CN105787370A - 一种基于蜜罐的恶意软件收集和分析方法 - Google Patents
一种基于蜜罐的恶意软件收集和分析方法 Download PDFInfo
- Publication number
- CN105787370A CN105787370A CN201610126767.8A CN201610126767A CN105787370A CN 105787370 A CN105787370 A CN 105787370A CN 201610126767 A CN201610126767 A CN 201610126767A CN 105787370 A CN105787370 A CN 105787370A
- Authority
- CN
- China
- Prior art keywords
- malware
- analysis
- honey jar
- collected
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Stored Programmes (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种基于蜜罐的恶意软件收集和分析方法,所述方法包括:步骤1:通过低交互蜜罐对收集的样本数据进行过滤噪声数据处理;步骤2:基于中央数据库对过滤噪声数据后的样本数据进行判断处理,将新的恶意样本存储在中央数据库中,将新的恶意样本传输给高交互蜜罐与虚拟机进行分析处理;步骤3:在恶意软件的执行期间通过预设分析系统来获取恶意软件的相关信息与执行逻辑,所述步骤1到步骤3均在同一平台中进行,实现了对恶意软件的收集和分析质量较高,弥补了服务仿真的局限性,降低了安全风险的技术效果。
Description
技术领域
本发明涉及计算机软件领域,具体地,涉及一种基于蜜罐的恶意软件收集和分析方法。
背景技术
网络犯罪已成为当今互联网界最具破坏性的威胁之一。最凸出的几个例子有:拒绝服务攻击、身份盗窃、间谍软件、垃圾广告。这些网络犯罪的基础设施可以归结于各种基于互联网的恶意软件。因此,能够智能的判定软件恶意行为是成功发现和防御恶意软件的先决条件。智能判定的依据通常是对现有网络环境中的攻击数据进行检验和收集,并对新型恶意样本进行细致的分析。然而,由于近年来的技术和趋势(不断便宜的处理能力、云计算、社交网络等),恶意软件带来的威胁变得更加严重。更多的恶意软件通过大量的混淆和反调试措施使软件的复杂度直线上升,从而加强了分析难度。识别未知的样本和威胁是成功抵御恶意软件的至关重要的条件。
高交互蜜罐被证明是恶意软件收集的有效组成部分,但其存以下缺点:
1、收集和分析是分离的。
恶意软件从互联网被捕捉后进入到专用的(非联网的)分析环境,在这种分析环境内执行给定的恶意软件样本然后分析它的行为。由于分析环境与实际捕获恶意样本的环境(后文称捕获环境)的差异:如捕获环境中包含恶意样本所需要的内存信息以及文件信息与分析环境很难保持一致,这种差异称作语境差异。由于语境差异造成的上下文分离将导致分析环境无法重现恶意软件的感染途径以及进一步的执行与信息窃取情况,从而导致降低分析质量。
2、服务仿真的局限性。
在服务仿真分析阶段,恶意软件将尝试建立出站连接。如果这些连接不可以正常建立,恶意软件将不能够获取所请求的资源,从而有可能导致恶意软件的下一个攻击阶段不能实现。由此而导致对恶意软件的进一步活动跟踪失败。
3、安全风险。
一旦遭到破坏,攻击者或恶意样本将可以通过蜜罐对本地网络或互联网中的中的其他系统发动攻击,这将可能引起法律风险,此外组织和商业企业可能棉铃信誉损失。例如,黑客攻破了搭建在我公司的蜜罐系统,然后利用此蜜罐系统向中国农业银行发动攻击,造成财产损失,我公司将可能承担法律责任。
综上所述,本申请发明人在实现本申请实施例中发明技术方案的过程中,发现上述技术至少存在如下技术问题:
在现有技术中,现有的恶意软件收集分析方法存在分析质量较差,服务仿真存在局限性,安全风险较高的技术问题。
发明内容
本发明提供了一种基于蜜罐的恶意软件收集和分析方法,解决了现有的恶意软件收集分析方法存在分析质量较差,服务仿真存在局限性,安全风险较高的技术问题,实现了对恶意软件的收集和分析质量较高,弥补了服务仿真的局限性,降低了安全风险的技术效果。
为解决上述技术问题,本申请实施例提供了一种基于蜜罐的恶意软件收集和分析方法,所述方法包括:
步骤1:对恶意软件进行样本数据收集,通过低交互蜜罐对收集的样本数据进行过滤噪声数据处理;其中,低交互蜜罐类似于采集器,可以为多个低交互蜜罐同时采集;其中,进行过滤噪声数据处理为对已经分析过的数据和不需要分析的数据进行识别与剔除,减小分析压力;
步骤2:基于中央数据库对过滤噪声数据后的样本数据进行判断处理,判断所述恶意软件的样本是否为已知的恶意样本,若为已知的恶意样本,则自动生成相应的分析结果;若为新的恶意样本,则一方面将新的恶意样本存储在中央数据库中,同时另一方面将新的恶意样本传输给高交互蜜罐与虚拟机进行分析处理;
