基于蜜罐系统的下载处理方法、装置和电子设备与流程

1.本发明涉及网络安全防御技术领域，尤其是涉及一种基于蜜罐系统的下载处理方法、装置和电子设备。


背景技术：

2.蜜罐系统通过伪装成真实的网络环境(例如，web蜜罐系统伪装成真实的web环境)诱骗攻击者对其进行访问攻击，从而实现信息收集和攻击行为分析。然而通常情况下，攻击者会利用vpn以及跳板等方式伪装隐藏自身的网络地址等身份信息，从而使得蜜罐系统无法获得与攻击者相关的真实信息，不利于对攻击者进行溯源。
3.可见，现有的蜜罐系统针对攻击者采取隐藏身份信息的情况，无法提供一种能够获取到攻击者真实信息的途径，不利于对攻击者进行溯源。


技术实现要素：

4.本发明实施例提供一种基于蜜罐系统的下载处理方法、装置和电子设备，用以解决现有的蜜罐系统针对攻击者采取隐藏身份信息的情况，无法提供一种能够获取到攻击者真实信息的途径，不利于对攻击者进行溯源的问题。
5.针对以上技术问题，第一方面，本发明实施例提供一种基于蜜罐系统的下载处理方法，包括：
6.根据收到的下载请求获取下载链接，所述下载链接用于从蜜罐系统中下载与所述下载请求相匹配的渗透文件；
7.将所述下载链接发送到所述下载请求的请求方，以使所述请求方根据所述下载链接将所述渗透文件下载到所述请求方的设备中；
8.其中，所述渗透文件在所述请求方的设备中运行时，将从所述请求方的设备收集的请求方信息发送到所述蜜罐系统。
9.可选地，还包括：
10.接收所述请求方信息，以通过所述请求方信息对所述请求方进行分析。
11.可选地，所述根据收到的下载请求获取下载链接，包括：
12.接收下载请求，从所述蜜罐系统中获取文件类型与请求文件类型相同的渗透文件，作为目标渗透文件；其中，所述请求文件类型为所述下载请求所请求下载的文件类型；
13.生成用于下载所述目标渗透文件的第一下载链接，将所述第一下载链接作为所述下载链接。
14.可选地，所述根据收到的下载请求获取下载链接，包括：
15.接收下载请求，确定用于下载请求文件的第二下载链接，将所述第二下载链接作为所述下载链接；其中，所述请求文件为所述下载请求所请求下载的文件；
16.从所述蜜罐系统中获取文件类型与请求文件类型相同的渗透文件，作为目标渗透文件，将所述请求文件替换为所述目标渗透文件；其中，所述请求文件类型为所述下载请求
所请求下载的文件类型。
17.可选地，所述从所述蜜罐系统中获取文件类型与请求文件类型相同的渗透文件，作为目标渗透文件，包括：
18.若所述蜜罐系统中存在至少两个文件类型与所述请求文件类型相同的渗透文件，则将文件类型与所述请求文件类型相同的渗透文件作为同类型渗透文件；
19.根据各所述同类型渗透文件在所述请求方的设备中运行时，所收集的请求方信息的信息内容，和/或，收集请求方信息的实现方式，从各所述同类型渗透文件中确定所述目标渗透文件；
20.其中，所述信息内容包括：所述请求方的设备信息，和/或，与所述请求方的设备绑定的用户信息，和/或，所述请求方的设备中软件的软件信息；
21.所述实现方式包括：同类型渗透文件为文档文件时，通过文档中包含的宏对所述请求方的设备收集信息，和/或，同类型渗透文件为通过文档文件的漏洞嵌入了可执行文件的文档文件时，通过嵌入的可执行文件对所述请求方的设备收集信息，和/或，同类型渗透文件为修改了文件名的可执行文件，通过修改了文件名的可执行文件对所述请求方的设备收集信息。
22.可选地，所述根据各所述同类型渗透文件在所述请求方的设备中运行时，所收集的请求方信息的信息内容，和/或，收集请求方信息的实现方式，从各所述同类型渗透文件中确定所述目标渗透文件，包括：
23.根据预期信息内容和/或预期实现方式，从各所述同类型渗透文件中确定所述目标渗透文件；
24.其中，所述目标渗透文件在所述请求方的设备中运行时，所收集的请求方信息的信息内容与所述预期信息内容相符，和/或，收集请求方信息的实现方式与所述预期实现方式相符。
