CN115758355A - 一种基于细粒度访问控制的勒索软件防御方法及系统 - Google Patents
一种基于细粒度访问控制的勒索软件防御方法及系统 Download PDFInfo
- Publication number
- CN115758355A CN115758355A CN202211453255.4A CN202211453255A CN115758355A CN 115758355 A CN115758355 A CN 115758355A CN 202211453255 A CN202211453255 A CN 202211453255A CN 115758355 A CN115758355 A CN 115758355A
- Authority
- CN
- China
- Prior art keywords
- application program
- behavior
- intention
- user
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于细粒度访问控制的勒索软件防御方法及系统。该方法包括:对主机的应用程序行为进行实时监控,根据授权策略细粒度地控制应用程序对文件系统的权限,并判定应用程序行为是否存在文件操作异常;对应用程序行为进行分析,判断应用程序意图是否偏离用户意图,进而判定应用程序行为是否存在程序意图异常;在判定应用程序行为存在文件操作异常或程序意图异常时,对异常进行分级处理,根据用户的能力选择由用户处理异常或者上报给云端管理员进行处理。本发明在当前的基于访问控制的勒索软件防御系统的基础上,对授权粒度、权限管理、异常处理三部分做出了改进,能够更好地实现对用户的资源文件的管理与保护。
Description
技术领域
本发明属于计算机安全领域,涉及以用户意图为中心的勒索软件防御的访问控制方法和系统。
背景技术
近年来,各类网络安全事件频出,其中,勒索软件快速发展为网络安全威胁最严重的恶意软件,成为网络犯罪的主要形式之一。从政府网络到关键信息基础设施,从个人到企业,从电脑设备到移动设备和服务器,勒索软件攻击无差别地影响着全球各个行业和领域、各类网络用户以及各种设备类型,给社会带来严重的不利影响。
勒索软件是在未征得用户同意且违背用户意图的前提下,试图通过不修改或不攻击操作系统模块的方式获得用户文件访问权限,并进而试图禁用用户访问权(如通过文件加密)或危害用互动的独占访问权(如通过信息泄漏),以期达到敲诈受害者想攻击者支付赎金的目的。
针对勒索软件的分析可划分为基于静态特征的分析和基于行为的分析两类。静态分析是在不运行其代码的情况下从源代码和二进制字符串中提取结构特征的分析方法。静态分析是安全而高效的方法,但此种方法无法应对被混淆的勒索软件。动态分析指的是在程序执行期间对其进行行为分析。对勒索软件的行为分析发现,勒索软件在对文件的操作上,会存在频繁访问文件夹、大量创建读写等、修改尽可能多的类型的文件、导致良性应用程序行为变化等特点。
对于勒索软件的防御分为两类:检测和防范。勒索软件的检测与恶意代码的检测一样,可分为基于误用的检测和基于异常的检测。但基于误用的检测无法检测未知攻击,基于异常的检测存在假阳性高的问题。对勒索软件的防范是通过预先防止文件资源等的被损坏的发生来保护潜在受害者免受恶意软件的攻击。
目前,Android和iOS等移动操作系统通过为每个应用程序引入基于权限的访问控制来改善勒索软件防御现状,而Windows等桌面操作系统则采用基于角色的访问控制(RBAC),使得应用程序之间没有隔离。开放操作系统缺乏适当的访问控制机制来加强操作系统应对勒索软件的攻击,使用针对一般恶意软件的方式来防御勒索软件。
当前工业界使用的访问控制系统存在的问题主要在授权粒度、权限管理、异常处理三个方面。由于访问控制系统对应用程序授权的粒度过大,授权策略与用户意图不符,导致勒索软件利用该漏洞获取敏感文件资源的权限。而系统对于权限的不及时回收,不结合环境信息调整判断会导致被勒索软件篡改的应用程序趁虚而入。当异常发生时,当前的防御方案让用户处理所有的异常,忽略了用户可能存在被勒索软件蒙骗的情况。所以,需要设计出更合适的访问控制系统来实现对用户的资源文件的管理与保护。
发明内容
根据当前勒索软件防御方案存在的问题,本发明在当前的基于访问控制的勒索软件防御系统的基础上,对授权粒度、权限管理、异常处理三部分做出了改进。
为了达到上述目的,本发明采用了以下方案:
一种基于细粒度访问控制的勒索软件防御方法,包括以下步骤:
对主机的应用程序行为进行实时监控,根据授权策略细粒度地控制应用程序对文件系统的权限,并判定应用程序行为是否存在文件操作异常;
对应用程序行为进行分析,判断应用程序意图是否偏离用户意图,进而判定应用程序行为是否存在程序意图异常;
在判定应用程序行为存在文件操作异常或程序意图异常时,对异常进行分级处理,根据用户的能力选择由用户处理异常或者上报给云端管理员进行处理。
进一步地,所述的细粒度指的是本发明方案所管理的权限,权限指的是应用程序对某一文件资源的某一操作,例如:应用程序photoshop.exe对图片文件test1.jpg的修改的权限。
进一步地,所述的授权策略的输入是客户端主机的应用程序发起的权限请求和白名单,如果白名单中存在此权限请求则允许应用程序的操作,否则向用户获取权限,让用户决定是否拦截当前操作。当应用程序发起对敏感文件的权限请求时,判定为异常行为,这种异常称为文件操作异常。通过配置白名单对应用程序行为进行过滤,以保证不会在良性程序运行时频繁地发起权限请求。
进一步地,所述的白名单中包含用户主机的应用程序可授予的权限;所述的白名单是指由服务器端为客户端主机配置,并根据上下文信息进行调整的.json文件,该文件的修改写入权限仅被授予服务器端。白名单中包含用户主机应用程序可授予的权限,白名单的格式为:应用程序路径->访问资源路径->操作。
进一步地,所述对应用程序行为进行分析,判断应用程序意图是否偏离用户意图,进而判定应用程序行为是否存在程序意图异常,包括:收集白名单中的应用程序的标准行为序列和勒索软件的行为序列,并将应用程序的实时行为序列与上述两类行为序列做行为匹配,以及时检测出应用程序意图是否偏离了用户意图,如果偏离了用户意图则判定应用程序行为异常,这种异常称为程序意图异常。
进一步地,所述的应用程序的标准行为序列(正常行为)收集是指在Windows沙盒中运行应用程序,记录该应用程序的行为,所记录的格式为:文件类型->行为名称。将收集到的行为序列作为该应用程序的标准行为序列。
进一步地,所述的勒索软件的行为序列指的是勒索软件在文件行为上的典型行为,反应勒索软件的行为特征。勒索软件的行为的格式为:文件类型->行为名称。
进一步地,所述的行为匹配指的是行为相似度分析,将应用程序的实时行为序列分别与应用程序的标准行为序列、勒索软件的行为序列做相似度运算,得到两个相似度值。将两个相似度值进行比较,判断应用程序意图是否符合用户意图。应用程序的实时行为序列与勒索软件的行为序列的相似度,大于等于应用程序的实时行为序列与应用程序的标准行为序列的相似度时,判定应用程序行为异常。
进一步地,所述对异常进行分级处理,包含云端监管功能,在程序意图异常时或请求敏感权限时,云端管理员接管处理,以减少因不正确处理异常而造成的潜在风险。
进一步地,所述的云端监管指的是服务器端的管理员会接手客户端无法处理的异常,并根据异常的发生频率等动态调整白名单,以实现对客户端主机的应用程序的动态管理。
一种基于细粒度访问控制的勒索软件防御系统,可划分为三个功能模块:文件系统管理模块、程序意图分析模块、异常分级处理模块,以保护主机的文件资源安全,对异常快速正确处理;
所述文件系统管理模块,用于使用访问控制的方式对文件系统的权限进行管理,包括对主机的应用程序行为进行实时监控,根据授权策略细粒度地控制应用程序对文件系统的权限,并判定应用程序行为是否存在文件操作异常;
所述程序意图分析模块,用于对应用程序行为进行分析,判断应用程序意图是否偏离用户意图,进而判定应用程序行为是否存在程序意图异常;
所述异常分级处理模块,用于在判定应用程序行为存在文件操作异常或程序意图异常时,对异常进行分级处理,根据用户的能力选择由用户处理异常或者上报给云端管理员进行处理。
进一步地,所述的文件系统管理模块使用访问控制的方式对文件系统的权限进行管理。访问控制技术防止对任何资源进行未授权的访问,使文件资源在合法的范围内被使用。本发明通过设置授权策略可以实现对文件系统的细粒度访问。本发明的授权策略的输入是客户端主机的应用程序发起的权限请求和白名单,如果白名单中存在此权限请求则允许应用程序的操作,否则向用户获取权限,让用户决定是否拦截当前操作。当应用程序发起对敏感文件的权限请求时,判定为异常行为,这种异常称为文件操作异常。
进一步地,所述的程序意图分析模块对白名单中的应用程序的操作行为进行分析得到程序意图是否偏离了用户意图,以检测白名单中的程序是否被恶意篡改。本发明中收集并存储有各个应用程序的标准行为序列、勒索软件的行为序列,并将当前程序的实时行为序列分别与两者进行行为匹配运算,得到两个相似度值。将两个相似度进行比较,判断程序意图是否符合用户意图。其中使用的相似度比较的方法是行为匹配的方式。当前行为与勒索行为的相似度大于等于与正常行为的相似度时,判定程序行为异常,这种异常称为程序意图异常。
进一步地,所述的异常分级处理模块在异常发生时,对异常进行评估,并根据用户的能力选择由用户处理异常还是上报给云端管理员进行处理。异常分级处理的输入是异常的详情,包括程序意图异常和文件操作异常两个类型的异常,以及用户身份标识,用来记录用户的异常处理能力。本发明会对异常等级进行判定,当用户能力可以完成对异常的正确处理时,本发明会进行弹窗将异常详情告知用户并要求二次确认;当异常等级超出用户的处理能力时,客户端会将异常上报服务器,由云端管理员进行处理。异常处理完成后,本发明收集处理结果,根据反馈对白名单进行更新维护。
与现有技术相比,本发明的积极效果如图1所示,具体为:
本发明对文件系统的权限管理更细粒度。本发明对权限的粒度细化到具体操作,避免了由于授予权限的粒度过大,应用程序获取的权限违背用户意图的情况发生;同时对权限及时回收,也避免了环境发生变化后应用程序仍然拥有权限而造成的潜在的危险。
本发明对白名单的应用程序定期进行意图分析,避免了良性程序被篡改后仍然持有权限,而发起攻击的情况发生时无法识别。本发明使用行为匹配的方式计算相似度,因为勒索软件的行为存在共性,与良性应用程序的行为可以很好的区分。行为匹配的计算方式简单,降低了因为运算而造成的过大的时间空间开销。
本发明对异常实行分级处理的方式,避免了当用户的防御意识不够,无法正确及时处理异常而导致勒索软件趁虚而入的情况发生。对异常进行评估,同时记录用户的能力,将用户无法处理的异常交给云端管理员。降低了异常发生后,因没有引起重视而造成的风险。
附图说明
图1为本发明的先进性示意图。
图2为本发明的方案的总体流程图。
图3为本发明的异常行为判定的流程图。
图4为文件系统管理模块的判定流程图。
图5为程序意图分析模块的判定流程图。
图6为异常分级处理模块的判定流程图。
具体实施方式
为了使本发明的目的、方案及优点更加清楚明白,以构建的攻击模型上进行的实验为例,对本发明作进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本发明的一种基于细粒度访问控制的勒索软件防御方法,其总体流程如图2所示。本方案对主机的应用程序行为实时监控,细粒度的控制应用程序对文件系统的权限。同时配置白名单对程序行为进行过滤,以保证本方案不会在良性程序运行时频繁的发起权限请求。本方案中具有应用程序意图检测功能,该功能包含对应用程序的标准行为序列的收集,勒索软件的行为序列的存储更新,并将应用程序的实时行为序列与上述两类序列做行为匹配,以及时检测出程序意图是否偏离了用户意图。本方案同时具有云端监管功能,在程序意图异常时或请求敏感权限时,云端管理员接管处理,以减少因不正确处理异常而造成的潜在风险。
本发明的异常行为判定流程如图3所示。本发明通过设置授权策略可以实现对文件系统的细粒度访问。本发明的授权策略的输入是客户端主机的应用程序发起的权限请求和白名单,如果白名单中存在此权限请求则允许应用程序的操作,否则向用户获取权限,让用户决定是否拦截当前操作。当应用程序发起对敏感文件的权限请求时,判定为异常行为。本发明还对白名单中的应用程序的操作行为进行分析得到程序意图是否偏离了用户意图,以检测白名单中的程序是否被恶意篡改。本发明中收集并存储有各个应用程序的标准行为序列、勒索软件的行为序列,并将当前程序的实时行为序列分别与两者进行行为匹配运算,得到两个相似度值。将两个相似度进行比较,判断程序意图是否符合用户意图。其中使用的相似度比较的方法是行为匹配的方式。当前行为与勒索行为的相似度大于等于与正常行为的相似度时,判定程序行为异常。
本发明的一种基于细粒度访问控制的勒索软件防御系统,可划分为三个功能模块:文件系统管理模块、程序意图分析模块、异常分级处理模块,以保护主机的文件资源安全,对异常快速正确处理。
文件系统管理模块的处理流程如图4所示。该模块使用访问控制的方式对文件系统的权限进行管理,防止对任何资源进行未授权的访问,使文件资源在合法的范围内被使用。该模块通过设置授权策略可以实现对文件系统的细粒度访问。授权策略的输入是客户端主机的应用程序发起的权限请求和白名单,如果白名单中存在此权限请求则允许应用程序的操作,否则向用户获取权限,让用户决定是否拦截当前操作。当应用程序发起对敏感文件的权限请求时,判定为异常行为。
程序意图分析模块的处理流程如图5所示。该模块对白名单中的应用程序的操作行为进行分析得到程序意图是否偏离了用户意图,以检测白名单中的程序是否被恶意篡改。该模块收集并存储有各个应用程序的标准行为序列、勒索软件的行为序列,并将当前程序的实时行为序列分别与两者进行行为匹配运算,即在两种行为序列中搜索是否存在与实时行为序列相似或相等的序列,分别得到最大相似度,由此得到两个相似度值。将两个相似度进行比较,判断程序意图是否符合用户意图。其中使用的相似度比较的方法是行为匹配的方式。当前行为与勒索行为的相似度P勒大于等于当前行为与正常行为(标准行为序列)的相似度P标时,判定程序行为异常。
异常分级处理模块的处理流程如图6所示。该模块在异常发生时对异常进行评估,并根据用户的能力选择由用户处理异常还是上报给云端管理员进行处理。异常分级处理的输入是异常的详情,包括程序意图异常和文件操作异常两个类型的异常,以及用户身份标识PU,用来记录用户的异常处理能力。本发明会对程序意图异常的异常等级Pe和文件操作异常的异常等级Pf进行判定,当用户能力可以完成对异常的正确处理时(PU≥Pe或PU≥Pf),本发明会进行弹窗将异常详情告知用户并要求二次确认;当异常等级超出用户的处理能力时,客户端会将异常上报服务器,由云端管理员进行处理。异常处理完成后,本发明收集处理结果,根据反馈对白名单进行更新维护。
下面以photoshop.exe对目标文件test.jpg的删除操作为例,描述本发明的基于细粒度访问控制的勒索软件防御方法的具体实施步骤。
首先photoshop.exe发起对test.jpg的删除操作的权限请求,该权限请求被本发明监控到。本方案获取该权限请求的应用程序路径、文件资源路径、操作类型。将权限请求与白名单进行比对,白名单中对photoshop.exe的权限允许对文件test.jpg的读取操作,但不存在删除操作。该权限请求被本发明拦截,等待确认。
本发明对文件test.jpg操作的敏感程度和用户能力进行评估。若敏感程度高,则发起异常;若敏感程度不高,则由用户对此异常行为进行处理,用户可选择阻塞该行为或允许程序的当前操作。
在白名单应用程序的正常运行时的行为(即实时行为序列)也被本发明实时监控记录,并定期对程序的行为序列进行分析。
当应用程序的文件操作判定为异常时,本发明对异常进行评估定级,根据用户的处理能力判断交由用户自己处理或由云端管理员处理。
例如,本发明会定期对photoshop.exe的行为序列进行分析,将当前产生的行为序列分别与该应用的标准行为序列和勒索软件的行为序列对比。如果当前的行为序列包含进行大量的文件的读写删除操作,并且访问很多不同的文件类型,且与勒索软件的行为序列相似度极高,即判定该程序异常。本发明立刻停止此应用程序的所有活动,将此异常通过弹窗告知用户或上传至云端管理员。根据具体的处理结果,云端管理员对白名单进行维护更新。
本实施例在应用后主机的其他进程未受到明显的影响,而用户主机文件资源得到了可证明的保护,显示了本发明在保护本机文件上有可用的有效性。
本发明的其他实施例中,文件系统管理模块可以采用抓取与文件操作有关的API实现文件操作的监视与过滤。程序意图分析模块可以进一步考虑行为序列的时序性等信息,采用决策树等方式,通过对良性行为序列进行有监督的学习,输入已发生的行为序列判断当前的操作可能成为异常操作的可能性;同时文件的操作序列作为自然语言存储,可以利用自然语言处理的相关算法进行处理,例如使用长短期记忆网络(LSTM)算法,可以将每一个行为作为一个词输入,这样可以解决距离较远的行为间仍存在依赖关系的问题,以预测当前行为。分级处理模块的实现可以使用基于虚拟专用网络(VPN)的方式,同样也能够实现加密通讯和远程访问的功能。
本发明的另一实施例提供一种计算机设备(计算机、服务器、智能手机等),其包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,所述计算机程序包括用于执行本发明方法中各步骤的指令。
本发明的另一实施例提供一种计算机可读存储介质(如ROM/RAM、磁盘、光盘),所述计算机可读存储介质存储计算机程序,所述计算机程序被计算机执行时,实现本发明方法的各个步骤。
以上所述为本发明的一个实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种基于细粒度访问控制的勒索软件防御方法,其特征在于,包括以下步骤:
对主机的应用程序行为进行实时监控,根据授权策略细粒度地控制应用程序对文件系统的权限,并判定应用程序行为是否存在文件操作异常;
对应用程序行为进行分析,判断应用程序意图是否偏离用户意图,进而判定应用程序行为是否存在程序意图异常;
在判定应用程序行为存在文件操作异常或程序意图异常时,对异常进行分级处理,根据用户的能力选择由用户处理异常或者上报给云端管理员进行处理。
2.根据权利要求1所述的方法,其特征在于,所述授权策略的输入是客户端主机的应用程序发起的权限请求和白名单,如果白名单中存在此权限请求则允许应用程序的操作,否则向用户获取权限,让用户决定是否拦截当前操作;当应用程序发起对敏感文件的权限请求时,判定为文件操作异常。
3.根据权利要求1所述的方法,其特征在于,所述对应用程序行为进行分析,判断应用程序意图是否偏离用户意图,进而判定应用程序行为是否存在程序意图异常,包括:
收集白名单中的应用程序的标准行为序列和勒索软件的行为序列,并将应用程序的实时行为序列与该两类行为序列做行为匹配,从而及时检测出应用程序意图是否偏离用户意图,如果偏离了用户意图则判定为程序意图异常。
4.根据权利要求3所述的方法,其特征在于,所述收集白名单中的应用程序的标准行为序列和勒索软件的行为序列,包括:
在Windows沙盒中运行应用程序,记录该应用程序的行为,所记录的格式为:文件类型->行为名称,将收集到的行为序列作为该应用程序的标准行为序列;
收集勒索软件在文件行为上的典型行为,作为勒索软件的行为序列,勒索软件的行为的格式为:文件类型->行为名称。
5.根据权利要求3所述的方法,其特征在于,所述行为匹配是指行为相似度分析,即将应用程序的实时行为序列分别与应用程序的标准行为序列、勒索软件的行为序列做相似度运算,得到两个相似度值,将两个相似度值进行比较,判断应用程序意图是否符合用户意图;应用程序的实时行为序列与勒索软件的行为序列的相似度,大于等于应用程序的实时行为序列与应用程序的标准行为序列的相似度时,判定应用程序行为异常。
6.根据权利要求1所述的方法,其特征在于,所述对异常进行分级处理,包含云端监管功能,在程序意图异常时或请求敏感权限时,云端管理员接管处理,以减少因不正确处理异常而造成的潜在风险。
7.根据权利要求6所述的方法,其特征在于,所述云端监管是指服务器端的管理员接手客户端无法处理的异常,并根据异常的发生频率动态调整白名单,以实现对客户端主机的应用程序的动态管理。
8.一种基于细粒度访问控制的勒索软件防御系统,其特征在于,包括:
文件系统管理模块,用于使用访问控制的方式对文件系统的权限进行管理,包括对主机的应用程序行为进行实时监控,根据授权策略细粒度地控制应用程序对文件系统的权限,并判定应用程序行为是否存在文件操作异常;
程序意图分析模块,用于对应用程序行为进行分析,判断应用程序意图是否偏离用户意图,进而判定应用程序行为是否存在程序意图异常;
异常分级处理模块,用于在判定应用程序行为存在文件操作异常或程序意图异常时,对异常进行分级处理,根据用户的能力选择由用户处理异常或者上报给云端管理员进行处理。
9.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,所述计算机程序包括用于执行权利要求1~7中任一项所述方法的指令。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机程序,所述计算机程序被计算机执行时,实现权利要求1~7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211453255.4A CN115758355A (zh) | 2022-11-21 | 2022-11-21 | 一种基于细粒度访问控制的勒索软件防御方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211453255.4A CN115758355A (zh) | 2022-11-21 | 2022-11-21 | 一种基于细粒度访问控制的勒索软件防御方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115758355A true CN115758355A (zh) | 2023-03-07 |
Family
ID=85334136
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211453255.4A Pending CN115758355A (zh) | 2022-11-21 | 2022-11-21 | 一种基于细粒度访问控制的勒索软件防御方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115758355A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116361773A (zh) * | 2023-03-28 | 2023-06-30 | 南京捷安信息科技有限公司 | 一种可信白名单特权清单的设计方法、系统及存储介质 |
| CN116861419A (zh) * | 2023-09-05 | 2023-10-10 | 国网江西省电力有限公司信息通信分公司 | 一种ssr上主动防御日志告警方法 |
| CN117614724A (zh) * | 2023-12-06 | 2024-02-27 | 北京东方通科技股份有限公司 | 一种基于体系细粒度处理的工业互联网访问控制方法 |
| CN117692261A (zh) * | 2024-02-04 | 2024-03-12 | 长沙市智为信息技术有限公司 | 一种基于行为子图表征的恶意Bot识别方法 |
-
2022
- 2022-11-21 CN CN202211453255.4A patent/CN115758355A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116361773A (zh) * | 2023-03-28 | 2023-06-30 | 南京捷安信息科技有限公司 | 一种可信白名单特权清单的设计方法、系统及存储介质 |
| CN116361773B (zh) * | 2023-03-28 | 2024-03-08 | 南京捷安信息科技有限公司 | 一种可信白名单特权清单的设计方法、系统及存储介质 |
| CN116861419A (zh) * | 2023-09-05 | 2023-10-10 | 国网江西省电力有限公司信息通信分公司 | 一种ssr上主动防御日志告警方法 |
| CN116861419B (zh) * | 2023-09-05 | 2023-12-08 | 国网江西省电力有限公司信息通信分公司 | 一种ssr上主动防御日志告警方法 |
| CN117614724A (zh) * | 2023-12-06 | 2024-02-27 | 北京东方通科技股份有限公司 | 一种基于体系细粒度处理的工业互联网访问控制方法 |
| CN117692261A (zh) * | 2024-02-04 | 2024-03-12 | 长沙市智为信息技术有限公司 | 一种基于行为子图表征的恶意Bot识别方法 |
| CN117692261B (zh) * | 2024-02-04 | 2024-04-05 | 长沙市智为信息技术有限公司 | 一种基于行为子图表征的恶意Bot识别方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11783069B2 (en) | Enterprise document classification | |
| US11755974B2 (en) | Computer augmented threat evaluation | |
| CN115758355A (zh) | 一种基于细粒度访问控制的勒索软件防御方法及系统 | |
| KR101744631B1 (ko) | 네트워크 보안 시스템 및 보안 방법 | |
| Phyo et al. | A detection-oriented classification of insider it misuse | |
| GB2581877A (en) | Detecting obfuscated malware variants | |
| CN113660224A (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN111885019A (zh) | 一种基于攻防信息对比的网络安全态势要素提取方法 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| US12086236B2 (en) | System and method for identifying a cryptor that encodes files of a computer system | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| Meijerink | Anomaly-based detection of lateral movement in a microsoft windows environment | |
| US20230252138A1 (en) | Cybersecurity workflow management using autodetection | |
| Rehman et al. | A Systematic Literature Review of Ransomware Detection Methods and Tools for Mitigating Potential Attacks | |
| Ghadge | Enhancing threat detection in Identity and Access Management (IAM) systems | |
| US12026204B2 (en) | Automatic incident dispatcher | |
| US20230229792A1 (en) | Runtime risk assessment to protect storage systems from data loss | |
| EP3961449A1 (en) | System and method for identifying a cryptor that encodes files of a computer system | |
| HOxHALLI | APPLyING STATISTICAL TECHNIqUES TO CyBER SECURITy IN THE AGE OF BIG DATA | |
| Min et al. | Research and Implementation of Network Security Deployment Based on Private Cloud Security Platform | |
| Alshaikh et al. | Crypto-Ransomware Detection and Prevention Techniques and Tools A Survey | |
| Kedia et al. | A Unique Approach for Detection and Removal of Key Loggers | |
| CN116702198A (zh) | 一种数据库智能防盗系统 | |
| Maneesha et al. | Deep Learning Approach For Intelligent Intrusion Detection System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |