜罐诱捕的网络攻击溯源装置，包括：

攻击行为识别模块1，用于采用指定方式判断访问请求是否为攻击行为，指定方式包括人工指定黑名单IP或黑名单特征，或通过特征规则自动识别；

反向代理流量转发模块2，用于若访问请求被识别为攻击行为，反向代理服务器将业务网络中非法的访问流量透明转发到蜜罐***，并根据攻击者的访问请求的报文首部中的Host字段，返回蜜罐***中该Host字段所对应的真实业务相似的高仿蜜罐和蜜罐页面中的溯源脚本；还用于若访问请求识别结果不是攻击行为，则将访问请求转发到真实业务***服务器；

蜜罐欺骗模块3，用于蜜罐***在接收到反向代理服务器的非法访问请求后，非法访问请求页面从溯源服务器中加载溯源脚本返回给攻击者；

情报收集模块4，用于当攻击者执行溯源脚本获得溯源信息后，通过溯源脚本将捕获的攻击者身份信息、攻击者行为同步上传收集。

本实施例中，所述反向代理流量转发模块2中：

反向代理服务器收到攻击者客户端发送的HTTP访问请求后，解析HTTP头部字段，获得Host字段，如果识别为攻击行为，将HTTP访问请求流量转发至蜜罐***；

反向代理服务器响应攻击者客户端，生成去往蜜罐***的HTTP数据包；

蜜罐***根据非法HTTP访问流量所请求的URL或IP，连接真实业务相似的高仿蜜罐；

蜜罐***接受、响应、回复反向代理服务器的响应头部和包体，包体是真实业务相似的高仿蜜罐页面，且页面包含溯源脚本；

反向代理服务器回复包含溯源脚本的真实业务相似的高仿蜜罐页面；

当攻击者客户端执行溯源脚本，与本地溯源服务器进行通信，溯源服务器捕获攻击者指纹信息。

其中，反向代理流量转发模块2将已识别攻击行为的请求，根据请求目的url透明转发至蜜罐，让攻击者无感知劫持至蜜罐。反向代理服务器接收到请求后，根据预先设定的规则和算法，选择真实业务相似的高仿蜜罐和蜜罐页面中的溯源脚本。如果识别结果不是攻击行为，则转发到真实业务***服务器。反向代理流量转发模块2可被人工配置，主要配置项为可以将不同的目标***，适用于不同的转发规则，如转发到不同的蜜罐。

本实施例中，所述蜜罐欺骗模块3中：

反向代理服务器将攻击者非法访问流量强制劫持至蜜罐节点，使攻击者客户端打开/访问/读取蜜罐节点中的高仿真实web服务页面；

根据页面访问请求从溯源脚本库中加载溯源脚本，通过溯源脚本实现蜜罐节点的溯源功能，并将收集到的攻击者指纹上传；

蜜罐***通过反向代理服务器回复攻击者客户端，响应包体带有溯源脚本；

溯源脚本附带在高仿的真实web服务页面中，当攻击者对返回包体进行操作执行时，自动加载溯源脚本进行信息溯源；

当溯源脚本加载时，溯源脚本的URL通过反向代理服务器，与情报收集的溯源服务器进行通信。

其中，蜜罐欺骗模块3将溯源脚本部署于蜜罐***中，使得各个蜜罐节点均可以加载该溯源脚本实现溯源功能，进而实现溯源信息的获取，实现了使用一个溯源脚本使多个蜜罐节点具有溯源能力，同时，因为情报收集模块4的正向反馈，还能够快速便捷的更新拓展溯源能力，使蜜罐节点能够获取到更多的溯源信息，以及在溯源能力被发现时，可快速清空溯源配置，防止蜜罐批量暴露，有效地提高了蜜罐溯源***的可维护性。

本实施例中，所述情报收集模块4中，通过溯源脚本将捕获的攻击者身份信息、攻击者行为同步上传收集过程中，对进入蜜罐***的所有行为进行监视与记录，包括网络数据包、主机日志、运行记录，当监控到对蜜罐***的非法操作时生成记录信息。所述情报收集模块4中，对进入蜜罐***的攻击行为进行限制，限制攻击者以被攻陷的蜜罐***主机为跳板渗透攻击周边***；所述情报收集模块4中，对溯源脚本进行更新，当进行溯源脚本更新时直接更新溯源服务器中的溯源脚本。

需要说明的是，上述装置各模块之间的信息交互、执行过程等内容，由于与本申请实施例1中的方法实施例基于同一构思，其带来的技术效果与本申请方法实施例相同，具体内容可参见本申请前述所示的方法实施例中的叙述，此处不再赘述。

实施例3

本发明实施例3提供一种非暂态计算机可读存储介质，所述计算机可读存储介质中存储有基于反向代理的蜜罐诱捕的网络攻击溯源方法的程序代码，所述程序代码包括用于执行实施例1或其任意可能实现方式的基于反向代理的蜜罐诱捕的网络攻击溯源方法的指令。

计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(SolidState Disk、SSD))等。

实施例4

本发明实施例4提供一种电子设备，包括：存储器和处理器；

所述处理器和所述存储器通过总线完成相互间的通信；所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行实施例1或其任意可能实现方式的基于反向代理的蜜罐诱捕的网络攻击溯源方法。

具体的，处理器可以通过硬件来实现也可以通过软件来实现，当通过硬件实现时，该处理器可以是逻辑电路、集成电路等；当通过软件来实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现，该存储器可以集成在处理器中，可以位于所述处理器之外，独立存在。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

虽然，上文中已经用一般性说明及具体实施例对本发明作了详尽的描述，但在本发明基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的。因此，在不偏离本发明精神的基础上所做的这些修改或改进，均属于本发明要求保护的范围。

Claims (10)

1.基于反向代理的蜜罐诱捕的网络攻击溯源方法，其特征在于，包括：

采用指定方式判断访问请求是否为攻击行为，指定方式包括人工指定黑名单IP或黑名单特征，或通过特征规则自动识别；

若访问请求被识别为攻击行为，反向代理服务器将业务网络中非法的访问流量透明转发到蜜罐***，并根据攻击者的访问请求的报文首部中的Host字段，返回蜜罐***中该Host字段所对应的真实业务相似的高仿蜜罐和蜜罐页面中的溯源脚本；若访问请求识别结果不是攻击行为，则将访问请求转发到真实业务***服务器；

蜜罐***在接收到反向代理服务器的非法访问请求后，非法访问请求页面从溯源服务器中加载溯源脚本返回给攻击者，当攻击者执行溯源脚本获得溯源信息后，通过溯源脚本将捕获的攻击者身份信息、攻击者行为同步上传收集。

2.根据权利要求1所述的基于反向代理的蜜罐诱捕的网络攻击溯源方法，其特征在于，反向代理服务器将业务网络中非法的访问流量透明转发到蜜罐***的步骤包括：

反向代理服务器收到攻击者客户端发送的HTTP访问请求后，解析HTTP头部字段，获得Host字段，如果识别为攻击行为，将HTTP访问请求流量转发至蜜罐***；

反向代理服务器响应攻击者客户端，生成去往蜜罐***的HTTP数据包；

蜜罐***根据非法HTTP访问流量所请求的URL或IP，连接真实业务相似的高仿蜜罐；

蜜罐***接受、响应、回复反向代理服务器的响应头部和包体，包体是真实业务相似的高仿蜜罐页面，且页面包含溯源脚本；

反向代理服务器回复包含溯源脚本的真实业务相似的高仿蜜罐页面；

当攻击者客户端执行溯源脚本，与本地溯源服务器进行通信，溯源服务器捕获攻击者指纹信息。

3.根据权利要求1所述的基于反向代理的蜜罐诱捕的网络攻击溯源方法，其特征在于，蜜罐***加载执行溯源脚本的步骤包括：

反向代理服务器将攻击者非法访问流量强制劫持至蜜罐节点，使攻击者客户端打开/访问/读取蜜罐节点中的高仿真实web服务页面；

根据页面访问请求从溯源脚本库中加载溯源脚本，通过溯源脚本实现蜜罐节点的溯源功能，并将收集到的攻击者指纹上传；

蜜罐***通过反向代理服务器回复攻击者客户端，响应包体带有溯源脚本；

溯源脚本附带在高仿的真实web服务页面中，当攻击者对返回包体进行操作执行时，自动加载溯源脚本进行信息溯源；

当溯源脚本加载时，溯源脚本的URL通过反向代理服务器，与情报收集的溯源服务器进行通信。

4.根据权利要求1所述的基于反向代理的蜜罐诱捕的网络攻击溯源方法，其特征在于，通过溯源脚本将捕获的攻击者身份信息、攻击者行为同步上传收集过程中，对进入蜜罐***的所有行为进行监视与记录，包括网络数据包、主机日志、运行记录，当监控到对蜜罐***的非法操作时生成记录信息。

5.根据权利要求4所述的基于反向代理的蜜罐诱捕的网络攻击溯源方法，其特征在于，对进入蜜罐***的攻击行为进行限制，限制攻击者以被攻陷的蜜罐***主机为跳板渗透攻击周边***；

对溯源脚本进行更新，当进行溯源脚本更新时直接更新溯源服务器中的溯源脚本。

6.基于反向代理的蜜罐诱捕的网络攻击溯源装置，其特征在于，包括：

攻击行为识别模块，用于采用指定方式判断访问请求是否为攻击行为，指定方式包括人工指定黑名单IP或黑名单特征，或通过特征规则自动识别；

反向代理流量转发模块，用于若访问请求被识别为攻击行为，反向代理服务器将业务网络中非法的访问流量透明转发到蜜罐***，并根据攻击者的访问请求的报文首部中的Host字段，返回蜜罐***中该Host字段所对应的真实业务相似的高仿蜜罐和蜜罐页面中的溯源脚本；还用于若访问请求识别结果不是攻击行为，则将访问请求转发到真实业务***服务器；

蜜罐欺骗模块，用于蜜罐***在接收到反向代理服务器的非法访问请求后，非法访问请求页面从溯源服务器中加载溯源脚本返回给攻击者；

情报收集模块，用于当攻击者执行溯源脚本获得溯源信息后，通过溯源脚本将捕获的攻击者身份信息、攻击者行为同步上传收集。

7.根据权利要求6所述的基于反向代理的蜜罐诱捕的网络攻击溯源装置，其特征在于，所述反向代理流量转发模块中：

反向代理服务器收到攻击者客户端发送的HTTP访问请求后，解析HTTP头部字段，获得Host字段，如果识别为攻击行为，将HTTP访问请求流量转发至蜜罐***；

反向代理服务器响应攻击者客户端，生成去往蜜罐***的HTTP数据包；

蜜罐***根据非法HTTP访问流量所请求的URL或IP，连接真实业务相似的高仿蜜罐；

蜜罐***接受、响应、回复反向代理服务器的响应头部和包体，包体是真实业务相似的高仿蜜罐页面，且页面包含溯源脚本；

反向代理服务器回复包含溯源脚本的真实业务相似的高仿蜜罐页面；

当攻击者客户端执行溯源脚本，与本地溯源服务器进行通信，溯源服务器捕获攻击者指纹信息。

8.根据权利要求6所述的基于反向代理的蜜罐诱捕的网络攻击溯源装置，其特征在于，所述蜜罐欺骗模块中：

反向代理服务器将攻击者非法访问流量强制劫持至蜜罐节点，使攻击者客户端打开/访问/读取蜜罐节点中的高仿真实web服务页面；

根据页面访问请求从溯源脚本库中加载溯源脚本，通过溯源脚本实现蜜罐节点的溯源功能，并将收集到的攻击者指纹上传；

蜜罐***通过反向代理服务器回复攻击者客户端，响应包体带有溯源脚本；

溯源脚本附带在高仿的真实web服务页面中，当攻击者对返回包体进行操作执行时，自动加载溯源脚本进行信息溯源；

当溯源脚本加载时，溯源脚本的URL通过反向代理服务器，与情报收集的溯源服务器进行通信。

9.根据权利要求6所述的基于反向代理的蜜罐诱捕的网络攻击溯源装置，其特征在于，所述情报收集模块中，通过溯源脚本将捕获的攻击者身份信息、攻击者行为同步上传收集过程中，对进入蜜罐***的所有行为进行监视与记录，包括网络数据包、主机日志、运行记录，当监控到对蜜罐***的非法操作时生成记录信息。

10.根据权利要求9所述的基于反向代理的蜜罐诱捕的网络攻击溯源装置，其特征在于，所述情报收集模块中，对进入蜜罐***的攻击行为进行限制，限制攻击者以被攻陷的蜜罐***主机为跳板渗透攻击周边***；

所述情报收集模块中，对溯源脚本进行更新，当进行溯源脚本更新时直接更新溯源服务器中的溯源脚本。