25.可选地，所述根据收到的下载请求获取下载链接之前，还包括：
26.将渗透功能代码写入文档文件的宏中，得到所述渗透文件，和/或，将写入了所述渗透功能代码的可执行文件通过文档文件的漏洞嵌入文档文件中，得到所述渗透文件，和/或，将所述渗透功能代码写入可执行文件，并对写入了所述渗透功能代码的可执行文件修改文件名，得到所述渗透文件；
27.其中，所述渗透功能代码用于执行的功能包括：获取所述请求方的设备信息，和/或，获取与所述请求方的设备绑定的用户信息，和/或，获取所述请求方的设备中软件的软件信息，和/或，将收集的请求方信息发送到所述蜜罐系统。
28.可选地，所述根据收到的下载请求获取下载链接之前，还包括：
29.获取所述蜜罐系统中接收所述请求方信息端口的端口信息，根据所述端口信息生成渗透文件，以使渗透文件通过所述端口将根据所述请求方的设备收集的请求方信息发送到所述蜜罐系统。
30.第二方面，本发明实施例提供一种基于蜜罐系统的下载处理装置，包括：
31.链接获取单元，用于根据收到的下载请求获取下载链接，所述下载链接用于从蜜罐系统中下载与所述下载请求相匹配的渗透文件；
32.链接发送单元，用于将所述下载链接发送到所述下载请求的请求方，以使所述请
求方根据所述下载链接将所述渗透文件下载到所述请求方的设备中；
33.其中，所述渗透文件在所述请求方的设备中运行时，将从所述请求方的设备收集的请求方信息发送到所述蜜罐系统。
34.第三方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现以上所述的基于蜜罐系统的下载处理方法的步骤。
35.第四方面，本发明实施例提供一种非暂态可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以上任一项所述的基于蜜罐系统的下载处理方法的步骤。
36.第五方面，本发明实施例提供一种计算机程序，该计算机程序被处理器执行时实现以上任一项所述的基于蜜罐系统的下载处理方法的步骤。
37.本发明的实施例提供了一种基于蜜罐系统的下载处理方法、装置和电子设备，蜜罐系统向下载请求的请求方发送下载链接，使得请求方根据下载链接下载渗透文件。渗透文件在运行时能够根据请求方的设备收集信息，并将收集的请求方信息发送到蜜罐系统。下载链接直接发送到了请求方的设备中，因此当请求方为进行网络攻击的攻击者时，蜜罐系统通过发送的下载链接提供了一种直接获取攻击者真实信息的途径，从而有助于实现对攻击者的溯源。
附图说明
38.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
39.图1是本发明实施例提供的基于蜜罐系统的下载处理方法的流程示意图；
40.图2是本发明另一实施例提供的web蜜罐系统中溯源反制模块的结构原理示意图；
41.图3是本发明另一实施例提供的蜜罐系统的下载处理装置的结构框图；
42.图4是本发明另一实施例提供的电子设备的实体结构示意图。
具体实施方式
43.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
44.本实施例提供了一种基于蜜罐系统的下载处理方法，该方法应用于蜜罐系统，例如，web蜜罐系统，通过该方法提供了一种在攻击者隐藏身份信息的情况下，获取到攻击者真实信息的途径。
45.图1为本实施例提供的基于蜜罐系统的下载处理方法的流程示意图，参见图1，该基于蜜罐系统的下载处理方法包括：
46.步骤101：根据收到的下载请求获取下载链接，所述下载链接用于从蜜罐系统中下
载与所述下载请求相匹配的渗透文件；其中，所述渗透文件在所述请求方的设备中运行时，将从所述请求方的设备收集的请求方信息发送到所述蜜罐系统。
47.由于蜜罐系统(例如，web蜜罐系统)是用于诱骗攻击者对其进行访问攻击，从而根据攻击者的攻击行为对攻击者进行分析的系统，因此，通常下载请求由攻击者发送到蜜罐系统。但是在一些特殊情况下，例如，对蜜罐系统的测试阶段，下载请求也可以由对蜜罐系统进行测试的测试设备而非攻击设备发送。因而，请求方通常为攻击者，但这一些情况下也可能不是攻击者。
