CN111147499A - 一种网络攻击行为采集与回放方法、装置,系统及电子设备 - Google Patents

一种网络攻击行为采集与回放方法、装置,系统及电子设备 Download PDF

Info

Publication number
CN111147499A
CN111147499A CN201911388267.1A CN201911388267A CN111147499A CN 111147499 A CN111147499 A CN 111147499A CN 201911388267 A CN201911388267 A CN 201911388267A CN 111147499 A CN111147499 A CN 111147499A
Authority
CN
China
Prior art keywords
attack behavior
attacker
attack
key
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911388267.1A
Other languages
English (en)
Inventor
朱文雷
刘超
王龙泽
罗晶晶
贾锐霖
樊骏
王大鼎
刘玉仙
张嘉欢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Changting Future Technology Co Ltd
Original Assignee
Beijing Changting Future Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Changting Future Technology Co Ltd filed Critical Beijing Changting Future Technology Co Ltd
Priority to CN201911388267.1A priority Critical patent/CN111147499A/zh
Publication of CN111147499A publication Critical patent/CN111147499A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0246Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
    • H04L41/0253Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols using browsers or web-pages for accessing management information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种网络攻击行为采集与回放方法、装置,系统及电子设备,所述方法包括,通过真实服务引诱攻击者持续攻击;获取所述攻击者的输入信息和所述攻击者的攻击行为,检测并解析获取所述攻击者的重点攻击行为;将所述重点攻击行为转发至第一存储器中并进行长期存储;获取所述长期存储的重点攻击行为并进行交互式展示,本发明还提供了一种网络攻击行为采集与回放装置,系统及电子设备,本发明公开的技术方案可以完整地采集和回放攻击者的攻击行为。

Description

一种网络攻击行为采集与回放方法、装置,系统及电子设备
技术领域
本发明涉及通信技术领域,具体涉及一种网络攻击行为采集与回放方法、装置、系统及电子设备。
背景技术
伪装欺骗技术主要指在网络安全领域,通过伪装的方法引诱攻击者,混淆视听、采集攻击行为信息,以达到保护真实资产,取证溯源的目的。在伪装欺骗过程中,攻击者的每一步攻击行为都可能暴露其攻击意图、攻击手法,对保护真实资产和追踪攻击源头具有很大的参考价值。
现有技术中,一般仅以时间、攻击目标、payload、病毒文件等特征对攻击者的行为作出描述,但这些描述并不能完整地展示回放攻击者的真实攻击行为,主要是不能区分攻击者和自动化扫描程序;也会遗漏很多揭示攻击者攻击者手法的具体细节,例如信息搜集过程、提权、跳板攻击、清除痕迹等。
发明内容
本申请的目的在于克服上述问题或者至少部分地解决或缓减解决上述问题,本发明公开的技术方案可以完整地采集和回放攻击者的攻击行为。
第一方面,本发明提供了一种网络攻击行为采集与回放方法,包括,
通过真实服务引诱攻击者持续攻击;
获取所述攻击者的输入信息和所述攻击者的攻击行为,检测并解析获取所述攻击者的重点攻击行为;
将所述重点攻击行为转发至第一存储器中并进行长期存储;
获取所述长期存储的重点攻击行为并进行交互式展示。
优选地,所述获取所述攻击者的输入信息和所述攻击者的攻击行为,包括,通过命令行解释器获取所述攻击者远程登录后以命令行进行交互的攻击行为。
优选地,所述获取所述攻击者的输入信息和所述攻击者的攻击行为,包括,通过视频方式获取所述攻击者以图形化界面远程登录后进行交互的攻击行为。
优选地,所述获取所述攻击者的输入信息和所述攻击者的攻击行为,包括,通过采集HTTP请求和响应的方式获取所述攻击者在网页上操作进行交互的攻击行为。
优选地,所述通过所述检测并解析获取所述攻击者的重点攻击行为之后,包括,通过高亮标识的方式标记所述重点攻击行为以便后续进行检索查阅。
优选地,所述将所述重点攻击行为转发至第一存储器中并进行长期存储,包括:将删除所述重点攻击行为中无操作空白时间后的攻击行为存储在第二存储器中,根据预设时间周期将存储在第二存储器中的攻击行为整合后通过TCP 长连接转发至第一存储器。
优选地,所述获取所述长期存储重点攻击行为进行交互式展示,包括,获取所述第一存储器存储的重点攻击行为,根据所述重点攻击行为类别采用相对应的方式进行交互式展示。
优选地,所述获取所述第一存储器存储的重点攻击行为,根据所述重点攻击行为类别采用相对应的方式进行交互式展示,包括,
通过与所述第一存储器存储的重点攻击行为相对应类别播放器进行实景播放、暂停、快进回退交互式展示所述重点攻击行为。
与现有技术相比,本发明公开的一种网络攻击行为采集与回放方法真实地记录攻击者的攻击细节,以交互的方式展示攻击行为,方便验证攻击目的和手段,较好地兼容任意的伪装欺骗系统,节约传输存储资源。
第二个方面,本发明还提供了一种网络攻击行为采集与回放装置,包括,
引诱单元,用于通过真实服务引诱攻击者持续攻击;
获取单元,获取所述攻击者的输入信息和所述攻击者的攻击行为;
检测与解析单元,用于检测并解析获取所述攻击者的重点攻击行为;
存储单元,用于将所述重点攻击行为转发至第一存储器中并进行长期存储;
展示单元:用于获取所述长期存储的重点攻击行为并进行交互式展示。
与现有技术相比,本发明公开的一种网络攻击行为采集与回放装置的有益效果与上述任意一技术方案公开的一种网络攻击行为采集与回放方法的有益效果相同,在此不再赘述。
第三方面,本发明还提供了一种网络攻击行为采集与回放系统,包括,
伪装欺骗模块,用于引诱获取攻击者的攻击行为;
采集器,所述采集器设置在伪装欺骗模块中,用于采集所述攻击行为;
检测与解析引擎,用于检测与解析所述攻击行为;
整合转发器,用于整合所述攻击行为并转发至第一存储器;
播放器,用于对存储在第一存储器中的攻击行为进行交互式展示;
与现有技术相比,本发明公开的一种网络攻击行为采集与回放系统的有益效果与上述任意一技术方案公开的一种网络攻击行为采集与回放方法的有益效果相同,在此不再赘述。
第四方面,本发明还提供了一种电子设备,包括,
多个存储器,分别用于存储计算机程序;
多个处理器,分别执行计算机程序,以实现上述任意一项权技术方案所述的服务模块的功能和操作。
与现有技术相比,本发明公开的一种网络攻击行为采集与回放电子设备的有益效果与上述任意一技术方案公开的一种网络攻击行为采集与回放方法的有益效果相同,在此不再赘述。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分,本领域技术人员应该理解的是,这些附图未必是按比例绘制的,在附图中:
图1为本发明一个实施例中公开的一种网络攻击行为采集与回放的方法流程示意图;
图2为本发明又一个实施例中公开的一种网络攻击行为采集与回放的装置结构示意图;
