CN108768989A - 一种采用拟态技术的apt攻击防御方法、系统 - Google Patents
一种采用拟态技术的apt攻击防御方法、系统 Download PDFInfo
- Publication number
- CN108768989A CN108768989A CN201810477265.9A CN201810477265A CN108768989A CN 108768989 A CN108768989 A CN 108768989A CN 201810477265 A CN201810477265 A CN 201810477265A CN 108768989 A CN108768989 A CN 108768989A
- Authority
- CN
- China
- Prior art keywords
- mimicry
- business
- client
- file
- sensitive document
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了采用拟态技术APT攻击防御方法及系统,虚拟出不同形态的业务的拟态业务和不同类型敏感文件的拟态文件;诱导APT访问攻击,一旦拟态业务和/或拟态文件被访问时,实时获取的访问日志信息,并对分析访问日志信息进行分析,依据分析结果,发送报警信息,根据报警信息采用合适的处理措施。本发明防御方法及系统明对硬件的要求低,而且防御效率高、误伤率低、并且正常用户的各种操作,比如上网,访问内部网络系统等都正常进行,不受影响。
Description
技术领域
本发明涉及一种APT攻击防御方法,特别涉及一种采用拟态技术的APT攻击防御方法及系统。
背景技术
APT(Advanced Persistent Threat)--------高级持续性威胁。APT是黑客以窃取核心资料为目的,针对用户所发动的网络攻击和侵袭行为。利用先进的攻击手段,绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等),并更长时间地潜伏在系统中,让传统防御体系难以侦测,对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。
整个APT攻击过程包括定向情报收集、单点攻击突破、控制通道构建、内部横向渗透和数据收集上传等阶段;如图1所示:
1、定向情报收集,即攻击者有针对性的搜集特定组织的网络系统和员工信息。大多数APT攻击都是从组织员工入手,因此,攻击者非常注意搜集组织员工的微博、博客等信息,以便了解他们的社会关系及其爱好,然后通过社会工程方法来攻击该员工电脑,从而进入组织网络。
2、单点攻击突破,即攻击者收集了足够的信息后,采用恶意代码攻击组织员工的个人电脑,如通过email给员工发送包含恶意代码的文件附件,当员工打开附件时,员工电脑就感染了恶意代码;2)远程漏洞攻击方法,比如在员工经常访问的网站上放置网页木马,当员工访问该网站时,就遭受到网页代码的攻击,RSA公司去年发现的水坑攻击(Wateringhole)就是采用这种攻击方法。恶意代码往往攻击的是系统未知漏洞,现有杀毒和个人防火墙安全工具无法察觉,导致员工个人电脑感染恶意代码,从而被攻击者完全控制。
3、控制通道构建,即攻击者控制了员工个人电脑后,需要构建某种渠道和攻击者取得联系,以获得进一步攻击指令。攻击者会创建从被控个人电脑到攻击者控制服务器之间的命令控制通道,这个命令控制通道目前多采用HTTP协议构建,以便突破组织的防火墙,比较高级的命令控制通道则采用HTTPS协议构建。
4、内部横向渗透,一般来说,攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重要资产的服务器,因此,攻击者将以员工个人电脑为跳板,在系统内部进行横向渗透,以攻陷更多的电脑和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。
5、数据收集上传,即攻击者在内部横向渗透和长期潜伏过程中,有意识地搜集各服务器上的重要数据资产,进行压缩、加密和打包,然后通过某个隐蔽的数据通道将数据传回给攻击者。
现有的APT防御方式包括:
a)利用威胁情报。这包括APT操作者的最新信息从而分析恶意软件获取的威胁情报;已知的C2网站、不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题;以及恶意链接和网站。
b)建立强大的出口规则。除网络流量(必须通过代理服务器)外,阻止企业的所有出站流量,阻止所有数据共享、网站和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道,阻止未经授权的数据渗出网络。
c)收集强大的日志分析。企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。
当前业内APT防御方案对比:
1、主机文件保护类:不管攻击者通过何种渠道执行攻击文件,必须在员工的个人电脑上执行。因此,能够确保终端电脑的安全则可以有效防止APT攻击。主要思路是采用白名单方法来控制个人主机上应用程序的加载和执行情况,从而防止恶意代码在员工电脑上执行。然而现在的APT攻击大都会伪装成word文档,execl表格,pdf文档或者邮件附件等,这些应用都是日常办公常用的软件,基于主机文件保护类的防护经常会对用户的一些正常的行为造成误伤。
2、大数据分析检测APT类:该类APT攻击检测方案并不重点检测APT攻击中的某个步骤,而是通过搭建企业内部的可信文件知识库,全面收集重要终端和服务器上的文件信息,在发现APT攻击的蛛丝马迹后,通过全面分析海量数据,杜绝APT攻击的发生。这种需要海量的元数据读取和建模,对高性能的计算和存储要求非常高,一旦网络业务发杂而且经常变化,这种检测的误报率就会上升。
3、恶意代码检测类:该类APT解决方案其实就是检测APT攻击过程中的恶意代码传播步骤,因为大多数APT攻击都是采用恶意代码来攻击员工个人电脑以进入目标网络,因此,恶意代码的检测至关重要。很多做恶意代码检测的安全厂商就是从恶意代码检测入手来制定APT攻击检测和防御方案的。这种方式的缺点是对利用零日漏洞的APT攻击和入侵基本检测能力有限,业界最好的产品对未知的恶意代码的检出率平均也就是在20%左右。
4、网络入侵检测类:就是通过网络边界处的入侵检测系统来检测APT攻击的命令和控制通道。虽然APT攻击中的恶意代码变种很多,但是,恶意代码网络通信的命令和控制通信模式并不经常变化,因此,可以采用传统入侵检测方法来检测APT通信通道。但是随着SAAS业务的兴起,以及互联网和其他行业的不断交融和融合,这种方式的检测需要构建的策略也越来越复杂,而且不够灵活,也会出现误报的情况。
因此,寻找应对各类对于APT攻击的有效方法,一直以来都是行业的难题。
发明内容
本发明目的是为了克服现有技术的不足,提供一种防御效率高,误报率低,并且硬件要求不高的APT攻击防御方法。
为了达到上述目的,本发明采用以下技术方案:
一种采用拟态技术的APT攻击防御方法,其特征在于,包括:虚拟出不同形态的业务的拟态业务和/或不同类型的敏感文件的拟态文件,所述拟态业务由不同形态的业务的应的虚拟业务以及与所述虚拟业务搭配的业务端口构成,所述敏感文件为在不同类型的敏感文件的虚拟文件中植入了警告代码的文件;在所述拟态业务和/或所述拟态文件被访问时,实时获取的访问日志信息;对分析所述访问日志信息进行分析,依据分析结果,发送报警信息,根据报警信息采用合适的处理措施。
进一步地,在所述虚拟出不同形态的业务的拟态业务和敏感文件的拟态文件时,包括:提供不同业务的拟态业务和敏感文件的拟态文件,依据客户端的实际情况,确定客户端是否要进行拟态,以及要将哪些业务和/或敏感文件相应的业务拟态命令和/或敏感文件拟态命令发送至对应的客户端,客户端依据相应的拟态命令虚拟出相应的拟态业务和/或拟态文件。
进一步地,该方法包括对客户端的运行状态进行监测,当检测到客户端运行状态不正常,无法正常模拟拟态业务或拟态文件时,则对客户端进行重启,以重新虚拟出不同形态的业务的拟态业务和/或敏感文件的拟态文件。
进一步地,将实时获取的所述访问日志信息,统一存储至大数据平台上,采用大数据分析技术对存储的数据进行分析以获得分析结果。
进一步地,可以依据客户端的实际情况,手动或自动调整客户端是否要进行拟态,以及调整要将哪些业务和/或敏感文件相应的业务拟态命令和/或敏感文件拟态命令发送至对应的客户端。
进一步地,拟态业务和/或拟态文件被访问时,对实时获取的访问日志信息进行加密处理后,再发送至安全数据分析模块进行分析处理。
本发明还提供了一种采用拟态技术的APT攻击防御系统,该系统包括拟态模块、客户模块和安全数据分析模块;
拟态模块,用于虚拟出不同形态的业务的应的虚拟业务,以及虚拟出不同类型的敏感文件的拟态文件;
客户模块,用于接受拟态模块发送的虚拟业务数据包并配合拟态模块形成拟态业务和/或接受拟态模块发送拟态文件数据包,以及向拟态模块发送拟态文件和/或拟态业务的虚拟请求;
所述拟态业务由不同形态的业务的应的虚拟业务以及与所述虚拟业务搭配的业务端口构成,所述敏感文件为在不同类型的敏感文件的虚拟文件中植入了警告代码的文件;
当所述拟态业务被访问时,所示客户端模块实时获取访问日志信息,并将访问日志信息发送至安全数据分析模块和/或当所述拟态文件被访问时,所述警告代码实时获取访问日志信息,并将访问日志信息发送至安全数据分析平台;
安全数据分析模块,用于接受所述客户端发送的访问日志信息和/或所述警告代码发送的访问日志信息,并对所述客户端发送的访问日志信息,和/或接受所述警告代码发送的访问日志信息进行分析,依据分析结果向相应的客户端发送报警信息;依据报警信息,对相应的客户端采取合适的处理措施。
进一步地,该系统还包括安全策略管理平台,所述安全策略管理平台和所述客户模块通讯连接,并依据客户端实际情况,确定客户端上是否要进行拟态,以及要将哪些业务和/或敏感文件相应的业务拟态命令和/或敏感文件拟态命令发送至对应的客户端。
进一步地,该方法包括对客户端的运行状态进行监测,当检测到客户端运行状态不正常,无法正常模拟拟态业务或拟态文件时,则对客户端进行重启,以重新虚拟出不同形态的业务的拟态业务和/或敏感文件的拟态文件。
进一步地,所述拟态模块还具有至少一组虚拟服务器,以便于用户根据实际情况快速的在其上部署和修改不同的业务和/或敏感文件。
与现有技术相比,本发明具有以下有益效果:
1.通过建立拟态的业务和文件,诱使通过APT攻击潜入企业内网的黑客访问这些“陷阱”业务或者文件,可以有效的解决之前的几种APT防御方式的不足,同时达到不影响用户正常使用的情况下精准发现和定位渗入到企业内部的APT攻击行为。
2.拟态的APT防御方法不会限制客户端的任何操作行为,只是客户端上根据策略来进行各种拟态,引诱渗透到客户端内网的黑客进行访问,从而发现被APT攻击渗透的客户端。
3.拟态方式的APT攻击防御方法则更简单、精准,其我们在企业内部部署了许多“陷阱”,这些陷阱伪装成正常的业务或者文件,一旦有APT的攻击渗透到客户端内网,当攻击者尝试去获取信息或者是在客户端内网进行跳转时,只要踩中了陷阱,就会被发现。
4.拟态方式的APT攻击防御方法在APT攻击在内网传播或者获取数据的时候,发现攻击者,对攻击进行阻拦,避免了基于特征库的防御方式由于特征库更新不及时或者没有发现相应的特征库之前,无法防御APT攻击的弱点。
5.由于APT攻击的内网通信架构非常灵活,并且经常是通过加密协议进行传输,或者是伪装成正常的上网流量等,同时现在企业也越来越多的使用SAAS业务,企业的进出流量也越来越多,这样对入侵检测类的防御装置的配置要求非常的高,而且经常需要调整策略,策略配置的不好就会出现正常业务被阻断的情况。而基于拟态方式的APT防御无需考虑这种情况,在APT攻击者尝试去寻找资源或者数据的时候,就会被发现,也就不存在说需要对流量进行监控,阻止黑客把数据从企业内网传送出去。
6.与DPI检测防御方式不同,DPI检测方式是对所有企业出去互联网的流量进行分析和检测,看看是否是敏感信息或是敏感数据,如果是则阻断该传输。这种方式需要对各种流量,各种协议都有强大的还原能力,还原之后还要能深入分析文档的内容。在黑客使用加密技术或者是内容分片技术的情况下,效果一般,并且效率低下。而拟态方式的APT攻击防御方法则是在APT攻击的发展阶段发现和定位攻击,无需再最后的阶段在黑客已经获取数据的情况下,对出去的流量和数据进行分析。
附图说明
图1为APT攻击阶段示意图;
图2拟态技术的APT攻击防御方法中如图;
图3为采用拟态技术的APT攻击防御的系统结构示意图;
图4为采用拟态技术的APT攻击防御的方法的工作流程图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有例子中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它例子可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
实施例一:
本实施例的总体构思是提供一种采用拟态技术的APT攻击防御方法,包括:
虚拟出不同形态的业务的拟态业务和敏感文件的拟态文件,所述拟态业务和/或所述拟态文件被访问时,实时获取的访问日志信息,分析所述访问日志信息进行分析,依据分析结果,发送报警信息,根据报警信息采用合适的处理措施。该防御方法有效的解决之前的几种APT防御方式的不足,同时达到不影响用户正常使用的情况下精准发现和定位渗入到企业内部的APT攻击行为。
具体地,本实施例采用拟态技术的APT攻击防御方法中如图2所示:
步骤S1100是虚拟不同形态的业务的拟态业务和/或不同类型敏感文件的拟态文件;
在本实施例中,不同形态的业务包括网站业务、web网站、web网站邮件系统,OA办公系统、数据库业务系统服务,中间件业务、ftp业务系统等等企业或个人具有的日常办公系统;拟态业务包括针对上述业务模拟出来的虚拟业务以及与该虚拟业务搭配的业务端口,如虚拟的web网站业务搭配web业务单口构成一个拟态web业务,虚拟的OA系统业务搭配一个OA端口构成拟态OA业务,拟态业务和真实的web业务相比,虚拟的业务并不存在真实业务内容,只有一些乱码。
以拟态web网站业务为例,当确定客户端需要拟态web网站时,客户端模块就将需要拟态web网站的请求发送给拟态模块,拟态模块就会预先配置好相应的虚拟的web网站,拟态模块会根据请求的内容进行回应,将回应的数据包发送给客户端模块,在客户端安装相应的数据包,在客户端上留下一个程序,该程序即为相应拟态web网站业务端口,客户端上拟态的web业务端口和拟态模块上预先配置的虚拟web网站两者共同构成了一个拟态web业务。
敏感文件为如PDF、WORD、EXCEL、PPT、邮件、html页面或者文件夹。敏感文件的拟态文件其中敏感文件的拟态文件是通过在虚拟出的正常的文档、文件或文件夹中植入了警告代码,警告代码可以不影响文档被打开和被访问的前提下,以静默的方式收集攻击者访问日志信息,例如访问者的IP,访问者的电脑信息等,然后向安全数据分析平台发送报警。虚拟的文档、文件、文件夹通常一些命名为财务、利润、技术人员名单、研发人员名单、供应商、技术秘密、待申报专利等等的文件,但是其中并没有真实的内容,只有一些乱码以及警告代码。
以敏感文件是财务文件的拟态文件为例,如当确定客户端需要拟态财务文件时,客户端模块就将需要拟态财务文件的请求发送给拟态模块,拟态模块就会预先配置好相应的虚拟财务文件并植入相应的警告代码,拟态模块会根据请求的内容进行回应,将回应的数据包发送给客户端模块,在客户端安装相应的数据包,形成客户端上的拟态财务文件。
步骤S1200为在所述拟态业务和/或所述拟态文件被访问时,实时获取的访问日志信息。
具体地,拟态业务被访问事件包括APT攻击的过程中,会尝试去探测企业内网的各种信息,比如扫描一下IP地址网段,尝试发现各种后台的业务程序,比如网站,OA应用,财务应用等,一旦其访问请求命中了客户端搭配拟态业务的业务端口时,客户端模块一方面会将请求转发给拟态模块,对黑客的请求进行欺骗响应,使得黑客以为在访问真实的业务系统,也就是通过客户端搭配拟态业务的业务端口和拟态模块上的相应的拟态业务的配合,实现了类似真实业务系统的交互,从而达到诱骗;另一方面,客户端模块会将黑客的请求信息都记录到访问日志信息中,并通过网络连接发送到后台的安全数据分析平台分析模块上进行下一步的数据分析和处理。
拟态文件被访问事件包括APT攻击的过程中,在渗透和数据收集上传阶段时,会在被入侵的电脑上寻找各种有用的信息,比如员工的邮件列表或者资产清单,或者是保存有服务器口令的文档等等敏感文件,只要访问到了的敏感文件的拟态文件时,通过文件名如通讯录.exl,XXXX开发计划.doc,财务清单exl等来欺骗访问者;另一方面,拟态文件中的警告代码会将黑客的请求信息都记录到访问日志信息中,并且警告代码会通过网络连接发送到后台的安全数据分析平台分析模块上进行下一步的数据分析和处理。
S1300对访问日志信息进行分析,依据分析结果,发送报警信息,根据报警信息采用合适的处理措施。
具体地,安全数据分析模块分析模块在收到客户端模块发收过来的访问日志信息后,先对访问日志信息进行格式化处理,对访问日志信息中的关键信息进行分门别类,比如将访问信息中的访问者的源IP地址都找出来,存入到安全数据分析平台分析模块的数据库中,其他的各种信息也是如此,按照不同的类型和用途储存起来。数据格式化处理并储存完毕后,就可以根据预先定义的各种规则来对数据进行筛选,根据各种行为模式的不同,预先定义好各种程度的规则,规则中包含筛选的条件和对象,以及对不同筛选结果的处理方法,并对应不同等级的报警信息。
S1400发送报警信息,安全管理员依据报警信息,采取处理措施。
发送报警信息,安全管理员依据报警信息,采取处理措施。
比如说过去8个小时内,某个源IP突然访问某个拟态业务的次数超过20次,这种属于警告的规则,会触发等级为警告的规则,同时记录下这个源IP的具体IP地址,然后通过邮件(或者短信等)的方式发送给安全管理员,安全管理员在通过依据警告等级和/或IP地址,采取关机、隔离、下毒等操作。此处安全管理员可以是真实的计算机工作者也可以是计算终端。
优选地,提供不同形态的业务的所述拟态业务和敏感文件的所述拟态文件时,还包括:提供不同业务的拟态业务和敏感文件的拟态文件,依据客户端的实际情况,确定客户端是否要进行拟态,以及要将哪些业务和/或敏感文件相应的业务拟态命令和/或敏感文件拟态命令发送至对应的客户端,客户端依据相应的拟态命令虚拟出相应的拟态业务和/或拟态文件,也就是针对客户端的情况提供不同的拟态策略。
具体地,依照客户端上运行的业务、文件确定客户端需要的拟态业务、拟态文件。如更具运行情况确定客户端需要拟态业务或拟态文件,还是两者都要。确定需要web网站业务、web邮件业务还是OA办公业务的拟态业务,确定需要财务文件、员工资料、技术秘密、研发人员名单、还是供应商名单的拟态文件。
优选地,在提供不同形态提供不同形态的业务的拟态业务和敏感文件的拟态文件时,还包括对客户端的运行状态进行监测,当检测到客户端运行状态不正常,无法正常形成拟态业务或拟态文件时,则对客户端进行重启,以重新虚拟出不同形态的业务的拟态业务和/或敏感文件的拟态文件。
