网络靶场中基于Wazuh的自定义探针采集系统与方法与流程

本发明涉及一种网络靶场中基于wazuh的自定义探针采集系统与方法，属于网络安全。

背景技术：

1、网络靶场中对虚拟拓扑环境的数据采集能力常常使用wazuh组件来集成实现，wazuh作为比较流行的入侵检测组件，本身带有设备数据采集探针客户端，探针客户端运行在目标设备上采集数据上报到wazuh服务端，服务端进行数据分析威胁告警。

2、但wazuh作为入侵检测组件，采集能力也主要偏向入侵检测相关的数据信息，入侵检测的手段也比较有限，主要是依赖日志分析，而网络靶场中存在各种各样的仿真场景，数据采集需求也不仅仅局限于入侵检测，wazuh对这些采集需求就无法方便扩展。

3、目前网络靶场数据采集能力使用wazuh对虚拟拓扑环境进行数据采集存在以下几个问题：1、采集探针类型比较有限，主要是文件/注册表变更事件、系统和应用日志；2、wazuh需要基于其规则要求自定义规则才能采集其它个性化的日志信息，wazuh规则要求晦涩难懂，调试麻烦，扩展难度较高；3、wazuh更新规则需要重启服务端程序，会丢失期间采集数据，这对于运行中的网络靶场环境是不允许的；4、随着技术的不断发展，网络靶场的定制化采集需求也多种多样，很多采集分析需求基于日志往往不能很精准，对于其它形式的采集能力扩展，wazuh无法有效实现扩展。

技术实现思路

1、发明目的：针对上述现有技术存在的问题，本发明目的在于提供一种网络靶场中基于wazuh的自定义探针采集系统与方法，对wazuh采集组件进行增强改造，扩展其采集能力，并能避免更新规则带来的服务端重启丢失数据问题。

2、技术方案：为实现上述发明目的，本发明采用如下技术方案：

3、一种网络靶场中基于wazuh的自定义探针采集系统，包括wazuh客户端和wazuh服务端；部署在网络靶场业务端的探针采集管理模块；与wazuh客户端部署在一起的python解释器，以及基于python的活动响应脚本模块、统一执行脚本模块和采集调整脚本模块；以及与wazuh服务端部署在一起的文件服务模块；

4、所述探针采集管理模块，用于管理自定义探针脚本及采集策略，将自定义探针脚本上传至文件服务模块，通过调用wazuh服务端提供的活动响应接口发起采集策略调整；

5、所述活动响应脚本模块，用于wazuh服务端向客户端发起活动响应调用时执行，根据采集调整参数调用采集调整脚本模块；

6、所述采集调整脚本模块，用于调整采集策略；在涉及到新增自定义探针时，从文件服务模块下载对应自定义探针脚本文件并进行配置，构造通过统一执行脚本模块调用的自定义探针执行命令注入wazuh客户端的配置文件；

7、所述统一执行脚本模块，用于调用自定义探针脚本，并将自定义探针脚本的输出格式化成统一格式输出到日志。

8、作为优选，所述活动响应脚本模块，接收wazuh服务端活动响应调用接口下发的指令，并驱动执行指令中对应的脚本命令。

9、作为优选，通过构造http请求调用wazuh服务端的active-response接口，并传入需要调整采集策略的wazuh客户端标识列表；http请求主体内容中设置采集调整脚本命令和参数；活动响应脚本模块根据接收到的采集调整脚本命令调用对应的采集调整脚本模块。

10、作为优选，所述采集调整脚本模块实现功能包括：对自定义探针的调整和对wazuh原有功能的配置调整；所述对自定义探针的调整包括：新增并配置自定义探针及其执行间隔，修改自定义探针执行间隔，启用/禁用自定义探针和移除自定义探针。

11、作为优选，所述采集调整脚本模块在wazuh客户端的ossec.conf配置文件中的wodle[command]组件配置自定义探针及其执行间隔。

12、作为优选，所述统一执行脚本模块将自定义探针脚本的执行结果统一格式化为json格式，包括执行标识、原始输入参数、执行时间、执行状态、执行返回码、执行错误信息、执行消耗的时间、执行结果。

13、基于所述自定义探针采集系统的采集策略调整方法，包括如下步骤：

14、探针采集管理模块上传自定义探针脚本，封装采集调整脚本命令和参数，发起采集策略调整，调用wazuh服务端活动响应接口；

15、wazuh服务端调用客户端活动响应脚本模块，活动响应脚本模块根据采集调整参数调用对应采集调整脚本模块；

16、采集调整脚本模块根据调用参数进行采集策略调整，如果涉及到新增自定义探针调整，从文件服务模块下载对应自定义探针脚本文件并进行配置，构造由统一执行脚本模块驱动自定义探针脚本的自定义探针执行命令注入wazuh客户端配置文件；

17、采集策略调整执行完后重启wazuh客户端使采集策略生效。

18、基于所述自定义探针采集系统的数据采集方法，包括如下步骤：

19、wazuh客户端定期执行由统一执行脚本模块驱动自定义探针脚本的自定义探针命令；

20、统一执行脚本模块将自定义探针脚本的执行结果格式化成统一结果输出到结果日志文件；

21、wazuh客户端监听到结果日志文件的变化将最新日志上报到wazuh服务端；

22、wazuh服务端将日志结果解析存储到采集存储集群。

23、有益效果：本发明提供的网络靶场中基于wazuh技术改进的自定义探针采集方案，利用wazuh服务端对客户端活动响应能力包含的隐藏控制通道来控制客户端进行采集策略更新，不用额外引入新控制通道，大大增强了wazuh采集策略的动态调整能力；同时利用wazuh日志采集能力来上报自定义探针的采集结果，采集数据格式和wazuh保持一致，无需引入额外的数据解析处理流程。并且本发明引入功能强大、扩展灵活的python脚本，通过wazuh来执行python自定义探针脚本，来增强wazuh的数据采集能力。与现有技术相比，本发明具有如下优点：1、本发明通过对wazuh的采集组件进行增强改造，使得wazuh可以支持不限制的数据采集能力，用户可以根据自己的需求灵活定制；2、通过python来自定义探针脚本，可以直接针对目标数据定向采集，不需要使用wazuh复杂的规则引擎，本领域人员大多都熟悉python语言，扩展探针更加方便简单；3、通过python来自定义探针脚本，不需要使用wazuh复杂的规则引擎，直接避免了更新规则带来的服务端重启丢失数据问题。

技术特征：

1.一种网络靶场中基于wazuh的自定义探针采集系统，包括wazuh客户端和wazuh服务端，其特征在于，还包括：部署在网络靶场业务端的探针采集管理模块；与wazuh客户端部署在一起的python解释器，以及基于python的活动响应脚本模块、统一执行脚本模块和采集调整脚本模块；以及与wazuh服务端部署在一起的文件服务模块；

2.根据权利要求1所述的一种网络靶场中基于wazuh的自定义探针采集系统，其特征在于，所述活动响应脚本模块，接收wazuh服务端活动响应调用接口下发的指令，并驱动执行指令中对应的脚本命令。

3.根据权利要求1所述的一种网络靶场中基于wazuh的自定义探针采集系统，其特征在于，通过构造http请求调用wazuh服务端的active-response接口，并传入需要调整采集策略的wazuh客户端标识列表；http请求主体内容中设置采集调整脚本命令和参数；活动响应脚本模块根据接收到的采集调整脚本命令调用对应的采集调整脚本模块。

4.根据权利要求1所述的一种网络靶场中基于wazuh的自定义探针采集系统，其特征在于，所述采集调整脚本模块实现功能包括：对自定义探针的调整和对wazuh原有功能的配置调整；所述对自定义探针的调整包括：新增并配置自定义探针及其执行间隔，修改自定义探针执行间隔，启用/禁用自定义探针和移除自定义探针。

5.根据权利要求1所述的一种网络靶场中基于wazuh的自定义探针采集系统，其特征在于，所述采集调整脚本模块在wazuh客户端的ossec.conf配置文件中的wodle[command]组件配置自定义探针及其执行间隔。

6.根据权利要求1所述的一种网络靶场中基于wazuh的自定义探针采集系统，其特征在于，所述统一执行脚本模块将自定义探针脚本的执行结果统一格式化为json格式，包括执行标识、原始输入参数、执行时间、执行状态、执行返回码、执行错误信息、执行消耗的时间和执行结果。

7.基于根据权利要求1-6任一项所述的一种网络靶场中基于wazuh的自定义探针采集系统的采集策略调整方法，其特征在于，包括如下步骤：

8.基于根据权利要求1-6任一项所述的一种网络靶场中基于wazuh的自定义探针采集系统的数据采集方法，其特征在于，包括如下步骤：

技术总结
本发明公开了网络靶场中基于Wazuh的自定义探针采集系统与方法，在Wazuh客户端和服务端的基础上，改造业务端的探针采集管理模块，并增加基于python的活动响应脚本、统一执行脚本和采集调整脚本模块，以及文件服务模块。业务端上传自定义探针脚本，封装采集调整脚本命令和参数，调用服务端活动响应接口；服务端调用客户端活动响应脚本模块，根据采集调整参数调用对应采集调整脚本模块；采集调整脚本模块根据调用参数进行采集策略调整，构造由统一执行脚本模块驱动自定义探针脚本的自定义探针执行命令注入客户端配置文件，重启客户端采集策略即可生效。本发明扩展了Wazuh组件采集能力，支持网络靶场的多种业务需求。

技术研发人员：史小波,谢峥,高庆官,曲原,毛俊
受保护的技术使用者：南京赛宁信息技术有限公司
技术研发日：
技术公布日：2024/1/13