[发明专利]网络攻击者信息获取方法、装置、服务器、电子设备及存储介质

说明书

本发明实施例公开一种网络攻击者信息获取方法、装置、服务器、电子设备及存储介质，涉及网络安全技术领域。所述方法包括：在接收到用户发送的服务请求消息时，检测所述用户是否存在获取当前主机环境信息的行为；若是，则根据预设防御策略，返回响应消息至所述用户,所述响应消息中携带有信息跟踪器；当所述响应消息被解读时，触发所述信息跟踪器获取所述用户的基本信息并传回。本发明便于有效获取网络攻击者信息，适用于网络安全防御及分析场景中。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络攻击者信息获取方法、装置、服务器、电子设备及存储介质。

背景技术

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，进而对攻击行为进行捕获及分析，以让防御方根据捕获的攻击行为及分析结果清楚知晓资产面临的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。因此，蜜罐技术亦被称为欺骗式防御技术。

然而，发明人在实现本发明创造的过程中发现：现有蜜罐技术诱捕攻击行为的方式，一般是在受到攻击行为时，蜜罐才会被触发开始工作。然而，一些网络攻击者(俗称“黑客”)在实施正式攻击之前，会进行攻击目标环境是实体机环境还是虚拟机环境的验证，一旦其验证出是虚拟机环境，则可能不做任何操作就放弃攻击计划逃逸。如此，则导致防御方诱捕意图完全落空，难以有效获取网络攻击者信息。

发明内容

有鉴于此，本发明实施例提供一种网络攻击者信息获取方法、装置、服务器、电子设备及存储介质，便于有效获取网络攻击者信息。

第一方面，本发明实施例提供的网络攻击者信息获取方法，包括步骤：在接收到用户发送的服务请求消息时，检测所述用户是否存在获取当前主机环境信息的行为；若是，则根据预设防御策略，返回响应消息至所述用户,所述响应消息中携带有信息跟踪器；当所述响应消息被解读时，触发所述信息跟踪器获取所述用户的基本信息并传回。

可选地，所述根据预设防御策略，返回响应消息至所述用户，包括：将当前主机环境信息修改成虚假环境信息；在所述虚假环境信息中写入用于形成所述信息跟踪器的脚本；将所述虚假环境信息回传至所述用户。

可选地，所述将当前主机环境信息修改成虚假环境信息包括：触发修改主机环境信息的机制；隐藏当前主机的真实硬件环境信息，将其更改为虚假硬件环境信息，以迷惑所述用户。

可选地，所述脚本包含：至少用于获取用户的IP地址、MAC地址及位置信息的函数指令。

可选地，在所述虚假环境信息中写入用于形成所述信息跟踪器的脚本之后，所述方法还包括：将所述脚本隐藏和/或设置防止删除或修改保护程序。

第二方面，本发明实施例提供一种网络攻击者信息获取装置，所述装置包括：检测程序单元，用于在接收到用户发送的服务请求消息时，检测所述用户是否存在获取当前主机环境信息的行为；响应程序单元，用于若是，则根据预设防御策略，返回响应消息至所述用户,所述响应消息中携带有信息跟踪器；接收程序单元，用于接收所述信息跟踪器回传的所述用户的基本信息；其中，当所述响应消息被解读时，触发所述信息跟踪器获取所述用户的基本信息。

第三方面，本发明实施例提供一种服务器，所述服务器用于执行：在接收到用户发送的服务请求消息时，检测所述用户是否存在获取当前主机环境信息的行为；若是，则根据预设防御策略，返回响应消息至所述用户,所述响应消息中携带有信息跟踪器；接收所述信息跟踪器回传的所述用户的基本信息；其中，当所述响应消息被解读时，触发所述信息跟踪器获取所述用户的基本信息。

第四方面，本发明实施例提供的电子设备，包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行第一方面任一所述的方法。