48.渗透文件为预先生成并存储在蜜罐系统中文件。渗透文件可以在运行时，主动根据请求方的设备收集信息，并将收集的请求方信息发送到所述蜜罐系统。因此，当请求方通过下载链接下载了渗透文件，并使得渗透文件运行时，便可通过渗透文件主动收集请求方信息，并返回到蜜罐系统中。由于请求方通过下载链接直接将渗透文件下载到了请求方的设备中，因此无论请求方采取什么手段隐藏身份信息，均能通过渗透文件的运行获取到请求方信息。
49.需要说明的是，下载链接用于下载渗透文件，因此下载链接可以是直接对蜜罐系统中存储的渗透文件进行下载的链接(可以是用于对蜜罐系统中的任一渗透文件进行下载，也可以按照一定的条件筛选出某一渗透文件，用于对该渗透文件进行下载)，也可以是将请求文件替换为渗透文件之后，对请求文件进行下载的链接。可理解的是，直接对对蜜罐系统中存储的渗透文件进行下载的链接可以根据渗透文件在蜜罐系统中的存储位置生成。
50.本实施例中的请求方信息中的信息内容可以包括如下信息：所述请求方的设备信息，和/或，与所述请求方的设备绑定的用户信息，和/或，所述请求方的设备中软件的软件信息。
51.步骤102：将所述下载链接发送到所述下载请求的请求方，以使所述请求方根据所述下载链接将所述渗透文件下载到所述请求方的设备中。
52.将下载链接发送到请求方之后，若请求方根据该下载链接执行了下载操作，则会将渗透文件下载到请求方的设备中，并在渗透文件运行时，实现对请求方信息的获取。可见，通过下载链接提供了对请求方设备进行反渗透的途径。当请求方为攻击者时，通过渗透文件的反渗透能够直接获取到攻击者信息，实现对攻击者的溯源。
53.简单来说，本实施提供的方法通过渗透文件代替了下载请求所请求下载的文件，通过请求方对渗透文件的下载提供了直接获取请求方信息的途径，有助于实现对请求方的溯源。
54.本实施例提供了一种基于蜜罐系统的下载处理方法，蜜罐系统向下载请求的请求方发送下载链接，使得请求方根据下载链接下载渗透文件。渗透文件在运行时能够根据请求方的设备收集信息，并将收集的请求方信息发送到蜜罐系统。下载链接直接发送到了请求方的设备中，因此当请求方为进行网络攻击的攻击者时，蜜罐系统通过发送的下载链接提供了一种直接获取攻击者真实信息的途径，从而有助于实现对攻击者的溯源。
55.进一步地，在上述实施例的基础上，还包括：
56.接收所述请求方信息，以通过所述请求方信息对所述请求方进行分析。
57.其中，请求方信息可以是包括如下信息：请求方的设备信息(例如，设备名称、设备型号、设备所在位置等)、与请求方的设备绑定的用户信息(例如，用户名称)、在请求方的设
备中所运行软件的软件信息(例如，设备中运行的操作系统的信息、设备中运行的各软件的信息等)。
58.本实施例中，当请求方的设备下载了渗透文件后，若请求方的设备运行了该渗透文件，则渗透文件会主动获取请求方信息，并返回到蜜罐系统，从而使得蜜罐系统根据请求方法实现对请求方的溯源，当请求方为攻击者时，有利于对攻击者进行溯源。
59.下载链接可以通过如下两种方式确定，对于第一种方式，进一步地，在上述各实施例的基础上，所述根据收到的下载请求获取下载链接，包括：
60.接收下载请求，从所述蜜罐系统中获取文件类型与请求文件类型相同的渗透文件，作为目标渗透文件；其中，所述请求文件类型为所述下载请求所请求下载的文件类型；
61.生成用于下载所述目标渗透文件的第一下载链接，将所述第一下载链接作为所述下载链接。
62.可理解的是，第一种方式为新生成的下载目标渗透文件的链接。第一下载链接可以根据所述目标渗透文件在蜜罐系统中的存储位置确定。通过第一下载链接能够直接访问到存储在蜜罐系统的目标渗透文件。
63.其中，文件类型可以为可执行文件(.exe)、文档文件(.doc)或者文本文件(.txt)等。
64.为了提高请求方根据下载链接下载渗透文件的成功率，可以使得下载链接所链接的渗透文件的文件类型，与下载请求所请求的文件类型相同。例如，下载请求所请求的文件类型为exe，则可以从蜜罐系统中的渗透文件中选取文件类型为exe的目标渗透文件，再根据该目标渗透文件生成下载链接。
65.其中，可以通过正则匹配，获取文件类型与下载文件类型相同的渗透文件，作为目标渗透文件。具体地，当攻击者发起下载文件的下载请求时，将在蜜罐系统中的渗透文件中，对下载请求的请求内容进行正则匹配。例如，当攻击者的下载请求为：“get/download/test.exe http/1.1”，通过正则匹配自动识别并返回类型为exe的渗透文件的下载链接而非真实test.exe的下载链接，从而实现渗透文件的替换。
66.本实施例中，基于下载请求所请求的下载文件类型，将与下载文件类型同文件类型的渗透文件作为目标渗透文件，生成对目标渗透文件的下载链接。渗透文件和请求下载的文件同类型，避免通过文件类型识别到反渗透行为，有利于提高请求者根据下载链接下载渗透文件的成功率，进而在请求方为攻击者的情况下，提高了直接获取攻击者真实信息，实现对攻击者的溯源的可能性。
67.此外，通过生成直接对蜜罐系统中存储的渗透文件进行下载的第一下载链接，以第一下载链接作为发送到请求方的下载链接，使得请求方能够通过接收到下载链接将目标渗透文件下载到请求方设备中，从而有助于实现对请求方的溯源。
68.对于第二种方式，进一步地，在上述各实施例的基础上，所述根据收到的下载请求获取下载链接，包括：
69.接收下载请求，确定用于下载请求文件的第二下载链接，将所述第二下载链接作为所述下载链接；其中，所述请求文件为所述下载请求所请求下载的文件；
70.从所述蜜罐系统中获取文件类型与请求文件类型相同的渗透文件，作为目标渗透文件，将所述请求文件替换为所述目标渗透文件；其中，所述请求文件类型为所述下载请求
所请求下载的文件类型。
71.可理解的是，第二种方式中不需重新生成的下载目标渗透文件的链接，而是采用下载请求文件的第二下载链接作为发送到请求方的下载链接。由于已经将请求文件替换成目标渗透文件，因此，请求方根据接收到的下载链接即可下载到渗透文件。
72.本实施例中，渗透文件和请求下载的文件同类型，避免通过文件类型识别到反渗透行为，有利于提高请求者根据下载链接下载渗透文件的成功率，进而在请求方为攻击者的情况下，提高了直接获取攻击者真实信息，实现对攻击者的溯源的可能性。
73.此外，通过将第二下载链接对应的请求文件替换为目标渗透文件，以第二下载链接作为发送到请求方的下载链接，使得请求方能够通过接收到下载链接将目标渗透文件下载到请求方设备中，从而有助于实现对请求方的溯源。
74.进一步地，在上述各实施例的基础上，若所述蜜罐系统中存在至少两个文件类型与所述请求文件类型相同的渗透文件，则将文件类型与所述请求文件类型相同的渗透文件作为同类型渗透文件；
75.根据各所述同类型渗透文件在所述请求方的设备中运行时，所收集的请求方信息的信息内容，和/或，收集请求方信息的实现方式，从各所述同类型渗透文件中确定所述目标渗透文件；
76.其中，所述信息内容包括：所述请求方的设备信息，和/或，与所述请求方的设备绑定的用户信息，和/或，所述请求方的设备中软件的软件信息；
77.所述实现方式包括：同类型渗透文件为文档文件时，通过文档中包含的宏对所述请求方的设备收集信息，和/或，同类型渗透文件为通过文档文件的漏洞嵌入了可执行文件的文档文件时，通过嵌入的可执行文件对所述请求方的设备收集信息，和/或，同类型渗透文件为修改了文件名的可执行文件，通过修改了文件名的可执行文件对所述请求方的设备收集信息。
78.其中，文档文件可以是office文件，文档文件的漏洞可以是office文件中的cve漏洞。
79.渗透文件可以是任一文件类型的文件，只要能够通过渗透文件的运行收集请求方信息，并将请求方信息返回到蜜罐系统即可。然而，对于任一文件类型的渗透文件，还可以从所收集信息的信息内容和收集信息的实现方式上存在差异。基于此，在同类型渗透文件中还可以根据信息内容和/或实现方式对渗透文件进行进一步的筛选。