图3为本发明公开的一种网络攻击行为采集与回放的系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
申请人发现在现有技术中一般仅以时间、攻击目标、payload、病毒文件等特征对攻击者的行为作出描述,但这些描述并不能完整地展示回放攻击者的真实攻击行为,主要是不能区分攻击者和自动化扫描程序;也会遗漏很多揭示攻击者攻击者手法的具体细节,例如信息搜集过程、提权、跳板攻击、清除痕迹等。
为了解决上述技术问题,本发明提供的一种网络攻击行为采集与回放方法,通过真实服务引诱攻击者持续攻击,获取所述攻击者的输入信息和所述攻击者的攻击行为,检测并解析获取所述攻击者的重点攻击行为,将所述重点攻击行为转发至第一存储器中进行长期存储,获取所述长期存储的重点攻击行为并进行交互式展示,可以真实地记录攻击者的攻击细节,方便验证攻击目的和手段,较好地兼容任意的伪装欺骗系统,节约传输存储资源。
如图1所示,本发明提供了一种网络攻击行为采集与回放方法,包括以下步骤:
步骤S01,通过真实服务引诱攻击者持续攻击;
需要说明的是,上述真实服务可以是含有脱敏数据、高危漏洞的真实服务,通过引诱攻击者持续不断地进行攻击。
步骤S02,获取所述攻击者的输入信息和所述攻击者的攻击行为,检测并解析获取所述攻击者的重点攻击行为;
需要说明的是,其中,采集攻击者的攻击行为的采集器集成到伪装欺骗模块中,通过获取所有攻击者的输入信息流和伪装欺骗模块的输出流,通过这些信息获取攻击者攻击行为,在这些攻击行为中选择出重点攻击行为,选择重点攻击行为的标准根据需求进行确定。
步骤S02中获取所述攻击者的输入信息和所述攻击者的攻击行为,包括通过命令行解释器获取所述攻击者远程登录后以命令行进行交互的攻击行为。
需要说明的是,由于攻击者linux远程登录后是以命令行的形式进行交互,所以这里选择在系统的命令行解释器中加入采集器,主要采集时间、输入文本的信息。这样可以完整地获得攻击者的所有命令行键入、删除、自动补全等交互式操作,还可以获得系统对这些命令的动态输出。
步骤S02中获取所述攻击者的输入信息和所述攻击者的攻击行为,包括所述获取所述攻击者的输入信息和所述攻击者的攻击行为,包括,通过视频方式获取所述攻击者以图形化界面远程登录后进行交互的攻击行为。
需要说明的是,如果是图形化界面的远程登录服务,比较适合以视频的方式进行记录,这时可以采集屏幕操作信息,来记录鼠标的移动和点击。
步骤S02中所述获取所述攻击者的输入信息和所述攻击者的攻击行为,包括,通过采集HTTP请求和响应的方式获取所述攻击者在网页上操作进行交互的攻击行为。
需要说明的是,如果是Web服务,可以采集HTTP请求和响应,来记录网页上的表单填写和点击按钮等操作。
步骤S02所述通过所述检测并解析获取所述攻击者的重点攻击行为之后,包括,通过高亮标识的方式标记所述重点攻击行为以便后续进行检索查阅。
需要说明的是,使用攻击检测引擎解析出重点攻击行为,高亮标示以方便后续的检索查阅。
步骤S03将所述重点攻击行为转发至第一存储器中并进行长期存储;
步骤S03包括,将删除所述重点攻击行为中无操作空白时间后的攻击行为存储在第二存储器中,根据预设时间周期将存储在第二存储器中的攻击行为整合后通过TCP长连接转发至第一存储器。
需要说明的是,将获取的重点攻击行为处理成容易解析、传输和存储的格式,将信息整合,在此实施例中,由于伪装欺骗系统主要用于告警和回溯,系统需要更好的性能,而对即时性和传输稳定性要求不高,所以转发器在处理时删去了采集信息中的无操作空白时间,设置了一个小容量即第二存储器,本发明中的根据预设时间周期可以根据需求进行设置,如可以为每10秒整合一次获取的数据进行转发,创建一个TCP长连接,将整合好的数据实时转发到第一存储器中。
第一存储器从TCP长连接收到了攻击数据时,创建攻击行为文件。当长连接收到了新的数据后,将其追加到文件中,以降低性能影响。
此实施例中存储服务直接使用原系统的存储服务,也可以单独设置存储服务,只要在存储的时候注意使用关键字(如服务、时间、uuid等)将其和原系统数据关联起来,方便检索即可。
步骤S04,获取所述长期存储的重点攻击行为并进行交互式展示。
需要说明的是,在系统的运维管理端设置一个播放器,当管理员查看实时告警状态时,从存储服务中获取攻击数据,并以合适的方式展示,此实施例中,由于管理端是Web页面,攻击行为数据是Linux命令行,采集到的信息是时间、文本信息,所以选择使用根据时间渲染文本的播放器。同时提供暂停、快进回退等功能,方便查看。
与现有技术相比,本发明公开的一种网络攻击行为采集与回放方法真实地记录攻击者的攻击细节,以交互的方式展示攻击行为,方便验证攻击目的和手段,较好地兼容任意的伪装欺骗系统,节约传输存储资源。
第二方面,如图2所示,本发明还提供了一种网络攻击行为采集与回放装置,所述装置包括,
引诱单元21,用于通过真实服务引诱攻击者持续攻击;
获取单元22,获取所述攻击者的输入信息和所述攻击者的攻击行为;
检测与解析单元23,用于检测并解析获取所述攻击者的重点攻击行为;
存储单元24,用于将所述重点攻击行为转发至第一存储器中并进行长期存储;
展示单元25:用于获取所述长期存储的重点攻击行为并进行交互式展示。
本发明提供的一种网络攻击行为采集与回放装置与上述一种网络攻击行为采集与回放方法的执行流程一致,在此不再赘述。
与现有技术相比,本发明公开的一种网络攻击行为采集与回放装置,真实地记录攻击者的攻击细节,以交互的方式展示攻击行为,方便验证攻击目的和手段,较好地兼容任意的伪装欺骗系统,节约传输存储资源。
如图3所示,本发明还提供了一种网络攻击行为采集与回放系统,所述系统,包括,
伪装欺骗模块31,用于引诱获取攻击者的攻击行为;
用于引诱攻击者持续不断地进行深入攻击,可以是含有脱敏数据、高危漏洞的真实服务。
采集器32,所述采集器设置在伪装欺骗模块中,用于采集所述攻击行为;
采集器集成到伪装欺骗模块中,获取所有攻击者的输入信息流和伪装欺骗模块的输出流,复制到转发器中。
检测与解析引擎33,用于检测与解析所述攻击行为;
处理采集到的攻击行为,使用攻击检测引擎解析出重点攻击行为。
整合转发器34,用于整合所述攻击行为并转发至第一存储器;
将采集到的攻击行为按需整合,创建一个TCP长连接,转发到第一存储器中,存储记录攻击行为,以供长期的检索查阅。
播放器35,用于对存储在第一存储器中的攻击行为进行交互式展示;
从第一存储器中获得攻击行为,并提供交互式的展示,例如实景播放、暂停、快进回退等,由于获取了攻击者所有的输入信息,播放器可以提供复制、快照等功能,一般来说,播放器最好和伪装欺骗模块相似,比如shell类型的模块,播放器可以是文本的Shell界面。
与现有技术相比,本发明公开的一种网络攻击行为采集与回放系统真实地记录攻击者的攻击细节,以交互的方式展示攻击行为,方便验证攻击目的和手段,较好地兼容任意的伪装欺骗系统,节约传输存储资源。
第四方面,本发明还提供了一种电子设备,包括,多个存储器,分别用于存储计算机程序;
多个处理器,分别执行计算机程序,以实现上述任一一技术方案所述的服务模块的功能和操作。。
与现有技术相比,本发明公开的一种电子设备真实地记录攻击者的攻击细节,以交互的方式展示攻击行为,方便验证攻击目的和手段,较好地兼容任意的伪装欺骗系统,节约传输存储资源。
在本发明的实施例中,各个模块或系统可以是由计算机程序指令形成的处理器,处理器可以是一种集成电路芯片,具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列 (FieldProgrammable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息,结合其硬件完成上述方法的步骤。
第五个方面,本发明还还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序指令,所述计算机程序指令用于执行如上所述的方法。
存储介质可以是存储器,例如可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。
其中,非易失性存储器可以是只读存储器(Read-Only Memory,简称ROM)、可编程只读存储器(Programmable ROM,简称PROM)、可擦除可编程只读存储器(Erasable PROM,简称EPROM)、电可擦除可编程只读存储器(Electrically EPROM,简称EEPROM)或闪存。
易失性存储器可以是随机存取存储器(Random Access Memory,简称 RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM 可用,例如静态随机存取存储器(Static RAM,简称SRAM)、动态随机存取存储器(Dynamic RAM,简称DRAM)、同步动态随机存取存储器(Synchronous DRAM,简称SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,简称DDRSDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM,简称ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,简称SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,简称 DRRAM)。
本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时,可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (11)

1.一种网络攻击行为采集与回放方法,其特征在于,包括,
通过真实服务引诱攻击者持续攻击;
获取所述攻击者的输入信息和所述攻击者的攻击行为,检测并解析获取所述攻击者的重点攻击行为;
将所述重点攻击行为转发至第一存储器中并进行长期存储;
获取所述长期存储的重点攻击行为并进行交互式展示。
2.如权利要求1所述的一种网络攻击行为采集与回放方法,其特征在于,所述获取所述攻击者的输入信息和所述攻击者的攻击行为,包括,通过命令行解释器获取所述攻击者远程登录后以命令行进行交互的攻击行为。
3.如权利要求1所述的一种网络攻击行为采集与回放方法,其特征在于,所述获取所述攻击者的输入信息和所述攻击者的攻击行为,包括,通过视频方式获取所述攻击者以图形化界面远程登录后进行交互的攻击行为。
4.如权利要求1所述的一种网络攻击行为采集与回放方法,其特征在于,所述获取所述攻击者的输入信息和所述攻击者的攻击行为,包括,通过采集HTTP请求和响应的方式获取所述攻击者在网页上操作进行交互的攻击行为。
5.如权利要求1所述的一种网络攻击行为采集与回放方法,其特征在于,所述通过所述检测并解析获取所述攻击者的重点攻击行为之后,包括,通过高亮标识的方式标记所述重点攻击行为以便后续进行检索查阅。
6.如权利要求1所述的一种网络攻击行为采集与回放方法,其特征在于,所述将所述重点攻击行为转发至第一存储器中并进行长期存储,包括:将删除所述重点攻击行为中无操作空白时间后的攻击行为存储在第二存储器中,根据预设时间周期将存储在第二存储器中的攻击行为整合后通过TCP长连接转发至第一存储器。
7.如权利要求1所述的一种网络攻击行为采集与回放方法,其特征在于,所述获取所述长期存储重点攻击行为进行交互式展示,包括,获取所述第一存储器存储的重点攻击行为,根据所述重点攻击行为类别采用相对应的方式进行交互式展示。
8.如权利要求7所述的一种网络攻击行为采集与回放方法,其特征在于,所述获取所述第一存储器存储的重点攻击行为,根据所述重点攻击行为类别采用相对应的方式进行交互式展示,包括,
通过与所述第一存储器存储的重点攻击行为相对应类别播放器进行实景播放、暂停、快进回退交互式展示所述重点攻击行为。
9.一种网络攻击行为采集与回放装置,其特征在于,包括,
引诱单元,用于通过真实服务引诱攻击者持续攻击;
获取单元,获取所述攻击者的输入信息和所述攻击者的攻击行为;
检测与解析单元,用于检测并解析获取所述攻击者的重点攻击行为;
存储单元,用于将所述重点攻击行为转发至第一存储器中并进行长期存储;
展示单元:用于获取所述长期存储的重点攻击行为并进行交互式展示。
10.一种网络攻击行为采集与回放系统,其特征在于,包括,
伪装欺骗模块,用于引诱获取攻击者的攻击行为;
采集器,所述采集器设置在伪装欺骗模块中,用于采集所述攻击行为;
检测与解析引擎,用于检测与解析所述攻击行为;
整合转发器,用于整合所述攻击行为并转发至第一存储器;
播放器,用于对存储在第一存储器中的攻击行为进行交互式展示。
11.一种电子设备,其特征在于,包括,
多个存储器,分别用于存储计算机程序;
多个处理器,分别执行计算机程序,以实现权利要求1~8任意一项权利要求中所述的服务模块的功能和操作。
CN201911388267.1A 2019-12-30 2019-12-30 一种网络攻击行为采集与回放方法、装置,系统及电子设备 Pending CN111147499A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911388267.1A CN111147499A (zh) 2019-12-30 2019-12-30 一种网络攻击行为采集与回放方法、装置,系统及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911388267.1A CN111147499A (zh) 2019-12-30 2019-12-30 一种网络攻击行为采集与回放方法、装置,系统及电子设备

Publications (1)

Publication Number Publication Date
CN111147499A true CN111147499A (zh) 2020-05-12

Family

ID=70521528

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911388267.1A Pending CN111147499A (zh) 2019-12-30 2019-12-30 一种网络攻击行为采集与回放方法、装置,系统及电子设备

Country Status (1)

Country Link
CN (1) CN111147499A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114531261A (zh) * 2020-11-09 2022-05-24 奇安信科技集团股份有限公司 应对网络攻击的信息处理方法、装置、系统、介质及程序
CN114900353A (zh) * 2022-04-29 2022-08-12 北京中睿天下信息技术有限公司 基于攻击溯源动态还原黑客攻击场景

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060271861A1 (en) * 2005-05-24 2006-11-30 Microsoft Corporation Method and system for operating multiple web pages with anti-spoofing protection
CN102739647A (zh) * 2012-05-23 2012-10-17 国家计算机网络与信息安全管理中心 基于高交互蜜罐的网络安全系统及实现方法
US20170111391A1 (en) * 2015-10-15 2017-04-20 International Business Machines Corporation Enhanced intrusion prevention system
CN107909063A (zh) * 2017-12-22 2018-04-13 天津科技大学 基于灰度变化的生物识别视频回放攻击检测方法
CN108769077A (zh) * 2018-07-06 2018-11-06 武汉思普崚技术有限公司 一种网络安全溯源分析的方法及装置
CN109660526A (zh) * 2018-12-05 2019-04-19 国网江西省电力有限公司信息通信分公司 一种应用于信息安全领域的大数据分析方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060271861A1 (en) * 2005-05-24 2006-11-30 Microsoft Corporation Method and system for operating multiple web pages with anti-spoofing protection
CN102739647A (zh) * 2012-05-23 2012-10-17 国家计算机网络与信息安全管理中心 基于高交互蜜罐的网络安全系统及实现方法
US20170111391A1 (en) * 2015-10-15 2017-04-20 International Business Machines Corporation Enhanced intrusion prevention system
CN107909063A (zh) * 2017-12-22 2018-04-13 天津科技大学 基于灰度变化的生物识别视频回放攻击检测方法
CN108769077A (zh) * 2018-07-06 2018-11-06 武汉思普崚技术有限公司 一种网络安全溯源分析的方法及装置
CN109660526A (zh) * 2018-12-05 2019-04-19 国网江西省电力有限公司信息通信分公司 一种应用于信息安全领域的大数据分析方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114531261A (zh) * 2020-11-09 2022-05-24 奇安信科技集团股份有限公司 应对网络攻击的信息处理方法、装置、系统、介质及程序
CN114900353A (zh) * 2022-04-29 2022-08-12 北京中睿天下信息技术有限公司 基于攻击溯源动态还原黑客攻击场景

Similar Documents

Publication Publication Date Title
Dezfoli et al. Digital forensic trends and future
CN112685737A (zh) 一种app的检测方法、装置、设备及存储介质
Yousef et al. Drone forensics: A detailed analysis of emerging DJI models
CN110933103B (zh) 反爬虫方法、装置、设备和介质
CN107154939B (zh) 一种数据追踪的方法及系统
CN110602032A (zh) 攻击识别方法及设备
CN103914655A (zh) 一种检测下载文件安全性的方法及装置
CN111404934A (zh) 基于动静结合方式和蜜标技术的网络攻击溯源方法及系统
CN113014597A (zh) 蜜罐防御系统
CN111147499A (zh) 一种网络攻击行为采集与回放方法、装置,系统及电子设备
Li et al. Automatically discovering surveillance devices in the cyberspace
Riadi et al. Vulnerability analysis of E-voting application using open web application security project (OWASP) framework
Kao et al. Digital evidence analytics applied in cybercrime investigations
CN113254964A (zh) 日志安全存证方法、装置、电子设备及存储介质
Dweikat et al. Digital Forensic Tools Used in Analyzing Cybercrime
CN106612283B (zh) 一种识别下载文件来源的方法及装置
Liao et al. Resource-based event reconstruction of digital crime scenes
CN113515750B (zh) 一种高速流量下的攻击检测方法及装置
CN113052729B (zh) 一种手机取证能力验证样品的构建平台及方法
Al Hosani et al. State of the art in digital forensics for small scale digital devices
CN111917802B (zh) 一种入侵检测规则测试平台及测试方法
CN114024740A (zh) 一种基于密签诱饵的威胁诱捕方法
CN114022116A (zh) 一种基于浏览器的云上稽查执法取证方法及装置
CN114448665A (zh) 一种web应用防火墙规则检测方法、装置及电子设备
Iqbal et al. Forensic investigation of small-scale digital devices: a futuristic view

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200512

RJ01 Rejection of invention patent application after publication