具体地,检测客户端上能否形成拟态业务和/或拟态文件,所形成的拟态业务和/或拟态文件是否正常以及是否是所需的拟态业务和/拟态文件。在检测到无法形成拟态文件或业务时,还对相应的故障信息进行显示,例如:某个拟态文件或者拟态业务没有形成失败或与预定要求不符合。
优选地,在获取实时获取所述访问日志信息后,将实时获取的所述访问日志信息,统一存储至大数据模块上,采用大数据分析技术对存储的数据进行分析以获得分析结果。
优选地,可以依据客户端的实际情况,手动或自动调整客户端是否要进行拟态,以及调整要将哪些业务和/或敏感文件相应的业务拟态命令和/或敏感文件拟态命令发送至对应的客户端。
优选地,拟态业务和/或拟态文件被访问时,对实时获取的访问日志信息进行加密处理后,再发送至安全数据分析模块进行分析处理,通过加密处理可以隐藏自身的信息发送行为。
在本实施例,客户端可以是桌上型计算机、笔记本、掌上电脑、PAD、及云端服务器等计算设备,可以是单一台,也可以是相互联网的多台。安全策略管理平台、安全数据分析模块、拟态模块可以是安装在客户端上的程序,也可以是由第三方提供如服务器、云端等提供,只要能用客户端通信连接即可。
实施例二:
本实施例的总体构思是提供一种采用拟态技术的APT攻击防御系统,该系统构架如图3所示,包括:拟态模块、客户端模块和安全数据分析模块。
拟态模块,用于虚拟出不同形态的业务的应的虚拟业务,以及虚拟出不同类型的敏感文件的拟态文件;
客户模块,用于接受拟态模块发送的虚拟业务数据包并配合拟态模块形成拟态业务和/或接受拟态模块发送拟态文件数据包,以及向拟态模块发送拟态文件和/或拟态业务的虚拟请求;
所述拟态业务由不同形态的业务的应的虚拟业务以及与所述虚拟业务搭配的业务端口构成,所述敏感文件为在不同类型的敏感文件的虚拟文件中植入了警告代码的文件;
客户端模块,可以安装在不同操作系统上(windows和mac)的客户端上,和拟态业务模块一起模拟出各种不同的业务如:网站业务、web网站、web邮件系统,OA办公系统、数据库业务系统,中间件业务、ftp业务系统等等企业内部具有的日常办公系统,以及敏感文件如PDF、WORD、EXCEL、PPT、邮件、html页面或者文件夹等,并把访问者的访问记录和/或各种信息通过日志的方式,发送给安全数据分析模块。
具体为地,以拟态web网站业务为例展示拟态业务的生成过程,当确定客户端需要拟态web网站时,客户端模块就将需要拟态web网站的请求发送给拟态模块,拟态模块就会预先配置好相应的虚拟的web网站,拟态模块会根据请求的内容进行回应,将回应的数据包发送给客户端模块,在客户端安装相应的数据包,在客户端上留下一个程序,该程序即为相应拟态web网站业务端口,客户端上拟态的web业务端口和拟态模块上预先配置的虚拟web网站两者共同构成了一个拟态web业务。
具体地,在拟态文件生成过程中,拟态模块会根据生成文件类型的不同,比如pdf,word,文件夹等,插入不同的警告代码进入虚拟的敏感文件中形成拟态文件,拟态文件生成完毕之后,看起来和正常的文件没有任何区别,也是可以被访问或者被打开的,拟态文件被推送到拟态客户端之后,会保留在拟态客户端的电脑上。拟态文件保存在客户端的电脑的位置是可以指定的,指定拟态文件的保存位置这样做的目的是防止正常的用户不小心打开拟态文件,造成误报,一旦有人访问访问或者打开拟态文件,拟态文件中的告警代码就会收集访问拟态文件的终端信息,并通过网络,发送给数据分析平台。
拟态文件中的警告代码是通过拟态程序编写,拟态程序通过采用pyhton语言编写,其中的关键代码为:
其中“http://x.x.x.x/blah.png”为安全数据分析平台的地址和接收位置,用于接收警告代码发过来的访问日志信息。通过包含上述关键代码的拟态程序即可实现警告代码可以不影响文档被打开和被访问的前提下,以静默的方式收集攻击者访问日志信息,例如访问者的IP,访问者的电脑信息等,然后向数据分析平台发送报警。
具体的当所述拟态业务被访问时,所示客户端模块实时获取访问日志信息,并将访问日志信息发送至安全数据分析模块,和/或当所述拟态文件被访问时,所述警告代码实时获取访问日志信息,并将访问日志信息发送至安全数据分析平台;
安全数据分析模块,通过数据库存储或者大数据技术,对收到的各种信息进行分析和报表,对异常流量和日志进行展现和报警。
作为优选地,本实施例中进一步设置安全策略管理平台,通过网络通信,向客户端模块发送拟态命令,包含拟态的业务的类型,拟态的文件名和目录等,并监视客户端的工作状态,当客户端工作状态异常时,会进行告警。具体地,安全策略管理平台依据客户端实际情况,确定客户端上是否要进行拟态,以及要将哪些业务和/或敏感文件相应的业务拟态命令和/或敏感文件拟态命令发送至对应的客户端。
作为优选地,安全策略管理平台还对客户端的运行状态进行监测,当检测到客户端运行状态不正常,无法正常模拟拟态业务或拟态文件时,则对客户端进行重启,以重新虚拟出不同形态的业务的拟态业务和/或敏感文件的拟态文件。安全策略管理平台在检测到无法形成拟态文件或业务时,安全策略管理平台还对相应的故障信息进行显示,例如:某个拟态文件或者拟态业务没有形成失败或与预定要求不符合。
作为优选地,拟态模块还具有至少一组虚拟服务器,以便于用户根据实际情况快速的在其上部署和修改不同的业务和/或敏感文件。
作为优选地,在安全数据分析模块上设定判断模型,用于减少用户偶尔的误操作引起的误报。
在本实施例中,客户端可以是桌上型计算机、笔记本、掌上电脑、PAD、及云端服务器等计算设备,可以是单一台,也可以是相互联网的多台。安全策略管理平台、安全数据分析模块、拟态模块可以是安装在客户端上的程序,也可以是第三方的服务器、云端等,只要能用客户端通信连接即可。另外安全策略管理平台并不是必须,当仅只有一个客户端模块时或是业务和敏感文件相对固定时,可以有也可以没有安全策略管理平台。另外安全策略管理平台并不是必须,设置安全是一种优选的方式,当仅只有一个客户端模块时或是业务和敏感文件相对固定时,可以有也可以没有安全策略管理平台。
实施例三:
如图4为本申请的采用拟态技术的APT攻击防御的方法的流程示意图:
A.根据客户端内部实际的业务状况,在拟态模块如拟态业务端服务器上部署好相应的业务,比如数据库服务,web服务和诱饵文件等。
B.在安全策略管理平台根据用户内部网络状况,业务状况和相关信息等配置好拟态策略。比如某几台电脑上部署拟态数据库服务,某几台电脑模拟WEB服务,某几台电脑上放置一些拟态的“敏感文件”。
C.客户端模块在和安全策略管理平台建立起网络通讯连接后,安全策略管模块会向目标客户端上的客户端模块推送虚拟的数据包,目标客户端模块接受端收到数据包后,在目标客户端上相应的安装数据包,以形成形成拟态业务和/或拟态文件。具体地,安装相应的数据包后,在客户端上留下一个程序,该程序即为相应拟态业务端口,客户端上的拟态业务端口和拟态模块上预先配置的虚拟业务两者共同构成了一个拟态web业务;或者安装相应的数据包后,在客户端上生成与拟态服务器上一模一样的拟态文件。
D.客户端在完成拟态动作后,会将完成的信息反馈给安全策略管理平台。
E.黑客通过在APT攻击的初始阶段,通过各种方式入侵到客户端内网上。
F.正常用户的各种操作,比如上网,访问内部网络系统等都正常进行,不受影响。
G.黑客在APT的内部横向渗透和数据收集上传阶段时,会使用各种工具,比如扫描软件,扫描网络中的服务器的状态和数量,寻找各种有用的信息,比如员工的邮件列表或者资产清单,或者是保存有服务器口令的文档等等。只要访问到了拟态业务或拟态文件,客户端模块或警告代码就会实时获取访问日志信息,并以加密的形式发送到安全数据分析平台,安全数据分析平台会通过大数据处理技术对相关数据进行处理,然后根据相应的规则,向安全管理员发出报警短信或者邮件,邮件或短信中会包含相关的IP,访问请求,访问的内容和其他相关信息等。
I.安全管理员收到信息后,会对信息进行二次的确认,一旦确认该电脑被APT入侵无误后,安全管理员会通过其他网络管理或者windows域管理平台,将该电脑进行隔离,然后进行下一步的处理。
实施例四对“夜龙”APT攻击的防护:
“夜龙”攻击是McAfee在2011年2月份发现并命名的针对全球主要能源公司的攻击行为。
以下为一段范例代码,一旦黑客访问过某个拟态的web网站是,就会向后台的安全数据分析平台发送各种数据。
“夜龙”APT攻击过程如下:
1)外网主机如Web服务器遭攻击成功,多半是被SQL注入攻击;
2)被黑的Web服务器被作为跳板,对内网的其他服务器或PC进行扫描;
3)内网机器如AD服务器或开发人员电脑遭攻击成功,多半是被密码暴力破解;
4)被黑机器被植入恶意代码,多半被安装远端控制工具(RAT),传回大量机敏文件(WORD、PPT、PDF等等),包括所有会议记录与组织人事架构图;
5)更多内网机器遭入侵成功,多半为高阶主管点击了看似正常的邮件附件,却不知其中含有恶意代码,然后各种机密文件被传回,并且黑客获取更多内部信息,通过获取的信息继续为跳板,扩大攻击范围,获取更多的机密信息。
本发明基于拟态的APT攻击防御软件,主要是针对APT攻击在内部的传播和获取数据阶段,帮助企业客户有效且精准的发现潜伏的APT攻击。
防护“夜龙”攻击过程:
1)外网主机如Web服务器遭攻击成功,多半是被SQL注入攻击;
2)黑客通过被黑的Web服务器被作为跳板,对内网的其他服务器或PC进行扫描;
3)黑客一旦进行扫描动作,一旦访问到拟态的业务或者是拟态的敏感文件,本发明就会立即将黑客的扫描动作和相关的访问日志信息发送给本发明的安全数据分析平台,触发报警。
4)安全管理员根据收到的信息,就可以知道哪台电脑遭受APT攻击,被入侵了,然后对该电脑进行隔离和查杀工作。
实施例五:对Nitro APT攻击的防护
Nitro攻击是2011年10月底,Symantec发布的一份报告公开了主要针对全球化工企业的进行信息窃取的Nitro攻击。
该攻击的过程也十分典型:
1)受害企业的部分雇员收到带有欺骗性的邮件;
2)当受害人阅读邮件的时候,往往会看到一个通过文件名和图标伪装成一个类似文本文件的附件,而实际上是一个可执行程序;或者看到一个有密码保护的压缩文件附件,密码在邮件中注明,并且如果解压会产生一个可执行程序。
3)只要受害人执行了附件中的可执行程序,就会被植入Poison Ivy后门程序。
4)Poison Ivy会通过TCP 80端口与C&C服务器进行加密通讯,将受害人的电脑上的信息上传,主要是帐号相关的文件信息。
5)攻击者在获取了加密的帐号信息后通过解密工具找到帐号的密码,然后借助事先植入的木马在受害企业的网络寻找目标、伺机行动、不断收集企业的敏感信息。
6)所有的敏感信息会加密存储在网络中的一台临时服务器上,并最终上传到公司外部的某个服务器上,从而完成攻击。
“Nitro”APT攻击从开始发起到成功窃取机密信息,其中最重要的一个步骤就是通过被入侵的机器为跳板,在内网扩散,不停的收集重要的敏感的信息,同时继续扩散;本发明基于拟态的APT攻击防御软件,主要是针对APT攻击在内部的传播和获取数据阶段,帮助企业客户有效且精准的发现潜伏的APT攻击。
对“Nitro”APT攻击”防御过程如下:
具体过程如下:
1)企业内部的电脑打开了恶意的文件,导致被植入后门程序;
2)后门程序会和黑客在公网上设立的C&C服务器进行通信,上传该电脑上的相关信息,同时从C&C服务器上下载各种攻击或者扫描工具,以便在内网进行下一步的扩展和获取各种敏感信息;
3)黑客在被入侵的电脑上搜寻各种敏感信息和资料时,以进行内部横向扩展时,一旦打开了拟态的敏感文件或文件夹,本发明的客户端就会发出包含打开文件的电脑的相关信息(IP地址,主机名等),发送给本发明的安全数据分析平台。
4)本发明的安全数据分析相关数据,然后想企业的安全管理员发出APT攻击报警。
5)安全管理员根据收到的信息,就可以知道哪台电脑遭受APT攻击,被入侵了,然后对该电脑进行隔离和查杀工作。
本发明并不局限于上述实施方式,如果对本发明的各种改动或变型不脱离本发明的精神和范围,倘若这些改动和变型属于本发明的权利要求和等同技术范围之内,则本发明也意图包含这些改动和变动。
Claims (10)
1.一种采用拟态技术的APT攻击防御方法,其特征在于,包括:
虚拟出不同形态的业务的拟态业务和/或不同类型的敏感文件的拟态文件,所述拟态业务由不同形态的业务的应的虚拟业务以及与所述虚拟业务搭配的业务端口构成,所述敏感文件为在不同类型的敏感文件的虚拟文件中植入了警告代码的文件;
在所述拟态业务和/或所述拟态文件被访问时,实时获取的访问日志信息;
对分析所述访问日志信息进行分析,依据分析结果,确定报警信息;
发送报警信息,根据报警信息采用合适的处理措施。
2.根据权利要求1所述的一种采用拟态技术的APT攻击防御方法,其特征在于:
在所述虚拟出不同形态的业务的拟态业务和敏感文件的拟态文件时,包括:提供不同业务的拟态业务和敏感文件的拟态文件,依据客户端的实际情况,确定客户端是否要进行拟态,以及要将哪些业务和/或敏感文件相应的业务拟态命令和/或敏感文件拟态命令发送至对应的客户端,客户端依据相应的拟态命令虚拟出相应的拟态业务和/或拟态文件。
3.根据权利要求1所述的一种采用拟态技术的APT攻击防御方法,其特征在于:
该方法包括对客户端的运行状态进行监测,当检测到客户端运行状态不正常,无法正常模拟拟态业务或拟态文件时,并尝试对客户端进行重启,以重新虚拟出不同形态的业务的拟态业务和/或敏感文件的拟态文件。
4.根据权利要求1所述的一种采用拟态技术的APT攻击防御方法,其特征在于:
将实时获取的所述访问日志信息,统一存储至大数据平台上,采用大数据分析技术对存储的数据进行分析以获得分析结果。
5.根据权利要求2所述的一种采用拟态技术的APT攻击防御方法,其特征在于:
可以依据客户端的实际情况,手动或自动调整客户端是否要进行拟态,以及调整要将哪些业务和/或敏感文件相应的业务拟态命令和/或敏感文件拟态命令发送至对应的客户端。
6.根据权利要求1所述的一种采用拟态技术的APT攻击防御方法,其特征在于:
拟态业务和/或拟态文件被访问时,对实时获取的访问日志信息进行加密处理后,再发送至安全数据分析模块进行分析处理。
7.一种采用拟态技术的APT攻击防御系统,其特征在于:
该系统包括拟态模块、客户模块和安全数据分析模块;
拟态模块,用于虚拟出不同形态的业务的应的虚拟业务,以及虚拟出不同类型的敏感文件的拟态文件;
客户模块,用于接受拟态模块发送的虚拟业务数据包并配合拟态模块形成拟态业务和/或接受拟态模块发送拟态文件数据包,以及向拟态模块发送拟态文件和/或拟态业务的虚拟请求;
所述拟态业务由不同形态的业务的应的虚拟业务以及与所述虚拟业务搭配的业务端口构成,所述敏感文件为在不同类型的敏感文件的虚拟文件中植入了警告代码的文件;
安全数据分析模块,用于接受所述客户端发送的访问日志信息和/或所述警告代码发送的访问日志信息,并对所述客户端发送的访问日志信息和/或接受所述警告代码发送的访问日志信息进行分析,依据分析结果向相应的客户端发送报警信息;依据报警信息,对相应的客户端采取合适的处理措施。
8.根据权利要求7所述的一种采用拟态技术的APT攻击防御系统,其特征在于:
该系统还包括安全策略管理平台,所述安全策略管理平台和所述客户模块通讯连接,并依据客户端实际情况,确定客户端上是否要进行拟态,以及要将哪些业务和/或敏感文件相应的业务拟态命令和/或敏感文件拟态命令发送至对应的客户端。
9.根据权利要求8所述的一种采用拟态技术的APT攻击防御系统,其特征在于:
所述安全策略管理平台还对客户端的运行状态进行监测,当检测到客户端运行状态不正常,无法正常模拟拟态业务或拟态文件时,则对客户端进行重启,以重新虚拟出不同形态的业务的拟态业务和/或敏感文件的拟态文件。
10.根据权利要求7所述的一种采用拟态技术的APT攻击防御系统,其特征在于:
所述拟态模块还具有至少一组虚拟服务器,以便于用户根据实际情况快速的在其上部署和修改不同的业务和/或敏感文件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810477265.9A CN108768989A (zh) | 2018-05-18 | 2018-05-18 | 一种采用拟态技术的apt攻击防御方法、系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810477265.9A CN108768989A (zh) | 2018-05-18 | 2018-05-18 | 一种采用拟态技术的apt攻击防御方法、系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108768989A true CN108768989A (zh) | 2018-11-06 |
Family
ID=64007017
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810477265.9A Pending CN108768989A (zh) | 2018-05-18 | 2018-05-18 | 一种采用拟态技术的apt攻击防御方法、系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108768989A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110445802A (zh) * | 2019-08-16 | 2019-11-12 | 国家计算机网络与信息安全管理中心 | 基于数字证书的威胁发现模型构建技术 |
CN111092902A (zh) * | 2019-12-26 | 2020-05-01 | 中国科学院信息工程研究所 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
CN111224933A (zh) * | 2019-10-25 | 2020-06-02 | 中国人民解放军陆军工程大学 | 一种模拟盗用敏感数据感知潜伏性apt攻击的方法 |
CN111405062A (zh) * | 2020-04-01 | 2020-07-10 | 河南信大网御科技有限公司 | 基于ssh协议的拟态输入代理装置、通信系统及方法 |
CN111641590A (zh) * | 2020-04-30 | 2020-09-08 | 河南信大网御科技有限公司 | 拟态终端模拟器、终端设备拟态化实现方法及存储介质 |
CN111949980A (zh) * | 2020-08-24 | 2020-11-17 | 上海明略人工智能(集团)有限公司 | 目标客户端监控方法和装置、存储介质及电子装置 |
CN112398876A (zh) * | 2021-01-19 | 2021-02-23 | 北京智仁智信安全技术有限公司 | 自适应拟态技术的网络安全预警系统 |
CN112769851A (zh) * | 2021-01-19 | 2021-05-07 | 汉纳森(厦门)数据股份有限公司 | 一种基于车联网的拟态防御系统 |
CN113660261A (zh) * | 2021-08-13 | 2021-11-16 | 北京天融信网络安全技术有限公司 | 攻击者信息获取方法、装置、电子设备及存储介质 |
