[发明专利]一种高交互蜜罐的攻击记录方法、装置和介质

权利要求书

1.一种高交互蜜罐的攻击记录方法，其特征在于，包括：

获取bash进程的输入字符；

按照预先设定的数据存储规则，将所述输入字符存储至日志文件；

当检测到文件结束标识，则关闭所述日志文件；

将所述日志文件中的日志数据上报入侵检测中心，以便于所述入侵检测中心依据所述日志数据进行入侵检测。

2.根据权利要求1所述的高交互蜜罐的攻击记录方法，其特征在于，所述获取输入字符包括：

判断所述bash进程是否为ssh子进程；

当所述bash进程为ssh子进程时，利用readline函数获取输入字符；

当所述bash进程不为ssh子进程时，利用buffered_getchar函数获取输入字符。

3.根据权利要求2所述的高交互蜜罐的攻击记录方法，其特征在于，在所述当所述bash进程为ssh子进程时，利用readline函数获取输入字符之后还包括：

利用libpcap捕获ssh流量数据；

相应的，所述将所述日志文件中的日志数据上报入侵检测中心包括：

将所述日志数据以及所述ssh流量数据上报入侵检测中心。

4.根据权利要求1所述的高交互蜜罐的攻击记录方法，其特征在于，所述按照预先设定的数据存储规则，将所述输入字符存储至日志文件中包括：

判断是否存在日志文件；

当不存在日志文件时，创建日志文件；对所述输入字符设置日志头信息，并将所述日志头信息以及所述输入字符按照追加模式写入所述日志文件；

当存在日志文件时，按照追加模式将所述输入字符写入所述日志文件。

5.根据权利要求1所述的高交互蜜罐的攻击记录方法，其特征在于，所述将所述日志文件中的日志数据上报入侵检测中心包括：

对所述日志文件进行解析，以获取待上报的日志数据；

将序列化后的日志数据上报入侵检测中心，以便于所述入侵检测中心依据反序列化后的日志数据进行入侵检测。

6.根据权利要求1所述的高交互蜜罐的攻击记录方法，其特征在于，所述当检测到文件结束标识，则关闭所述日志文件包括：

当获取的输入字符存在换行符时，关闭所述日志文件。

7.一种高交互蜜罐的攻击记录装置，其特征在于，包括获取单元、存储单元、关闭单元和上报单元；

所述获取单元，用于获取bash进程的输入字符；

所述存储单元，用于按照预先设定的数据存储规则，将所述输入字符存储至日志文件；

所述关闭单元，用于当检测到文件结束标识，则关闭所述日志文件；

所述上报单元，用于将所述日志文件中的日志数据上报入侵检测中心，以便于所述入侵检测中心依据所述日志数据进行入侵检测。

8.根据权利要求7所述的高交互蜜罐的攻击记录装置，其特征在于，所述获取单元包括判断子单元、第一处理子单元和第二处理子单元；

所述判断子单元，用于判断所述bash进程是否为ssh子进程；

所述第一处理子单元，用于当所述bash进程为ssh子进程时，利用readline函数获取输入字符；

所述第二处理子单元，用于当所述bash进程不为ssh子进程时，利用buffered_getchar函数获取输入字符。

9.一种高交互蜜罐的攻击记录装置，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序以实现如权利要求1至6任意一项所述高交互蜜罐的攻击记录方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至6任意一项所述高交互蜜罐的攻击记录方法的步骤。