80.具体地，可以仅根据各所述同类型渗透文件在运行时，对请求方的设备收集信息的信息内容，从同类型渗透文件中确定所述目标渗透文件。例如，从各所述同类型渗透文件中确定一个对请求方的设备收集信息的信息内容为设备信息的同类型渗透文件，作为目标渗透文件。
81.也可以仅根据各所述同类型渗透文件在运行时，对请求方的设备收集信息的实现方式，从同类型渗透文件中确定所述目标渗透文件。例如，各所述同类型渗透文件的文件类型为文档文件，从各所述同类型渗透文件中确定一个实现方式为“通过文档中包含的宏对请求方的设备收集信息”的渗透文件作为目标渗透文件。
82.也可以根据各所述同类型渗透文件在运行时，对请求方的设备收集信息的信息内容和对请求方的设备收集信息的实现方式的组合，从各所述同类型渗透文件中确定所述目
标渗透文件。
83.需要说明的是，在每一渗透文件中，对任一信息内容采用适于收集所述任一信息内容的实现方式，实现对所述任一信息内容的收集。例如，对于设备信息这一信息内容，可以通过文档中包含的宏对所述请求方的设备信息进行收集，也可以通过文件中嵌入的可执行文件对所述请求方的设备信息进行收集，还可以通过修改了文件名的可执行文件对所述请求方的设备信息进行收集。
84.本实施例中，在同类型渗透文件中，通过各渗透文件所收集的请求方信息的信息内容和/或收集请求方信息的实现方式实现了对渗透文件的进一步筛选，使得所选择的渗透文件能够满足用户对所获取的信息内容的要求，以及对获取请求方信息的实现方式的要求。
85.进一步地，在上述各实施例的基础上，所述根据各所述同类型渗透文件在所述请求方的设备中运行时，所收集的请求方信息的信息内容，和/或，收集请求方信息的实现方式，从各所述同类型渗透文件中确定所述目标渗透文件，包括：
86.根据预期信息内容和/或预期实现方式，从各所述同类型渗透文件中确定所述目标渗透文件；
87.其中，所述目标渗透文件在所述请求方的设备中运行时，所收集的请求方信息的信息内容与所述预期信息内容相符，和/或，收集请求方信息的实现方式与所述预期实现方式相符。
88.其中，预期信息内容为设定的通过渗透文件从请求方的设备中收集的信息内容。预期实现方式为设定的通过渗透文件从请求方的设备中收集信息的实现方式。
89.本实施例在同类型渗透文件的基础上，通过收集信息的信息内容和/或收集信息的实现方式对渗透文件进行了进一步地筛选，使得渗透文件所收集的信息内容和收集信息的实现方式更符合需求，从而有利于从请求方获取到符合要求的信息。
90.关于渗透文件，进一步地，在上述各实施例的基础上，所述根据收到的下载请求获取下载链接之前，还包括：
91.将渗透功能代码写入文档文件的宏中，得到所述渗透文件，和/或，将写入了所述渗透功能代码的可执行文件通过文档文件的漏洞嵌入文档文件中，得到所述渗透文件，和/或，将所述渗透功能代码写入可执行文件，并对写入了所述渗透功能代码的可执行文件修改文件名，得到所述渗透文件；
92.其中，所述渗透功能代码用于执行的功能包括：获取所述请求方的设备信息，和/或，获取与所述请求方的设备绑定的用户信息，和/或，获取所述请求方的设备中软件的软件信息，和/或，将收集的请求方信息发送到所述蜜罐系统。
93.渗透功能代码可以通过任一机器语言编写，只要能够实现对至少一种请求方信息进行收集和/或，将收集的请求方信息发送到蜜罐系统的功能即可，本实施例对此不做具体限定。
94.具体地，渗透文件可以支持含宏的office文档文件、包含cve漏洞的文档文件以及修改文件名欺骗的可执行文件。
95.包含宏的office文档文件：将所有的渗透工作全部写入office宏文件中；即，将获取所述请求方的设备信息、与所述请求方的设备绑定的用户信息、所述请求方的设备中软
件的软件信息的功能与发送以上信息至特定服务器功能的代码写入office文档(如doc文件)的宏文件中。当该office文档被打开并允许执行其中的宏文件时，上述代码生效，完成所需的渗透工作。
96.包含cve漏洞的文档文件：将渗透工作写入可执行文件中，再利用漏洞将其嵌入文档文件中；即，将获取所述请求方的设备信息、与所述请求方的设备绑定的用户信息、所述请求方的设备中软件的软件信息的功能与发送以上信息至特定服务器功能的代码写入可执行的exe文件中，再利用office的漏洞(如cve-2017-11882)将上述exe文件嵌入office文档中。当该office文档运行在存在cve-2017-11882漏洞的系统中，上述exe被执行生效，完成所需的渗透工作。
97.文件名欺骗的可执行文件：将渗透工作写入可执行文件中，然后进行文件图标伪装和后缀伪装。即，将获取所述请求方的设备信息、与所述请求方的设备绑定的用户信息、所述请求方的设备中软件的软件信息的功能与发送以上信息至特定服务器功能的代码写入可执行的exe文件中，同时设置该exe文件的图标为文档类型(如txt文件图标)。通过向构造的文件名中插入unicode控制字符rlo，文件后缀将被修改。例如原文件名为testtxt.exe，通过在tt之间加入一个rlo控制符，新的文件名将变成testexe.txt。通过伪装，该文件更容易被运行，从而完成所需的渗透工作。
98.本实施例中，通过将渗透功能代码写入文档文件或可执行文件中，得到渗透文件，从而在渗透文件运行时，通过写入的渗透功能代码将请求方的请求方信息反馈至蜜罐系统，实现对请求方的溯源。
99.进一步地，在上述各实施例的基础上，所述根据收到的下载请求获取下载链接之前，还包括：
100.获取所述蜜罐系统中接收所述请求方信息端口的端口信息，根据所述端口信息生成渗透文件，以使渗透文件通过所述端口将根据所述请求方的设备收集的请求方信息发送到所述蜜罐系统。
101.具体地，请求方信息可以通过蜜罐系统的某一端口信息反馈到蜜罐系统，端口信息包括蜜罐系统中接收所述请求方信息的ip地址和端口地址。渗透文件运行时将收集的请求方信息通过该端口信息发送到蜜罐系统，以供蜜罐系统根据请求方信息进行分析。
102.本实施例中，根据蜜罐系统中接收所述请求方信息的端口信息生成渗透文件，使得渗透文件运行时自动将收集的请求方信息发送到端口信息对应的端口，以实现对请求方信息的收集。
103.具体地，本发明的目的是为了在攻击者对web蜜罐系统进行攻击的同时，web蜜罐系统自动生成一系列具有欺骗性的渗透文件，诱骗攻击者下载执行，通过植入后门进行反渗透，获取攻击者的相关信息，为在后续的溯源提供数据支持。为此，本技术在常规web蜜罐系统基础上，以插件模块化的方式提供了上述基于web蜜罐系统的下载处理方法，在不破坏原有的web蜜罐系统架构和设计的情况下，实现了对攻击者信息的收集。其中，这种插件模块化的设计可移植、可扩展，使用灵活。
104.上述各实施例提供的web蜜罐系统的下载处理方法可以由溯源反制模块执行，图2为本实施例提供的web蜜罐系统中溯源反制模块的结构原理示意图，参见图2。溯源反制模块作为web蜜罐系统的核心部分，它包含渗透文件自动生成模块以及溯源信息收集模块。渗
透文件自动生成模块是根据溯源信息收集模块的ip地址和端口地址进行自动化生成的渗透文件。该模块具有可扩展性，能根据实际需要生成不同的渗透文件。具体可参考实施例。同时，该模块会将生成的样本与web蜜罐中供攻击者下载的样本进行替换，引诱攻击者下载执行。溯源信息收集模块是用于收集渗透文件回传的攻击者相关信息的服务器，该模块由python实现，部署方便可快速移植。
105.为了对web蜜罐系统中溯源反制模块的功能进行测试，提供了如下测试方案：
106.实验方法：将生成的渗透文件放置在web蜜罐的指定下载链接的映射目录下。模拟对蜜罐的攻击，下载执行渗透文件。
107.评价标准：观察溯源信息收集模块是否收到攻击者信息。
108.具体地，本技术提供的web蜜罐系统在启动时会首先对溯源信息收集模块和渗透文件自动生成模块进行初始化。溯源信息收集模块是一个轻量级的web后台服务，能够将上传的信息保存在数据库中。渗透文件自动生成模块根据溯源信息收集模块的ip地址和端口地址定制生成多种形式的渗透文件，然后将生成的样本按照文件类型与web蜜罐中下载服务对应的文件进行替换。为了引诱和支持攻击者的攻击，web蜜罐需要启动各类漏洞靶场服务、诱骗服务和web基础服务。当攻击者对web蜜罐进行攻击访问时，请求下载看似正常的文件，web蜜罐系统会给攻击者返回渗透文件，攻击者运行渗透文件时，攻击者的信息将会被上传至溯源信息收集模块。
109.图3为本实施例提供的蜜罐系统的下载处理装置的结构框图。参见图3，该蜜罐系统的下载处理装置包括链接获取单元301和链接发送单元302，其中，
110.链接获取单元301，用于根据收到的下载请求获取下载链接，所述下载链接用于从蜜罐系统中下载与所述下载请求相匹配的渗透文件；
111.链接发送单元302，用于将所述下载链接发送到所述下载请求的请求方，以使所述请求方根据所述下载链接将所述渗透文件下载到所述请求方的设备中；
112.其中，所述渗透文件在所述请求方的设备中运行时，将从所述请求方的设备收集的请求方信息发送到所述蜜罐系统。
113.本实施例提供的基于蜜罐系统的下载处理装置适用于上述各实施例提供的基于蜜罐系统的下载处理方法，在此不再赘述。
114.本实施例提供了一种基于蜜罐系统的下载处理装置，蜜罐系统向下载请求的请求方发送下载链接，使得请求方根据下载链接下载渗透文件。渗透文件在运行时能够对请求方的设备收集信息，并将收集的请求方信息发送到蜜罐系统。下载链接直接发送到了请求方的设备中，因此当请求方为进行网络攻击的攻击者时，蜜罐系统通过发送的下载链接提供了一种直接获取攻击者真实信息的途径，从而有助于实现对攻击者的溯源。
115.可选地，还包括：
116.接收所述请求方信息，以通过所述请求方信息对所述请求方进行分析。
117.可选地，所述根据收到的下载请求获取下载链接，包括：
118.接收下载请求，从所述蜜罐系统中获取文件类型与请求文件类型相同的渗透文件，作为目标渗透文件；其中，所述请求文件类型为所述下载请求所请求下载的文件类型；
119.生成用于下载所述目标渗透文件的第一下载链接，将所述第一下载链接作为所述下载链接。
120.可选地，所述根据收到的下载请求获取下载链接，包括：
121.接收下载请求，确定用于下载请求文件的第二下载链接，将所述第二下载链接作为所述下载链接；其中，所述请求文件为所述下载请求所请求下载的文件；
122.从所述蜜罐系统中获取文件类型与请求文件类型相同的渗透文件，作为目标渗透文件，将所述请求文件替换为所述目标渗透文件；其中，所述请求文件类型为所述下载请求所请求下载的文件类型。
123.可选地，所述从所述蜜罐系统中获取文件类型与请求文件类型相同的渗透文件，作为目标渗透文件，包括：
124.若所述蜜罐系统中存在至少两个文件类型与所述请求文件类型相同的渗透文件，则将文件类型与所述请求文件类型相同的渗透文件作为同类型渗透文件；
125.根据各所述同类型渗透文件在所述请求方的设备中运行时，所收集的请求方信息的信息内容，和/或，收集请求方信息的实现方式，从各所述同类型渗透文件中确定所述目标渗透文件；
126.其中，所述信息内容包括：所述请求方的设备信息，和/或，与所述请求方的设备绑定的用户信息，和/或，所述请求方的设备中软件的软件信息；
127.所述实现方式包括：同类型渗透文件为文档文件时，通过文档中包含的宏对所述请求方的设备收集信息，和/或，同类型渗透文件为通过文档文件的漏洞嵌入了可执行文件的文档文件时，通过嵌入的可执行文件对所述请求方的设备收集信息，和/或，同类型渗透文件为修改了文件名的可执行文件，通过修改了文件名的可执行文件对所述请求方的设备收集信息。
128.可选地，所述根据各所述同类型渗透文件在所述请求方的设备中运行时，所收集的请求方信息的信息内容，和/或，收集请求方信息的实现方式，从各所述同类型渗透文件中确定所述目标渗透文件，包括：
