CN113660261A - 攻击者信息获取方法、装置、电子设备及存储介质 - Google Patents

攻击者信息获取方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN113660261A
CN113660261A CN202110932525.9A CN202110932525A CN113660261A CN 113660261 A CN113660261 A CN 113660261A CN 202110932525 A CN202110932525 A CN 202110932525A CN 113660261 A CN113660261 A CN 113660261A
Authority
CN
China
Prior art keywords
mysql
file
path
client
attacker
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110932525.9A
Other languages
English (en)
Inventor
李强
马绍龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202110932525.9A priority Critical patent/CN113660261A/zh
Publication of CN113660261A publication Critical patent/CN113660261A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请提供一种攻击者信息获取方法、装置、电子设备及存储介质,涉及安全防护技术领域。该方法通过在服务器上部署MySQL仿真服务,MySQL客户端对MySQL仿真服务进行访问时服务器则与MySQL客户端建立连接,这样服务器可在确定攻击者信息所在的文件路径后,从MySQL客户端读取文件路径下的文件,然后从该文件中提取攻击者信息。由于MySQL仿真服务遵循了MySQL协议,所以可使得MySQL客户端无法判断MySQL仿真服务是真实的服务还是仿真的服务,从而MySQL客户端可与MySQL仿真服务建立信任关系,进而服务器可以轻易从MySQL客户端获取更多的攻击者信息。

Description

攻击者信息获取方法、装置、电子设备及存储介质
技术领域
本申请涉及安全防护技术领域,具体而言,涉及一种攻击者信息获取方法、装置、电子设备及存储介质。
背景技术
拟态感知防御是一种主动防御技术,通常仿真一些常见的服务,对攻击者访问仿真服务时进行记录,以发现网络安全威胁行为。传统获取攻击者信息的方式是通过对网络流量进行分析,以从中获取一些攻击者信息,但是这种方式获取的攻击者信息较少,且网络流量的数据量庞大,从庞大的网络流量中提取攻击者信息较为困难。
发明内容
本申请实施例的目的在于提供一种攻击者信息获取方法、装置、电子设备及存储介质,用以改善现有技术中从网络流量中获取攻击者信息少且获取困难的问题。
第一方面,本申请实施例提供了一种攻击者信息获取方法,应用于服务器,所述服务器上部署有MySQL仿真服务,在MySQL客户端对所述MySQL仿真服务进行访问时与所述MySQL客户端建立连接,所述方法包括:
确定攻击者信息所在的文件路径;
根据所述文件路径读取所述MySQL客户端中所述文件路径下的文件;
从所述文件中获取攻击者信息。
在上述实现过程中,通过在服务器上部署MySQL仿真服务,MySQL客户端对MySQL仿真服务进行访问时服务器则与MySQL客户端建立连接,这样服务器可在确定攻击者信息所在的文件路径后,从MySQL客户端读取文件路径下的文件,然后从该文件中提取攻击者信息。由于MySQL仿真服务遵循了MySQL协议,所以可使得MySQL客户端无法判断MySQL仿真服务是真实的服务还是仿真的服务,从而MySQL客户端可与MySQL仿真服务建立信任关系,进而服务器可以轻易从MySQL客户端获取更多的攻击者信息。
可选地,所述确定攻击者信息所在的文件路径,包括:
获取所述MySQL客户端的操作系统类型;
根据所述操作系统类型确定攻击者信息所在的文件路径。
在上述实现过程中,由于不同的操作系统类型对文件存储的规律不同,所以根据操作系统类型来确定攻击者信息所在的文件路径,能对攻击者信息实现更准确的定位。
可选地,所述根据所述操作系统类型确定攻击者信息所在的文件路径,包括:
若所述操作系统类型为Linux系统,则确定攻击者信息所在的文件路径包括操作系统版本号读取路径、网卡名称读取路径以及网卡地址读取路径中的至少一种。
可选地,所述根据所述操作系统类型确定攻击者信息所在的文件路径,包括:
若所述操作系统类型为Windows系统,则确定攻击者信息所在的文件路径包括用户名读取路径、即时通信账户名读取路径以及手机号读取路径中的至少一种。
在上述实现过程中,根据操作系统类型不同,确定不同的文件路径,这样可针对不同操作系统类型的客户端从准确的文件路径下获取攻击者信息,以便于能够获得更全面的攻击者信息。
可选地,所述攻击者信息包括攻击者的客户端的操作系统信息、网卡信息、IP地址、用户名、即时通信账户信息、手机号中的至少一种信息。
可选地,所述根据所述文件路径读取所述MySQL客户端中所述文件路径下的文件,包括:
根据所述文件路径生成文件读取请求;
向所述MySQL客户端发送所述文件读取请求;
接收所述MySQL客户端对所述文件读取请求进行响应返回的所述文件路径下的文件。
在上述实现过程中,服务器基于文件路径生成文件读取请求,这样MySQL客户端可以针对该请求进行响应,以使得MySQL客户端能够容易进行文件读取。
可选地,所述获取所述MySQL客户端的操作系统类型之前,还包括:
利用mina框架对所述MySQL仿真服务的端口进行监听,以接收所述MySQL客户端对所述MySQL仿真服务的访问请求;
对所述访问请求进行响应,向所述MySQL客户端返回响应结果,并与所述MySQL客户端建立连接。
在上述实现过程中,由于mina可以实现高性能、高扩展性的网络通信应用,所以通过mina框架实现对访问请求的监听,能够及时监测到访问请求,以便于能够及时对攻击者信息进行获取。
可选地,所述MySQL仿真服务包括多个,所述方法还包括:
对各个MySQL仿真服务的访问请求进行统计,获得各个MySQL仿真服务的访问情况;
根据所述访问情况对各个MySQL仿真服务进行管理。
在上述实现过程中,通过设置多个MySQL仿真服务,这样可以增加MySQL仿真服务被攻击者扫描到的概率,服务器通过统计各个MySQL仿真服务的访问情况来对各个MySQL仿真服务进行管理,这样可以对访问请求多的MySQL仿真服务进行重点监控,从而可分析获得攻击者的攻击习惯。
第二方面,本申请实施例提供了一种攻击者信息获取装置,运行于服务器,所述服务器上部署有MySQL仿真服务,在MySQL客户端对所述MySQL仿真服务进行访问时与所述MySQL客户端建立连接,所述装置包括:
文件路径确定模块,用于确定攻击者信息所在的文件路径;
文件获取模块,用于根据所述文件路径读取所述MySQL客户端中所述文件路径下的文件;
信息获取模块,用于从所述文件中获取攻击者信息。
可选地,所述文件路径确定模块,用于获取所述MySQL客户端的操作系统类型;根据所述操作系统类型确定攻击者信息所在的文件路径。
可选地,所述文件路径确定模块,用于若所述操作系统类型为Linux系统,则确定攻击者信息所在的文件路径包括操作系统版本号读取路径、网卡名称读取路径以及网卡地址读取路径中的至少一种。
可选地,所述文件路径确定模块,用于若所述操作系统类型为Windows系统,则确定攻击者信息所在的文件路径包括用户名读取路径、即时通信账户名读取路径以及手机号读取路径中的至少一种。
可选地,所述攻击者信息包括攻击者的客户端的操作系统信息、网卡信息、IP地址、用户名、即时通信账户信息、手机号中的至少一种信息。
可选地,所述文件获取模块,用于根据所述文件路径生成文件读取请求;向所述MySQL客户端发送所述文件读取请求;接收所述MySQL客户端对所述文件读取请求进行响应返回的所述文件路径下的文件。
可选地,所述装置还包括:
连接模块,用于利用mina框架对所述MySQL仿真服务的端口进行监听,以接收所述MySQL客户端对所述MySQL仿真服务的访问请求;对所述访问请求进行响应,向所述MySQL客户端返回响应结果,并与所述MySQL客户端建立连接。
可选地,所述MySQL仿真服务包括多个,所述装置还包括:
管理模块,用于对各个MySQL仿真服务的访问请求进行统计,获得各个MySQL仿真服务的访问情况;根据所述访问情况对各个MySQL仿真服务进行管理。
第三方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种攻击者信息获取方法的流程图;
图2为本申请实施例提供的一种攻击者信息获取装置的结构框图;
图3为本申请实施例提供的一种用于执行攻击者信息获取方法的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述。
需要说明的是,本发明实施例中的术语“系统”和“网络”可被互换使用。“多个”是指两个或两个以上,鉴于此,本发明实施例中也可以将“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。
本申请实施例提供一种攻击者信息获取方法,该方法应用于服务器,服务器上部署有MySQL仿真服务,MySQL客户端对MySQL仿真服务进行访问时服务器则与MySQL客户端建立连接,这样服务器可在确定攻击者信息所在的文件路径后,从MySQL客户端读取文件路径下的文件,然后从该文件中提取攻击者信息。由于MySQL仿真服务遵循了MySQL协议,所以可使得MySQL客户端无法判断MySQL仿真服务是真实的服务还是仿真的服务,从而MySQL客户端可与MySQL仿真服务建立信任关系,进而服务器可以轻易从MySQL客户端获取更多的攻击者信息,进而后续能够对攻击者进行更准确的溯源。
请参照图1,图1为本申请实施例提供的一种攻击者信息获取方法的流程图,该方法应用于服务器,包括如下步骤:
步骤S110:确定攻击者信息所在的文件路径。
服务器上部署有MySQL仿真服务,MySQL仿真服务并不是真实的服务,其是用于诱导攻击者进行访问的服务,例如,服务器可以根据其自身提供的虚拟IP地址段的配置,生成多个不同MAC地址的IP虚拟地址,这些IP虚拟地址作为MySQL仿真服务的IP地址,由于虚拟的IP地址具有唯一不同的MAC地址,所以,在外部访问者看来,就是多个具有真实地址的真实服务,这样就可以隐藏原本真实的服务,干扰攻击者的判断,从而即可诱导攻击者对MySQL仿真服务进行访问。
攻击者通过扫描到MySQL仿真服务后,以为其是真实的服务,则向MySQL仿真服务发送访问请求,MySQL仿真服务接收到访问请求后,可对访问请求进行响应,并与MySQL客户端建立连接,即服务器与MySQL客户端建立连接。
服务器在与MySQL客户端建立连接后,为了从MySQL客户端获取攻击者信息,可以先确定攻击者信息所在的文件路径,如文件路径可以是所有可能包含有攻击者信息的路径,如/etc/system-release、/proc/net/dev、C:\Windows\PFRO.log、\Users\username\Documents\WeChat Files\All等。这些文件路径可以是根据常规存储信息的路径来确定的,如一般用户名存储在该C:\Windows\PFRO.log路径下,所以,可确定攻击者信息所在的文件路径也包含该路径。在一些实施方式中,这些文件路径可以是预先存储好的,在需要获取攻击者信息时,服务器可从存储器中直接读取获得文件路径即可。
步骤S120:根据所述文件路径读取MySQL客户端中所述文件路径下的文件。
服务器在获得文件路径后,可将该文件路径发送给MySQL客户端,然后MySQL客户端可从该文件路径下读取相应的文件后发送给服务器。
步骤S130:从所述文件中获取攻击者信息。
服务器接收MySQL客户端发送的文件,然后可从文件中提取与攻击者相关的信息,如用户名、IP地址、手机号等信息。服务器可将获取的攻击者信息进行保存。
在上述实施例的基础上,在获得攻击者信息后,还可以根据攻击者信息对攻击者进行追踪溯源,如获取到攻击者的QQ、微信等社交账号后,通过社交账号查找攻击者,以获取更详细的信息,然后可当获得足够多的信息后,生成攻击者画像,后续可利用攻击者画像对攻击者进行反击,进而确保网络安全。
在上述实现过程中,通过在服务器上部署MySQL仿真服务,MySQL客户端对MySQL仿真服务进行访问时,服务器则与MySQL客户端建立连接,这样服务器可在确定攻击者信息所在的文件路径后,从MySQL客户端读取文件路径下的文件,然后从该文件中提取攻击者信息。由于MySQL仿真服务遵循了MySQL协议,所以可使得MySQL客户端无法判断MySQL仿真服务是真实的服务还是仿真的服务,从而MySQL客户端可与MySQL仿真服务建立信任关系,进而服务器可以轻易从MySQL客户端获取更多的攻击者信息。
在上述实施例的基础上,可以利用网络应用的多用途基础设施(multipurposeinfrastructure for networkapplications,mina)框架对MySQL仿真服务的端口进行监听,以监听MySQL客户端发送的访问请求,即MySQL仿真服务可从该端口接收MySQL客户端对MySQL仿真服务的访问请求,然后MySQL仿真服务对访问请求进行响应,向MySQL客户端返回对应的响应结果,并与MySQL客户端建立连接。
其中,mina框架是一个网络通信应用框架,其主要是对基于TCP/IP、UDP/IP协议栈的通信框架,为开发高性能和高可用性的网络应用程序提供了非常便利的框架。mina框架在服务器与MySQL客户端建立连接后,可以监听服务器上封装的MySQL仿真服务的端口,MySQL客户端通过扫描,可获得该MySQL仿真服务的端口的地址信息,然后基于该地址信息发起访问请求,访问请求到达给端口后,使得mina框架可检测到该访问请求,然后可触发MySQL仿真服务对该访问请求进行响应。
在上述实现过程中,由于mina可以实现高性能、高扩展性的网络通信应用,所以通过mina框架实现对访问请求的监听,能够及时监测到访问请求,以便于能够及时对攻击者信息进行获取。
在上述实施例的基础上,由于不同的操作系统中信息默认存储的路径有所不同,所以为了避免MySQL客户端在服务器发送的文件路径下找不到相应的文件而返回空的文件的问题,在确定文件路径时,还可以先获取MySQL客户端的操作系统类型,然后再根据操作系统类型确定攻击者信息所在的文件路径。
例如,服务器可通过读取MySQL客户端中的相关文件来获得MySQL客户端的操作系统类型,如读取MySQL客户端中的/var/log/dmesg文件,从该文件中判断操作系统类型为Linux系统还是Windows系统,这样就可以获得MySQL客户端的操作系统类型,从而可根据操作系统类型确定更准确的攻击者信息所在的文件路径。
在上述实现过程中,由于不同的操作系统类型对文件存储的规律不同,所以根据操作系统类型来确定攻击者信息所在的文件路径,能对攻击者信息实现更准确的定位。
在上述实施例的基础上,若操作系统类型为Linux系统,则确定攻击者信息所在的文件路径包括操作系统版本号读取路径、网卡名称读取路径以及网络地址读取路径中的至少一种。因为Linux系统中的一切皆文件,很多信息都存储在文件中,所以需要读取的文件路径可根据攻击者溯源所需的信息确定,如操作系统版本号读取路径:/etc/system-release,该路径下存储有操作系统详细的版本号信息,网络名称读取路径:/proc/net/dev,该路径下存储有所有网卡的名称,网络地址读取路径:/etc/sysconfig/network-scripts/,该路径下存储有网卡的IP地址、配置的网关的相关信息。
若操作系统类型为Windows系统,则确定攻击者信息所在的文件路径包括用户名读取路径、即时通信账户名读取路径以及手机号读取路径中的至少一种。因为Windows系统中软件默认安装路径是有规律的,所以可以直接确定常见应用的安装路径和应用数据文件的存储路径,这样可从应用的数据文件中获取攻击者信息,则文件路径可以根据攻击者溯源所需的攻击者应用数据确定,如用户名读取路径:C:\Windows\PFRO.log,即该路径下存储有Windows用户名,即时通信账户名读取路径:C:\Users\username\Documents\WeChatFiles\AllUsers\config\config.data,该路径下存储有用户的微信、QQ等社交账户信息,手机号读取路径:C:\Users\username\Documents\Chat Files\wx_id\config\AccInfo.dat,该路径下存储有微信账户绑定的手机号等信息。
所以,可以根据操作系统类型的不同,确定不同的文件路径,这样MySQL客户端即可在准确的文件路径下获取准确的文件发送给服务器,以便于能够获得更全面的攻击者信息。
在上述实施例的基础上,攻击者信息可以包括攻击者的客户端的操作系统信息(如操作系统版本号)、网卡信息、IP地址、用户名、即时通信账户信息、手机号中的至少一种信息,从而可使得获取的攻击者信息更多、更全面,以便于更容易对攻击者进行追踪溯源。
由于攻击者信息是从MySQL客户端的文件中读取出来,所以获得的攻击者信息是真实可靠的。并且,如果MySQL客户端的操作系统是Windows操作系统,且安装了微信,那么就可以获取到攻击者的微信账号和绑定的手机号,这样可以进一步根据这些信息收集攻击者更多的信息,从而后续能够对攻击者实现更准确的追逐溯源。
在上述实施例的基础上,服务器在从MySQL客户端读取文件时,可以先根据文件路径生成文件读取请求,然后向MySQL客户端发送文件读取请求,MySQL客户端接收到该文件读取请求后,对该请求进行响应,即从对应的文件路径中读取文件后发送给服务器,这样服务器即可接收到MySQL客户端返回的文件路径下的文件。
其中,文件读取请求可以是LOAD DATA LOCAL请求,由于MySQL仿真服务与MySQL客户端之间通过MySQL协议通信,所以MySQL客户端信任MySQL仿真服务,MySQL客户端在接收到该文件读取请求后,直接对该请求进行响应,即从对应的文件路径下获取文件发送给服务器。
在上述实现过程中,服务器基于文件路径生成文件读取请求,这样MySQL客户端可以针对该请求进行响应,以使得MySQL客户端能够容易进行文件读取。
在一些实施方式中,MySQL仿真服务在接收到MySQL客户端对MySQL仿真服务的访问请求时,可以先判断该访问请求的类型,如果该访问请求的类型为普通请求,如普通请求如正常业务访问,则MySQL仿真服务可直接进行响应后返回对应的响应结果,如果不是普通请求,则认为是MySQL客户端返回的文件,则接收该文件。为了便于进行信息获取,MySQL仿真服务在进行响应后,还可以判断该访问请求是不是第一次请求,如果是的话,则对服务器中的相关内容进行初始化,如对文件读取模块进行初始化,如对文件读取模块进行相应的初始化配置,以便于后续文件读取模块从MySQL客户端的文件路径下读取文件。
在上述实施例的基础上,MySQL仿真服务包括多个,即服务器上部署有多个MySQL仿真服务,服务器还可以对各个MySQL仿真服务的访问请求进行统计,获得各个MySQL仿真服务的访问情况,然后可以根据这些访问情况对各个MySQL仿真服务进行管理,如某个MySQL仿真服务的访问请求数较少,如小于某一阈值,则可以将该MySQL仿真服务删除,从而可减少对一些无用的MySQL仿真服务的管理,释放服务器的管理资源。
服务器还可以针对访问请求数较多的一些MySQL仿真服务进行重点监控,表示这些MySQL仿真服务是容易被攻击者扫描到的,如服务器可以针对这些MySQL仿真服务接收到的访问请求的时间、攻击者信息等分析攻击者对这些MySQL仿真服务的攻击行为,这样可以为实际部署服务时的防御措施提供数据参考。例如,服务器可以在确定某个MySQL仿真服务的访问请求数较多时,表示该MySQL仿真服务比较容易被攻击,则可向该MySQL仿真服务对应的业务端发送提示信息,以提示该业务端容易遭受攻击,注意安全防御,其提示信息可以通过邮件、短信、语音呼叫等方式发送到业务端。
在上述实现过程中,通过设置多个MySQL仿真服务,这样可以增加MySQL仿真服务被攻击者扫描到的概率,服务器通过统计各个MySQL仿真服务的访问情况来对各个MySQL仿真服务进行管理,这样可以对访问请求多的MySQL仿真服务进行重点监控,从而可分析获得攻击者的攻击习惯。
上述实施例中,通过服务器从MySQL客户端获取大量的攻击者信息,包括硬件信息、操作系统信息、网络信息、攻击者的应用数据等,从而可以获取到更多的攻击者信息,以便于能够对攻击者进行准确的追逐溯源,进而可以对网络安全进行有效防护。
请参照图2,图2为本申请实施例提供的一种攻击者信息获取装置200的结构框图,该装置200可以是服务器上的模块、程序段或代码。应理解,该装置200与上述图1方法实施例对应,能够执行图1方法实施例涉及的各个步骤,该装置200具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置200包括:
文件路径确定模块210,用于确定攻击者信息所在的文件路径;
文件获取模块220,用于根据所述文件路径读取所述MySQL客户端中所述文件路径下的文件;
信息获取模块230,用于从所述文件中获取攻击者信息。
可选地,所述文件路径确定模块210,用于获取所述MySQL客户端的操作系统类型;根据所述操作系统类型确定攻击者信息所在的文件路径。
可选地,所述文件路径确定模块210,用于若所述操作系统类型为Linux系统,则确定攻击者信息所在的文件路径包括操作系统版本号读取路径、网卡名称读取路径以及网卡地址读取路径中的至少一种。
可选地,所述文件路径确定模块210,用于若所述操作系统类型为Windows系统,则确定攻击者信息所在的文件路径包括用户名读取路径、即时通信账户名读取路径以及手机号读取路径中的至少一种。
可选地,所述攻击者信息包括攻击者的客户端的操作系统信息、网卡信息、IP地址、用户名、即时通信账户信息、手机号中的至少一种信息。
可选地,所述文件获取模块220,用于根据所述文件路径生成文件读取请求;向所述MySQL客户端发送所述文件读取请求;接收所述MySQL客户端对所述文件读取请求进行响应返回的所述文件路径下的文件。
可选地,所述装置200还包括:
连接模块,用于利用mina框架对所述MySQL仿真服务的端口进行监听,以接收所述MySQL客户端对所述MySQL仿真服务的访问请求;对所述访问请求进行响应,向所述MySQL客户端返回响应结果,并与所述MySQL客户端建立连接。
可选地,所述MySQL仿真服务包括多个所述装置还包括:
管理模块,用于对各个MySQL仿真服务的访问请求进行统计,获得各个MySQL仿真服务的访问情况;根据所述访问情况对各个MySQL仿真服务进行管理。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再重复描述。
请参照图3,图3为本申请实施例提供的一种用于执行攻击者信息获取方法的电子设备的结构示意图,该电子设备可以为上述的服务器,所述电子设备可以包括:至少一个处理器310,例如CPU,至少一个通信接口320,至少一个存储器330和至少一个通信总线340。其中,通信总线340用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口320用于与其他节点设备进行信令或数据的通信。存储器330可以是高速RAM存储器,也可以是非易失性的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器330可选的还可以是至少一个位于远离前述处理器的存储装置。存储器330中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器310执行时,电子设备执行上述图1所示方法过程。
可以理解,图3所示的结构仅为示意,所述电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,执行如图1所示方法实施例中电子设备所执行的方法过程。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:确定攻击者信息所在的文件路径;根据所述文件路径读取所述MySQL客户端中所述文件路径下的文件;从所述文件中获取攻击者信息。
综上所述,本申请实施例提供一种攻击者信息获取方法、装置、电子设备及存储介质,该方法通过在服务器上部署MySQL仿真服务,MySQL客户端对MySQL仿真服务进行访问时服务器则与MySQL客户端建立连接,这样服务器可在确定攻击者信息所在的文件路径后,从MySQL客户端读取文件路径下的文件,然后从该文件中提取攻击者信息。由于MySQL仿真服务遵循了MySQL协议,所以可使得MySQL客户端无法判断MySQL仿真服务是真实的服务还是仿真的服务,从而MySQL客户端可与MySQL仿真服务建立信任关系,进而服务器可以轻易从MySQL客户端获取更多的攻击者信息。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种攻击者信息获取方法,其特征在于,应用于服务器,所述服务器上部署有MySQL仿真服务,在MySQL客户端对所述MySQL仿真服务进行访问时与所述MySQL客户端建立连接,所述方法包括:
确定攻击者信息所在的文件路径;
根据所述文件路径读取所述MySQL客户端中所述文件路径下的文件;
从所述文件中获取攻击者信息。
2.根据权利要求1所述的方法,其特征在于,所述确定攻击者信息所在的文件路径,包括:
获取所述MySQL客户端的操作系统类型;
根据所述操作系统类型确定攻击者信息所在的文件路径。
3.根据权利要求2所述的方法,其特征在于,所述根据所述操作系统类型确定攻击者信息所在的文件路径,包括:
若所述操作系统类型为Linux系统,则确定攻击者信息所在的文件路径包括操作系统版本号读取路径、网卡名称读取路径以及网卡地址读取路径中的至少一种。
4.根据权利要求2所述的方法,其特征在于,所述根据所述操作系统类型确定攻击者信息所在的文件路径,包括:
若所述操作系统类型为Windows系统,则确定攻击者信息所在的文件路径包括用户名读取路径、即时通信账户名读取路径以及手机号读取路径中的至少一种。
5.根据权利要求1所述的方法,其特征在于,所述根据所述文件路径读取所述MySQL客户端中所述文件路径下的文件,包括:
根据所述文件路径生成文件读取请求;
向所述MySQL客户端发送所述文件读取请求;
接收所述MySQL客户端对所述文件读取请求进行响应返回的所述文件路径下的文件。
6.根据权利要求1-5任一所述的方法,其特征在于,所述获取所述MySQL客户端的操作系统类型之前,还包括:
利用mina框架对所述MySQL仿真服务的端口进行监听,以接收所述MySQL客户端对所述MySQL仿真服务的访问请求;
对所述访问请求进行响应,向所述MySQL客户端返回响应结果,并与所述MySQL客户端建立连接。
7.根据权利要求6所述的方法,其特征在于,所述MySQL仿真服务包括多个,所述方法还包括:
对各个MySQL仿真服务的访问请求进行统计,获得各个MySQL仿真服务的访问情况;
根据所述访问情况对各个MySQL仿真服务进行管理。
8.一种攻击者信息获取装置,其特征在于,运行于服务器,所述服务器上部署有MySQL仿真服务,在MySQL客户端对所述MySQL仿真服务进行访问时与所述MySQL客户端建立连接,所述装置包括:
文件路径确定模块,用于确定攻击者信息所在的文件路径;
文件获取模块,用于根据所述文件路径读取所述MySQL客户端中所述文件路径下的文件;
信息获取模块,用于从所述文件中获取攻击者信息。
9.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-7任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-7任一所述的方法。
CN202110932525.9A 2021-08-13 2021-08-13 攻击者信息获取方法、装置、电子设备及存储介质 Pending CN113660261A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110932525.9A CN113660261A (zh) 2021-08-13 2021-08-13 攻击者信息获取方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110932525.9A CN113660261A (zh) 2021-08-13 2021-08-13 攻击者信息获取方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN113660261A true CN113660261A (zh) 2021-11-16

Family

ID=78491610

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110932525.9A Pending CN113660261A (zh) 2021-08-13 2021-08-13 攻击者信息获取方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN113660261A (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108768989A (zh) * 2018-05-18 2018-11-06 刘勇 一种采用拟态技术的apt攻击防御方法、系统
US20200076849A1 (en) * 2018-08-29 2020-03-05 Panasonic Avionics Corporation Network security attack misdirection on a transport vehicle
CN113079157A (zh) * 2021-03-31 2021-07-06 广州锦行网络科技有限公司 获取网络攻击者位置的方法、装置、电子设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108768989A (zh) * 2018-05-18 2018-11-06 刘勇 一种采用拟态技术的apt攻击防御方法、系统
US20200076849A1 (en) * 2018-08-29 2020-03-05 Panasonic Avionics Corporation Network security attack misdirection on a transport vehicle
CN113079157A (zh) * 2021-03-31 2021-07-06 广州锦行网络科技有限公司 获取网络攻击者位置的方法、装置、电子设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
雨韭韭: "Mysql服务端反向读取客户端的任意文件", 《博客园》 *

Similar Documents

Publication Publication Date Title
CN103118003B (zh) 一种基于资产的风险扫描方法、装置及系统
CN111131221B (zh) 接口校验的装置、方法及存储介质
CN104461683B (zh) 一种虚拟机非法配置的校验方法、装置及系统
CN108259425A (zh) 攻击请求的确定方法、装置及服务器
CN112131577A (zh) 一种漏洞检测方法、装置、设备及计算机可读存储介质
CN114301673A (zh) 一种漏洞检测方法、装置、电子设备及存储介质
WO2022257226A1 (zh) 基于网络空间测绘的蜜罐识别方法、装置、设备及介质
CN111953770A (zh) 一种路由转发方法、装置、路由设备及可读存储介质
CN111752770A (zh) 服务请求的处理方法、系统、计算机设备和存储介质
CN108924159B (zh) 一种报文特征识别库的验证方法与装置
CN113612783A (zh) 一种蜜罐防护系统
CN112668005A (zh) webshell文件的检测方法及装置
CN113923008B (zh) 一种恶意网站拦截方法、装置、设备及存储介质
CN110995658A (zh) 网关保护方法、装置、计算机设备及存储介质
CN114285659A (zh) 一种反向代理方法、装置、设备及存储介质
CN112235300B (zh) 云虚拟网络漏洞检测方法、系统、装置及电子设备
CN111786940A (zh) 一种数据处理方法及装置
CN112351082A (zh) Http请求报文的限流方法及装置
CN112491974A (zh) 远程浏览方法、装置、存储介质、终端设备及服务器
CN110941412A (zh) 基于图片化实现多终端动画协同浏览的方法、系统及终端
CN110958267A (zh) 一种虚拟网络内部威胁行为的监测方法及系统
CN113660261A (zh) 攻击者信息获取方法、装置、电子设备及存储介质
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
CN110995738B (zh) 暴力破解行为识别方法、装置、电子设备及可读存储介质
CN111131152B (zh) 一种跨平台的远程登录防护系统的自动化验证方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20211116

RJ01 Rejection of invention patent application after publication