步骤3:在恶意软件的执行期间通过预设分析系统来获取恶意软件的相关信息与执行逻辑,从而确定恶意软件下一步执行需要使用的服务和协议;其中,所述步骤1到步骤3均在同一平台中进行,在确定恶意软件的下一步动作之后,分析系统才能更好的虚拟化出恶意程序锁需要的环境(如服务环境,通信环境)。
进一步的,所述预设分析系统具体包括:分析恶意软件的主机系统和混合系统;所述混合系统具体为:将高交互蜜罐和虚拟机内省架构进行混合;所述通过预设分析系统来获取恶意软件的相关信息与执行逻辑,具体为:基于混合系统与分析恶意软件的主机系统间进行交互操作,来获取恶意软件的相关信息与执行逻辑,其中,内省架构即VMI,VMI架构:通过检测虚拟机外部情况来评估虚拟机内部的状态。
进一步的,所述预设分析系统的具体分析流程为:
在第一次获取新样本时,通过解码器对样本进行解码,获取其shellcode,若解析成功并且里面包含一个指向真正恶意二进制的URL,系统将此URL中的二进制下载后,等到虚拟机重置,开始下一个迭代分析。若解析失败,则直接进入下一个迭代。
进一步的,在所述预设分析系统的整个分析过程中通过挂钩系统调用监控实际产生的系统调用,从中找出需要的动作。
进一步的,在通过预设分析系统对恶意软件进行分析时,在预设条件下暂停恶意软件的进一步执行,并利用暂停时间对恶意软件的操作指令和数据进行分析,预测恶意软件的下一步行为,在预测完成后能够恢复恶意软件的执行。
进一步的,通过预设分析系统对恶意软件进行暂停恢复处理具体为:在对恶意软件的通信密钥进行拦截之后暂停恶意软件执行,期间通过解密加密通道提取恶意软件的请求条件,并进行相应的处理来保证恶意软件和外部网络的所有交互都被识别。
进一步的,本方法在处理恶意软件时,自动识别恶意软件的通信指令用以生成服务仿真脚本,并将脚本功能自动加入到学习系统中。
进一步的,暂停恶意软件运行时提取关键信息,并在恶意软件运行时将提取到的关键信息插入到虚拟机内存,对制远程命令和控制服务器通道进行间接控制。
进一步的,本方法是基于二进制代码级别进行处理的。
本申请实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
由于采用了将基于蜜罐的恶意软件收集和分析方法设计为包括:步骤1:对恶意软件进行样本数据收集,通过低交互蜜罐对收集的样本数据进行过滤噪声数据处理;步骤2:基于中央数据库对过滤噪声数据后的样本数据进行判断处理,判断所述恶意软件的样本是否为已知的恶意样本,若为已知的恶意样本,则自动生成相应的分析结果;若为新的恶意样本,则一方面将新的恶意样本存储在中央数据库中,同时另一方面将新的恶意样本传输给高交互蜜罐与虚拟机进行分析处理;步骤3:在恶意软件的执行期间通过预设分析系统来获取恶意软件的相关信息与执行逻辑,从而确定恶意软件下一步执行需要使用的服务和协议;其中,所述步骤1到步骤3均在同一平台中进行,即将恶意软件的收集和分析集中在一个平台上,即对恶意软件的收集和分析是在同一平台上没有分离,分析环境与捕获环境相同,保障了分析质量,实现了对恶意软件的收集和分析质量较高的技术效果。
进一步的,本方法采用透明的暂停/恢复技术手段,在适当的情况下来暂停恶意软件的进一步执行,并利用暂停时间对恶意软件的操作指令和数据进行分析,预测下一步行为,弥补了服务仿真的局限性。
进一步的,本方法在恶意软件分析过程中使用VMI架构增加分析透明度,这样使恶意软件更加难以发现其所运行于虚拟环境;同时,我们能够通过暂停恶意软件运行,提取关键信息并在运行时插入到虚拟机内存从而以中间人的方式控制C&C通道;此外该方法能够控制恶意软件和第三方系统之间可能出现法律问题的任何交互,降低了安全风险。
附图说明
此处所说明的附图用来提供对本发明实施例的进一步理解,构成本申请的一部分,并不构成对本发明实施例的限定;
图1是本申请实施例一中基于蜜罐的恶意软件收集和分析方法的流程示意图;
图2是本申请实施例一中基于蜜罐的恶意软件分析流程示意图;
图3是本申请实施例一中恶意软件和第三方系统之间的交互控制示意图。
具体实施方式
本发明提供了一种基于蜜罐的恶意软件收集和分析方法,解决了现有的恶意软件收集分析方法存在分析质量较差,服务仿真存在局限性,安全风险较高的技术问题,实现了对恶意软件的收集和分析质量较高,弥补了服务仿真的局限性,降低了安全风险的技术效果。
为了更好的理解上述技术方案,下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。
下面结合具体实施例及附图,对本发明作进一步地的详细说明,但本发明的实施方式不限于此。
实施例一:
请参考图1,图1为本方法的流程示意图,收集:
通过低交互蜜罐过滤噪声数据,并且将新样本存放于中央数据库,通过比对中央数据库过滤已知的恶意软件,从而尽量减少高交互蜜罐的负载。
分析:
在恶意软件的执行期间通过分析系统来获取恶意软件相关的信息与执行逻辑。从而确定恶意软件下一步执行需要使用的服务和协议。因此本专利提出的方法是二进制级别的,基于混合高交互蜜罐和虚拟机内省架构(即VMI,VMI架构:通过检测虚拟机外部情况来评估虚拟机内部的状态)与分析恶意软件的主机系统直接进行交互操作。该系统能够将恶意软件的收集和分析集中在一个平台上从而保存其上下文(如内存,存储器,寄存器状态等)。由于VMI框架基于虚拟机,我们可以以此作为蜜罐。由于虚拟机中无任何其他组件,因此这种架构更安全,同时也能获取更好的性能。
分析流程如图2所示:
在第一次获取新样本时,我们假设其只是一个载体或者下载者,而不是最终的二进制样本。通过解码器对其进行解码,获取其shellcode。如果解析成功并且里面包含一个指向真正恶意二进制的URL。系统将此URL中的二进制下载后,等到虚拟机重置,开始下一个迭代分析。在整个分析过程中,通过挂钩系统调用以监控实际产生的系统调用,从中找出有用的动作有,即哪些需要交互的(如:启动出站访问)。
弥补仿真局限:本方法使用透明的暂停/恢复技术手段,在适当的情况下来暂停恶意软件的进一步执行,并利用暂停时间对恶意软件的操作指令和数据进行分析,预测下一步行为。例如:我们可以在对恶意软件的通信密钥进行拦截之后暂停恶意软件执行,期间通过解密加密通道从而提取恶意软件的请求条件(如下载请求,C&C传输[命令与控制]),并通过相应的服务处理程序,或以一个sinkholing服务来进行相应的处理(sinkholing:通过逆向工程的方式解析C&C服务器列表生成,从而控制C&C通道)来保证恶意软件和外部网络的所有交互都被识别。为了处理未知的传输协议,本专利通过处理大量的恶意软件,并且自动识别其C&C通信指令用以生成服务仿真脚本,并将功能自动的加入到学习系统。一体化收集、分析、学习可以使整个系统能够处理更多的未知恶意软件。
降低安全风险:
本方法在恶意软件分析过程中使用VMI架构增加分析透明度,这样使恶意软件更加难以发现其所运行于虚拟环境。同时,我们能够通过暂停恶意软件运行,提取关键信息并在运行时插入到虚拟机内存从而以中间人的方式控制C&C通道。此外该方法能够控制恶意软件和第三方系统之间可能出现法律问题的任何交互。例如:我们可以分析和过滤传出的所有请求:如果请求是已知的并且是良性的:如下载一个正常的文件,系统将予以放行。如果是恶意的或者是未知的,我们将其重定向到一个sinkholing服务。这种方法直接在二进制级别控制恶意程序的下一步动作,从而提高安全性,降低安全风险,如图3所示。
上述本申请实施例中的技术方案,至少具有如下的技术效果或优点:
由于采用了将基于蜜罐的恶意软件收集和分析方法设计为包括:步骤1:对恶意软件进行样本数据收集,通过低交互蜜罐对收集的样本数据进行过滤噪声数据处理;步骤2:基于中央数据库对过滤噪声数据后的样本数据进行判断处理,判断所述恶意软件的样本是否为已知的恶意样本,若为已知的恶意样本,则自动生成相应的分析结果;若为新的恶意样本,则一方面将新的恶意样本存储在中央数据库中,同时另一方面将新的恶意样本传输给高交互蜜罐与虚拟机进行分析处理;步骤3:在恶意软件的执行期间通过预设分析系统来获取恶意软件的相关信息与执行逻辑,从而确定恶意软件下一步执行需要使用的服务和协议;其中,所述步骤1到步骤3均在同一平台中进行,即将恶意软件的收集和分析集中在一个平台上,即对恶意软件的收集和分析是在同一平台上没有分离,分析环境与捕获环境相同,保障了分析质量,实现了对恶意软件的收集和分析质量较高的技术效果。
进一步的,本方法采用透明的暂停/恢复技术手段,在适当的情况下来暂停恶意软件的进一步执行,并利用暂停时间对恶意软件的操作指令和数据进行分析,预测下一步行为,弥补了服务仿真的局限性。
进一步的,本方法在恶意软件分析过程中使用VMI架构增加分析透明度,这样使恶意软件更加难以发现其所运行于虚拟环境;同时,我们能够通过暂停恶意软件运行,提取关键信息并在运行时插入到虚拟机内存从而以中间人的方式控制C&C通道;此外该方法能够控制恶意软件和第三方系统之间可能出现法律问题的任何交互,降低了安全风险。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (9)
1.一种基于蜜罐的恶意软件收集和分析方法,其特征在于,所述方法包括:
步骤1:对恶意软件进行样本数据收集,通过低交互蜜罐对收集的样本数据进行过滤噪声数据处理;
步骤2:基于中央数据库对过滤噪声数据后的样本数据进行判断处理,判断所述恶意软件的样本是否为已知的恶意样本,若为已知的恶意样本,则自动生成相应的分析结果;若为新的恶意样本,则一方面将新的恶意样本存储在中央数据库中,同时另一方面将新的恶意样本传输给高交互蜜罐与虚拟机进行分析处理;
步骤3:在恶意软件的执行期间通过预设分析系统来获取恶意软件的相关信息与执行逻辑,从而确定恶意软件下一步执行需要使用的服务和协议;在确定恶意软件的下一步动作之后,虚拟出恶意软件所需要的环境,其中,所述步骤1到步骤3均在同一平台中进行。
2.根据权利要求1所述的基于蜜罐的恶意软件收集和分析方法,其特征在于,所述预设分析系统具体包括:分析恶意软件的主机系统和混合系统;所述混合系统具体为:将高交互蜜罐和虚拟机内省架构进行混合;所述通过预设分析系统来获取恶意软件的相关信息与执行逻辑,具体为:基于混合系统与分析恶意软件的主机系统间进行交互操作,来获取恶意软件的相关信息与执行逻辑。
3.根据权利要求2所述的基于蜜罐的恶意软件收集和分析方法,其特征在于,所述预设分析系统的具体分析流程为:
在第一次获取新样本时,通过解码器对样本进行解码,获取其shellcode,若解析成功并且里面包含一个指向真正恶意二进制的URL,系统将此URL中的二进制下载后,等到虚拟机重置,开始下一个迭代分析;若解析失败,则直接进入下一个迭代。
4.根据权利要求3所述的基于蜜罐的恶意软件收集和分析方法,其特征在于,在所述预设分析系统的整个分析过程中通过挂钩系统调用监控实际产生的系统调用,从中找出需要的动作。
5.根据权利要求2所述的基于蜜罐的恶意软件收集和分析方法,其特征在于,在通过预设分析系统对恶意软件进行分析时,在预设条件下暂停恶意软件的进一步执行,并利用暂停时间对恶意软件的操作指令和数据进行分析,预测恶意软件的下一步行为,在预测完成后能够恢复恶意软件的执行。
6.根据权利要求5所述的基于蜜罐的恶意软件收集和分析方法,其特征在于,通过预设分析系统对恶意软件进行暂停恢复处理具体为:在对恶意软件的通信密钥进行拦截之后暂停恶意软件执行,期间通过解密加密通道提取恶意软件的请求条件,并进行相应的处理来保证恶意软件和外部网络的所有交互都被识别。
7.根据权利要求2所述的基于蜜罐的恶意软件收集和分析方法,其特征在于,本方法在处理恶意软件时,自动识别恶意软件的通信指令用以生成服务仿真脚本,并将脚本功能自动加入到学习系统中。
8.根据权利要求5所述的基于蜜罐的恶意软件收集和分析方法,其特征在于,暂停恶意软件运行时提取关键信息,并在恶意软件运行时将提取到的关键信息插入到虚拟机内存,对制远程命令和控制服务器通道进行间接控制。
9.根据权利要求2所述的基于蜜罐的恶意软件收集和分析方法,其特征在于,本方法是基于二进制代码级别进行处理的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610126767.8A CN105787370B (zh) | 2016-03-07 | 2016-03-07 | 一种基于蜜罐的恶意软件收集和分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610126767.8A CN105787370B (zh) | 2016-03-07 | 2016-03-07 | 一种基于蜜罐的恶意软件收集和分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105787370A true CN105787370A (zh) | 2016-07-20 |
| CN105787370B CN105787370B (zh) | 2018-08-10 |
Family
ID=56388152
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610126767.8A Active CN105787370B (zh) | 2016-03-07 | 2016-03-07 | 一种基于蜜罐的恶意软件收集和分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105787370B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106228068A (zh) * | 2016-07-21 | 2016-12-14 | 江西师范大学 | 基于混合特征的Android恶意代码检测方法 |
| CN106911662A (zh) * | 2016-10-12 | 2017-06-30 | 深圳市安之天信息技术有限公司 | 一种恶意样本养殖高交互转化低交互的系统及方法 |
| CN107689953A (zh) * | 2017-08-18 | 2018-02-13 | 中国科学院信息工程研究所 | 一种面向多租户云计算的容器安全监控方法及系统 |
| CN107819731A (zh) * | 2016-09-13 | 2018-03-20 | 北京长亭科技有限公司 | 一种网络安全防护系统及相关方法 |
| CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
| CN109257389A (zh) * | 2018-11-23 | 2019-01-22 | 北京金山云网络技术有限公司 | 一种攻击处理方法、装置及电子设备 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN109766691A (zh) * | 2018-12-20 | 2019-05-17 | 广东电网有限责任公司 | 一种勒索病毒监控方法及装置 |
