一种入侵检测可视化回放方法、装置、设备及存储介质制造方法及图纸

本申请公开了一种入侵检测可视化回放方法、装置、设备及存储介质，涉及数据安全领域，应用于预设中心服务器，包括：基于向已预先安装EDR客户端软件的各客户端下发相应模式的预设入侵检测防御策略，以便各客户端基于预设入侵检测防御策略对自身实时监控；接收各客户端在监测到自身发生入侵行为时上报的入侵行为信息及对应的备份文件；入侵行为信息包括恶意文件信息、快照信息以及链表信息；根据预设ATT&CK框架对各入侵行为信息进行分类保存，并当接收到可视化指令时基于预设ATT&CK框架和/或备份文件对已分类保存的入侵行为信息执行可视化回放操作。本申请能够有效利用预设ATT&CK框架和/或备份文件直观地回放展示入侵行为。为。为。

【技术实现步骤摘要】
一种入侵检测可视化回放方法、装置、设备及存储介质


[0001]本专利技术涉及数据安全领域，特别涉及一种入侵检测可视化回放方法、装置、设备及存储介质。

技术介绍

[0002]在实际办公环境或网站运行环境系统中,网络安全防护框架建设愈加重视，会部署了众多类型安全工具，网络安全防护水平也得到了很大的提升。但面对攻击手段多样性和高级威胁检测难度与日俱增的网络安全形势，对终端安全的网络安全防护的需求提高；因此都需要部署对应的安全软件代理，对入侵检检测、文件落地、高危命令执行等高危事件的拦截显示。但在现有技术中，往往只能展示少量的事件相关信息，如果管理员想要对某个完整的攻击链进行可视化查看时，只能查看当进程名，操作文件等少量的信息，无法查看到当时受攻击时系统界面信息，文件操作时的记录，并且进而使得非技术人员而言无法直观地确定攻击的发生过程。

技术实现思路

[0003]有鉴于此，本专利技术的目的在于提供一种入侵检测可视化回放方法、装置、设备及存储介质，能够有效利用预设ATT&CK框架和/或备份文件直观地回放展示入侵行为。其具体方案如下：
[0004]第一方面，本申请提供了一种入侵检测可视化回放方法，应用于预设中心服务器，包括：
[0005]基于预设客户端分组信息向已预先安装EDR客户端软件的各客户端下发相应模式的预设入侵检测防御策略，以便各所述客户端基于所述预设入侵检测防御策略对自身进行实时监控；
[0006]接收各所述客户端在监测到自身发生入侵行为时上报的相应的入侵行为信息以及对应的备份文件；所述入侵行为信息包括恶意文件信息、快照信息以及链表信息；
[0007]根据预设ATT&CK框架对各所述入侵行为信息进行分类保存，并当接收到相应的可视化指令时基于所述预设ATT&CK框架和/或所述备份文件对已分类保存的所述入侵行为信息执行相应的可视化回放操作。
[0008]可选的，所述各所述客户端基于所述预设模式的入侵检测防御策略对自身进行实时监控，包括：
[0009]所述客户端基于审计模式的预设入侵检测防御策略对自身的命令执行操作以及文件落地操作进行实时监控；
[0010]或，所述客户端基于阻断模式的预设入侵检测防御策略对自身的命令执行操作以及文件落地操作进行实时监控。
[0011]可选的，所述根据预设ATT&CK框架对各所述入侵行为信息进行分类保存，包括：
[0012]基于预设ATT&CK框架对各所述入侵行为信息进行分类，并基于分类结果将各所述
入侵行为信息保存至所述预设ATT&CK框架中对应的技术栈。
[0013]可选的，所述基于所述预设ATT&CK框架和/或所述备份文件对已分类保存的所述入侵行为信息执行相应的可视化回放操作，包括：
[0014]当接收到第一可视化指令时，针对所述预设ATT&CK框架中相应的所述技术栈中保存的信息执行相应的攻击链路图展示操作和/或快照展示操作，以完成相应的可视化回放操作；
[0015]和/或，当接收到第二可视化指令时，通过将所述备份文件中的恶意文件以及相应的系统环境配置文件放入沙箱环境进行模拟演示来完成相应的可视化回放操作。
[0016]可选的，所述接收各所述客户端在监测到自身发生入侵行为时上报的相应的入侵行为信息以及对应的备份文件，包括：
[0017]接收各所述客户端在监测到自身存在高危命令执行操作或可疑文件落地操作时上报的相应的入侵行为信息以及对应的备份文件。
[0018]第二方面，本申请提供了入侵检测可视化回放方法，应用于已预先安装EDR客户端软件的客户端，包括：
[0019]接收预设中心服务器基于预设客户端分组信息下发的相应模式的预设入侵检测防御策略，并基于所述预设模式的入侵检测防御策略对自身进行实时监控；
[0020]在监测到自身发生入侵行为时向所述预设中心服务器上报相应的入侵行为信息以及对应的备份文件，以便所述预设中心服务器根据预设ATT&CK框架对各所述入侵行为信息进行分类保存，并当接收到相应的可视化指令时基于所述预设ATT&CK框架和/或所述备份文件对已分类保存的所述入侵行为信息执行相应的可视化回放操作；所述入侵行为信息包括恶意文件信息、快照信息以及链表信息。
[0021]第三方面，本申请提供了一种入侵检测可视化回放装置，应用于预设中心服务器，包括：
[0022]策略下发模块，用于基于预设客户端分组信息向已预先安装EDR客户端软件的各客户端下发相应模式的预设入侵检测防御策略，以便各所述客户端基于所述预设模式的入侵检测防御策略对自身进行实时监控；
[0023]信息接收模块，用于接收各所述客户端在监测到自身发生入侵行为时上报的相应的入侵行为信息以及对应的备份文件；所述入侵行为信息包括恶意文件信息、快照信息以及链表信息；
[0024]可视化回放执行模块，用于根据预设ATT&CK框架对各所述入侵行为信息进行分类保存，并当接收到相应的可视化指令时基于所述预设ATT&CK框架和/或所述备份文件对已分类保存的所述入侵行为信息执行相应的可视化回放操作。
[0025]第四方面，本申请提供了一种入侵检测可视化回放装置，应用于已预先安装EDR客户端软件的客户端，包括：
[0026]实时监控模块，用于接收预设中心服务器基于预设客户端分组信息下发的相应模式的预设入侵检测防御策略，并基于所述预设模式的入侵检测防御策略对自身进行实时监控；
[0027]信息上报模块，用于在监测到自身发生入侵行为时向所述预设中心服务器上报相应的入侵行为信息以及对应的备份文件，以便所述预设中心服务器根据预设ATT&CK框架对
各所述入侵行为信息进行分类保存，并当接收到相应的可视化指令时基于所述预设ATT&CK框架和/或所述备份文件对已分类保存的所述入侵行为信息执行相应的可视化回放操作；所述入侵行为信息包括恶意文件信息、快照信息以及链表信息。
[0028]第三方面，本申请提供了一种电子设备，包括：
[0029]存储器，用于保存计算机程序；
[0030]处理器，用于执行所述计算机程序，以实现前述的入侵检测可视化回放方法的步骤。
[0031]第四方面，本申请提供了一种计算机可读存储介质，用于保存计算机程序，所述计算机程序被处理器执行时实现前述的入侵检测可视化回放方法的步骤。
[0032]可见，本申请中，先通过预设中心服务器基于预设客户端分组信息向已预先安装EDR客户端软件的各客户端下发相应模式的预设入侵检测防御策略，以便各所述客户端基于所述预设入侵检测防御策略对自身进行实时监控。然后接收各所述客户端在监测到自身发生入侵行为时上报的相应的入侵行为信息以及对应的备份文件；所述入侵行为信息包括恶意文件信息、快照信本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种入侵检测可视化回放方法，其特征在于，应用于预设中心服务器，包括：基于预设客户端分组信息向已预先安装EDR客户端软件的各客户端下发相应模式的预设入侵检测防御策略，以便各所述客户端基于所述预设入侵检测防御策略对自身进行实时监控；接收各所述客户端在监测到自身发生入侵行为时上报的相应的入侵行为信息以及对应的备份文件；所述入侵行为信息包括恶意文件信息、快照信息以及链表信息；根据预设ATT&CK框架对各所述入侵行为信息进行分类保存，并当接收到相应的可视化指令时基于所述预设ATT&CK框架和/或所述备份文件对已分类保存的所述入侵行为信息执行相应的可视化回放操作。2.根据权利要求1所述的入侵检测可视化回放方法，其特征在于，所述各所述客户端基于所述预设模式的入侵检测防御策略对自身进行实时监控，包括：所述客户端基于审计模式的预设入侵检测防御策略对自身的命令执行操作以及文件落地操作进行实时监控；或，所述客户端基于阻断模式的预设入侵检测防御策略对自身的命令执行操作以及文件落地操作进行实时监控。3.根据权利要求1所述的入侵检测可视化回放方法，其特征在于，所述根据预设ATT&CK框架对各所述入侵行为信息进行分类保存，包括：基于预设ATT&CK框架对各所述入侵行为信息进行分类，并基于分类结果将各所述入侵行为信息保存至所述预设ATT&CK框架中对应的技术栈。4.根据权利要求3所述的入侵检测可视化回放方法，其特征在于，所述基于所述预设ATT&CK框架和/或所述备份文件对已分类保存的所述入侵行为信息执行相应的可视化回放操作，包括：当接收到第一可视化指令时，针对所述预设ATT&CK框架中相应的所述技术栈中保存的信息执行相应的攻击链路图展示操作和/或快照展示操作，以完成相应的可视化回放操作；和/或，当接收到第二可视化指令时，通过将所述备份文件中的恶意文件以及相应的系统环境配置文件放入沙箱环境进行模拟演示来完成相应的可视化回放操作。5.根据权利要求1至4任一项所述的入侵检测可视化回放方法，其特征在于，所述接收各所述客户端在监测到自身发生入侵行为时上报的相应的入侵行为信息以及对应的备份文件，包括：接收各所述客户端在监测到自身存在高危命令执行操作或可疑文件落地操作时上报的相应的入侵行为信息以及对应的备份文件。6.一种入侵检测可视化回放方法，其特征在于，应用于已预先安装EDR客户端软件的客户端，包括：接收预设中心服务器基于...

【专利技术属性】
技术研发人员：童志超，柳进，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：