一种计算机攻击信息存储方法、装置、电子设备与流程

1.本发明涉及网络安全技术领域。尤其是涉及一种计算机攻击信息存储方法、装置、电子设备。


背景技术：

2.在计算机本地上有可能发生网络安全攻击事件，对计算机本地进行一些破坏活动。在计算机本地上发生网络安全攻击事件后，为了发现未知的新型网络攻击行为，了解攻击者的意图，采取针对性的对策确定海量事件的优先级，需要对网络安全攻击事件进行追踪溯源，复现攻击手法等行为。但是，当计算机发生网络安全攻击事件后，计算机本地一些日志文件、进程行为等信息有可能会被黑客删除从而无法追踪攻击源头，无法复现攻击手法。


技术实现要素：

3.有鉴于此，本发明实施例提供一种计算机攻击信息存储方法、装置、电子设备，降低了目标日志文件被删除而无法复现攻击手法的可能性。
4.为达到上述目的，本发明的实施例采用如下技术方案：
5.第一方面，本发明实施例提供一种计算机攻击信息存储方法，包括：对本地第一存储区域保存的目标日志文件进行监视；获取所述目标日志文件中新生成的第一日志；对获取的所述第一日志采用第一加密算法进行加密，将加密后的第一日志同步到本地的第二存储区域中进行保存。
6.根据本发明实施例的一种具体实现方式，所述将加密后的第一日志同步到本地的第二存储区域中进行保存，包括：将加密后的第一日志同步到本地的第二存储区域中的第一区块中进行保存；其中，所述第一区块为数据链表中的一区块。
7.根据本发明实施例的一种具体实现方式，在将加密后的第一日志同步到本地的第二存储区域中的第一区块中进行保存之后，所述方法还包括：判断所述第一区块中存储的数据量是否大于预设阈值；若所述第一区块中存储的数据量大于预设阈值，则将所述第一区块采用第二加密算法进行加密，并在所述第二存储区域的所述数据链表中建立第二区块，将所述第一区块采用第二加密算法加密后形成的哈希值保存在所述第二区块的头部区域中；获取所述目标日志文件中新生成的第二日志；对获取的所述第二日志采用所述第一加密算法进行加密，将加密后的第二日志同步到所述第二区块中进行保存。
8.根据本发明实施例的一种具体实现方式，在获取所述目标日志文件中新生成的第一日志之后，所述方法还包括：将加密后的第一日志，同步到本地计算机所在局域网中的至少一台邻居计算机的预设存储区域中进行保存；和/或，将加密后的第一日志，同步到远端服务器上进行保存。
9.根据本发明实施例的一种具体实现方式，在将加密后的第一日志同步到本地的第二存储区域中进行保存之后，所述方法还包括：将对第二存储区域中存储的第一日志的修
改或删除操作指令，发送给远端服务器，以使所述远端服务器对所述修改或删除操作指令进行验证；接收所述远端服务器返回的验证失败信息，拒绝所述修改或删除操作指令的修改操作或删除操作。
10.第二方面，本发明实施例提供一种计算机攻击信息存储装置，包括：日志文件监视模块，用于对本地第一存储区域保存的目标日志文件进行监视；日志文件获取模块，用于获取所述目标日志文件中新生成的第一日志；日志文件加密模块，用于对获取的所述第一日志采用第一加密算法进行加密，将加密后的第一日志同步到本地的第二存储区域中进行保存。
11.根据本发明实施例的一种具体实现方式，所述日志文件加密模块，具体用于将加密后的第一日志同步到本地的第二存储区域中的第一区块中进行保存；其中，所述第一区块为数据链表中的一区块。
12.根据本发明实施例的一种具体实现方式，所述日志文件加密模块，具体还用于：判断所述第一区块中存储的数据量是否大于预设阈值；若所述第一区块中存储的数据量大于预设阈值，则将所述第一区块采用第二加密算法进行加密，并在所述第二存储区域的所述数据链表中建立第二区块，将所述第一区块采用第二加密算法加密后形成的哈希值保存在所述第二区块的头部区域中；获取所述目标日志文件中新生成的第二日志；对获取的所述第二日志采用所述第一加密算法进行加密，将加密后的第二日志同步到所述第二区块中进行保存。
13.根据本发明实施例的一种具体实现方式，还包括日志文件同步模块，具体用于：将加密后的第一日志，同步到本地计算机所在局域网中的至少一台邻居计算机的预设存储区域中进行保存；和/或，将加密后的第一日志，同步到远端服务器上进行保存。
14.根据本发明实施例的一种具体实现方式，还包括远端确认模块，具体用于：将对第二存储区域中存储的第一日志的修改或删除操作指令，发送给远端服务器，以使所述远端服务器对所述修改或删除操作指令进行验证；接收所述远端服务器返回的验证失败信息，拒绝所述修改或删除操作指令的修改操作或删除操作。
15.第三方面，本发明实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，所述电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上，电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述第一方面中任一项所述的数据传送方法。
16.第四方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现第一方面中任一项所述的数据传送方法。
17.本发明实施例提供的计算机攻击信息存储方法、装置、电子设备及存储介质，通过将第一存储区域保存的目标日志文件的第一日志进行加密，增加了目标日志文件的识别难度，通过将加密后的第一日志同步到第二存储区域中进行保存，使第二存储区域具有旁路监控的功能，增加了将所有的目标日志文件破坏的难度，从而降低了因目标日志文件被删除而无法复现攻击手法的可能性。
附图说明
18.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
19.图1为本发明一实施例计算机攻击信息存储方法的流程示意图；
20.图2为本发明一实施例计算机攻击信息存储装置的模块示意图；
21.图3为本发明一实施例电子设备的模块示意图。
具体实施方式
22.下面结合附图对本发明实施例进行详细描述。
23.应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
24.实施例一
25.参看图1所示，本发明实施例提供的一种计算机攻击信息存储方法，包括：
26.s01、对本地第一存储区域保存的目标日志文件进行监视。
27.本地是指计算机本地(或者说用户端电脑)。
28.第一存储区域是指，本地存储硬盘的预设存储区域。
29.日志文件是指，记录在操作系统或其他软件运行中发生的事件或在通信软件的不同用户之间的消息的文件。目标日志文件是指，当本地发生网络安全攻击事件后，能够用于追踪攻击源头、复现攻击手法的日志文件，比如本地的系统、进程行为等日志。
30.s02、获取所述目标日志文件中新生成的第一日志。
31.s03、对获取的所述第一日志采用第一加密算法进行加密，将加密后的第一日志同步到本地的第二存储区域中进行保存。
32.采用第一加密算法进行加密，可以是对第一日志本身进行加密增加识别目标日志文件的难度；也可以将第一日志与本地的一特征共同加密，由此加密后的第一日志中包含本地的特征，对加密后的第一日志进行识别时，可能会将加密后的第一日志识别为本地的系统文件，从而进一步增加识别目标日志文件的难度。
33.其中，采用第一加密算法进行的加密可以是压缩加密，本地的一特征可以是存储地址或者系统文件或者常见应用程序文件等。
34.本发明实施例提供一种计算机攻击信息存储方法，通过将第一存储区域保存的目标日志文件的第一日志进行加密，增加了目标日志文件的识别难度，通过将加密后的第一日志同步到第二存储区域中进行保存，使第二存储区域具有旁路监控的功能，增加了将所有的目标日志文件破坏的难度，从而降低了因目标日志文件被删除而无法复现攻击手法的可能性。
35.在一实施例中，所述将加密后的第一日志同步到本地的第二存储区域中进行保存，包括：将加密后的第一日志同步到本地的第二存储区域中的第一区块中进行保存；其中，所述第一区块为数据链表中的一区块。
36.其中，加密后的第一日志同步到本地的第二存储区域中的第一区块中的具体过程为：部署操作系统后，手动配置关键日志文件副本映射写入第二存储区域(副本文件属性自动为不可删除、不可修改，只能追加)；操作系统运行时，往普通分区写入系统日志，同时会将副本文件进行压缩、加密操作，然后自动写入数据链表分区中留档。
37.第二存储区域是通过重写分区工具，整合区块链技术对硬盘进行分区后得到的数据链表。因为区块链具有透明、可读、不可删除、不可修改内容、只能进行更新操作的特点，所以本质为应用区块链架构的数据链表的第二存储区域也可以具有透明、可读、不可删除、不可修改内容、只能进行更新操作的特点，从而降低了因目标日志文件被删除而无法复现攻击手法的可能性。
38.在一实施例中，在将加密后的第一日志同步到本地的第二存储区域中的第一区块中进行保存之后，所述方法还包括：判断所述第一区块中存储的数据量是否大于预设阈值；若所述第一区块中存储的数据量大于预设阈值，则将所述第一区块采用第二加密算法进行加密，并在所述第二存储区域的所述数据链表中建立第二区块，将所述第一区块采用第二加密算法加密后形成的哈希值保存在所述第二区块的头部区域中；获取所述目标日志文件中新生成的第二日志；对获取的所述第二日志采用所述第一加密算法进行加密，将加密后的第二日志同步到所述第二区块中进行保存。
39.其中，第二日志和第一日志都是指目标日志文件中新生成的日志文件，第一日志是指存储在第二存储区域的第一区块中的目标日志文件中新生成的日志文件，第二日志是指存储在第二存储区域的第二区块中的目标日志文件中新生成的日志文件。预设阈值可以是人为设定的。
40.将第一区块采用第二加密算法进行加密，可以是将第一区块本身进行加密增加识别第一区块的难度。进一步的，可以将第一区块与本地的一特征共同加密，由此加密后的第一区块中包含本地的特征，对加密后的第一区块进行识别时，可能会将加密后的第一区块识别为本地的系统文件，从而进一步增加识别第一区块的难度。
41.采用第二加密算法进行的加密可以是压缩加密，本地的一特征可以是存储地址或者系统文件或者常见应用程序文件等。
42.组成数据链表的多个区块之间在物理存储结构上可以是非连续且非顺序的；一个哈希值可以视作相应文件的数字指纹，通过哈希值可以唯一的确定一个相应文；因此，通过将加密后的第一区块的哈希值保存在第二区块的头部区域，可以使在物理存储结构上非连续且非顺序的第二区块与第一区块按照顺序形成一个链条，从而使多个区块构成第二存储区域。
43.在一实施例中，在获取所述目标日志文件中新生成的第一日志之后，所述方法还包括：将加密后的第一日志，同步到本地计算机所在局域网中的至少一台邻居计算机的预设存储区域中进行保存；和/或，将加密后的第一日志，同步到远端服务器上进行保存。这样，当本地的目标日志文件中新生成的第一日志和存储在第二存储区域中的加密后的第一日志，被删除后，还可以通过本地计算机所在局域网中的至少一台邻居计算机的预设存储区域中，和/或远端服务器上的加密后的第一日志，对网络安全攻击进行追本溯源、复现攻击手法，从而降低了因目标日志文件被删除而无法复现攻击手法的可能性。
44.其中，预设存储区域和第二存储区域的架构相同，是由多个区块构成的数据链表。
其中，数据链表可以应用区块链技术架构。
45.在一实施例中，在将加密后的第一日志同步到本地的第二存储区域中进行保存之后，所述方法还包括：将对第二存储区域中存储的第一日志的修改或删除操作指令，发送给远端服务器，以使所述远端服务器对所述修改或删除操作指令进行验证；接收所述远端服务器返回的验证失败信息，拒绝所述修改或删除操作指令的修改操作或删除操作。
46.通过将修改或删除的操作指令发送给远端服务器进行验证，可以增加修改或删除第二存储区域中存储的第一日志的难度，从而进一步降低因目标日志文件被删除而无法复现攻击手法的可能性。
47.此外，通过发送特定的请求，远端服务器也可以对修改修改或删除操作执行返回验证成功信息，允许修改或删除操作指令的修改操作或删除操作，一般用于在确定目标日志文件不包含网络安全攻击行为的信息时，清理冗余文件释放存储空间。
48.在一实施例中，在将加密后的第一日志同步到本地的第二存储区域中进行保存之后，所述方法还包括：从所述第二存储区域中获取加密后的第一日志，对所述第一日志进行解密；基于解密后的第一日志，确定所述计算机所受攻击的行为特征。这样，通过确定计算机所受攻击的行为特征，可以发现未知的新型网络攻击行为，了解攻击者的意图，采取针对性的对策确定海量事件的优先级。
49.实施例二
50.参看图2所示，本发明实施例提供一种计算机攻击信息存储装置，包括：日志文件监视模块201，用于对本地第一存储区域保存的目标日志文件进行监视；日志文件获取模块202，用于获取所述目标日志文件中新生成的第一日志；日志文件加密模块203，用于对获取的所述第一日志采用第一加密算法进行加密，将加密后的第一日志同步到本地的第二存储区域中进行保存。
51.本发明实施例提供一种计算机攻击信息存储装置，通过日志文件加密模块203将第一存储区域保存的目标日志文件的第一日志进行加密，增加了目标日志文件的识别难度，通过将加密后的第一日志同步到第二存储区域中进行保存，使第二存储区域具有旁路监控的功能，增加了将所有的目标日志文件破坏的难度，从而降低了因目标日志文件被删除而无法复现攻击手法的可能性。
52.在一实施例中，所述日志文件加密模块203，具体用于将加密后的第一日志同步到本地的第二存储区域中的第一区块中进行保存；其中，所述第一区块为数据链表中的一区块。
53.第二存储区域是由多个区块构成的数据链表。其中，数据链表可以应用区块链技术架构。因为区块链具有不可删除、不可修改内容、只能进行更新操作的特点，所以本质为应用区块链架构的数据链表的第二存储区域也可以具有不可删除、不可修改内容、只能进行更新操作的特点，从而降低了因目标日志文件被删除而无法复现攻击手法的可能性。
54.在一实施例中，所述日志文件加密模块203，具体还用于：判断所述第一区块中存储的数据量是否大于预设阈值；若所述第一区块中存储的数据量大于预设阈值，则将所述第一区块采用第二加密算法进行加密，并在所述第二存储区域的所述数据链表中建立第二区块，将所述第一区块采用第二加密算法加密后形成的哈希值保存在所述第二区块的头部区域中；获取所述目标日志文件中新生成的第二日志；对获取的所述第二日志采用所述第
一加密算法进行加密，将加密后的第二日志同步到所述第二区块中进行保存。
55.组成数据链表的多个区块之间在物理存储结构上可以是非连续且非顺序的；一个哈希值可以视作相应文件的数字指纹，通过哈希值可以唯一的确定一个相应文；因此，通过将加密后的第一区块的哈希值保存在第二区块的头部区域，可以使第二区块与第一区块按照顺序形成一个链条，从而使多个区块构成第二存储区域。
56.在一实施例中，还包括日志文件同步模块，具体用于：将加密后的第一日志，同步到本地计算机所在局域网中的至少一台邻居计算机的预设存储区域中进行保存；和/或，将加密后的第一日志，同步到远端服务器上进行保存。
57.这样，当本地的目标日志文件中新生成的第一日志和存储在第二存储区域中的加密后的第一日志，被删除后，还可以通过本地计算机所在局域网中的至少一台邻居计算机的预设存储区域中，和/或远端服务器上的加密后的第一日志，对网络安全攻击进行追本溯源、复现攻击手法，从而降低了因目标日志文件被删除而无法复现攻击手法的可能性。
58.在一实施例中，还包括远端确认模块，具体用于：将对第二存储区域中存储的第一日志的修改或删除操作指令，发送给远端服务器，以使所述远端服务器对所述修改或删除操作指令进行验证；接收所述远端服务器返回的验证失败信息，拒绝所述修改或删除操作指令的修改操作或删除操作。
59.通过将修改或删除的操作指令发送给远端服务器进行验证，可以增加修改或删除第二存储区域中存储的第一日志的难度，从而进一步降低因目标日志文件被删除而无法复现攻击手法的可能性。此外，通过发送特定的请求，远端服务器也可以对修改修改或删除操作执行返回验证成功信息，允许修改或删除操作指令的修改操作或删除操作，一般用于在确定目标日志文件不包含网络安全攻击行为的信息时，清理冗余文件释放存储空间。
60.实施例三
61.参看图3所示，本发明实施例提供一种电子设备，所述电子设备包括：壳体301、处理器302、存储器303、电路板304和电源电路305，其中，所述电路板304安置在壳体301围成的空间内部，处理器302和存储器303设置在电路板304上，电源电路305，用于为上述电子设备的各个电路或器件供电；存储器303用于存储可执行程序代码；处理器302通过读取存储器303中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述第一方面中任一项所述的数据传送方法。
62.实施例四
63.本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现第一方面中任一项所述的数据传送方法。
64.本发明实施例提供一种计算机攻击信息存储方法、装置、电子设备，通过重新设计存储分区，建立一个由多个区块构成的、不可删除、不可修改内容的、本质为硬件映射的数据链表形式的存储区域，通过将目标日志文件以区块链形式存储于硬盘独立空间，可以使存储目标日志文件的独立空间成为计算机的黑匣子，可以保护计算机本地的目标日志文件，使其无法被其他人员、应用所篡改。即使操作系统崩溃，硬盘被格式化，也无法删除要保护的日志信息。由于目标日志文件以区块链形式存储于硬盘独立空间，即使硬盘丢失也不会被篡改。当发生安全事件时，目标日志文件可以起到追踪、溯源的作用
65.其中，区块链：区块链是一个信息技术领域的术语。从本质上讲，它是一个共享数据库，存储于其中的数据或信息，具有“不可伪造”“全程留痕”“可以追溯”“公开透明”“集体维护”等特征。基于这些特征，区块链技术奠定了坚实的“信任”基础。黑匣子：是电子飞行记录仪的俗称。用于记录飞机飞行和性能参数的仪器。飞行记录仪记录的信息可用于飞行事故分析，人们可根据飞机坠毁前记录的数据和话音记录，经处理后送入一种飞行模拟器，重现事故的过程，形象地分析事故的原因。应用区块链架构的存储设备，可以做到全程留痕，无论计算机本地操作进程还是网络通信，产生的数据都可以高度压缩后并以链表形式存储起来。即使操作系统崩溃、硬盘被格式化，日志也不会丢失。此外，区块链架构可以做到数据透明，即使黑客知道日志文件存储路径，也无法对日志进行删除，只能对日志文件进行追加数据。因此，无需实时的备份系统、进程等关键日志文件，可以节省网络带宽。
66.进一步的，通过重新设计存储分区，建立的存储区域可以自动映射系统中带监控的文件。
67.需要说明的是，在本文中，各个实施例之间描述的方案的侧重点不同，但是各个实施例又存在某种相互关联的关系，在理解本发明方案时，各个实施例之间可相互参照；另外，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
68.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。