CN114707144A - 虚拟机逃逸行为检测方法及装置 - Google Patents

虚拟机逃逸行为检测方法及装置 Download PDF

Info

Publication number
CN114707144A
CN114707144A CN202210301960.6A CN202210301960A CN114707144A CN 114707144 A CN114707144 A CN 114707144A CN 202210301960 A CN202210301960 A CN 202210301960A CN 114707144 A CN114707144 A CN 114707144A
Authority
CN
China
Prior art keywords
virtual machine
behavior
analysis result
escape
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210301960.6A
Other languages
English (en)
Inventor
彭华
崔凯铜
杨智黎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Bangchen Information Technology Co ltd
Original Assignee
Sichuan Bangchen Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Bangchen Information Technology Co ltd filed Critical Sichuan Bangchen Information Technology Co ltd
Priority to CN202210301960.6A priority Critical patent/CN114707144A/zh
Publication of CN114707144A publication Critical patent/CN114707144A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了虚拟机逃逸行为检测方法及装置,涉及计算机安全技术领域,方法包括S1在宿主机中获取虚拟机的网络流量和宿主机的相关信息;S2提取虚拟机的网络流量和宿主机的相关信息中的行为特征;S3分析提取出的行为特征获得分析结果;S4判断虚拟机是否发生逃逸行为,若发生逃逸行为则拦截,并记录和发出告警;装置包括检测模块、控制端、可信行为策略库和数据库,在不能够改变虚拟机的运行环境和虚拟机正常运行的情况下,有效的检测出虚拟机的逃逸行为;在网络流量、进程、网络连接、文件操作、文件完整性多个维度维护可信行为策略,建立可信行为策略库,限制虚拟机进程只能在指定的操作行为范围内运行,从而最大程度的检测虚拟机逃逸攻击行为。

Description

虚拟机逃逸行为检测方法及装置
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种虚拟机逃逸行为检测方法及装置。
背景技术
随着计算机技术和云计算的发展,虚拟化技术受到人们的关注,并被广泛应用在恶意代码检测、隐私保护和云计算等领域。虚拟化技术可以将一台计算机虚拟为多台逻辑计算机,其中每台逻辑计算机可以运行不同的操作系统,使应用程序可以在相互独立的空间内运行而互不影响。虚拟化技术的应用十分广泛,在云计算领域,虚拟化技术能够显著提高计算机的工作效率以及计算资源的利用率,是合理分配计算资源的一种有效手段;在信息安全领域,虚拟化技术作为一种动态分析环境,可以自动化分析未知的样本,记录样本在虚拟机(沙箱)环境内的各种操作,对样本的真实意图进行判定,同时恶意样本在沙箱内的运行不会对真实环境产生修改,是较为理想的分析环境;在隐私保护领域,利用虚拟化技术,能够随时修改设备指纹、操作系统指纹等,防止被追踪溯源,保护使用者的身份信息。
通常,将物理计算机中虚拟出的逻辑计算机成为虚拟机(沙箱),而将物理计算机称为宿主机。虚拟机是宿主机中一个相对独立的计算环境,具有较好的安全特性;但是,由于虚拟化软件自身的缺陷与不足,虚拟机里运行的程序能够通过漏洞绕过底层运行环境,利用宿主机执行具有特权操作,这种技术叫做虚拟机逃逸技术。
当宿主机内某个虚拟机发生逃逸成功后,该虚拟机能够拥有宿主机的特权进行各种操作,将使宿主机和整个虚拟环境下所有虚拟机的安全性受到威胁。同时由于环境限制,通常无法控制虚拟机内运行的应用程序,无法对虚拟机本身进行加固,只能实施被动监测。因此在这种情形下,对虚拟机逃逸攻击行为的监测和识别显得尤为重要。
发明内容
本发明的目的就在于为了解决上述问题设计了一种虚拟机逃逸行为检测方法及装置。
本发明通过以下技术方案来实现上述目的:
虚拟机逃逸行为检测方法,包括:
S1、在宿主机中获取虚拟机的网络流量和宿主机的相关信息;
S2、提取虚拟机的网络流量和宿主机的相关信息中的行为特征;
S3、分析提取出的行为特征获得分析结果;
S4、根据分析结果判断虚拟机是否发生逃逸行为,若发生逃逸行为,则拦截,并记录和发出告警。
虚拟机逃逸行为检测装置,包括:
检测模块;检测模块安装在宿主机中,检测模块获取虚拟机的网络流量和宿主机的相关信息,并对其进行分析检测;
控制端;控制端用于实时接收检测模块上传的虚拟机逃逸行为事件,并发出警告至相关人员,检测模块的数据信号输出端与控制端的数据信号输入端连接;
可信行为策略库;可信行为策略库内储存有可信行为策略,可信行为策略库的信号端与检测模块的信号端连接;
数据库;数据库用于储存虚拟机发生逃逸行为事件,控制端的数据信号输出端与数据库的数据信号输入端连接。
本发明的有益效果在于:在不能够改变虚拟机的运行环境,且不影响虚拟机正常运行的情况下,有效的检测出虚拟机的逃逸行为;通过在网络流量、进程、网络连接、文件操作、文件完整性多个维度维护可信行为策略,建立可信行为策略库,限制虚拟机进程只能在指定的操作行为范围内运行,从而最大程度的检测虚拟机逃逸攻击行为;同时对虚拟机逃逸行为进行记录,根据策略对产生逃逸行为事件的虚拟机进行实时拦截,能够减少逃逸攻击行为带来的风险,便于事后分析和溯源。
附图说明
图1为本发明虚拟机逃逸行为检测方法的流程图;
图2为本发明虚拟机逃逸行为检测装置的结构框图;
图3为本发明生成可信行为策略库流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要理解的是,术语“上”、“下”、“内”、“外”、“左”、“右”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,或者是本领域技术人员惯常理解的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的设备或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,“设置”、“连接”等术语应做广义理解,例如,“连接”可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接连接,也可以通过中间媒介间接连接,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
下面结合附图,对本发明的具体实施方式进行详细说明。
虚拟机逃逸行为检测方法,包括:
S1、在宿主机中获取虚拟机的网络流量和宿主机的相关信息,相关信息包括宿主机系统的进程列表、网络连接列表、指定文件和目录列表的系统信息。
S2、提取虚拟机的网络流量和宿主机的相关信息中的行为特征,网络流量的行为特征包括五元组信息,进程列表的行为特征包括进程ID、所属用户、进程类型、进程名称和执行命令,网络连接列表的行为特征包括五元组信息、连接类型、启动进程ID、所属用户、进程名称和执行命令,指定文件和目录列表的行为特征包括对指定文件和目录列表的读、写、修改、创建和删除操作行为。
S3、分析提取出的行为特征获得分析结果,具体包括:
初始化标签,令分析结果为0;
网络流量的五元组信息结合虚拟机的ID组成六元组信息,判断宿主机是否与其他虚拟机执行网络连接访问,若是,则令分析结果+加1,反之则令分析结果加0;
根据进程列表的行为特征判断宿主机中是否存在异常进程,若是,则令分析结果+加1,反之则令分析结果加0;
根据网络连接列表的行为特征判断宿主机中是否存在异常网络连接,若是,则令分析结果+加1,反之则令分析结果加0;
计算指定文件的计算MD5值检测指定文件的完整性,判断指定文件是否被恶意修改或替换,若是,则令分析结果+加1,反之则令分析结果加0;
判断虚拟机是否访问不在可信行为策略库中指定的文件或目录,若是,则令分析结果+加1,反之则令分析结果加0。
S4、根据分析结果判断虚拟机是否发生逃逸行为,当分析结果是否大于0时,发生逃逸行为,则通过阻断来自虚拟机的流量、销毁虚拟机和保存快照后立即销毁虚拟机中任意一种方式对该虚拟机进行拦截,并将该逃逸行为记录存储在数据库中,然后通过邮件、短信等方式告警运维人员并提供告警查询和安全事件展示接口。
可信行为策略库内存储有可信行为策略,可信行为策略根据加固操作系统生成,并由加固操作系统自主学习生成预设可信行为策略库,由维护人员进行调整更新,在S3中,指定文件和目录列表的行为特征是否包含在可信行为策略库中,可信行为策略是指虚拟机的访问规则,定义允许访问的客体及操作集合,策略仅允许虚拟机进程执行指定的操作行为,确保虚拟机没有发生逃逸行为,保证宿主机安全运行。
检测方法还包括对宿主机的进程状态、网络连接状态和文件完整性进行周期性检测,并根据虚拟机资源占用情况和宿主机负载调整检测周期,调整方式为:虚拟机资源占用和宿主机负载超过预先设定的阈值时,延长检测周期;未超过则沿用原来的检测周期。
虚拟机逃逸行为检测装置,包括:
检测模块;检测模块安装在宿主机中,检测模块获取虚拟机的网络流量和宿主机的相关信息,并对其进行分析检测;
控制端;控制端用于实时接收检测模块上传的虚拟机逃逸行为事件,并发出警告至相关人员,检测模块的数据信号输出端与控制端的数据信号输入端连接;
可信行为策略库;可信行为策略库内储存有可信行为策略,可信行为策略库的信号端与检测模块的信号端连接;
数据库;数据库用于储存虚拟机发生逃逸行为事件,控制端的数据信号输出端与数据库的数据信号输入端连接。
以KVM虚拟机为例,实时监听所有虚拟机的虚拟网卡(vnet0、vnet1..vnetn),利用virsh管理工具获取虚拟网卡与虚拟机的对应关系,同时抓取从虚拟机发出的所有网络流量数据包;利用/proc文件系统获取宿主机操作系统中的进程列表、网络连接列表信息;利用inotify机制监控文件系统的文件和目录,监听指定文件和目录的操作事件属性,如常见的读操作(IN_ACCESS)、写操作(IN_MODIFY)、创建操作(IN_CREATE)、删除操作(IN_DELETE)、文件元数据改变操作(IN_ATTRIB),同时构造指定文件的完整性样本库(快照),作为指定文件完整性的比对标准。
分析提取出的行为特征为:
对来自虚拟网卡的所有网络流量进行分析,提取流量数据包的<源IP、源端口、目的IP、目的端口、协议>五元组信息,并结合虚拟机ID组成六元组信息;以隐私保护为目的的使用场景为例,用户使用虚拟机沙箱执行网络访问,可避免身份指纹被识别和溯源,但用户不会对宿主机本身和其他虚拟机执行网络连接访问,一旦发现此类行为,说明沙箱中可能存在应用程序正在发生逃逸行为;
对获取的进程列表,提取进程ID、所属用户、进程类型、进程名称、执行命令等行为特征;沙箱在宿主机表现为一个独立的进程,用户在沙箱中执行任何应用操作,不会影响宿主机的正常运行;一旦发现宿主机中存在异常进程,可能是由于虚拟机逃逸攻击行为发生而导致的。
对获取的网络连接列表,提取网络连接五元组信息、连接类型、启动进程ID、所属用户、进程名称、执行命令等行为特征;在加固的操作系统环境中,所有可以对外连接的应用程序均是可控的,并且已经加入到可信行为策略库中,一旦发现有异常的网络连接,可能是由于虚拟机逃逸攻击行为发生而导致的。
对监听的指定文件和目录列表,对指定文件的计算MD5值进行完整性检测;在加固的操作系统环境中,通过建立指定文件的完整性样本库(快照),能够防止文件被恶意修改或替换,一旦发现有异常的网络连接,可能是由于虚拟机逃逸攻击行为发生而导致的。
获取对指定文件和目录的读、写、修改、创建、删除等操作行为。沙箱在宿主机表现为一个独立的进程,正常情况下沙箱只能够访问指定的镜像文件或共享目录,一旦发现沙箱进程访问不在可信行为策略库中指定的文件或目录,说明沙箱中可能存在应用程序正在发生逃逸行为。
可信行为策略库被检测模块调用,对网络流量数据和文件操作行为进行实时检测;对进程状态、网络连接状态、指定文件完整性进行周期性检测;检测周期根据虚拟机资源占用情况和宿主机负载动态调整;其中进程状态和网络连接状态的检测周期默认设置为10s,文件完整性检测周期默认设置为1h。一旦发现不在可信行为策略库中的操作行为则上报给控制端进行处理。
当检测到操作行为与可信行为策略库不匹配时,将行为汇报给控制端,控制端根据异常行为拦截该异常操作行为事件,同时记录事件并告警。
控制端完成对虚拟机逃逸事件的事中拦截和事后处置。具体实施步骤包括:实时接收检测模块上传的虚拟机逃逸行为事件,处理信息并保存进数据库。对虚拟机产生的逃逸行为进行实时拦截,拦截方法包括阻断来自虚拟机的网络流量,或销毁虚拟机,或保存快照后立即销毁。根据信息通过邮件或短信等方式告警运维人员并提供告警查询和安全事件展示接口。利用记录的异常操作行为日志,结合保存的快照进行事后分析。
本发明的技术方案不限于上述具体实施例的限制,凡是根据本发明的技术方案做出的技术变形,均落入本发明的保护范围之内。