CN114079624A (zh) * | 2022-01-18 | 2022-02-22 | 广东道一信息技术股份有限公司 | 一种基于多用户接入的架构数据流监测方法及系统 |
CN114760151A (zh) * | 2022-06-13 | 2022-07-15 | 宁波和利时信息安全研究院有限公司 | 一种通过plc获取上位机权限的方法和装置 |
CN114915657A (zh) * | 2022-04-24 | 2022-08-16 | 中国人民解放军战略支援部队信息工程大学 | 基于OpenTracing规范的拟态应用分布式追踪方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101262351A (zh) * | 2008-05-13 | 2008-09-10 | 华中科技大学 | 一种网络追踪系统 |
CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
CN103634264A (zh) * | 2012-08-20 | 2014-03-12 | 江苏中科慧创信息安全技术有限公司 | 一种基于行为分析的主动诱捕方法 |
CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
CN104978519A (zh) * | 2014-10-31 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种应用型蜜罐的实现方法及装置 |
CN104980423A (zh) * | 2014-11-26 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种高级可持续威胁诱捕系统及方法 |
US9558677B2 (en) * | 2011-04-08 | 2017-01-31 | Wombat Security Technologies, Inc. | Mock attack cybersecurity training system and methods |
-
2018
- 2018-05-18 CN CN201810477265.9A patent/CN108768989A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101262351A (zh) * | 2008-05-13 | 2008-09-10 | 华中科技大学 | 一种网络追踪系统 |
US9558677B2 (en) * | 2011-04-08 | 2017-01-31 | Wombat Security Technologies, Inc. | Mock attack cybersecurity training system and methods |
CN103634264A (zh) * | 2012-08-20 | 2014-03-12 | 江苏中科慧创信息安全技术有限公司 | 一种基于行为分析的主动诱捕方法 |
CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
CN104978519A (zh) * | 2014-10-31 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种应用型蜜罐的实现方法及装置 |
CN104980423A (zh) * | 2014-11-26 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种高级可持续威胁诱捕系统及方法 |
CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110445802A (zh) * | 2019-08-16 | 2019-11-12 | 国家计算机网络与信息安全管理中心 | 基于数字证书的威胁发现模型构建技术 |
CN111224933B (zh) * | 2019-10-25 | 2022-04-08 | 中国人民解放军陆军工程大学 | 一种模拟盗用敏感数据感知潜伏性apt攻击的方法 |
CN111224933A (zh) * | 2019-10-25 | 2020-06-02 | 中国人民解放军陆军工程大学 | 一种模拟盗用敏感数据感知潜伏性apt攻击的方法 |
CN111092902A (zh) * | 2019-12-26 | 2020-05-01 | 中国科学院信息工程研究所 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
CN111092902B (zh) * | 2019-12-26 | 2020-12-25 | 中国科学院信息工程研究所 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
CN111405062A (zh) * | 2020-04-01 | 2020-07-10 | 河南信大网御科技有限公司 | 基于ssh协议的拟态输入代理装置、通信系统及方法 |
CN111405062B (zh) * | 2020-04-01 | 2023-08-11 | 河南信大网御科技有限公司 | 基于ssh协议的拟态输入代理装置、通信系统及方法 |
CN111641590A (zh) * | 2020-04-30 | 2020-09-08 | 河南信大网御科技有限公司 | 拟态终端模拟器、终端设备拟态化实现方法及存储介质 |
CN111641590B (zh) * | 2020-04-30 | 2022-07-22 | 河南信大网御科技有限公司 | 拟态终端模拟器、终端设备拟态化实现方法及存储介质 |
CN111949980A (zh) * | 2020-08-24 | 2020-11-17 | 上海明略人工智能(集团)有限公司 | 目标客户端监控方法和装置、存储介质及电子装置 |
CN112398876B (zh) * | 2021-01-19 | 2021-04-02 | 北京智仁智信安全技术有限公司 | 自适应拟态技术的网络安全预警系统 |
CN112769851A (zh) * | 2021-01-19 | 2021-05-07 | 汉纳森(厦门)数据股份有限公司 | 一种基于车联网的拟态防御系统 |