| CN109995705A (zh) * | 2017-12-29 | 2019-07-09 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的攻击链检测方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567887A (zh) * | 2008-12-25 | 2009-10-28 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
| JP2013009185A (ja) * | 2011-06-24 | 2013-01-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム |
| CN104021344A (zh) * | 2014-05-14 | 2014-09-03 | 南京大学 | 一种用于收集和截获计算机内存行为的蜜罐机制及其方法 |
-
2016
- 2016-03-07 CN CN201610126767.8A patent/CN105787370B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567887A (zh) * | 2008-12-25 | 2009-10-28 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
| JP2013009185A (ja) * | 2011-06-24 | 2013-01-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム |
| CN104021344A (zh) * | 2014-05-14 | 2014-09-03 | 南京大学 | 一种用于收集和截获计算机内存行为的蜜罐机制及其方法 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106228068A (zh) * | 2016-07-21 | 2016-12-14 | 江西师范大学 | 基于混合特征的Android恶意代码检测方法 |
| CN107819731B (zh) * | 2016-09-13 | 2021-02-12 | 北京长亭未来科技有限公司 | 一种网络安全防护系统及相关方法 |
| CN107819731A (zh) * | 2016-09-13 | 2018-03-20 | 北京长亭科技有限公司 | 一种网络安全防护系统及相关方法 |
| CN106911662A (zh) * | 2016-10-12 | 2017-06-30 | 深圳市安之天信息技术有限公司 | 一种恶意样本养殖高交互转化低交互的系统及方法 |
| CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
| CN107689953B (zh) * | 2017-08-18 | 2020-10-27 | 中国科学院信息工程研究所 | 一种面向多租户云计算的容器安全监控方法及系统 |
| CN107689953A (zh) * | 2017-08-18 | 2018-02-13 | 中国科学院信息工程研究所 | 一种面向多租户云计算的容器安全监控方法及系统 |
| CN109995705A (zh) * | 2017-12-29 | 2019-07-09 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的攻击链检测方法及装置 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN109361670B (zh) * | 2018-10-21 | 2021-05-28 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN109257389A (zh) * | 2018-11-23 | 2019-01-22 | 北京金山云网络技术有限公司 | 一种攻击处理方法、装置及电子设备 |
| CN109257389B (zh) * | 2018-11-23 | 2021-09-17 | 北京金山云网络技术有限公司 | 一种攻击处理方法、装置及电子设备 |
| CN109766691A (zh) * | 2018-12-20 | 2019-05-17 | 广东电网有限责任公司 | 一种勒索病毒监控方法及装置 |
| CN109766691B (zh) * | 2018-12-20 | 2023-08-22 | 广东电网有限责任公司 | 一种勒索病毒监控方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105787370B (zh) | 2018-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105787370A (zh) | 一种基于蜜罐的恶意软件收集和分析方法 | |
| US11783035B2 (en) | Multi-representational learning models for static analysis of source code | |
| US20230030659A1 (en) | System and method for detecting lateral movement and data exfiltration | |
| US11615184B2 (en) | Building multi-representational learning models for static analysis of source code | |
| US20160065601A1 (en) | System And Method For Detecting Lateral Movement And Data Exfiltration | |
| KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
| CN111181926B (zh) | 一种基于拟态防御思想的安全设备及其运行方法 | |
| Zaman et al. | Malware detection in Android by network traffic analysis | |
| CN111651754B (zh) | 入侵的检测方法和装置、存储介质、电子装置 | |
| EP3783857A1 (en) | System and method for detecting lateral movement and data exfiltration | |
| US11552983B2 (en) | Threat mitigation system and method | |
| CN104202206A (zh) | 报文处理装置及方法 | |
| CN118316736B (zh) | 一种基于大模型的网络威胁主动防御系统及方法 | |
| CN108737332B (zh) | 一种基于机器学习的中间人攻击预测方法 | |
| Kumar et al. | Understanding the behaviour of android sms malware attacks with real smartphones dataset | |
| US12061696B2 (en) | Sample traffic based self-learning malware detection | |
| CN116668051A (zh) | 攻击行为的告警信息处理方法、装置、程序、电子及介质 | |
| CN106599684A (zh) | 一种无实体文件恶意代码的检测方法及系统 | |
| US12107831B2 (en) | Automated fuzzy hash based signature collecting system for malware detection | |
| CN117834216B (zh) | 一种基于解决通信白名单智能化处理方法和系统 | |
| Jiang et al. | A model of intrusion prevention base on immune | |
| Narayan | Automatic Detection of Bots–Comparative Review | |
| Dias | Automated Identification of Attacking Tools in a Honeypot | |
| CN110661838A (zh) | 一种大数据网络防护系统 | |
| CN110661757A (zh) | 一种网络安全大数据服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 610000 Chengdu, Wuhou District, Sichuan, Wuhou New Town Management Committee, Golden Road No. 218, 1, 7 floor, 6 Applicant after: Sichuan Control Technology Co., Ltd. Address before: 610000 Chengdu, Wuhou District, Sichuan, Wuhou New Town Management Committee, Golden Road No. 218, 1, 7 floor, 6 Applicant before: CHENGDU YUBEN TECHNOLOGYCO., LTD. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |