CN110955705B - 一种堡垒机数据采集及分析方法和装置 - Google Patents
一种堡垒机数据采集及分析方法和装置 Download PDFInfo
- Publication number
- CN110955705B CN110955705B CN201911229993.9A CN201911229993A CN110955705B CN 110955705 B CN110955705 B CN 110955705B CN 201911229993 A CN201911229993 A CN 201911229993A CN 110955705 B CN110955705 B CN 110955705B
- Authority
- CN
- China
- Prior art keywords
- data
- machine
- flag
- bastion
- fortress
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2462—Approximate or statistical queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/215—Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
- G06F16/258—Data format conversion from or to a database
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Probability & Statistics with Applications (AREA)
- Fuzzy Systems (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种堡垒机数据采集及分析方法和装置,通过在堡垒机上配置运行参数,安装探针程序,并生成用户对象与堡垒机指纹信息的对应关系;通过探针程序对堡垒机的数据进行实时采集;对探针程序采集的数据进行数据提取、数据清洗和预处理得到处理后的数据,对处理后的数据进行分类存储,并通过堡垒机指纹信息将用户对象、堡垒机和处理后的数据进行关联;将互相对抗的至少两个堡垒机所对应的处理后的数据根据分类存储的类别分别进行碰撞分析比对,得到比对结果。通过探针程序对堡垒机数据进行实时采集和分析,得到评估结果,并且配置信息动态更新,降低比赛的运维成本,为赛后复盘提供数据支撑。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种堡垒机数据采集及分析方法和装置。
背景技术
伴随信息技术的飞速发展,互联网、通信网、计算机系统、自动化控制系统、数字设备及其承载的应用、服务和数据等组成的网络空间,正在全面改变人们的生产生活方式,深刻影响人类社会的历史发展进程。网络空间安全关系到国家安全、政治稳定、经济发展及个人隐私安全,因此成为近年来国内外关注的焦点。保障网络空间安全,培养网络安全人才,这两项工作已经上升到国家战略的层面。
网络安全攻防对抗竞赛基于对真实业务场景的模拟,不会对业务网络或生产系统等造成破坏,参赛选手可以在模拟的真实环境中充分展现自己的理论知识,锻炼攻防技术,并且成本低、部署灵活、过程可重复,是网络空间安全能力培养、人才甄别的有效途径。
在目前的网络安全攻防对抗竞赛中,受现场环境、网络条件以及技术手段等多方面因素限制,选手在所攻击或保护的堡垒机上所采取的具体的攻防策略一直没办法被服务器端所感知,服务器端仅采用健康检查程序对堡垒机各项服务运行状态及端口开放情况进行检查,同时堡垒机中的配置信息,如FLAG字符串等,也只能在比赛开始前预设在堡垒机中,即只能实现静态FLAG提交,无法根据攻防对抗竞赛回合交替而动态生成。因此,比赛过程中往往会因为某些选手的特殊手段引起一些意外情况,严重的将影响到比赛的公平性。另外大多数比赛都是通过比赛名次、比赛个人得分或裁判员的主观判断来决定选手的能力水平,因此缺乏一个可靠的数据分析依据,用于对选手进行客观有效的评价。
目前,网络安全攻防对抗竞赛中大多没有对堡垒机数据信息进行采集,主要形式是通过在WEB服务中进行埋点的方式,对选手在WEB界面上的操作行为进行捕捉。对于这种形式的采集,数据局限性很大,选手未对WEB界面进行操作时,就无法了解到选手目前的行为。同时,对操作系统层级的行为无法进行监控,进而无法了解到选手所采取的攻防策略。
针对堡垒机上配置信息的更新,如堡垒机域名、监听端口、FLAG字符串等,现有方案大多是采用多套堡垒机模板及日志审查相结合的方式,在配置竞赛堡垒机时往往需要提前准备多套配置、FLAG不同,其他环境相同的镜像模板,以达到所有参赛选手访问地址及答案不同的目的。并且攻防对抗竞赛一般采用回合制,每回合的FLAG都需要更新,以保证选手在新一轮攻击过后,拿到的FLAG是最新的。在回合未结束之前,该FLAG将不会改变。对于大型比赛来说无形中增加了大量的运维工作,造成了人力资源的极大损耗。
有鉴于此,设计出一种新的堡垒机数据采集及分析方法和装置是亟待解决的问题之一。
发明内容
针对上述提到的在网络安全攻防对抗竞赛中无法对堡垒机的服务状态、运行情况、配置数据等信息进行实时采集以及进行客观有效地分析等问题。本申请的实施例的目的在于提出了一种堡垒机数据采集及分析方法和装置,来解决以上背景技术部分提到的技术问题。
第一方面,本申请的实施例提供了一种堡垒机数据采集及分析方法,包括以下步骤:
S1:在堡垒机上配置运行参数,安装探针程序,并生成用户对象与堡垒机指纹信息的对应关系;
S2:通过探针程序对堡垒机的数据进行实时采集;
S3:对探针程序采集的数据进行数据提取、数据清洗和预处理得到处理后的数据,对处理后的数据进行分类存储,并通过堡垒机指纹信息将用户对象、堡垒机和处理后的数据进行关联;以及
S4:将互相对抗的至少两个堡垒机所对应的处理后的数据根据分类存储的类别分别进行碰撞分析比对,得到比对结果。
在一些实施例中,数据包括底层数据和网络数据包,底层数据包括堡垒机指纹信息、堡垒机服务器的SYSLOG、操作记录和进程状态,网络数据包包括SSH协议数据包。通过对堡垒机的数据进行实时采集,可以充分了解用户在比赛过程中的操作行为和攻防策略,为赛后复盘和分析提供依据。
在一些实施例中,数据清洗包括对不完整的数据、错误的数据和重复的数据进行处理。数据清洗的目的在于删除重复数据,纠正存在的错误,并保证数据一致性。
在一些实施例中,预处理包括格式转换。格式转换可以使数据满足预定格式的数据类型。
在一些实施例中,格式转换包括空值处理、规范化数据格式、拆分数据、验证数据合法性、数据替换、实现数据规则过滤、数据排序和数据类型统一转换中的一种或多种。通过这几项处理后的数据更有利于后续的碰撞分析。
在一些实施例中,在步骤S4之后还包括将比对结果制作成复盘分析报告和评估报告。可以针对攻防策略形成复盘分析报告,针对选手形成人才评估报告,进一步评估选手的各方面综合能力水平,为大赛人才甄选提供数据依据。
在一些实施例中,在步骤S1中对堡垒机的运行参数进行动态更新。通过动态数据更新可以批量或单独对堡垒机的运行参数进行动态调整和更新,提高比赛过程的可控性。
在一些实施例中,运行参数包括FLAG数据。通过堡垒机指纹信息形成堡垒机独有的加密FLAG数据,避免作弊行为。
在一些实施例中,FLAG数据动态更新的步骤具体包括:
S5:在一个回合中,根据堡垒机指纹信息和回合的标识通过加密算法生成FLAG数据并进行存储;
S6:通过探针程序将FLAG数据发送并固化在堡垒机上;
S7:堡垒机被攻破后,对固化在堡垒机上的FLAG数据进行提取;以及
S8:将提取到的FLAG数据根据回合的标识和FLAG数据与堡垒机的对应关系进行判定,得出堡垒机被攻破的记录。
在一些实施例中,在步骤S8之后还包括:S9:清理每个回合中堡垒机上的FLAG数据。每个回合结束后FLAG数据被清理掉,下一回合开始再重新生成一个新的FLAG数据,实现动态更新。
在一些实施例中,在步骤S9之后还包括:循环多个回合,重复步骤S5-S9,得到堡垒机攻防对抗的结果。根据多个回合统计FLAG数据就可以得到堡垒机攻防对抗的结果。
第二方面,本申请的实施例还提出了一种堡垒机数据采集及分析装置,包括存储器、处理器及存储在存储器上且在处理器上运行的计算机程序,处理器执行计算机程序时实现第一方面中任一项方法的步骤。
第三方面,本申请的实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。
本申请的实施例公开了一种堡垒机数据采集及分析方法和装置,通过探针程序对堡垒机的数据进行实时采集,并将采集到的数据进行处理和碰撞分析,得到准确的分析结果,可以充分了解到选手在比赛过程中采取的操作行为、攻防策略,并将其进行实时展示,增强了比赛的可读性及趣味性,也为赛后复盘和分析提供依据。通过进一步在评估报告中对选手能力的刻画,分析选手的攻防思路、防护效果、擅长领域等指标,进一步评估选手的各方面综合能力水平,从而实现网络安全攻防对抗能力评估,为大赛人才甄选提供数据依据。通过对堡垒机的运行参数进行动态数据更新,可以批量或者单独对堡垒机进行动态配置调整与更新,避免比赛过程中出现堡垒机异常等情况,大大提高了比赛过程可控性,降低了攻防对抗赛的运维成本。通过采集堡垒机指纹信息,形成堡垒机独有的加密FLAG数据,且实时动态更新,杜绝作弊行为。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请的一个实施例可以应用于其中的示例性装置架构图;
图2为本发明的实施例的堡垒机数据采集及分析方法的流程示意图;
图3为本发明的实施例的堡垒机数据采集及分析方法的FLAG数据动态更新的流程示意图;
图4是适于用来实现本申请实施例的电子设备的计算机装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1示出了可以应用本申请实施例的堡垒机数据采集及分析方法或堡垒机数据采集及分析装置的示例性装置架构100。
如图1所示,装置架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种应用,例如数据处理类应用、文件处理类应用等。