CN112398876A (zh) * | 2021-01-19 | 2021-02-23 | 北京智仁智信安全技术有限公司 | 自适应拟态技术的网络安全预警系统 |
CN113660261A (zh) * | 2021-08-13 | 2021-11-16 | 北京天融信网络安全技术有限公司 | 攻击者信息获取方法、装置、电子设备及存储介质 |
CN114079624A (zh) * | 2022-01-18 | 2022-02-22 | 广东道一信息技术股份有限公司 | 一种基于多用户接入的架构数据流监测方法及系统 |
CN114915657A (zh) * | 2022-04-24 | 2022-08-16 | 中国人民解放军战略支援部队信息工程大学 | 基于OpenTracing规范的拟态应用分布式追踪方法 |
CN114915657B (zh) * | 2022-04-24 | 2024-01-26 | 中国人民解放军战略支援部队信息工程大学 | 基于OpenTracing规范的拟态应用分布式追踪方法 |
CN114760151A (zh) * | 2022-06-13 | 2022-07-15 | 宁波和利时信息安全研究院有限公司 | 一种通过plc获取上位机权限的方法和装置 |
CN114760151B (zh) * | 2022-06-13 | 2022-09-13 | 宁波和利时信息安全研究院有限公司 | 一种通过plc获取上位机权限的方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108768989A (zh) | 一种采用拟态技术的apt攻击防御方法、系统 | |
US9501639B2 (en) | Methods, systems, and media for baiting inside attackers | |
US9344457B2 (en) | Automated feedback for proposed security rules | |
Voris et al. | Bait and snitch: Defending computer systems with decoys | |
US9055093B2 (en) | Method, system and computer program product for detecting at least one of security threats and undesirable computer files | |
US8769684B2 (en) | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior | |
Bowen et al. | Designing host and network sensors to mitigate the insider threat | |
US20220284106A1 (en) | Methods, systems, and media for testing insider threat detection systems | |
US20120084866A1 (en) | Methods, systems, and media for measuring computer security | |
CN101816148A (zh) | 用于验证、数据传送和防御网络钓鱼的系统和方法 | |
WO2009032379A1 (en) | Methods and systems for providing trap-based defenses | |
Bishop et al. | The threat from the net [Internet security] | |
Deng et al. | Lexical analysis for the webshell attacks | |
Vigna et al. | Host-based intrusion detection | |
Alsmadi | Cyber threat analysis | |
Bowen et al. | Monitoring technologies for mitigating insider threats | |
Lindqvist | On the fundamentals of analysis and detection of computer misuse | |
Javeed et al. | Artificial intelligence (AI)-based intrusion detection system for IoT-enabled networks: A state-of-the-art survey | |
CN112118204B (zh) | 一种Windows文件系统非法访问的感知方法及系统 | |
Vishnu et al. | Identifying key strategies for reconnaissance in cybersecurity | |
Morgan et al. | Network attacks and the data they affect | |
Malviya et al. | Improving security by predicting anomaly user through web mining: a review | |
Patel et al. | Malware Detection Using Yara Rules in SIEM | |
Seifert | Cost-effective detection of drive-by-download attacks with hybrid client honeypots | |
Mattila | Integration of arctic node threat intelligence sharing platform with Suricata |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181106 |
|
RJ01 | Rejection of invention patent application after publication |