The invention provides a playback method and device based on the file filtering driving framework, which relates to the technical field of network security, including: obtaining the operation data of the operation behavior to be played back based on the file filtering driving technology, wherein the operation behavior to be played back includes at least one of the following: process operation behavior, file operation behavior, network operation behavior; sending the operation data to Virtual machine, to enable the virtual machine to play back the operation behavior to be played back, solves the technical problem that the existing technology cannot play back the operation behavior.
【技术实现步骤摘要】
基于文件过滤驱动框架的回放方法和装置
本专利技术涉及网络安全
,尤其是涉及一种基于文件过滤驱动框架的回放方法和装置。
技术介绍
蜜罐是主动防御的安全产品,可用于捕获未知漏洞,蜜罐系统通常都实现了真实操作系统的仿真,目的就是诱导黑客攻击,捕获黑客行为,记录入侵过程,捕获未知漏洞利用手段。然而传统的技术只能对操作系统中的网络数据包进行回放操作,无法做到对进程、文件和网络的行为级别回放。针对上述问题,还未提出有效的解决方案。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种基于文件过滤驱动框架的回放方法和装置,以缓解了解决了现有技术无法对进程、文件和网络的操作行为进行回放技术问题的技术问题。第一方面,本专利技术实施例提供了一种基于文件过滤驱动框架的回放方法,包括:基于文件过滤驱动技术,获取待回放操作行为的操作数据,其中,所述待回放操作行为包括以下至少之一:进程操作行为,文件操作行为,网络操作行为;将所述操作数据发送给虚拟机,以使所述虚拟机对所述待回放操作行为进行模拟回放。进一步地,获取待回放操作行为的操作数据,包括:若所述待回放操作行为为所述进程操作行为,则获取所述进程操作行为的所述进程操作行为的属性数据,将所述进程操作行为的属性数据确定为所述操作数据,其中,所述进程操作行为的属性数据包括以下至少之一:所述进程操作行为的执行方式,所述进程操作行为的程序路径,所述进程操作行为的运行参数;若所述待回放操作行为为所述文件操作行为,则获取所述文件操作行为的所述文件操作行为的属性 ...
【技术保护点】
1.一种基于文件过滤驱动框架的回放方法,其特征在于,包括:/n基于文件过滤驱动技术,获取待回放操作行为的操作数据,其中,所述待回放操作行为包括以下至少之一:进程操作行为,文件操作行为,网络操作行为;/n将所述操作数据发送给虚拟机,以使所述虚拟机对所述待回放操作行为进行模拟回放。/n
【技术特征摘要】
1.一种基于文件过滤驱动框架的回放方法,其特征在于,包括:
基于文件过滤驱动技术,获取待回放操作行为的操作数据,其中,所述待回放操作行为包括以下至少之一:进程操作行为,文件操作行为,网络操作行为;
将所述操作数据发送给虚拟机,以使所述虚拟机对所述待回放操作行为进行模拟回放。
2.根据权利要求1所述的方法,其特征在于,获取待回放操作行为的操作数据,包括:
若所述待回放操作行为为所述进程操作行为,则获取所述进程操作行为的属性数据,将所述进程操作行为的属性数据确定为所述操作数据,其中,所述进程操作行为的属性数据包括以下至少之一:所述进程操作行为的执行方式,所述进程操作行为的程序路径,所述进程操作行为的运行参数;
若所述待回放操作行为为所述文件操作行为,则获取所述文件操作行为的属性数据,将所述文件操作行为的属性数据确定为所述操作数据,其中,所述文件操作行为的属性数据包括以下至少之一:所述文件操作行为的操作方式,所述文件操作行为对应的操作对象文件路径;
若所述待回放操作行为为所述网络操作行为,则获取所述网络操作行为的pcapng流量数据,将所述pcapng流量数据确定为所述操作数据。
3.根据权利要求2所述的方法,其特征在于,将所述操作数据发送给克隆虚拟机,以使所述虚拟机对所述待回放操作行为进行模拟回放,包括:
若所述待回放操作行为为所述进程操作行为,则将所述进程操作行为的属性数据发送给所述虚拟机,以使虚拟机基于所述进程操作行为的属性数据对所述进程操作行为进行模拟回放;
若所述待回放操作行为为所述文件操作行为,则将所述文件操作行为的属性数据发送给所述虚拟机,以使所述虚拟机基于所述文件操作行为的属性数据对所述进程操作行为进行模拟回放;
若所述待回放操作行为为所述网络操作行为,则将所述pcapng流量数据发送给所述虚拟机,以使所述虚拟机基于所述pcapng流量数据对所述网络操作行为进行模拟回放。
4.根据权利要求1所述的方法,其特征在于,
所述操作数据为json格式的数据。
5.根据权利要求2所述的方法,其特征在于,
所述虚拟机基于tcpreplay技术对所述网络操作行为进行模拟回放。...
【专利技术属性】
技术研发人员:王世晋,范渊,黄进,王辉,胡瀚璋,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。