基于文件过滤驱动框架的回放方法和装置制造方法及图纸

本发明专利技术提供了一种基于文件过滤驱动框架的回放方法和装置，涉及网络安全的技术领域，包括：基于文件过滤驱动技术，获取待回放操作行为的操作数据，其中，待回放操作行为包括以下至少之一：进程操作行为，文件操作行为，网络操作行为；将操作数据发送给虚拟机，以使虚拟机对待回放操作行为进行回放，解决了现有技术无法对操作行为进行回放的技术问题。

Playback method and device based on file filter driving framework

The invention provides a playback method and device based on the file filtering driving framework, which relates to the technical field of network security, including: obtaining the operation data of the operation behavior to be played back based on the file filtering driving technology, wherein the operation behavior to be played back includes at least one of the following: process operation behavior, file operation behavior, network operation behavior; sending the operation data to Virtual machine, to enable the virtual machine to play back the operation behavior to be played back, solves the technical problem that the existing technology cannot play back the operation behavior.

【技术实现步骤摘要】
基于文件过滤驱动框架的回放方法和装置
本专利技术涉及网络安全
，尤其是涉及一种基于文件过滤驱动框架的回放方法和装置。
技术介绍
蜜罐是主动防御的安全产品，可用于捕获未知漏洞，蜜罐系统通常都实现了真实操作系统的仿真，目的就是诱导黑客攻击，捕获黑客行为，记录入侵过程，捕获未知漏洞利用手段。然而传统的技术只能对操作系统中的网络数据包进行回放操作，无法做到对进程、文件和网络的行为级别回放。针对上述问题，还未提出有效的解决方案。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种基于文件过滤驱动框架的回放方法和装置，以缓解了解决了现有技术无法对进程、文件和网络的操作行为进行回放技术问题的技术问题。第一方面，本专利技术实施例提供了一种基于文件过滤驱动框架的回放方法，包括：基于文件过滤驱动技术，获取待回放操作行为的操作数据，其中，所述待回放操作行为包括以下至少之一：进程操作行为，文件操作行为，网络操作行为；将所述操作数据发送给虚拟机，以使所述虚拟机对所述待回放操作行为进行模拟回放。进一步地，获取待回放操作行为的操作数据，包括：若所述待回放操作行为为所述进程操作行为，则获取所述进程操作行为的所述进程操作行为的属性数据，将所述进程操作行为的属性数据确定为所述操作数据，其中，所述进程操作行为的属性数据包括以下至少之一：所述进程操作行为的执行方式，所述进程操作行为的程序路径，所述进程操作行为的运行参数；若所述待回放操作行为为所述文件操作行为，则获取所述文件操作行为的所述文件操作行为的属性数据，将所述文件操作行为的属性数据确定为所述操作数据，其中，所述文件操作行为的属性数据包括以下至少之一：所述文件操作行为的操作方式，所述文件操作行为对应的操作对象文件路径；若所述待回放操作行为为所述网络操作行为，则获取所述网络操作行为的pcapng流量数据，将所述pcapng流量数据确定为所述操作数据。进一步地，将所述操作数据发送给克隆虚拟机，以使所述虚拟机对所述待回放操作行为进行模拟回放，包括：若所述待回放操作行为为所述进程操作行为，则将所述进程操作行为的属性数据发送给所述虚拟机，以使虚拟机基于所述进程操作行为的属性数据对所述进程操作行为进行模拟回放；若所述待回放操作行为为所述文件操作行为，则将所述文件操作行为的属性数据发送给所述虚拟机，以使所述虚拟机基于所述文件操作行为的属性数据对所述进程操作行为进行模拟回放；若所述待回放操作行为为所述网络操作行为，则将所述pcapng流量数据发送给所述虚拟机，以使所述虚拟机基于所述pcapng流量数据对所述网络操作行为进行模拟回放。进一步地，所述操作数据为json格式的数据。进一步地，所述虚拟机基于tcpreplay技术对所述网络操作行为进行模拟回放。第二方面，本专利技术实施例提供了一种基于文件过滤驱动框架的回放装置，包括：获取单元和发送单元，其中，所述获取单元用于基于文件过滤驱动技术，获取待回放操作行为的操作数据，其中，所述待回放操作行为包括以下至少之一：进程操作行为，文件操作行为，网络操作行为；所述发送单元用于将所述操作数据发送给虚拟机，以使所述虚拟机对所述待回放操作行为进行模拟回放。进一步地，所述获取单元还包括：第一获取单元，第二获取单元和第三获取单元，其中，所述第一获取单元用于获取所述进程操作行为的所述进程操作行为的属性数据，将所述进程操作行为的属性数据确定为所述操作数据，其中，所述进程操作行为的属性数据包括以下至少之一：所述进程操作行为的执行方式，所述进程操作行为的程序路径，所述进程操作行为的运行参数；所述第二获取单元用于获取所述文件操作行为的所述文件操作行为的属性数据，将所述文件操作行为的属性数据确定为所述操作数据，其中，所述文件操作行为的属性数据包括以下至少之一：所述文件操作行为的操作方式，所述文件操作行为对应的操作对象文件路径；所述第三获取单元用于获取所述网络操作行为的pcapng流量数据，将所述pcapng流量数据确定为所述操作数据。进一步地，所述发送单元包括：第一发送单元，第二发送单元和第三发送单元，其中，所述第一发送单元用于将所述进程操作行为的属性数据发送给所述虚拟机，以使虚拟机基于所述进程操作行为的属性数据对所述进程操作行为进行模拟回放；所述第二发送单元用于将所述文件操作行为的属性数据发送给所述虚拟机，以使所述虚拟机基于所述文件操作行为的属性数据对所述进程操作行为进行模拟回放；所述第三发送单元用于将所述pcapng流量数据发送给所述虚拟机，以使所述虚拟机基于所述pcapng流量数据对所述网络操作行为进行模拟回放。进一步地，所述操作数据为json格式的数据。进一步地，所述虚拟机基于tcpreplay技术对所述网络操作行为进行模拟回放。在本专利技术实施例中，通过文件过滤驱动技术，获取到待回放操作行为的操作数据，然后，将操作数据发送给虚拟机，以使虚拟机基于操作数据对待回放操作行为进行模拟回放，达到了对进待回放操作行为进行回放的目的，进而解决了现有技术中无法对操作行为进行回放的技术问题，从而实现了网络安全工作者能够通过对待回放操作行为回放更加容易理解入侵者的攻击手段和漏洞利用手法的技术效果。本专利技术的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术而了解。本专利技术的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。为使本专利技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种基于文件过滤驱动框架的回放方法的流程图；图2为本专利技术实施例提供的一种基于文件过滤驱动框架的回放装置的示意图；图3为本专利技术实施例提供的另一种基于文件过滤驱动框架的回放装置的示意图；图4为本专利技术实施例提供的一种服务器的示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。实施例一：根据本专利技术实施例，提供了一种基于文件过滤驱动框架的回放方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。图1是根据本专利技术实施例的一种基于文件过滤驱动框架的回放方法的流程图，如图1所本文档来自技高网...

【技术保护点】
1.一种基于文件过滤驱动框架的回放方法，其特征在于，包括：/n基于文件过滤驱动技术，获取待回放操作行为的操作数据，其中，所述待回放操作行为包括以下至少之一：进程操作行为，文件操作行为，网络操作行为；/n将所述操作数据发送给虚拟机，以使所述虚拟机对所述待回放操作行为进行模拟回放。/n

【技术特征摘要】
1.一种基于文件过滤驱动框架的回放方法，其特征在于，包括：
基于文件过滤驱动技术，获取待回放操作行为的操作数据，其中，所述待回放操作行为包括以下至少之一：进程操作行为，文件操作行为，网络操作行为；
将所述操作数据发送给虚拟机，以使所述虚拟机对所述待回放操作行为进行模拟回放。


2.根据权利要求1所述的方法，其特征在于，获取待回放操作行为的操作数据，包括：
若所述待回放操作行为为所述进程操作行为，则获取所述进程操作行为的属性数据，将所述进程操作行为的属性数据确定为所述操作数据，其中，所述进程操作行为的属性数据包括以下至少之一：所述进程操作行为的执行方式，所述进程操作行为的程序路径，所述进程操作行为的运行参数；
若所述待回放操作行为为所述文件操作行为，则获取所述文件操作行为的属性数据，将所述文件操作行为的属性数据确定为所述操作数据，其中，所述文件操作行为的属性数据包括以下至少之一：所述文件操作行为的操作方式，所述文件操作行为对应的操作对象文件路径；
若所述待回放操作行为为所述网络操作行为，则获取所述网络操作行为的pcapng流量数据，将所述pcapng流量数据确定为所述操作数据。


3.根据权利要求2所述的方法，其特征在于，将所述操作数据发送给克隆虚拟机，以使所述虚拟机对所述待回放操作行为进行模拟回放，包括：
若所述待回放操作行为为所述进程操作行为，则将所述进程操作行为的属性数据发送给所述虚拟机，以使虚拟机基于所述进程操作行为的属性数据对所述进程操作行为进行模拟回放；
若所述待回放操作行为为所述文件操作行为，则将所述文件操作行为的属性数据发送给所述虚拟机，以使所述虚拟机基于所述文件操作行为的属性数据对所述进程操作行为进行模拟回放；
若所述待回放操作行为为所述网络操作行为，则将所述pcapng流量数据发送给所述虚拟机，以使所述虚拟机基于所述pcapng流量数据对所述网络操作行为进行模拟回放。


4.根据权利要求1所述的方法，其特征在于，
所述操作数据为json格式的数据。


5.根据权利要求2所述的方法，其特征在于，
所述虚拟机基于tcpreplay技术对所述网络操作行为进行模拟回放。...

【专利技术属性】
技术研发人员：王世晋，范渊，黄进，王辉，胡瀚璋，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江;33