129.根据预期信息内容和/或预期实现方式，从各所述同类型渗透文件中确定所述目标渗透文件；
130.其中，所述目标渗透文件在所述请求方的设备中运行时，所收集的请求方信息的信息内容与所述预期信息内容相符，和/或，收集请求方信息的实现方式与所述预期实现方式相符。
131.可选地，所述根据收到的下载请求获取下载链接之前，还包括：
132.将渗透功能代码写入文档文件的宏中，得到所述渗透文件，和/或，将写入了所述渗透功能代码的可执行文件通过文档文件的漏洞嵌入文档文件中，得到所述渗透文件，和/或，将所述渗透功能代码写入可执行文件，并对写入了所述渗透功能代码的可执行文件修改文件名，得到所述渗透文件；
133.其中，所述渗透功能代码用于执行的功能包括：获取所述请求方的设备信息，和/或，获取与所述请求方的设备绑定的用户信息，和/或，获取所述请求方的设备中软件的软件信息，和/或，将收集的请求方信息发送到所述蜜罐系统。
134.可选地，所述根据收到的下载请求获取下载链接之前，还包括：
135.获取所述蜜罐系统中接收所述请求方信息端口的端口信息，根据所述端口信息生成渗透文件，以使渗透文件通过所述端口将根据所述请求方的设备收集的请求方信息发送
到所述蜜罐系统。
136.图4示例了一种电子设备的实体结构示意图，如图4所示，该电子设备可以包括：处理器(processor)401、通信接口(communications interface)402、存储器(memory)403和通信总线404，其中，处理器401，通信接口402，存储器403通过通信总线404完成相互间的通信。处理器401可以调用存储器403中的逻辑指令，以执行如下方法：根据收到的下载请求获取下载链接，所述下载链接用于从蜜罐系统中下载与所述下载请求相匹配的渗透文件；将所述下载链接发送到所述下载请求的请求方，以使所述请求方根据所述下载链接将所述渗透文件下载到所述请求方的设备中；其中，所述渗透文件在所述请求方的设备中运行时，将从所述请求方的设备收集的请求方信息发送到所述蜜罐系统。
137.此外，上述的存储器403中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
138.进一步地，本发明实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：根据收到的下载请求获取下载链接，所述下载链接用于从蜜罐系统中下载与所述下载请求相匹配的渗透文件；将所述下载链接发送到所述下载请求的请求方，以使所述请求方根据所述下载链接将所述渗透文件下载到所述请求方的设备中；其中，所述渗透文件在所述请求方的设备中运行时，将从所述请求方的设备收集的请求方信息发送到所述蜜罐系统。
139.另一方面，本发明实施例还提供一种非暂态可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法，例如包括：根据收到的下载请求获取下载链接，所述下载链接用于从蜜罐系统中下载与所述下载请求相匹配的渗透文件；将所述下载链接发送到所述下载请求的请求方，以使所述请求方根据所述下载链接将所述渗透文件下载到所述请求方的设备中；其中，所述渗透文件在所述请求方的设备中运行时，将从所述请求方的设备收集的请求方信息发送到所述蜜罐系统。
140.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
141.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以
使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
142.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。