CN108446557B - 基于防御蜜罐的安全威胁主动感知方法 - Google Patents

基于防御蜜罐的安全威胁主动感知方法 Download PDF

Info

Publication number
CN108446557B
CN108446557B CN201810199011.5A CN201810199011A CN108446557B CN 108446557 B CN108446557 B CN 108446557B CN 201810199011 A CN201810199011 A CN 201810199011A CN 108446557 B CN108446557 B CN 108446557B
Authority
CN
China
Prior art keywords
instruction
function
honeypot
system function
address space
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810199011.5A
Other languages
English (en)
Other versions
CN108446557A (zh
Inventor
侯君
孙哲
李千目
芮伟
尤丽荣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Zhongtian Internet Technology Co.,Ltd.
Original Assignee
Jiangsu Zhongtian Technology Software Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Zhongtian Technology Software Technology Co ltd filed Critical Jiangsu Zhongtian Technology Software Technology Co ltd
Priority to CN201810199011.5A priority Critical patent/CN108446557B/zh
Publication of CN108446557A publication Critical patent/CN108446557A/zh
Application granted granted Critical
Publication of CN108446557B publication Critical patent/CN108446557B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Agricultural Chemicals And Associated Chemicals (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种基于防御蜜罐的安全威胁主动感知方法,其基于对Hook技术的理解,通过分析系统函数的执行Trace来判定防御蜜罐是否截获测试函数,首先通过向不可信进程注入并执行待检测系统函数来获取函数的指令执行记录(Trace),进一步根据防御蜜罐截获系统函数Trace的特点,设计了地址空间有限状态自动机,并在自动机内分析获取的Trace来判别防御蜜罐截获的系统函数,最后,遍历测试函数集来识别目标防御蜜罐的威胁感知。本发明能识别目标防御蜜罐的威胁感知,与已有的威胁感知识别方法相比,本发明具有相同的防御蜜罐威胁感知识别能力,同时,更为自动化,效率更高。

Description

基于防御蜜罐的安全威胁主动感知方法
技术领域
本发明涉及一种安全威胁主动感知方法,特别是一种基于防御蜜罐的安全威胁主动感知方法。
背景技术
随着计算机技术的迅猛发展,主动防御技术已经逐渐取代被动防御技术,成为现今计算机安全的主要研究方向。虽然防火墙和入侵检测技术的应用仍然非常普遍,但是面对着攻击手段的日趋多样化和网络安全要求的不断提高,检测已经发生的入侵(被动检测)已经不能满足计算机安全的要求,现代安全更多强调的是主动防御,提前防御。
因此,主动防御技术将会越来越受到人们的关注,主动防御技术试图牵制和转移攻击行为,对攻击方法进行技术分析和取证,对攻击者进行监视和跟踪,并且有可能获得未知的攻击技术资料。蜜罐技术就是一种非常典型的主动防御技术,它可以诱骗入侵者进行攻击,从而监视和跟踪入侵者的行为并已日志形式记录,然后借助一定的工具进行分析,掌握学习入侵者的工具、策略和方法,从而相应地提高计算机安全。因此需要设计一种基于蜜罐技术的主动防御技术。
发明内容
本发明所要解决的技术问题是提供一种基于防御蜜罐的安全威胁主动感知方法。
为解决上述技术问题,本发明所采用的技术方案是:
一种基于防御蜜罐的安全威胁主动感知方法,其特征在于包含以下步骤:
步骤一:函数注入地址选择,选择不可信进程的NOP、HLT指令填充内存区域;
步骤二:向不可信进程注入并执行待检测系统函数;
步骤三:获取函数的指令执行记录;
步骤四:建立描述不可信进程调用系统函数的指令地址转换的有限状态自动机模型;
步骤五:识别防御蜜罐截获行为;
步骤六:根据自动机内状态转换指令的位置来识别防御蜜罐截获的系统函数;
步骤七:遍历测试函数集;
步骤八:识别目标防御蜜罐的威胁感知。
进一步地,所述步骤二具体过程为向不可信进程注入并执行待检测系统函数;系统函数s:s是用于测试的系统函数,包括函数参数信息params和所需内存大小length两个属性;
Figure BDA0001593911340000021
在不存在单个ms大于注入函数长度的情况下,为了保证注入的函数不破坏进程的内存布局,使用公式(1)选择多个ms注入系统函数;其中,式1用于限制选择的ms至少可以容纳一个直接跳转指令DJMP和任一指令;式2用于保证选择尽可能少的ms用于注入系统函数。
进一步地,所述步骤三具体为记访问系统函数A的Trace为T(A);其中,T(A)={i1,i2,...ik...,im-1,im}是执行的指令集合,ik=<no,op,saddr,taddr>是Trace中第k个指令的信息,包括指令操作码op、所在地址saddr、指令的执行顺序no以及下一条执行指令的地址taddr。
进一步地,所述步骤四具体为地址空间有限状态自动机M=<Q,q0,ξ,q0,δ>,Q是地址空间状态集合,包括q0,q2,q1三个元素,其中,q0状态表示指令位于PC,q1状态表示指令位于OS,q2状态表示指令位于SC;ξ是M的输入表,由于M的状态转换是由执行指令实现的,因此,ξ包括所在系统提供的所有指令,并且根据威胁感知分析的需要,将指令分为九类,并提供其地址空间转换语义;δ是M的状态转换函数,且
Figure BDA0001593911340000033
进一步地,所述步骤五具体为不可信进程调用系统函数时,Trace地址空间转换情况包含a、b、c、d、e五种情况,其中a表示函数未被防御蜜罐截获,Trace中的指令只属于程序地址空间和系统地址空间;b、c表示防御蜜罐在系统地址空间实现系统函数的截获的地址空间转换情况;d、e表示防御蜜罐在不可信进程地址空间实现截获的地址空间转换情况;五种不同情况中q2是防御蜜罐截获系统函数的标志,通过判断Trace中是否包含q2以识别是否存在截获行为。
进一步地,所述步骤六具体为防御蜜罐截获不可信进程访问系统函数会使不可信进程的控制流转移到防御蜜罐地址空间,即
Figure BDA0001593911340000031
Figure BDA0001593911340000032
分析Trace中是否包含d类、h类指令判断是否存在防御蜜罐截获行为;
采用指令地址关系来识别防御蜜罐截获的系统函数,任一正常执行的函数调用在指令层面表现为存在调用指令c和相应的返回指令r,且两者满足c.saddr=r.taddr,两者之间执行的指令都为该函数对应的指令,通过d类、h类指令所在的<c,r>范围来识别防御蜜罐截获的系统函数;使用公式(2)来判断防御蜜罐截获的系统函数,使用前两个式子选择满足指令范围限制的<c,r>,进一步选择包含d、h类指令的最小<c,r>对作为识别的防御蜜罐截获的系统函数,其中,用m代表d类、h类指令,k表示Trace中包含的<c,r>数量;
Figure BDA0001593911340000041
本发明与现有技术相比,具有以下优点和效果:
1、防御蜜罐使用多种Hook技术实现威胁感知,已有的Hook识别方法关注钩子的存在性,即判断系统中是否存在钩子,而已有的工具则只识别部分特定类型的钩子,不适合防御蜜罐威胁感知的识别,该发明则解决了该问题,能识别目标防御蜜罐的威胁感知。
2、与已有的威胁感知识别方法相比,本发明具有相同的防御蜜罐威胁感知识别能力,同时,更为自动化,效率更高。
附图说明
图1是本发明的基于防御蜜罐的安全威胁主动感知方法的流程图。
图2是本发明的ξ中元素的类型图。
图3是本发明的状态转换函数δ图。
图4是本发明的Trace地址空间转换示意图。
图5是本发明的系统函数识别的误报成因图。
图6是本发明的指令转换规则表1图。
具体实施方式
下面结合附图并通过实施例对本发明作进一步的详细说明,以下实施例是对本发明的解释而本发明并不局限于以下实施例。
如图1所示,本发明的一种基于防御蜜罐的安全威胁主动感知方法,具体步骤如下:
步骤一,函数注入地址选择,选择不可信进程的NOP、HLT等指令填充内存区域。在Windows系统中,由于程序使用NOP、HLT指令填充程序的代码段来保证指令对齐,为了不破坏不可信进程自身的功能代码,选择NOP、HLT指令填充的区域为可注入地址区域ms。
步骤二,向不可信进程注入并执行待检测系统函数。系统函数(s):s是用于测试的系统函数,包括函数参数信息params和所需内存大小length两个属性。
Figure BDA0001593911340000051
当不存在单个ms大于注入函数长度的情况下,为了保证注入的函数不破坏进程的内存布局,我们使用公式(1)选择多个ms注入系统函数。其中,式1用于限制选择的ms至少可以容纳一个直接跳转指令DJMP和任一指令;式2用于保证选择尽可能少的ms用于注入系统函数。
步骤三,获取函数的指令执行记录Trace。记访问系统函数A的Trace为T(A)。其中,T(A)={i1,i2,...ik...,im-1,im}是执行的指令集合,ik=<no,op,saddr,taddr>是Trace中第k个指令的信息,包括指令操作码op、所在地址saddr、指令的执行顺序no以及下一条执行指令的地址taddr。
步骤四,建立描述不可信进程调用系统函数的指令地址转换的有限状态自动机模型。地址空间有限状态自动机M=<Q,q0,ξ,q0,δ>,Q是地址空间状态集合,包括q0,q2,q1三个元素,其中,q0状态表示指令位于PC,q1状态表示指令位于OS,q2状态表示指令位于SC;ξ是M的输入表,由于M的状态转换是由执行指令实现的,因此,ξ包括所在系统提供的所有指令,并且根据威胁感知分析的需要,将指令分为九类,并提供其地址空间转换语义,如图2所示;δ是M的状态转换函数,且
Figure BDA0001593911340000063
如图3所示。
步骤五,识别防御蜜罐截获行为。图4是不可信进程调用系统函数时,可能的Trace地址空间转换情况的示意图,其中,(a)表示函数未被防御蜜罐截获,Trace中的指令只属于程序地址空间和系统地址空间;(b),(c)表示防御蜜罐在系统地址空间实现系统函数的截获的地址空间转换情况;(d),(e)表示防御蜜罐在不可信进程地址空间实现截获的地址空间转换情况。通过对比五种不同情况,可以发现q2是防御蜜罐截获系统函数的标志,因此,通过判断Trace中是否包含q2就可以识别是否存在截获行为。
步骤六,根据自动机内状态转换指令的位置来识别防御蜜罐截获的系统函数。防御蜜罐截获不可信进程访问系统函数会使不可信进程的控制流转移到防御蜜罐地址空间,即
Figure BDA0001593911340000061
Figure BDA0001593911340000062
分析Trace中是否包含d类、h类指令能够判断是否存在防御蜜罐截获行为,但如果仅通过d类、h类指令来判断防御蜜罐截获的系统函数,则会出现误报。以图5为例,函数A是用于测试的系统函数,函数B是函数A在实现过程中调用的系统函数,(a)是不存在截获系统函数的情况,(b)、(c)是存在截获的情况,但(b)截获的函数是A,(c)截获的函数是B。因此,通用d类、h类指令的位置来确定防御蜜罐截获的系统函数。
该方法采用指令地址关系来识别防御蜜罐截获的系统函数,任一正常执行的函数调用在指令层面表现为存在调用指令c和相应的返回指令r,且两者满足c.saddr=r.taddr,那么,两者之间执行的指令都为该函数对应的指令,因此,通过d类、h类指令所在的<c,r>范围来识别防御蜜罐截获的系统函数。使用公式2来判断防御蜜罐截获的系统函数,首先,使用前两个式子选择满足指令范围限制的<c,r>,进一步选择包含d、h类指令的最小<c,r>对作为识别的防御蜜罐截获的系统函数,其中,用m代表d类、h类指令,k表示Trace中包含的<c,r>数量。
Figure BDA0001593911340000071
步骤七,遍历测试函数集。
步骤八,识别目标防御蜜罐的威胁感知。
下面通过具体实施例来对本发明的技术方案进一步进行说明:
本发明以原型系统SIAnalyzer的设计与实现为例。SIAnalyzer包括内存监控模块、函数注入模块、Trace记录模块和威胁感知分析模块四个主要部分。内存监控模块主要监控防御蜜罐对不可信进程的内存操作,并记录该内存区域为防御蜜罐地址空间;函数注入模块监控不可信进程的执行,并从测试系统函数库中选择系统函数,根据内存监控模块记录的内存信息选择内存并注入测试的系统函数;Trace记录器负责获取不可信进程访问系统函数的Trace,并将其存储在Trace库;威胁感知分析器从Trace数据库中获取Trace,并通过分析每条Trace来识别防御蜜罐截获的系统函数。在SIAnalyzer实现过程中,处理了系统函数集构造、函数注入时机选择等几个关键问题:
测试系统函数集的构造:测试系统函数集由基础函数集和增量函数集两部分组成,其中,基础函数集包括操作系统提供的进程、文件、注册表、网络以及安全相关的系统函数;通过阅读待分析防御蜜罐的文档来手动为函数集增加测试的系统函数。
函数注入时机选择:如果函数注入并执行发生在防御蜜罐威胁感知部署之前,则无法得到有效的Trace,如果随机地在不可信进程中注入函数,则需要在每次函数注入前,分析并选择可用的内存空间。因此,从不可信进程的角度分析函数注入时机,一旦防御蜜罐允许不可信进程执行,那么说明防御蜜罐已经完成了威胁感知的初始化。标记不可信进程相应程序的入口函数,并监视该函数的执行,如果该函数被执行,就说明防御蜜罐威胁感知初始化已经结束,就可以挂起程序并注入系统函数。
内存监控:监控防御蜜罐调用的内存申请/释放函数及其参数,如memcpy、free、MapViewOfFile和UnmapViewOfFile等函数。在不可信进程被挂起后,计算不可信进程内的防御蜜罐地址空间。
Trace指令转换规则:我们将指令分为转移指令(TI)和非转移指令(NTI)两类,指令转换为中间表示的规则如图6所示的表1所示。
本说明书中所描述的以上内容仅仅是对本发明所作的举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种修改或补充或采用类似的方式替代,只要不偏离本发明说明书的内容或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。

Claims (2)

1.一种基于防御蜜罐的安全威胁主动感知方法,其特征在于包含以下步骤:
步骤一:函数注入地址选择,选择不可信进程的NOP和HLT指令填充的区域为可注入地址区域ms;
步骤二:向不可信进程注入并执行待检测系统函数;
步骤三:获取函数的指令执行记录Trace;
所述步骤三具体为记访问系统函数A的Trace为T(A);其中,T(A)={i1,i2,...ik...,im-1,im}是执行的指令集合,ik=<no,op,saddr,taddr>是Trace中第k个指令的信息,包括指令操作码op、所在地址saddr、指令的执行顺序no以及下一条执行指令的地址taddr;
步骤四:建立描述不可信进程调用系统函数的指令地址转换的有限状态自动机模型;
地址空间有限状态自动机M=<Q,q0,ξ,q0,δ>,Q是地址空间状态集合,包括q0,q2,q1三个元素,其中,q0状态表示指令位于PC,q1状态表示指令位于OS,q2状态表示指令位于SC,PC是不可信进程地址空间,OS是系统地址空间,SC是防御蜜罐地址空间;ξ是M的输入表,由于M的状态转换是由执行指令实现的,因此,ξ包括所在系统提供的所有指令,并且根据威胁感知分析的需要,通过所在地址saddr和下一条执行指令的地址taddr标记的不同地址空间将指令分为九类,并提供其地址空间转换语义;δ是M的状态转换函数,且
Figure FDA0002498184260000011
步骤五:识别防御蜜罐截获行为;
不可信进程调用系统函数时,Trace地址空间转换情况包含a、b、c、d、e五种情况,其中a表示函数未被防御蜜罐截获,Trace中的指令只属于不可信进程地址空间和系统地址空间;b、c表示防御蜜罐在系统地址空间实现系统函数的截获的地址空间转换情况;d、e表示防御蜜罐在不可信进程地址空间实现截获的地址空间转换情况;五种不同情况中q2是防御蜜罐截获系统函数的标志,通过判断Trace中是否包含q2以识别是否存在截获行为;
步骤六:根据自动机内状态转换指令的位置来识别防御蜜罐截获的系统函数;
防御蜜罐截获不可信进程访问系统函数会使不可信进程的控制流转移到防御蜜罐地址空间,即
Figure FDA0002498184260000021
Figure FDA0002498184260000022
分析Trace中是否包含d类或h类指令判断是否存在防御蜜罐截获行为;
采用指令地址关系来识别防御蜜罐截获的系统函数,任一正常执行的函数调用在指令层面表现为存在调用指令c和相应的返回指令r,且两者满足c.saddr=r.taddr,两者之间执行的指令都为该函数对应的指令,通过d类或h类指令所在的<c,r>范围来识别防御蜜罐截获的系统函数;使用公式(1)来判断防御蜜罐截获的系统函数,使用前两个式子选择满足指令范围限制的<c,r>,进一步选择包含d或h类指令的最小<c,r>对作为识别的防御蜜罐截获的系统函数,其中,用m代表d类或h类指令,k表示Trace中包含的<c,r>数量;
Figure FDA0002498184260000023
步骤七:遍历测试函数集;
步骤八:识别目标防御蜜罐的威胁感知。
2.按照权利要求1所述的一种基于防御蜜罐的安全威胁主动感知方法,其特征在于:所述步骤二具体过程为向不可信进程注入并执行待检测系统函数;系统函数s:s是用于测试的系统函数,包括函数参数信息params和所需内存大小length两个属性;
Figure FDA0002498184260000031
在不存在单个ms大于注入函数长度的情况下,为了保证注入的函数不破坏进程的内存布局,使用公式(2)选择多个ms注入系统函数;其中,式1用于限制选择的ms至少可以容纳一个直接跳转指令DJMP和任一指令;式2用于保证选择尽可能少的ms用于注入系统函数。
CN201810199011.5A 2018-03-12 2018-03-12 基于防御蜜罐的安全威胁主动感知方法 Active CN108446557B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810199011.5A CN108446557B (zh) 2018-03-12 2018-03-12 基于防御蜜罐的安全威胁主动感知方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810199011.5A CN108446557B (zh) 2018-03-12 2018-03-12 基于防御蜜罐的安全威胁主动感知方法

Publications (2)

Publication Number Publication Date
CN108446557A CN108446557A (zh) 2018-08-24
CN108446557B true CN108446557B (zh) 2020-07-14

Family

ID=63193978

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810199011.5A Active CN108446557B (zh) 2018-03-12 2018-03-12 基于防御蜜罐的安全威胁主动感知方法

Country Status (1)

Country Link
CN (1) CN108446557B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109302426B (zh) * 2018-11-30 2021-04-13 东软集团股份有限公司 未知漏洞攻击检测方法、装置、设备及存储介质
CN111027059B (zh) * 2019-11-29 2022-07-19 武汉大学 一种基于llvm的抵御内存泄露的系统及方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101174285A (zh) * 2006-11-03 2008-05-07 北京航空航天大学 嵌入系统总线防火墙
CN102054149A (zh) * 2009-11-06 2011-05-11 中国科学院研究生院 一种恶意代码行为特征提取方法
CN104079555A (zh) * 2006-02-16 2014-10-01 技术卫士安全有限责任公司 用于确定数据流的系统和方法
EP2887612A1 (en) * 2013-12-17 2015-06-24 Verisign, Inc. Systems and methods for incubating malware in a virtual organization
CN106528403A (zh) * 2016-10-08 2017-03-22 西安电子科技大学 基于二进制代码植入技术的软件运行时监控方法
CN106534195A (zh) * 2016-12-19 2017-03-22 杭州信雅达数码科技有限公司 一种基于攻击图的网络攻击者行为分析方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110214157A1 (en) * 2000-09-25 2011-09-01 Yevgeny Korsunsky Securing a network with data flow processing
US9032525B2 (en) * 2011-03-29 2015-05-12 Mcafee, Inc. System and method for below-operating system trapping of driver filter attachment

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104079555A (zh) * 2006-02-16 2014-10-01 技术卫士安全有限责任公司 用于确定数据流的系统和方法
CN101174285A (zh) * 2006-11-03 2008-05-07 北京航空航天大学 嵌入系统总线防火墙
CN102054149A (zh) * 2009-11-06 2011-05-11 中国科学院研究生院 一种恶意代码行为特征提取方法
EP2887612A1 (en) * 2013-12-17 2015-06-24 Verisign, Inc. Systems and methods for incubating malware in a virtual organization
CN106528403A (zh) * 2016-10-08 2017-03-22 西安电子科技大学 基于二进制代码植入技术的软件运行时监控方法
CN106534195A (zh) * 2016-12-19 2017-03-22 杭州信雅达数码科技有限公司 一种基于攻击图的网络攻击者行为分析方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于动态跟踪的主动防御系统的研究与实现;薛治平;《中国优秀硕士学位论文全文数据库 信息科技辑》;20080615;全文 *

Also Published As

Publication number Publication date
CN108446557A (zh) 2018-08-24

Similar Documents

Publication Publication Date Title
CN112738126B (zh) 基于威胁情报和att&amp;ck的攻击溯源方法
US8627478B2 (en) Method and apparatus for inspecting non-portable executable files
Gao et al. Hmms (hidden markov models) based on anomaly intrusion detection method
US9424426B2 (en) Detection of malicious code insertion in trusted environments
CN109558726B (zh) 一种基于动态分析的控制流劫持攻击检测方法与系统
EP3726410B1 (en) Interpretation device, interpretation method and interpretation program
WO2022126981A1 (zh) 恶意代码的识别方法、装置、计算机设备及介质
CN106709325B (zh) 一种监控程序的方法及装置
CN104361283A (zh) 防护Web攻击的方法
CN107579997A (zh) 无线网络入侵检测系统
CN113632432B (zh) 一种攻击行为的判定方法、装置及计算机存储介质
CN110381092A (zh) 一种自适应闭环解决网络威胁的防御系统及方法
CN108446557B (zh) 基于防御蜜罐的安全威胁主动感知方法
CN112380542B (zh) 基于错误场景生成的物联网固件漏洞挖掘方法及系统
CN109800577B (zh) 一种识别逃逸安全监控行为的方法及装置
Ezzati-Jivan et al. A stateful approach to generate synthetic events from kernel traces
CN108595953A (zh) 对手机应用进行风险评估的方法
US8646076B1 (en) Method and apparatus for detecting malicious shell codes using debugging events
CN113037713A (zh) 网络攻击的对抗方法、装置、设备及存储介质
CN116112211A (zh) 一种基于知识图谱的网络攻击链还原方法
CN102073818A (zh) 一种漏洞检测设备和方法
CN113779578A (zh) 移动端应用的智能混淆方法和系统
CN111104670A (zh) 一种apt攻击的识别和防护方法
CN108573148B (zh) 一种基于词法分析的混淆加密脚本识别方法
CN108509796B (zh) 一种风险性的检测方法及服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: Hou Jun

Inventor after: Sun Zhe

Inventor after: Li Qianmu

Inventor after: Rui Wei

Inventor after: You Lirong

Inventor before: Li Qianmu

Inventor before: Sun Zhe

Inventor before: Hou Jun

Inventor before: Sun Kang

Inventor before: You Lirong

GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220207

Address after: 226000 4th and 5th floors, building 10B, Zilang science and Technology City, No. 60, Chongzhou Avenue, Nantong City, Jiangsu Province

Patentee after: Jiangsu Zhongtian Internet Technology Co.,Ltd.

Address before: 226009 No.5 Zhongtian Road, Nantong Development Zone, Jiangsu Province

Patentee before: JIANGSU ZHONGTIAN TECHNOLOGY SOFTWARE TECHNOLOGY CO.,LTD.