网络攻击者信息获取方法、装置、服务器、电子设备及存储介质制造方法及图纸

本发明专利技术实施例公开一种网络攻击者信息获取方法、装置、服务器、电子设备及存储介质，涉及网络安全技术领域。所述方法包括：在接收到用户发送的服务请求消息时，检测所述用户是否存在获取当前主机环境信息的行为；若是，则根据预设防御策略，返回响应消息至所述用户,所述响应消息中携带有信息跟踪器；当所述响应消息被解读时，触发所述信息跟踪器获取所述用户的基本信息并传回。本发明专利技术便于有效获取网络攻击者信息，适用于网络安全防御及分析场景中。适用于网络安全防御及分析场景中。适用于网络安全防御及分析场景中。

【技术实现步骤摘要】
网络攻击者信息获取方法、装置、服务器、电子设备及存储介质


[0001]本专利技术涉及网络安全
，尤其涉及一种网络攻击者信息获取方法、装置、服务器、电子设备及存储介质。

技术介绍

[0002]蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，进而对攻击行为进行捕获及分析，以让防御方根据捕获的攻击行为及分析结果清楚知晓资产面临的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。因此，蜜罐技术亦被称为欺骗式防御技术。
[0003]然而，专利技术人在实现本专利技术创造的过程中发现：现有蜜罐技术诱捕攻击行为的方式，一般是在受到攻击行为时，蜜罐才会被触发开始工作。然而，一些网络攻击者(俗称“黑客”)在实施正式攻击之前，会进行攻击目标环境是实体机环境还是虚拟机环境的验证，一旦其验证出是虚拟机环境，则可能不做任何操作就放弃攻击计划逃逸。如此，则导致防御方诱捕意图完全落空，难以有效获取网络攻击者信息。

技术实现思路

[0004]有鉴于此，本专利技术实施例提供一种网络攻击者信息获取方法、装置、服务器、电子设备及存储介质，便于有效获取网络攻击者信息。
[0005]第一方面，本专利技术实施例提供的网络攻击者信息获取方法，包括步骤：在接收到用户发送的服务请求消息时，检测所述用户是否存在获取当前主机环境信息的行为；若是，则根据预设防御策略，返回响应消息至所述用户,所述响应消息中携带有信息跟踪器；当所述响应消息被解读时，触发所述信息跟踪器获取所述用户的基本信息并传回。
[0006]可选地，所述根据预设防御策略，返回响应消息至所述用户，包括：将当前主机环境信息修改成虚假环境信息；在所述虚假环境信息中写入用于形成所述信息跟踪器的脚本；将所述虚假环境信息回传至所述用户。
[0007]可选地，所述将当前主机环境信息修改成虚假环境信息包括：触发修改主机环境信息的机制；隐藏当前主机的真实硬件环境信息，将其更改为虚假硬件环境信息，以迷惑所述用户。
[0008]可选地，所述脚本包含：至少用于获取用户的IP地址、MAC地址及位置信息的函数指令。
[0009]可选地，在所述虚假环境信息中写入用于形成所述信息跟踪器的脚本之后，所述方法还包括：将所述脚本隐藏和/或设置防止删除或修改保护程序。
[0010]第二方面，本专利技术实施例提供一种网络攻击者信息获取装置，所述装置包括：检测程序单元，用于在接收到用户发送的服务请求消息时，检测所述用户是否存在获取当前主机环境信息的行为；响应程序单元，用于若是，则根据预设防御策略，返回响应消息至所述
用户,所述响应消息中携带有信息跟踪器；接收程序单元，用于接收所述信息跟踪器回传的所述用户的基本信息；其中，当所述响应消息被解读时，触发所述信息跟踪器获取所述用户的基本信息。
[0011]第三方面，本专利技术实施例提供一种服务器，所述服务器用于执行：在接收到用户发送的服务请求消息时，检测所述用户是否存在获取当前主机环境信息的行为；若是，则根据预设防御策略，返回响应消息至所述用户,所述响应消息中携带有信息跟踪器；接收所述信息跟踪器回传的所述用户的基本信息；其中，当所述响应消息被解读时，触发所述信息跟踪器获取所述用户的基本信息。
[0012]第四方面，本专利技术实施例提供的电子设备，包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行第一方面任一所述的方法。
[0013]第四方面，本专利技术实施例提供的计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述第一方面任一所述的方法。
[0014]本专利技术实施例提供的网络攻击者信息获取方法、装置、服务器、电子设备及存储介质，通过在检测到用户获取当前主机环境信息的行为时，根据预设防御策略，返回响应消息至所述用户，在所述响应消息中携带有信息跟踪器；当所述响应消息被解读时，触发所述信息跟踪器获取所述用户的基本信息并传回。这样，在网络攻击者尚未发起正式入侵攻击阶段前，就已经捕获到其基本信息，即使在其进行环境验证之后发生主动逃逸也无所谓，不会影响之前捕获到的攻击者的基本信息的结果。由此，相比于现有蜜罐技术，本专利技术便于有效获取网络攻击者信息。
附图说明
[0015]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
[0016]图1为本专利技术网络攻击者信息获取方法一实施例的流程示意图；
[0017]图2为本专利技术网络攻击者信息获取方法再一实施例的流程示意图；
[0018]图3为本专利技术网络攻击者信息获取方法再一实施例的流程示意图；
[0019]图4为本专利技术网络攻击者信息获取装置一实施例架构图；
[0020]图5为本专利技术电子设备一个实施例的结构示意图。
具体实施方式
[0021]下面结合附图对本专利技术实施例进行详细描述。
[0022]应当明确，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其
它实施例，都属于本专利技术保护的范围。
[0023]图1为本专利技术网络攻击者信息获取方法一实施例的流程示意图，请参看图1所示，本专利技术实施例提供的网络攻击者信息获取方法，可应用于网络安全防御及分析场景中，用于捕获外部网络攻击者的基本信息。
[0024]需要说明的是，该方法可以以软件的形式固化于某一制造的产品中，当用户在使用该产品时，可以再现本申请的方法步骤流程。
[0025]参看图1所示，所述网络攻击者信息获取方法，可包括步骤：
[0026]S110、在接收到用户发送的服务请求消息时，检测所述用户是否存在获取当前主机环境信息的行为。
[0027]随着蜜罐技术的出现，一些黑客在发起正式入侵攻击时，一般会对攻击目标主机环境进行验证，为验证攻击目标主机环境是否为虚拟还是实体硬件环境，通常会存在获取目标主机的环境信息，以根据获取到的环境信息进行验证。若验证为实体硬件环境，则会进一步发起入侵攻击；若验证为虚拟机环境，则判定是防御方布设的诱捕陷阱，选择主动逃逸。如此，防御方捕获攻击者的意图就会完全落空。
[0028]本实施例中，通过在工程实践中发现的网络攻击的这一新特点，提出一种新的获取攻击者信息的方案，在检测到有获取当前主机环境信息的行为时，则判断可能是网络攻击者。进而，设法在网络攻击者进行正式入侵攻击前的收集信本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络攻击者信息获取方法，其特征在于，包括步骤：在接收到用户发送的服务请求消息时，检测所述用户是否存在获取当前主机环境信息的行为；若是，则根据预设防御策略，返回响应消息至所述用户,所述响应消息中携带有信息跟踪器；当所述响应消息被解读时，触发所述信息跟踪器获取所述用户的基本信息并传回。2.根据权利要求1所述的网络攻击者信息获取方法，其特征在于，所述根据预设防御策略，返回响应消息至所述用户，包括：将当前主机环境信息修改成虚假环境信息；在所述虚假环境信息中写入用于形成所述信息跟踪器的脚本；将所述虚假环境信息回传至所述用户。3.根据权利要求2所述的网络攻击者信息获取方法，其特征在于，所述将当前主机环境信息修改成虚假环境信息包括：触发修改主机环境信息的机制；隐藏当前主机的真实硬件环境信息，将其更改为虚假硬件环境信息，以迷惑所述用户。4.根据权利要求2所述的网络攻击者信息获取方法，其特征在于，所述脚本包含：至少用于获取用户的IP地址、MAC地址及位置信息的函数指令。5.根据权利要求2所述的网络攻击者信息获取方法，其特征在于，在所述虚假环境信息中写入用于形成所述信息跟踪器的脚本之后，所述方法还包括：将所述脚本隐藏和/或设置防止删除或修改保护程序。6.一种网络攻击者信息获取装置，其特征在于，所述装置包括：检测程序单元，用于在接收到用户发送的服务请求消息时，检测所述用户是否存在获取当前主机环境信息的行为；响应程序单元，...

【专利技术属性】
技术研发人员：李丹，肖新光，
申请(专利权)人：安天科技集团股份有限公司，
类型：发明
国别省市：