[发明专利]一种高交互蜜罐的攻击记录方法、装置和介质

说明书

本发明实施例公开了一种高交互蜜罐的攻击记录方法、装置和计算机可读存储介质，获取bash进程的输入字符；按照预先设定的数据存储规则，将输入字符存储至日志文件。bash内部记录了入侵者对高交互蜜罐的入侵操作。由于入侵者在入侵过程中难以绕过对bash的命令执行，因此通过获取bash进程的输入字符，可以完整的记录入侵行为。当检测到文件结束标识，则关闭日志文件；将日志文件中的日志数据上报入侵检测中心，日志数据可以较为全面的反映入侵行为，因此入侵检测中心依据日志数据进行入侵检测，可以有效的降低高交互蜜罐的误报率，提升了入侵检测的准确性。

技术领域

本发明涉及服务器安全技术领域，特别是涉及一种高交互蜜罐的攻击记录方法、装置和计算机可读存储介质。

背景技术

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

传统的蜜罐大致可分为两类，一类是基于服务仿真实现的低交互蜜罐，另一类是基于真实操作系统实现的高交互蜜罐。低交互蜜罐资源占用少，但仿真能力较差。高交互蜜罐有较高的仿真性，但是误报率较高。对于高交蜜罐的实现，通过采集内核层上的操作数据进行入侵检测，往往会导致系统本身的大量正常活动被误报，使得入侵检测的误报率较高。

可见，如何降低高交互蜜罐的误报率，是本领域技术人员需要解决的问题。

发明内容

本发明实施例的目的是提供一种高交互蜜罐的攻击记录方法、装置和计算机可读存储介质，可以降低高交互蜜罐的误报率。

为解决上述技术问题，本发明实施例提供一种高交互蜜罐的攻击记录方法，包括：

获取bash进程的输入字符；

按照预先设定的数据存储规则，将所述输入字符存储至日志文件；

当检测到文件结束标识，则关闭所述日志文件；

将所述日志文件中的日志数据上报入侵检测中心，以便于所述入侵检测中心依据所述日志数据进行入侵检测。

可选地，所述获取输入字符包括：

判断所述bash进程是否为ssh子进程；

当所述bash进程为ssh子进程时，利用readline函数获取输入字符；

当所述bash进程不为ssh子进程时，利用buffered_getchar函数获取输入字符。

可选地，在所述当所述bash进程为ssh子进程时，利用readline函数获取输入字符之后还包括：

利用libpcap捕获ssh流量数据；

相应的，所述将所述日志文件中的日志数据上报入侵检测中心：

将所述日志数据以及所述ssh流量数据上报入侵检测中心。

可选地，所述按照预先设定的数据存储规则，将所述输入字符存储至日志文件中包括：

判断是否存在日志文件；

当不存在日志文件时，创建日志文件；对所述输入字符设置日志头信息，并将所述日志头信息以及所述输入字符按照追加模式写入所述日志文件；

当存在日志文件时，按照追加模式将所述输入字符写入所述日志文件。

可选地，所述将所述日志文件中的日志数据上报入侵检测中心包括：

对所述日志文件进行解析，以获取待上报的日志数据；