Claims (10)

1.虚拟机逃逸行为检测方法,其特征在于,包括:
S1、在宿主机中获取虚拟机的网络流量和宿主机的相关信息;
S2、提取虚拟机的网络流量和宿主机的相关信息中的行为特征;
S3、分析提取出的行为特征获得分析结果;
S4、根据分析结果判断虚拟机是否发生逃逸行为,若发生逃逸行为,则拦截,并记录和发出告警。
2.根据权利要求1所述的虚拟机逃逸行为检测方法,其特征在于,在S1中,相关信息包括宿主机系统的进程列表、网络连接列表、指定文件和目录列表的系统信息。
3.根据权利要求2所述的虚拟机逃逸行为检测方法,其特征在于,在S2中,网络流量的行为特征包括五元组信息,进程列表的行为特征包括进程ID、所属用户、进程类型、进程名称和执行命令,网络连接列表的行为特征包括五元组信息、连接类型、启动进程ID、所属用户、进程名称和执行命令,指定文件和目录列表的行为特征包括对指定文件和目录列表的读、写、修改、创建和删除操作行为。
4.根据权利要求3所述的虚拟机逃逸行为检测方法,其特征在于,在S3中:
初始化标签,令分析结果为0;
网络流量的五元组信息结合虚拟机的ID组成六元组信息,判断宿主机是否与其他虚拟机执行网络连接访问,若是,则令分析结果+加1,反之则令分析结果加0;
根据进程列表的行为特征判断宿主机中是否存在异常进程,若是,则令分析结果+加1,反之则令分析结果加0;
根据网络连接列表的行为特征判断宿主机中是否存在异常网络连接,若是,则令分析结果+加1,反之则令分析结果加0;
计算指定文件的计算MD5值检测指定文件的完整性,判断指定文件是否被恶意修改或替换,若是,则令分析结果+加1,反之则令分析结果加0;
判断虚拟机是否访问不在可信行为策略库中指定的文件或目录,若是,则令分析结果+加1,反之则令分析结果加0。
5.根据权利要求4所述的虚拟机逃逸行为检测方法,其特征在于,在S4中,判断分析结果是否大于0,则虚拟机发生了逃逸行为。
6.根据权利要求4所述的虚拟机逃逸行为检测方法,其特征在于,可信行为策略库内存储有可信行为策略,可信行为策略为虚拟机的访问规则,定义虚拟机允许访问的客体及操作集合,在S3中,指定文件和目录列表的行为特征是否包含在可信行为策略库中。
7.根据权利要求4所述的虚拟机逃逸行为检测方法,其特征在于,拦截方法还包括构造指定文件的完整性样本库,完整性样本库用于作为指定文件完整性的比对标准。
8.根据权利要求4所述的虚拟机逃逸行为检测方法,其特征在于,拦截方法包括阻断来自虚拟机的流量、销毁虚拟机和保存快照后立即销毁虚拟机中任意一种。
9.根据权利要求4所述的虚拟机逃逸行为检测方法,其特征在于,检测方法还包括对宿主机的进程状态、网络连接状态和文件完整性进行周期性检测,并根据虚拟机资源占用情况和宿主机负载调整检测周期。
10.虚拟机逃逸行为检测装置,其特征在于,包括:
检测模块;检测模块安装在宿主机中,检测模块获取虚拟机的网络流量和宿主机的相关信息,并对其进行分析检测;
控制端;控制端用于实时接收检测模块上传的虚拟机逃逸行为事件,并发出警告至相关人员,检测模块的数据信号输出端与控制端的数据信号输入端连接;
可信行为策略库;可信行为策略库内储存有可信行为策略,可信行为策略库的信号端与检测模块的信号端连接;
数据库;数据库用于储存虚拟机发生逃逸行为事件,控制端的数据信号输出端与数据库的数据信号输入端连接。
CN202210301960.6A 2022-03-24 2022-03-24 虚拟机逃逸行为检测方法及装置 Pending CN114707144A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210301960.6A CN114707144A (zh) 2022-03-24 2022-03-24 虚拟机逃逸行为检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210301960.6A CN114707144A (zh) 2022-03-24 2022-03-24 虚拟机逃逸行为检测方法及装置

Publications (1)

Publication Number Publication Date
CN114707144A true CN114707144A (zh) 2022-07-05

Family

ID=82169965

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210301960.6A Pending CN114707144A (zh) 2022-03-24 2022-03-24 虚拟机逃逸行为检测方法及装置

Country Status (1)

Country Link
CN (1) CN114707144A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115086081A (zh) * 2022-08-08 2022-09-20 北京永信至诚科技股份有限公司 一种蜜罐防逃逸方法及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115086081A (zh) * 2022-08-08 2022-09-20 北京永信至诚科技股份有限公司 一种蜜罐防逃逸方法及系统

Similar Documents

Publication Publication Date Title
US11726809B2 (en) Techniques for securing virtual machines by application existence analysis
CN109586282B (zh) 一种电网未知威胁检测系统及方法
US10079835B1 (en) Systems and methods for data loss prevention of unidentifiable and unsupported object types
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
US10986117B1 (en) Systems and methods for providing an integrated cyber threat defense exchange platform
JP2004537105A (ja) 状態参照モニタ
CN114254304A (zh) 容器安全入侵检测方法、装置、计算机设备及存储介质
CN110865866B (zh) 一种基于自省技术的虚拟机安全检测方法
CN108156127B (zh) 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体
CN114707144A (zh) 虚拟机逃逸行为检测方法及装置
KR101308866B1 (ko) 공개형 악성코드 관리 및 분석 시스템
Vigna et al. Host-based intrusion detection
US20230315855A1 (en) Exact restoration of a computing system to the state prior to infection
CN115086081B (zh) 一种蜜罐防逃逸方法及系统
US20230315850A1 (en) Rootkit detection based on system dump sequence analysis
US11983272B2 (en) Method and system for detecting and preventing application privilege escalation attacks
CN111125701B (zh) 文件检测方法、设备、存储介质及装置
CN114186222A (zh) 一种勒索病毒的防护方法及系统
US11989309B2 (en) Software type and version identification for security operations
KR102541888B1 (ko) 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템
CN111931177B (zh) 信息处理方法、装置、电子设备和计算机存储介质
US20230315848A1 (en) Forensic analysis on consistent system footprints
CN117034270A (zh) 支持动态的应用安全审计增强方法和装置
CN110543759A (zh) 恶意文件检测方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination