基于文件过滤驱动框架的回放方法和装置与流程

本发明涉及网络安全技术领域，尤其是涉及一种基于文件过滤驱动框架的回放方法和装置。

背景技术：

蜜罐是主动防御的安全产品，可用于捕获未知漏洞，蜜罐系统通常都实现了真实操作系统的仿真，目的就是诱导黑客攻击，捕获黑客行为，记录入侵过程，捕获未知漏洞利用手段。然而传统的技术只能对操作系统中的网络数据包进行回放操作，无法做到对进程、文件和网络的行为级别回放。

针对上述问题，还未提出有效的解决方案。

技术实现要素：

有鉴于此，本发明的目的在于提供一种基于文件过滤驱动框架的回放方法和装置，以缓解了解决了现有技术无法对进程、文件和网络的操作行为进行回放技术问题的技术问题。

第一方面，本发明实施例提供了一种基于文件过滤驱动框架的回放方法，包括：基于文件过滤驱动技术，获取待回放操作行为的操作数据，其中，所述待回放操作行为包括以下至少之一：进程操作行为，文件操作行为，网络操作行为；将所述操作数据发送给虚拟机，以使所述虚拟机对所述待回放操作行为进行模拟回放。

进一步地，获取待回放操作行为的操作数据，包括：若所述待回放操作行为为所述进程操作行为，则获取所述进程操作行为的所述进程操作行为的属性数据，将所述进程操作行为的属性数据确定为所述操作数据，其中，所述进程操作行为的属性数据包括以下至少之一：所述进程操作行为的执行方式，所述进程操作行为的程序路径，所述进程操作行为的运行参数；若所述待回放操作行为为所述文件操作行为，则获取所述文件操作行为的所述文件操作行为的属性数据，将所述文件操作行为的属性数据确定为所述操作数据，其中，所述文件操作行为的属性数据包括以下至少之一：所述文件操作行为的操作方式，所述文件操作行为对应的操作对象文件路径；若所述待回放操作行为为所述网络操作行为，则获取所述网络操作行为的pcapng流量数据，将所述pcapng流量数据确定为所述操作数据。

进一步地，将所述操作数据发送给克隆虚拟机，以使所述虚拟机对所述待回放操作行为进行模拟回放，包括：若所述待回放操作行为为所述进程操作行为，则将所述进程操作行为的属性数据发送给所述虚拟机，以使虚拟机基于所述进程操作行为的属性数据对所述进程操作行为进行模拟回放；若所述待回放操作行为为所述文件操作行为，则将所述文件操作行为的属性数据发送给所述虚拟机，以使所述虚拟机基于所述文件操作行为的属性数据对所述进程操作行为进行模拟回放；若所述待回放操作行为为所述网络操作行为，则将所述pcapng流量数据发送给所述虚拟机，以使所述虚拟机基于所述pcapng流量数据对所述网络操作行为进行模拟回放。

进一步地，所述操作数据为json格式的数据。

进一步地，所述虚拟机基于tcpreplay技术对所述网络操作行为进行模拟回放。

第二方面，本发明实施例提供了一种基于文件过滤驱动框架的回放装置，包括：获取单元和发送单元，其中，所述获取单元用于基于文件过滤驱动技术，获取待回放操作行为的操作数据，其中，所述待回放操作行为包括以下至少之一：进程操作行为，文件操作行为，网络操作行为；所述发送单元用于将所述操作数据发送给虚拟机，以使所述虚拟机对所述待回放操作行为进行模拟回放。

进一步地，所述获取单元还包括：第一获取单元，第二获取单元和第三获取单元，其中，所述第一获取单元用于获取所述进程操作行为的所述进程操作行为的属性数据，将所述进程操作行为的属性数据确定为所述操作数据，其中，所述进程操作行为的属性数据包括以下至少之一：所述进程操作行为的执行方式，所述进程操作行为的程序路径，所述进程操作行为的运行参数；所述第二获取单元用于获取所述文件操作行为的所述文件操作行为的属性数据，将所述文件操作行为的属性数据确定为所述操作数据，其中，所述文件操作行为的属性数据包括以下至少之一：所述文件操作行为的操作方式，所述文件操作行为对应的操作对象文件路径；所述第三获取单元用于获取所述网络操作行为的pcapng流量数据，将所述pcapng流量数据确定为所述操作数据。

进一步地，所述发送单元包括：第一发送单元，第二发送单元和第三发送单元，其中，所述第一发送单元用于将所述进程操作行为的属性数据发送给所述虚拟机，以使虚拟机基于所述进程操作行为的属性数据对所述进程操作行为进行模拟回放；所述第二发送单元用于将所述文件操作行为的属性数据发送给所述虚拟机，以使所述虚拟机基于所述文件操作行为的属性数据对所述进程操作行为进行模拟回放；所述第三发送单元用于将所述pcapng流量数据发送给所述虚拟机，以使所述虚拟机基于所述pcapng流量数据对所述网络操作行为进行模拟回放。

进一步地，所述操作数据为json格式的数据。

进一步地，所述虚拟机基于tcpreplay技术对所述网络操作行为进行模拟回放。

在本发明实施例中，通过文件过滤驱动技术，获取到待回放操作行为的操作数据，然后，将操作数据发送给虚拟机，以使虚拟机基于操作数据对待回放操作行为进行模拟回放，达到了对进待回放操作行为进行回放的目的，进而解决了现有技术中无法对操作行为进行回放的技术问题，从而实现了网络安全工作者能够通过对待回放操作行为回放更加容易理解入侵者的攻击手段和漏洞利用手法的技术效果。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种基于文件过滤驱动框架的回放方法的流程图；

图2为本发明实施例提供的一种基于文件过滤驱动框架的回放装置的示意图；

图3为本发明实施例提供的另一种基于文件过滤驱动框架的回放装置的示意图；

图4为本发明实施例提供的一种服务器的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一：

根据本发明实施例，提供了一种基于文件过滤驱动框架的回放方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是根据本发明实施例的一种基于文件过滤驱动框架的回放方法的流程图，如图1所示，该方法包括如下步骤：

步骤s102，基于文件过滤驱动技术，获取待回放操作行为的操作数据，其中，所述待回放操作行为包括以下至少之一：进程操作行为，文件操作行为，网络操作行为；

步骤s104，将所述操作数据发送给虚拟机，以使所述虚拟机对所述待回放操作行为进行模拟回放。

在本发明实施例中，通过文件过滤驱动技术，获取到待回放操作行为的操作数据，然后，将操作数据发送给虚拟机，以使虚拟机基于操作数据对待回放操作行为进行模拟回放，达到了对进待回放操作行为进行回放的目的，进而解决了现有技术中无法对操作行为进行回放的技术问题，从而实现了网络安全工作者能够通过对待回放操作行为回放更加容易理解入侵者的攻击手段和漏洞利用手法的技术效果。

需要说明的是，向虚拟机发送的操作数据为json格式的数据。

上述方法一般可以用于对黑客的攻击进行模拟，在黑客对系统进行攻击时，一般为通过捕获黑客的攻击行为，从而记录黑客的入侵过程，捕获未知漏洞利用手段。而能够把这一切入侵行为串起来并通过视觉界面回放的唯一方法就是记录所有进程，文件和网络的操作行为，并通过虚拟机进行回放和运行，从而使得网络安全工作者更加容易理解入侵者的攻击手段和漏洞利用手法，同时给用户带来更好的体验效果。

另外，需要说明的是，在获取到待回放操作的操作数据后，可以将操作数据存储至数据库中，根据网络安全工作者的需求，网络安全工作者将操作数据从数据库中调用至虚拟机，接着使虚拟机根据操作数据对待回放操作进行模拟回放。

若数据库中存储有多个操作数据，则虚拟机在调用多个操作数据时，则是根据操作数据的获取时序，从数据库中调用多个操作数据。

例如，当基于文件过滤驱动技术获取到了系统中先运行了notepad.exe进程(即，进程操作)后，又运行dllhost.exe程序并加载某个dll文件(即，文件操作)，虚拟机根据上述操作行为，主动运行notepad.exe后继续运行dllhost.exe且加载同样的dll，从而达到了对待回放操作进行模拟回放的技术效果。

在本发明实施例中，步骤s102还包括如下步骤：

步骤201，若所述待回放操作行为为所述进程操作行为，则获取所述进程操作行为的所述进程操作行为的属性数据，将所述进程操作行为的属性数据确定为所述操作数据，其中，所述进程操作行为的属性数据包括以下至少之一：所述进程操作行为的执行方式，所述进程操作行为的程序路径，所述进程操作行为的运行参数；

步骤202，若所述待回放操作行为为所述文件操作行为，则获取所述文件操作行为的所述文件操作行为的属性数据，将所述文件操作行为的属性数据确定为所述操作数据，其中，所述文件操作行为的属性数据包括以下至少之一：所述文件操作行为的操作方式，所述文件操作行为对应的操作对象文件路径；

步骤203，若所述待回放操作行为为所述网络操作行为，则获取所述网络操作行为的pcapng流量数据，将所述pcapng流量数据确定为所述操作数据。

在本发明实施例中，为了对能够对进程操作行为进行模拟回放，则需要获取进程操作行为的执行方式，进程操作行为的程序路径，进程操作行为的运行参数等数据作为操作数据，通过上述的数据支持，虚拟机才能够对进程操作行为进行模拟回放。

为了对能够对文件操作行为进行模拟回放，则需要获取文件操作行为的操作方式，文件操作行为对应的操作对象文件路径等数据作为操作数据，通过上述的数据支持，虚拟机才能够对文件操作行为进行模拟回放。

为了对能够对网络操作行为进行模拟回放，则需要获取网络操作行为的pcapng流量数据作为操作数据，通过上述的数据支持，虚拟机才能够对文件操作行为进行模拟回放。

需要说明的是，文件过滤驱动技术是将篡改监测的核心程序通过微软文件底层驱动技术应用到web服务器中，通过事件触发方式进行自动监测，对文件夹的所有文件内容，对照其底层文件属性，经过内置散列快速算法，实时进行监测，若发现属性变更，通过非协议方式，纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置，通过底层文件驱动技术，整个文件复制过程毫秒级，使得公众无法看到被篡改页面，其运行性能和检测实时性都达到较高的水准。

通过文件过滤技术的实时监控能力能够方便快捷的监控并获取待回放操作行为的操作数据，进而能够快速高效的对待回放操作行为进行回放。

在本发明实施例中，步骤s104还包括如下步骤：

步骤s401，若所述待回放操作行为为所述进程操作行为，则将所述进程操作行为的属性数据发送给所述虚拟机，以使虚拟机基于所述进程操作行为的属性数据对所述进程操作行为进行模拟回放；

步骤s402，若所述待回放操作行为为所述文件操作行为，则将所述文件操作行为的属性数据发送给所述虚拟机，以使所述虚拟机基于所述文件操作行为的属性数据对所述进程操作行为进行模拟回放；

步骤s403，若所述待回放操作行为为所述网络操作行为，则将所述pcapng流量数据发送给所述虚拟机，以使所述虚拟机基于所述pcapng流量数据对所述网络操作行为进行模拟回放。

在本发明实施例中，在虚拟机获取到操作数据后，虚拟机需要对判断操作数据对应的待回放操作行为的类型。

如果判断出待回放操作行为为进程操作行为，则虚拟机根据进程操作行为的执行方式，进程操作行为的程序路径和进程操作行为的运行参数对进程操作行为进行模拟回放。

需要说明的是，针对进程操作行为进行模拟回放，主要使用操作系统提供的进程创建方法，例如：createprocessa，createprocessw等进程创建方法，通过上述进程创建方法并结合进程操作行为的属性数据，从而达到对进程操作行为进行模拟回放的技术效果。

如果判断出待回放操作行为为文件操作行为，则虚拟机根据文件操作行为的操作方式，文件操作行为对应的操作对象文件路径对文件操作行为进行模拟回放。

需要说明的是，针对文件操作行进行模拟回放，主要操作系统提供的读/写/删除/重命名方法，例如：deletefilea，deletefilew等方法，通过上述方法并结合文件操作行为的属性数据，从而达到对文件操作行为进行模拟回放的技术效果。

如果判断出待回放操作行为为网络操作行为，则虚拟机根据pcapng流量数据并结合tcpreplay技术对网络操作行为进行模拟回放。

需要说明的是，tcpreplay是一种pcapng数据包的重放工具，它可以将用ethreal，wireshark工具抓下来的包原样或经过任意修改后重放回去。它允许你对报文做任意的修改(主要是指对2层,3层,4层报文头)，指定重放报文的速度等,这样tcpreplay就可以用来复现抓包的情景以定位bug，以极快的速度回放。

通过tcpreplay能够快速高效的对网络操作行为进行模拟回放。

实施例二：

本发明还提供了一种基于文件过滤驱动框架的回放装置，该装置用于执行本发明实施例上述内容所提供的基于文件过滤驱动框架的回放方法，以下是本发明实施例提供的基于文件过滤驱动框架的回放装置的具体介绍。

如图2所示，上述的基于文件过滤驱动框架的回放装置包括：获取单元10，发送单元20。

所述获取单元10用于基于文件过滤驱动技术，获取待回放操作行为的操作数据，其中，所述待回放操作行为包括以下至少之一：进程操作行为，文件操作行为，网络操作行为；

所述发送单元20用于将所述操作数据发送给虚拟机，以使所述虚拟机对所述待回放操作行为进行模拟回放。

在本发明实施例中，通过文件过滤驱动技术，获取到待回放操作行为的操作数据，然后，将操作数据发送给虚拟机，以使虚拟机基于操作数据对待回放操作行为进行模拟回放，达到了对进待回放操作行为进行回放的目的，进而解决了现有技术中无法对操作行为进行回放的技术问题，从而实现了网络安全工作者能够通过对待回放操作行为回放更加容易理解入侵者的攻击手段和漏洞利用手法的技术效果。

优选地，如图3所示，所述获取单元10还包括：第一获取单元11，第二获取单元12和第三获取单元13。

所述第一获取单元11用于获取所述进程操作行为的所述进程操作行为的属性数据，将所述进程操作行为的属性数据确定为所述操作数据，其中，所述进程操作行为的属性数据包括以下至少之一：所述进程操作行为的执行方式，所述进程操作行为的程序路径，所述进程操作行为的运行参数；

所述第二获取单元12用于获取所述文件操作行为的所述文件操作行为的属性数据，将所述文件操作行为的属性数据确定为所述操作数据，其中，所述文件操作行为的属性数据包括以下至少之一：所述文件操作行为的操作方式，所述文件操作行为对应的操作对象文件路径；

所述第三获取单元13用于获取所述网络操作行为的pcapng流量数据，将所述pcapng流量数据确定为所述操作数据。

优选地，如图3所示，所述发送单元20包括：第一发送单元21，第二发送单元22和第三发送单元23。

所述第一发送单元21用于将所述进程操作行为的属性数据发送给所述虚拟机，以使虚拟机基于所述进程操作行为的属性数据对所述进程操作行为进行模拟回放；

所述第二发送单元22用于将所述文件操作行为的属性数据发送给所述虚拟机，以使所述虚拟机基于所述文件操作行为的属性数据对所述进程操作行为进行模拟回放；

所述第三发送单元23用于将所述pcapng流量数据发送给所述虚拟机，以使所述虚拟机基于所述pcapng流量数据对所述网络操作行为进行模拟回放。

优选地，所述操作数据为json格式的数据。

优选地，所述虚拟机基于tcpreplay技术对所述网络操作行为进行模拟回放。

参见图4，本发明实施例还提供一种服务器100，包括：处理器50，存储器51，总线52和通信接口53，所述处理器50、通信接口53和存储器51通过总线52连接；处理器50用于执行存储器51中存储的可执行模块，例如计算机程序。

其中，存储器51可能包含高速随机存取存储器(ram，randomaccessmemory)，也可能还包括非不稳定的存储器(non-volatilememory)，例如至少一个磁盘存储器。通过至少一个通信接口53(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

总线52可以是isa总线、pci总线或eisa总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图4中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器51用于存储程序，所述处理器50在接收到执行指令后，执行所述程序，前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器50中，或者由处理器50实现。

处理器50可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器50中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器50可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(digitalsignalprocessing，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现成可编程门阵列(field-programmablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器51，处理器50读取存储器51中的信息，结合其硬件完成上述方法的步骤。

另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。