蜜罐制作方法、装置、设备及介质与流程

本技术涉及网络安全，尤其涉及一种蜜罐制作方法、装置、设备及介质。

背景技术：

1、蜜罐技术是一种主动式安全防御技术，通过模拟业务系统或服务来诱捕潜在的攻击者，并收集攻击资源信息和攻击者信息。全球广域网(world wide web，web)蜜罐是蜜罐技术在web领域的特定应用。随着web技术的发展，web蜜罐成为安全研究者们广泛关注和使用的一种常见蜜罐。

2、当前，web蜜罐通常包括仿真web应用程序、模拟漏洞、溯源信息收集、日志记录等功能。由于web应用程序的复杂性高、代码量大，业界中仿真web应用程序的主要方法是通过修改web应用程序的源代码进行仿真，该方法需要对于每种web应用程序独立开发蜜罐逻辑，并要求开发人员掌握多种编程语言、框架，开发成本极高，并且蜜罐可移植性差。

3、因此，如何提高蜜罐可移植性、降低蜜罐制作成本是亟待解决的技术问题。

技术实现思路

1、本技术提供了一种的蜜罐制作方法、装置、设备及介质，用于提高蜜罐可移植性、降低蜜罐制作成本。

2、第一方面，本技术提供了一种蜜罐制作方法，所述方法包括：

3、接收发送端对业务系统的访问请求；

4、根据所述访问请求中携带的特征信息，确定所述访问请求的目标类型；根据所述目标类型，获取所述目标类型对应的目标响应信息；其中，所述目标响应信息中包含预先配置的溯源信息或漏洞响应信息；

5、将所述目标响应信息发送给所述发送端。

6、在一种可能的实施方式中，所述根据所述访问请求中携带的特征信息，确定所述访问请求的目标类型包括：

7、判断所述访问请求中携带的特征信息中是否包含预先保存的漏洞特征信息；

8、若是，则确定所述访问请求的目标类型为漏洞利用类型；若否，则确定所述访问请求的目标类型为非漏洞利用类型。

9、在一种可能的实施方式中，若所述目标类型为漏洞利用类型，所述根据所述目标类型，获取所述目标类型对应的目标响应信息包括：

10、根据所述漏洞利用类型，获取所述漏洞利用类型对应的漏洞响应模板；

11、根据所述漏洞响应模板，生成目标响应信息。

12、在一种可能的实施方式中，若所述漏洞响应模板为普通漏洞响应模板，所述根据所述漏洞响应模板，生成目标响应信息包括：

13、将所述普通漏洞响应模板确定为目标响应信息。

14、在一种可能的实施方式中，若所述漏洞响应模板为命令漏洞响应模板，所述根据所述漏洞响应模板，生成目标响应信息包括：

15、根据访问请求中携带的特征信息，以及预先缓存的请求特征信息与业务系统的对应关系，确定所述特征信息对应的目标业务系统；提取所述特征信息中包含的命令特征信息；

16、将所述命令特征信息转发至所述目标业务系统，接收所述目标业务系统返回的命令响应信息；

17、根据所述命令响应信息和所述命令漏洞响应模板，生成目标响应信息。

18、在一种可能的实施方式中，若所述目标类型为非漏洞利用类型，所述根据所述目标类型，获取所述目标类型对应的目标响应信息包括：

19、根据所述访问请求中携带的特征信息，以及预先缓存的请求特征信息与业务系统的对应关系，确定所述特征信息对应的目标业务系统；

20、将所述访问请求转发至所述目标业务系统，接收所述目标业务系统返回的响应信息；

21、根据所述响应信息及预先配置的溯源信息，生成目标响应信息。

22、在一种可能的实施方式中，所述根据所述访问请求中携带的特征信息，以及预先缓存的请求特征信息与业务系统的对应关系，确定所述特征信息对应的目标业务系统包括：

23、判断预先缓存的请求特征信息与业务系统的对应关系中是否存在包含所述特征信息的目标对应关系；

24、若是，则根据所述目标对应关系，确定所述目标请求特征信息对应的目标业务系统；若否，则将每个业务系统确定为目标业务系统。

25、在一种可能的实施方式中，请求特征信息与业务系统的对应关系的确定过程包括：

26、将任一请求特征信息发送至每个业务系统，接收每个业务系统返回的该请求特征信息对应的响应信息；

27、针对每个响应信息，判断该响应信息中包含的字符数量是否小于预设值；若否，则将发送该响应信息的业务系统确定为该请求特征信息对应的候选业务系统；

28、随机选取候选业务系统中的任一业务系统，确定该请求特征信息与该业务系统的对应关系。

29、在一种可能的实施方式中，所述将所述访问请求转发至所述目标业务系统之后，若未接收到目标业务系统返回的响应信息，所述方法还包括：

30、将预先保存的任一错误信息确定为目标响应信息。

31、在一种可能的实施方式中，所述接收所述目标系统返回的响应信息之后，所述根据所述响应信息及预先配置的溯源信息，生成目标响应信息之前，所述方法还包括：

32、判断所述响应信息中包含的字符数量是否小于预设值；

33、若否，则进行后续的根据所述响应信息及预先配置的溯源信息，生成目标响应信息的步骤。

34、在一种可能的实施方式中，若所述响应信息中包含的字符数量小于预设值，所述方法还包括：

35、将预先保存的任一错误信息确定为目标响应信息。

36、在一种可能的实施方式中，所述根据所述响应信息及预先配置的溯源信息，生成目标响应信息包括：

37、针对预先配置的溯源信息进行加密混淆；

38、在所述响应信息的预设字段中嵌入所述加密混淆后的溯源信息，并对所述响应信息的长度字段中包含的信息长度进行调整得到目标响应信息。

39、第二方面，本技术实施例提供了一种蜜罐制作装置，所述装置包括：

40、接收模块，用于接收发送端对业务系统的访问请求；

41、代理模块，用于根据所述访问请求中携带的特征信息，确定所述访问请求的目标类型；根据所述目标类型，获取所述目标类型对应的目标响应信息；其中，所述目标响应信息中包含预先配置的溯源信息或漏洞响应信息；将所述目标响应信息发送给所述发送端。

42、在一种可能的实施方式中，所述代理模块，具体用于判断所述访问请求中携带的特征信息中是否包含预先保存的漏洞特征信息；若是，则确定所述访问请求的目标类型为漏洞利用类型；若否，则确定所述访问请求的目标类型为非漏洞利用类型。

43、在一种可能的实施方式中，所述代理模块，具体用于若所述目标类型为漏洞利用类型，根据所述漏洞利用类型，获取所述漏洞利用类型对应的漏洞响应模板；

44、根据所述漏洞响应模板，生成目标响应信息。

45、在一种可能的实施方式中，所述代理模块，具体用于若所述漏洞响应模板为普通漏洞响应模板，将所述普通漏洞响应模板确定为目标响应信息。

46、在一种可能的实施方式中，所述代理模块，具体用于若所述漏洞响应模板为命令漏洞响应模板，

47、在一种可能的实施方式中，所述代理模块，具体用于根据访问请求中携带的特征信息，以及预先缓存的请求特征信息与业务系统的对应关系，确定所述特征信息对应的目标业务系统；提取所述特征信息中包含的命令特征信息；将所述命令特征信息转发至所述目标业务系统，接收所述目标业务系统返回的命令响应信息；根据所述命令响应信息和所述命令漏洞响应模板，生成目标响应信息。

48、在一种可能的实施方式中，所述代理模块，具体用于若所述目标类型为非漏洞利用类型，根据所述访问请求中携带的特征信息，以及预先缓存的请求特征信息与业务系统的对应关系，确定所述特征信息对应的目标业务系统；将所述访问请求转发至所述目标业务系统，接收所述目标业务系统返回的响应信息；根据所述响应信息及预先配置的溯源信息，生成目标响应信息。

49、在一种可能的实施方式中，所述代理模块，具体用于判断预先缓存的请求特征信息与业务系统的对应关系中是否存在包含所述特征信息的目标对应关系；若是，则根据所述目标对应关系，确定所述目标请求特征信息对应的目标业务系统；若否，则将每个业务系统确定为目标业务系统。

50、在一种可能的实施方式中，所述代理模块，具体用于将任一请求特征信息发送至每个业务系统，接收每个业务系统返回的该请求特征信息对应的响应信息；针对每个响应信息，判断该响应信息中包含的字符数量是否小于预设值；若否，则将发送该响应信息的业务系统确定为该请求特征信息对应的候选业务系统；随机选取候选业务系统中的任一业务系统，确定该请求特征信息与该业务系统的对应关系。

51、在一种可能的实施方式中，所述代理模块，具体用于若未接收到目标业务系统返回的响应信息，将预先保存的任一错误信息确定为目标响应信息。

52、在一种可能的实施方式中，所述代理模块，具体用于判断所述响应信息中包含的字符数量是否小于预设值；若否，则进行后续的根据所述响应信息及预先配置的溯源信息，生成目标响应信息的步骤。

53、在一种可能的实施方式中，所述代理模块，具体用于若所述响应信息中包含的字符数量小于预设值，将预先保存的任一错误信息确定为目标响应信息。

54、在一种可能的实施方式中，所述代理模块，具体用于针对预先配置的溯源信息进行加密混淆；在所述响应信息的预设字段中嵌入所述加密混淆后的溯源信息，并对所述响应信息的长度字段中包含的信息长度进行调整得到目标响应信息。

55、第三方面，本技术实施例还提供了一种电子设备，所述电子设备至少包括处理器和存储器，所述处理器用于执行存储器中存储的计算机程序时实现如上述任一所述方法的步骤。

56、第四方面，本技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有可由电子设备执行的计算机程序，当所述程序在所述电子设备上运行时，使得所述电子设备执行如上述任一所述方法的步骤。

57、在本技术实施例中，电子设备可以在业务系统之外设置中间人代理节点，利用中间人代理节点接收发送端对至少一个业务系统的访问请求；根据访问请求中携带的特征信息，确定访问请求的目标类型；根据目标类型，获取目标类型对应的包含预先配置的溯源信息或漏洞响应信息的目标响应信息；并将目标响应信息发送给发送端，从而能够实现跨业务系统的蜜罐功能，提高蜜罐可移植性，并且极大地降低蜜罐的制作成本。