(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111487935.3 (22)申请日 2021.12.07 (71)申请人 北京安天网络安全技 术有限公司 地址 100195 北京市海淀区玉泉山闵庄路3 号清华科技园玉泉慧谷1号楼 (72)发明人 宋丹成　孙晋超　 (74)专利代理 机构 北京科衡知识产权代理有限 公司 11928 代理人 王淑静 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/1097(2022.01) G06F 21/62(2013.01) G06F 21/60(2013.01) (54)发明名称 一种计算机攻击信息存储方法、 装置、 电子 设备 (57)摘要 本发明实施例公开一种计算机攻击信息存 储方法、 装置、 电子设备， 涉及网络安全技术领 域。 为解决因目标日志文件被删除而无法复现攻 击手法而发明。 所述计算机攻击信息存储方法， 包括： 对本地第一存储区域保存的目标日志文件 进行监视； 获取所述目标日志文件中新生成的第 一日志； 对获取的所述第一日志采用第一加密算 法进行加密， 将加密后的第一日志同步到本地的 第二存储区域中进行保存。 适用于存储计算机攻 击信息的应用场景。 权利要求书2页 说明书7页 附图1页 CN 114221798 A 2022.03.22 CN 114221798 A 1.一种计算机攻击信 息存储方法， 其特征在于， 包括： 对本地第 一存储区域保存的目标 日志文件进行监视； 获取所述目标日志文件中新 生成的第一日志； 对获取的所述第 一日志采用第 一加密算法进行加密， 将加密后的第 一日志同步到本地 的第二存 储区域中进行保存。 2.根据权利要求1所述的计算机攻击信 息存储方法， 其特征在于， 所述将加密后的第 一 日志同步到 本地的第二存 储区域中进行保存， 包括： 将加密后的第一日志同步到本地的第二存储区域中的第一区块中进行保存； 其中， 所 述第一区块 为数据链 表中的一区块。 3.根据权利要求2所述的计算机攻击信 息存储方法， 其特征在于， 在将加密后的第 一日 志同步到 本地的第二存 储区域中的第一区块中进行保存之后， 所述方法还 包括： 判断所述第一区块中存 储的数据量是否大于预设阈值； 若所述第一区块中存储的数据量大于预设阈值， 则将所述第 一区块采用第 二加密算法 进行加密， 并在所述第二存储区域的所述数据链表中建立第二区块， 将所述第一区块采用 第二加密算法加密后形成的哈希值保存在所述第二区块的头 部区域中； 获取所述目标日志文件中新 生成的第二日志； 对获取的所述第 二日志采用所述第 一加密算法进行加密， 将加密后的第 二日志同步到 所述第二区块中进行保存。 4.根据权利要求1所述的计算机攻击信 息存储方法， 其特征在于， 在获取所述目标日志 文件中新 生成的第一日志之后， 所述方法还 包括： 将加密后的第 一日志， 同步到本地计算机所在局域网中的至少一台邻居计算机的预设 存储区域中进行保存； 和/或， 将加密后的第一日志， 同步到远端服 务器上进行保存。 5.根据权利要求1所述的计算机攻击信 息存储方法， 其特征在于， 在将加密后的第 一日 志同步到 本地的第二存 储区域中进行保存之后， 所述方法还 包括： 将对第二存储区域中存储的第一日志 的修改或删除操作指令， 发送给远端服务器， 以 使所述远端服 务器对所述 修改或删除操作指令进行验证； 接收所述远端服务器返回的验证失败信 息， 拒绝所述修改或删除操作指令的修改操作 或删除操作。 6.一种计算机攻击信息存 储装置， 其特 征在于， 包括： 日志文件监视模块， 用于对本地第一存 储区域保存的目标日志文件进行监视； 日志文件获取模块， 用于获取 所述目标日志文件中新 生成的第一日志； 日志文件加密模块， 用于对获取的所述第一日志采用第一加密算法进行加密， 将加密 后的第一日志同步到 本地的第二存 储区域中进行保存。 7.根据权利要求6所述的计算机攻击信 息存储装置， 其特征在于， 所述日志文件加密模 块， 具体用于将加密后的第一日志同步到本地的第二存储区域中的第一区块中进行保存； 其中， 所述第一区块 为数据链 表中的一区块。 8.根据权利要求7所述的计算机攻击信 息存储装置， 其特征在于， 所述日志文件加密模 块， 具体还用于：权　利　要　求　书 1/2 页 2 CN 114221798 A 2判断所述第一区块中存 储的数据量是否大于预设阈值； 若所述第一区块中存储的数据量大于预设阈值， 则将所述第 一区块采用第 二加密算法 进行加密， 并在所述第二存储区域的所述数据链表中建立第二区块， 将所述第一区块采用 第二加密算法加密后形成的哈希值保存在所述第二区块的头 部区域中； 获取所述目标日志文件中新 生成的第二日志； 对获取的所述第 二日志采用所述第 一加密算法进行加密， 将加密后的第 二日志同步到 所述第二区块中进行保存。 9.根据权利要求1所述的计算机攻击信 息存储装置， 其特征在于， 还包括日志文件同步 模块， 具体用于： 将加密后的第 一日志， 同步到本地计算机所在局域网中的至少一台邻居计算机的预设 存储区域中进行保存； 和/或， 将加密后的第一日志， 同步到远端服 务器上进行保存。 10.根据权利要求1所述的计算机供给信息存储装置， 其特征在于， 还包括远端确认模 块， 具体用于： 将对第二存储区域中存储的第一日志 的修改或删除操作指令， 发送给远端服务器， 以 使所述远端服 务器对所述 修改或删除操作指令进行验证； 接收所述远端服务器返回的验证失败信 息， 拒绝所述修改或删除操作指令的修改操作 或删除操作。 11.一种电子设备， 其特征在于， 所述电子设备包括： 壳体、 处理器、 存储器、 电路板和电 源电路， 其中， 所述电路板安置在壳体 围成的空间内部， 处理器和存储器设置在电路板上， 电源电路， 用于为上述电子 设备的各个电路或器件 供电； 存储器用于存储可执行程序 代码； 处理器通过读取存储器中存储的可执行程序 代码来运行与可执行程序 代码对应的程序， 用 于执行前述权利要求1 ‑5中任一项所述的数据传送方法。 12.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有一个或者 多个程序， 所述一个或者多个程序可被一个或者多个处理器执行， 以实现权利要求 1‑5中任 一项所述的数据传送方法。权　利　要　求　书 2/2 页 3 CN 114221798 A 3