【技术实现步骤摘要】
一种高交互蜜罐的攻击记录方法、装置和介质
本专利技术涉及服务器安全
,特别是涉及一种高交互蜜罐的攻击记录方法、装置和计算机可读存储介质。
技术介绍
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。传统的蜜罐大致可分为两类,一类是基于服务仿真实现的低交互蜜罐,另一类是基于真实操作系统实现的高交互蜜罐。低交互蜜罐资源占用少,但仿真能力较差。高交互蜜罐有较高的仿真性,但是误报率较高。对于高交蜜罐的实现,通过采集内核层上的操作数据进行入侵检测,往往会导致系统本身的大量正常活动被误报,使得入侵检测的误报率较高。可见,如何降低高交互蜜罐的误报率,是本领域技术人员需要解决的问题。
技术实现思路
本专利技术实施例的目的是提供一种高交互蜜罐的攻击记录方法、装置...
【技术保护点】
1.一种高交互蜜罐的攻击记录方法,其特征在于,包括:/n获取bash进程的输入字符;/n按照预先设定的数据存储规则,将所述输入字符存储至日志文件;/n当检测到文件结束标识,则关闭所述日志文件;/n将所述日志文件中的日志数据上报入侵检测中心,以便于所述入侵检测中心依据所述日志数据进行入侵检测。/n
【技术特征摘要】
1.一种高交互蜜罐的攻击记录方法,其特征在于,包括:
获取bash进程的输入字符;
按照预先设定的数据存储规则,将所述输入字符存储至日志文件;
当检测到文件结束标识,则关闭所述日志文件;
将所述日志文件中的日志数据上报入侵检测中心,以便于所述入侵检测中心依据所述日志数据进行入侵检测。
2.根据权利要求1所述的高交互蜜罐的攻击记录方法,其特征在于,所述获取输入字符包括:
判断所述bash进程是否为ssh子进程;
当所述bash进程为ssh子进程时,利用readline函数获取输入字符;
当所述bash进程不为ssh子进程时,利用buffered_getchar函数获取输入字符。
3.根据权利要求2所述的高交互蜜罐的攻击记录方法,其特征在于,在所述当所述bash进程为ssh子进程时,利用readline函数获取输入字符之后还包括:
利用libpcap捕获ssh流量数据;
相应的,所述将所述日志文件中的日志数据上报入侵检测中心包括:
将所述日志数据以及所述ssh流量数据上报入侵检测中心。
4.根据权利要求1所述的高交互蜜罐的攻击记录方法,其特征在于,所述按照预先设定的数据存储规则,将所述输入字符存储至日志文件中包括:
判断是否存在日志文件;
当不存在日志文件时,创建日志文件;对所述输入字符设置日志头信息,并将所述日志头信息以及所述输入字符按照追加模式写入所述日志文件;
当存在日志文件时,按照追加模式将所述输入字符写入所述日志文件。
5.根据权利要求1所述的高交互蜜罐的攻击记录方法,其特征在于,所述将所述日志文件中的日志数据上报入侵检测中心包括:
对所述日志文件进行解析,以获取待上报的日志数据;
...
【专利技术属性】
技术研发人员:陈泽楠,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。