🚀一、背景介绍

1. Web业务伪装的重要性

在欺骗防御建设实施中，伪装业务（蜜罐）的伪装效果直接影响了对攻击者的诱捕成功概率和牵制时间长短。

伪装业务（蜜罐）根据业务类型分为包括各类系统服务、Web服务和数据库服务、工控蜜罐、5G核心网元蜜罐等。用户可根据业务需求布设伪装业务，实现应用、数据、协议、设备层等多维度欺骗。

在不同的业务类型中，相较于系统服务、数据库服务、工控和5G核心网元等数据、协议、设备层的伪装蜜罐，Web蜜罐由于可直接通过浏览器进行访问和交互，因此是最为直观、最广为被使用的一种伪装业务类型。

2. 默认web蜜罐的不足

通常伪装欺骗平台会默认提供一些基础的、常见web应用蜜罐，但此类默认Web蜜罐由于缺少客户标识（logo、公司名称、证书等）或替换不全面导致非常容易引起攻击者的警觉。同时，攻击者在访问和浏览web应用蜜罐过程中非常关心与客户业务相关的信息收集，而默认Web蜜罐因为大量缺少与客户相关的数据内容而很容易让攻击者产生怀疑或失去兴趣。

在欺骗防御方案中，伪装业务（蜜罐）除了最为关键的诱捕和牵制作用，在此之前还有着“干扰”攻击者的作用。而要想实现真假业务的“虚实结合”和“难辨真假”，仅仅依靠默认蜜罐是难以达到的，更为有效的方式直接部署1:1仿真客户侧真实业务的“仿真蜜罐”以实现对攻击者最大程度的干扰、诱捕和牵制。

3. Web应用伪装的解决之道

虽然仿真业务蜜罐相较于默认蜜罐可以达到更好的效果，但实现仿真业务蜜罐的部署之路还是非常坎坷的。要想仿真效果好，就需要对更深入的细节、更全面的内容进行仿真覆盖，结果就是导致蜜罐「仿真成本」伴随「仿真效果」是指数级增长。

因此，在有限的人力、物力、时间、技术限制下，通常仅使用“爬虫”方式得到的伪装业务蜜罐的仿真效果仅停留在静态资源层面，难以做到对如登陆表单、验证码搜索框等动态请求-动态响应接口、HEAD/OPTION请求和4xx/5xx响应等特殊请求与响应，以及包含仿真原站信息的内容处理逻辑。

🚀二、技术原理

基于上述背景并结合谛听在大量定制蜜罐的开发经验沉淀后，谛听进行了「智学习蜜罐」这一重要更新。

谛听的「智学习蜜罐」功能以更少的定制开发成本，为客户提供仿真程度更高的 Web 网站蜜罐。使用方法比以前的爬虫方案更简单易学，仿真效果更好。

该方案包括两大核心组成「Proxy」和「Engine」，分别对应了「仿真」和「生成」两个关键动作

2.1 Proxy——业务仿真

‒ Proxy启动一个http代理服务，根据自研学习模型收集并保存流量数据，建立数据库并将抓取到的流量数据按特定结构整理。
‒ Proxy即可以针对自研模型自动收集业务站点的流量数据，也可以配合浏览器代理手动收集。
‒ Proxy会将学习结果以单文件的方式进行整理，降低使用成本和误操作概率。
‒ 自研学习模型可以保证学习的更全面，如Engine针对验证码和表单会进行多次请求以丰富数据结果，Engine还会主动触发并学习业务对异常请求的响应（4xx/5xx）以提高伪装业务应对异常请求的能力。

2.2 Engine——蜜罐生成

‒ Engine根据数据库中的数据，建立仿真服务
‒ Engine可以灵活响应浏览器发起的请求，如果是静态请求/响应接口相关请求会直接返回，如果是动态请求/动态响应相关接口（如：搜索框）会结合学习结果进行智能组合和随机响应。
‒ Engine会对所有涉及原站的链接、内容进行处理，避免出现访问仿真业务又跳到真实业务的情况发生。
‒ Engine支持自定义插件编写和使用，可以根据用户需求自定义请求与响应的特殊处理逻辑。
‒ Engine支持溯源反制技术。

🚀三、功能介绍

虽然「智学习蜜罐」的涉及学习和生成过程非常复杂，但「智学习蜜罐」的使用却非常简单。

1. 下载工具即学习：在【智学习→ 智学习蜜罐】页面下载响应工具，本地一句话执行命令即可开始抓取数据。
2. 上传学习结果即开启：将学习好的数据包（.db 格式）上传到 “高级 / 智能学习 Web 站点” 蜜罐中随后即可开启。

更多功能细节和使用指导请参考《长亭谛听蜜罐智学习 从入门到精通——使用篇》（拼命赶稿中）

🚀四、技术对比

>>>查看更多

• 《谛听智学习 从入门到精通》——智学习蜜罐：入门篇（AKA: 谛听智学习蜜罐强势来袭！！！）
• 《谛听智学习 从入门到精通》——智学习蜜罐：技术篇（本篇）
• 《谛听智学习 从入门到精通》——智学习蜜罐：使用篇（拼命赶稿中）
• 《谛听智学习 从入门到精通》——智学习蜜罐：实战篇（拼命赶稿中）
• 《谛听智学习 从入门到精通》——智学习蜜网（拼命赶稿中）
• 前往谛听知识库索引页面