终端设备101、102、103可以是硬件,也可以是软件。当终端设备101、102、103为硬件时,可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。当终端设备101、102、103为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上传的文件或数据进行处理的后台数据处理服务器。后台数据处理服务器可以对获取的文件或数据进行处理,生成处理结果。
需要说明的是,本申请实施例所提供的堡垒机数据采集及分析方法可以由服务器105执行,也可以由终端设备101、102、103执行,相应地,堡垒机数据采集及分析装置可以设置于服务器105中,也可以设置于终端设备101、102、103中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。在所处理的数据不需要从远程获取的情况下,上述装置架构可以不包括网络,而只需服务器或终端设备。
图2示出了本申请实施例公开的一种堡垒机数据采集及分析方法,具体包括以下步骤:
S1:在堡垒机上配置运行参数,安装探针程序,并生成用户对象与堡垒机指纹信息的对应关系。
在具体的实施例中,堡垒机通过cloud-init服务,配置运行参数,预制堡垒机探针程序,并生成的对象与堡垒机指纹信息之间的对应关系,即“用户A-堡垒机1”与“用户B-堡垒机2”。
S2:通过探针程序对堡垒机的数据进行实时采集。
在具体的实施例中,堡垒机运行后将自身接入虚拟网络,部署竞赛题目,同时探针程序会对堡垒机的数据进行采集。在优选的实施例中,采集的数据包括底层数据和网络数据包,底层数据包括堡垒机指纹信息、堡垒机服务器的SYSLOG、操作记录和进程状态,网络数据包包括SSH协议数据包。通过对堡垒机的数据进行实时采集,可以充分了解用户在比赛过程中的操作行为和攻防策略,为赛后复盘和分析提供依据。探针程序采集好数据后会根据配置要求,定期将采集到的数据同步的平台,该平台可以对数据进行处理及分析。
S3:对探针程序采集的数据进行数据提取、数据清洗和预处理得到处理后的数据,对处理后的数据进行分类存储,并通过堡垒机指纹信息将用户对象、堡垒机和处理后的数据进行关联。
在具体的实施例中,平台对采集到的数据进行提取,并进行数据清洗和预处理,数据清洗包括纠错和去重,其目的在于删除重复信息,纠正存在的错误,并提供数据一致性。在优选的实施例中,数据清洗包括对不完整的数据、错误的数据和重复的数据进行处理,分别需要通过不同的方式进行处理,具体包括检查数据一致性、处理无效值和缺失值等过程。因为采集数据收集与汇总系统中的数据是从多个来源中抽取而来,因此存在有些数据是错误数据,有些数据之间有冲突,即存在“脏数据”,因此要按照一定的规则把“脏数据”清洗掉,使其符合后面处理的要求。
在具体的实施例中,预处理包括统一格式转换。格式转换主要是将数据清洗后的数据进行处理,转换成满足预定格式的数据类型,其过程主要包含空值处理、规范化数据格式、拆分数据、验证数据合法性、数据替换、实现数据规则过滤、数据排序和数据类型统一转换中的一种或多种。平台对处理后的数据进行分类存储,并根据用户对象与堡垒机指纹信息之间的对应关系进行关联,在数据库中记录“用户A-堡垒机1-数据α”,“用户B-堡垒机2-数据β”的审计数据。
S4:将互相对抗的至少两个堡垒机所对应的处理后的数据根据分类存储的类别分别进行碰撞分析比对,得到比对结果。
在具体的实施例中,在步骤S4之后还包括将比对结果制作成复盘分析报告和评估报告。其中可以针对攻防策略形成复盘分析报告,针对选手形成人才评估报告,进一步评估选手的各方面综合能力水平,为大赛人才甄选提供数据依据。
在具体的实施例中,在步骤S1中对堡垒机的运行参数进行动态更新。通过动态数据更新可以批量或单独对堡垒机的运行参数进行动态调整和更新,提高比赛过程的可控性。运行参数包括FLAG数据。不同的堡垒机上配置有不同的FLAG数据,在攻防对抗竞赛中,被攻破的堡垒机其FLAG数据被对方获取,就可以判断获取到对方的FLAG数据即获得胜利或赢得相应的积分。
在具体的实施例中,如图3所示,FLAG数据动态更新的步骤具体包括:
S5:在一个回合中,根据堡垒机指纹信息和回合的标识通过加密算法生成FLAG数据并进行存储;
S6:通过探针程序将FLAG数据发送并固化在堡垒机上;
S7:堡垒机被攻破后,对固化在堡垒机上的FLAG数据进行提取;以及
S8:将提取到的FLAG数据根据回合的标识和FLAG数据与堡垒机的对应关系进行判定,得出堡垒机被攻破的记录。
通过堡垒机指纹信息形成堡垒机独有的加密FLAG数据,可以避免作弊行为。
在步骤S8之后还包括:S9:清理每个回合中堡垒机上的FLAG数据。每个回合结束后FLAG数据被清理掉,下一回合开始再重新生成一个新的FLAG数据,实现动态更新。
在步骤S9之后还包括:循环多个回合,重复步骤S5-S9,得到堡垒机攻防对抗的结果。根据多个回合统计FLAG数据就可以得到堡垒机攻防对抗的结果。
在优选的实施例中,在比赛中堡垒机数据动态更新的具体的流程如下所示:
回合开始时比赛平台根据堡垒机指纹信息及回合ID通过加密算法,生成“堡垒机1-回合ID-FLAG1”、“堡垒机2-回合ID-FLAG2”对应关系数据记录,并存储至FLAG数据表中;
平台FLAG更新服务调用堡垒机探针程序UPDATE接口,将FLAG数据更新最对应堡垒机。更新返回成功后,调用堡垒机探针程序START接口,通知探针程序将堡垒机对应FLAG数据固化到堡垒机竞赛题目中;
参赛选手通过技术手段攻破堡垒机后,对固化于堡垒机中的FLAG数据进行提取,并提交到比赛平台,平台根据FALG数据、回合与堡垒机对应关系,判定该选手攻击了哪台堡垒机,并进行加减分,同一回合中攻破相同堡垒机,或提交非本回合FLAG不计分;
回合结束时,FLAG更新服务调用堡垒机STOP接口,清理该回合堡垒机FLAG数据,此时提交答案不进行计分。
根据本发明的另一方面,提供一种堡垒机数据采集及分析装置,包括存储装置、以及处理器;
所述存储装置存储用于实现根据本发明实施例的堡垒机数据采集及分析方法中的相应步骤的程序代码;
所述处理器用于运行所述存储装置中存储的程序代码,以执行以上根据本发明实施例的堡垒机数据采集及分析的相应步骤。
在一个实施例中,在所述程序代码被所述处理器运行时执行以上根据本发明实施例的前述堡垒机数据采集及分析的相应步骤。
本申请的实施例公开了一种堡垒机数据采集及分析方法和装置,通过探针程序对堡垒机的数据进行实时采集,并将采集到的数据进行处理和碰撞分析,得到准确的分析结果,可以充分了解到选手在比赛过程中采取的操作行为、攻防策略,并将其进行实时展示,增强了比赛的可读性及趣味性,也为赛后复盘和分析提供依据。通过进一步在评估报告中对选手能力的刻画,分析选手的攻防思路、防护效果、擅长领域等指标,进一步评估选手的各方面综合能力水平,从而实现网络安全攻防对抗能力评估,为大赛人才甄选提供数据依据。通过对堡垒机的运行参数进行动态数据更新,可以批量或者单独对堡垒机进行动态配置调整与更新,避免比赛过程中出现堡垒机异常等情况,大大提高了比赛过程可控性,降低了攻防对抗赛的运维成本。通过采集堡垒机指纹信息,形成堡垒机独有的加密FLAG数据,且实时动态更新,杜绝作弊行为。
下面参考图4,其示出了适于用来实现本申请实施例的电子设备(例如图1所示的服务器或终端设备)的计算机装置400的结构示意图。图4示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图4所示,计算机装置400包括中央处理单元(CPU)401和图形处理器(GPU)402,其可以根据存储在只读存储器(ROM)403中的程序或者从存储部分409加载到随机访问存储器(RAM)404中的程序而执行各种适当的动作和处理。在RAM 404中,还存储有装置400操作所需的各种程序和数据。CPU 401、GPU402、ROM 403以及RAM404通过总线405彼此相连。输入/输出(I/O)接口406也连接至总线405。
以下部件连接至I/O接口406:包括键盘、鼠标等的输入部分407;包括诸如、液晶显示器(LCD)等以及扬声器等的输出部分408;包括硬盘等的存储部分409;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分410。通信部分410经由诸如因特网的网络执行通信处理。驱动器411也可以根据需要连接至I/O接口406。可拆卸介质412,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器411上,以便于从其上读出的计算机程序根据需要被安装入存储部分409。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分410从网络上被下载和安装,和/或从可拆卸介质412被安装。在该计算机程序被中央处理单元(CPU)401和图形处理器(GPU)402执行时,执行本申请的方法中限定的上述功能。
需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读介质或者是上述两者的任意组合。计算机可读介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的装置、装置或器件,或者任意以上的组合。计算机可读介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行装置、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行装置、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的装置来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,这些模块的名称在某种情况下并不构成对该模块本身的限定。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:在堡垒机上配置运行参数,安装探针程序,并生成用户对象与堡垒机指纹信息的对应关系;通过探针程序对堡垒机的数据进行实时采集;对探针程序采集的数据进行数据提取、数据清洗和预处理得到处理后的数据,对处理后的数据进行分类存储,并通过堡垒机指纹信息将用户对象、堡垒机和处理后的数据进行关联;以及将互相对抗的至少两个堡垒机所对应的处理后的数据根据分类存储的类别分别进行碰撞分析比对,得到比对结果。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (8)
1.一种堡垒机数据采集及分析方法,其特征在于,包括以下步骤:
S1:在堡垒机上配置运行参数,安装探针程序,并生成用户对象与堡垒机指纹信息的对应关系,对所述堡垒机的运行参数进行动态更新,所述运行参数包括FLAG数据;
所述FLAG数据动态更新的步骤具体包括:
S11:在一个回合中,根据所述堡垒机指纹信息和所述回合的标识通过加密算法生成FLAG数据并进行存储;
S12:通过探针程序将所述FLAG数据发送并固化在所述堡垒机上;
S13:所述堡垒机被攻破后,对固化在所述堡垒机上的所述FLAG数据进行提取;以及
S14:将提取到的所述FLAG数据根据所述回合的标识和所述FLAG数据与所述堡垒机的对应关系进行判定,得出所述堡垒机被攻破的记录;
S15:清理每个所述回合中所述堡垒机上的所述FLAG数据;
S16:循环多个所述回合,重复步骤S11-S15,得到所述堡垒机攻防对抗的结果;
S2:通过所述探针程序对所述堡垒机的数据进行实时采集;
S3:对所述探针程序采集的所述数据进行数据提取、数据清洗和预处理得到处理后的数据,对所述处理后的数据进行分类存储,并通过所述堡垒机指纹信息将所述用户对象、所述堡垒机和所述处理后的数据进行关联;以及
S4:将互相对抗的至少两个所述堡垒机所对应的所述处理后的数据根据分类存储的类别分别进行碰撞分析比对,得到比对结果。
2.根据权利要求1所述的堡垒机数据采集及分析方法,其特征在于,所述数据包括底层数据和网络数据包,所述底层数据包括所述堡垒机指纹信息、堡垒机服务器的SYSLOG、操作记录和进程状态,所述网络数据包包括SSH协议数据包。
3.根据权利要求1所述的堡垒机数据采集及分析方法,其特征在于,所述数据清洗包括对不完整的数据、错误的数据和重复的数据进行处理。
4.根据权利要求1所述的堡垒机数据采集及分析方法,其特征在于,所述预处理包括格式转换。
5.根据权利要求4所述的堡垒机数据采集及分析方法,其特征在于,所述格式转换包括空值处理、规范化数据格式、拆分数据、验证数据合法性、数据替换、实现数据规则过滤、数据排序和数据类型统一转换中的一种或多种。
6.根据权利要求1所述的堡垒机数据采集及分析方法,其特征在于,在所述步骤S4之后还包括将所述比对结果制作成复盘分析报告和评估报告。
7.一种堡垒机数据采集及分析装置,包括存储器、处理器及存储在所述存储器上且在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述方法的步骤。
8.一种计算机存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被计算机执行时实现权利要求1至6中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911229993.9A CN110955705B (zh) | 2019-12-04 | 2019-12-04 | 一种堡垒机数据采集及分析方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911229993.9A CN110955705B (zh) | 2019-12-04 | 2019-12-04 | 一种堡垒机数据采集及分析方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110955705A CN110955705A (zh) | 2020-04-03 |
| CN110955705B true CN110955705B (zh) | 2022-06-28 |
Family
ID=69979806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911229993.9A Active CN110955705B (zh) | 2019-12-04 | 2019-12-04 | 一种堡垒机数据采集及分析方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110955705B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789029A (zh) * | 2017-01-04 | 2017-05-31 | 浙江神州量子网络科技有限公司 | 一种基于量子堡垒机的审计系统和审计方法以及量子堡垒机系统 |
| CN107172127A (zh) * | 2017-04-21 | 2017-09-15 | 北京理工大学 | 基于多代理的信息安全技术竞赛过程监控方法 |
| CN107179938A (zh) * | 2017-05-12 | 2017-09-19 | 北京理工大学 | 一种信息安全技术竞赛攻防环境自动部署方法 |
| CN109033813A (zh) * | 2018-07-09 | 2018-12-18 | 携程旅游信息技术(上海)有限公司 | Linux操作日志的审计系统和方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7523484B2 (en) * | 2003-09-24 | 2009-04-21 | Infoexpress, Inc. | Systems and methods of controlling network access |
-
2019
- 2019-12-04 CN CN201911229993.9A patent/CN110955705B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789029A (zh) * | 2017-01-04 | 2017-05-31 | 浙江神州量子网络科技有限公司 | 一种基于量子堡垒机的审计系统和审计方法以及量子堡垒机系统 |
| CN107172127A (zh) * | 2017-04-21 | 2017-09-15 | 北京理工大学 | 基于多代理的信息安全技术竞赛过程监控方法 |
| CN107179938A (zh) * | 2017-05-12 | 2017-09-19 | 北京理工大学 | 一种信息安全技术竞赛攻防环境自动部署方法 |
| CN109033813A (zh) * | 2018-07-09 | 2018-12-18 | 携程旅游信息技术(上海)有限公司 | Linux操作日志的审计系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110955705A (zh) | 2020-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111786950B (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| CN110855676B (zh) | 网络攻击的处理方法、装置及存储介质 | |
| CN108200030A (zh) | 恶意流量的检测方法、系统、装置及计算机可读存储介质 | |
| CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| CN106789233B (zh) | 一种网络攻防实验平台的自动评分方法及装置 | |
| CN110933080B (zh) | 一种用户登录异常的ip群体识别方法及装置 | |
| CN107409134A (zh) | 法证分析 | |
| CN110535806A (zh) | 监测异常网站的方法、装置、设备和计算机存储介质 | |
| CN103457909A (zh) | 一种僵尸网络检测方法及装置 | |
| CN107944293B (zh) | 虚拟资产保护方法、系统、设备及存储介质 | |
| CN112437034A (zh) | 虚假终端检测方法和装置、存储介质及电子装置 | |
| CN110955705B (zh) | 一种堡垒机数据采集及分析方法和装置 | |
| CN109408745A (zh) | 网页数据分析处理方法及装置 | |
| GB2571830A (en) | Recording medium on which evaluating program is recorded, evaluating method, and information processing apparatus | |
| CN117240522A (zh) | 基于攻击事件模型的漏洞智能挖掘方法 | |
| Pihelgas | Design and implementation of an availability scoring system for cyber defence exercises | |
| CN111431883A (zh) | 一种基于访问参数的web攻击检测方法及装置 | |
| Sheikhi et al. | Cyber threat hunting using unsupervised federated learning and adversary emulation | |
| JP2018195197A (ja) | 評価プログラム、評価方法および情報処理装置 | |
| CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
| DE202022103738U1 (de) | Ein sonifiziertes System zur Erkennung von Computerangriffen | |
| CN114915566B (zh) | 应用识别方法、装置、设备及计算机可读存储介质 | |
| CN113849810A (zh) | 风险操作行为的识别方法、装置、设备及存储介质 | |
| CN114817928A (zh) | 网络空间数据融合分析方法、系统、电子设备及存储介质 | |
| CN109413459B (zh) | 一种直播平台中用户的推荐方法以及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |