CN116094847B - 蜜罐识别方法、装置、计算机设备和存储介质 - Google Patents
蜜罐识别方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN116094847B CN116094847B CN202310377006.XA CN202310377006A CN116094847B CN 116094847 B CN116094847 B CN 116094847B CN 202310377006 A CN202310377006 A CN 202310377006A CN 116094847 B CN116094847 B CN 116094847B
- Authority
- CN
- China
- Prior art keywords
- target
- request message
- identification
- honeypot
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种蜜罐识别方法、装置、计算机设备和存储介质,涉及信息安全技术领域,可用于金融科技领域或其他领域。所述方法包括:在目标客户端访问目标系统的过程中,监测目标客户端发送的请求消息,并判断请求消息是否为跨域请求消息;在请求消息为跨域请求消息的情况下,根据预设的特征识别策略,识别请求消息包含的目标识别特征;从识别特征和异常等级的对应关系中,确定目标识别特征对应的目标异常等级;基于目标异常等级,确定目标系统的识别结果,识别结果用于表征目标系统是否为蜜罐。采用本方法能够提高蜜罐识别的精准度。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种蜜罐识别方法、装置、计算机设备和存储介质。
背景技术
随着云计算、物联网等技术的发展,网络不再有明确的边界,网络安全体系建设也由传统对攻击的被动防御,上升至攻防对抗层面。网络安全体系可以基于蜜罐技术构建,即通过部署蜜罐来防御对业务系统的网络攻击。蜜罐识别,是从攻击者的角度来识别部署于防守方的蜜罐。在应用中,可以通过蜜罐识别的结果,来评估蜜罐产品的防御效果。
相关技术中,识别蜜罐的方法一般是基于蜜罐的欺骗行为特征进行识别,如基于端口信息、响应报文的关键字段等特征,识别出伪装业务系统的蜜罐。随着蜜罐技术的发展,出现了溯源型蜜罐,现有的基于欺骗行为特征识别蜜罐的方法,对溯源型蜜罐的识别精准度较低,得到的识别结果难以准确反映溯源型蜜罐的实际防御效果。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高蜜罐识别精准度的蜜罐识别方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种蜜罐识别方法。所述方法包括:
在目标客户端访问目标系统的过程中,监测所述目标客户端发送的请求消息,并判断所述请求消息是否为跨域请求消息;
在所述请求消息为跨域请求消息的情况下,根据预设的特征识别策略,识别所述请求消息包含的目标识别特征;
从识别特征和异常等级的对应关系中,确定所述目标识别特征对应的目标异常等级;
基于所述目标异常等级,确定所述目标系统的识别结果,所述识别结果用于表征所述目标系统是否为蜜罐。
在其中一个实施例中,所述根据预设的特征识别策略,识别所述请求消息包含的目标识别特征,包括:
获取待匹配的特征集合;所述特征集合包含多个基于目标网络行为提取得到的识别特征;
将所述请求消息与所述特征集合中的各所述识别特征进行匹配处理,并将匹配成功的所述识别特征,确定为所述请求消息包含的目标识别特征。
在其中一个实施例中,所述将所述请求消息与所述特征集合中的各所述识别特征进行匹配处理,包括:
解析所述请求消息,并从解析后的请求消息中提取目标字段信息;
将所述目标字段信息与所述特征集合中的各所述识别特征进行比对,并将与所述目标字段信息相同的识别特征,确定为匹配成功的识别特征。
在其中一个实施例中,所述识别特征对应有异常等级;所述将所述请求消息与所述特征集合中的各所述识别特征进行匹配处理,包括:
将所述特征集合中的各所述识别特征,按照异常等级从高到底的顺序与所述请求消息进行匹配处理。
在其中一个实施例中,所述目标异常等级包括第一异常等级和第二异常等级,所述第一异常等级的异常程度大于所述第二异常等级;所述基于所述目标异常等级,确定所述目标系统的识别结果,包括:
在所述目标异常等级为第一异常等级的情况下,将所述目标系统识别为蜜罐;
在所述目标异常等级为第二异常等级的情况下,确定目标异常等级为第二异常等级的请求消息集合,并基于所述请求消息集合确定所述目标系统的识别结果。
在其中一个实施例中,所述基于所述请求消息集合确定所述目标系统的识别结果,包括:
提取所述请求消息集合中各请求消息包含的目标域名;
在所述目标域名的种类数量大于预设阈值的情况下,将所述目标系统识别为蜜罐。
在其中一个实施例中,所述目标异常等级包括第一异常等级和第二异常等级,所述第一异常等级的异常程度大于所述第二异常等级;所述基于所述目标异常等级,确定所述目标系统的识别结果,包括:
在所述目标异常等级为第二异常等级的情况下,获取所述目标系统的前端内容信息;
将所述目标系统的前端内容信息和所述请求消息输入至关联度模型,得到所述请求消息与所述目标系统的关联度;
在所述关联度小于预设阈值的情况下,将所述目标系统识别为蜜罐。
在其中一个实施例中,所述方法还包括:
检测所述目标客户端安装的目标渗透测试软件的目标功能的启用状态;所述启用状态包括开启状态和关闭状态;
在所述目标功能为开启状态的情况下,显示提示信息,所述提示信息用于提示用户关闭所述目标功能。
在其中一个实施例中,所述方法还包括:
在所述目标客户端访问所述目标系统的过程中,获取所述目标系统的文件数据;
识别所述文件数据的风险程度,并在所述文件数据的风险程度满足预设条件的情况下,将所述目标系统识别为蜜罐。
第二方面,本申请还提供了一种蜜罐识别装置。所述装置包括:
监测模块,用于在目标客户端访问目标系统的过程中,监测所述目标客户端发送的请求消息,并判断所述请求消息是否为跨域请求消息;
第一识别模块,用于在所述请求消息为跨域请求消息的情况下,根据预设的特征识别策略,识别所述请求消息包含的目标识别特征;
第一确定模块,用于从识别特征和异常等级的对应关系中,确定所述目标识别特征对应的目标异常等级;
第二确定模块,用于基于所述目标异常等级,确定所述目标系统的识别结果,所述识别结果用于表征所述目标系统是否为蜜罐。
在其中一个实施例中,所述第一识别模块具体用于:
获取待匹配的特征集合;所述特征集合包含多个基于目标网络行为提取得到的识别特征;将所述请求消息与所述特征集合中的各所述识别特征进行匹配处理,并将匹配成功的所述识别特征,确定为所述请求消息包含的目标识别特征。
在其中一个实施例中,所述第一识别模块具体用于:
解析所述请求消息,并从解析后的请求消息中提取目标字段信息;将所述目标字段信息与所述特征集合中的各所述识别特征进行比对,并将与所述目标字段信息相同的识别特征,确定为匹配成功的识别特征。
在其中一个实施例中,所述识别特征对应有异常等级;所述第一识别模块具体用于:
将所述特征集合中的各所述识别特征,按照异常等级从高到底的顺序与所述请求消息进行匹配处理。
在其中一个实施例中,所述目标异常等级包括第一异常等级和第二异常等级,所述第一异常等级的异常程度大于所述第二异常等级;所述第二确定模块具体用于:
在所述目标异常等级为第一异常等级的情况下,将所述目标系统识别为蜜罐;在所述目标异常等级为第二异常等级的情况下,确定目标异常等级为第二异常等级的请求消息集合,并基于所述请求消息集合确定所述目标系统的识别结果。
在其中一个实施例中,所述第二确定模块具体用于:
提取所述请求消息集合中各请求消息包含的目标域名;在所述目标域名的种类数量大于预设阈值的情况下,将所述目标系统识别为蜜罐。
在其中一个实施例中,所述目标异常等级包括第一异常等级和第二异常等级,所述第一异常等级的异常程度大于所述第二异常等级;所述第二确定模块具体用于:
在所述目标异常等级为第二异常等级的情况下,获取所述目标系统的前端内容信息;将所述目标系统的前端内容信息和所述请求消息输入至关联度模型,得到所述请求消息与所述目标系统的关联度;在所述关联度小于预设阈值的情况下,将所述目标系统识别为蜜罐。
在其中一个实施例中,所述装置还包括:
检测模块,用于检测所述目标客户端安装的目标渗透测试软件的目标功能的启用状态;所述启用状态包括开启状态和关闭状态;
提示模块,用于在所述目标功能为开启状态的情况下,显示提示信息,所述提示信息用于提示用户关闭所述目标功能。
在其中一个实施例中,所述装置还包括:
获取模块,用于在所述目标客户端访问所述目标系统的过程中,获取所述目标系统的文件数据;
第二识别模块,用于识别所述文件数据的风险程度,并在所述文件数据的风险程度满足预设条件的情况下,将所述目标系统识别为蜜罐。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现第一方面所述的方法的步骤。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的方法的步骤。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现第一方面所述的方法的步骤。
上述蜜罐识别方法、装置、计算机设备、存储介质和计算机程序产品,通过监测目标客户端在访问目标系统的过程中发送的跨域请求消息,并基于跨域请求消息包含的目标识别特征的异常等级,判断目标系统是否为蜜罐。其中,目标识别特征可以是与蜜罐的溯源行为关联的特征,由此,可以实现基于蜜罐的溯源行为特征识别蜜罐,对溯源型蜜罐的识别精准度更高,该识别结果可以更准确的反映溯源型蜜罐的实际防御效果。
附图说明
图1为一个实施例中蜜罐识别方法的应用环境图;
图2为一个实施例中蜜罐识别方法的流程示意图;
图3为一个实施例中识别目标识别特征的流程示意图;
图4为一个实施例中确定识别结果的流程示意图;
图5为另一个实施例中确定识别结果的流程示意图;
图6为一个实施例中蜜罐识别装置的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
首先,在具体介绍本申请实施例的技术方案之前,先对本申请实施例基于的技术背景或者技术演进脉络进行介绍。蜜罐是一种对攻击方进行欺骗的技术,可以针对业务系统部署蜜罐,诱使攻击者对蜜罐实施攻击,从而可以保护业务系统免受攻击。随着蜜罐技术的发展,出现了溯源型蜜罐,溯源型蜜罐可以搜集攻击者更全面的信息,以便对攻击者进行追踪和溯源,提升主动防御能力。蜜罐识别,是从攻击者的角度来识别部署于防守方的蜜罐。一方面,可以通过蜜罐识别,来评估蜜罐产品的防御效果。若蜜罐被轻易识别,则无法诱捕攻击者,失去蜜罐的防护价值,无法达到保护业务系统的目的。因此,为了评估蜜罐产品的防御效果,有必要进行蜜罐识别:若被准确识别出,则说明蜜罐的防御效果较差,有待进一步提高;若未被识别出,则防御效果较好。并且,蜜罐识别的准确度越高,对蜜罐防御效果的评估越准确。另一方面,在某些应用场景,如网络空间安全评估的场景,为提高安全评估的结果准确度,需准确识别出蜜罐系统,仅对除蜜罐系统之外的真实业务系统进行安全评估。因此,有必要研究识别准确度较高的蜜罐识别方法。
相关技术中,识别蜜罐的方法主要是基于蜜罐的欺骗行为特征(如端口信息、响应报文的关键字段等)进行蜜罐识别,该方法适用于普遍性的蜜罐识别。而对于溯源型蜜罐,该方法的识别精准度较低,因而识别结果无法准确的反映出溯源型蜜罐的实际防御效果。基于该背景,申请人通过长期的研发以及实验验证,提出本申请的蜜罐识别方法,通过监测目标客户端在访问目标系统的过程中是否发送了包含与蜜罐溯源行为关联的识别特征的跨域请求消息,并基于跨域请求消息包含的识别特征的异常等级,判断目标系统是否为蜜罐,由此,可以实现基于蜜罐的溯源行为特征识别蜜罐,对溯源型蜜罐的识别精准度更高,该识别结果可以更准确的反映溯源型蜜罐的实际防御效果。另外,需要说明的是,本申请技术问题的发现以及下述实施例介绍的技术方案,申请人均付出了大量的创造性劳动。
本申请实施例提供的蜜罐识别方法,可以应用于如图1所示的应用环境中。其中,终端102可以通过网络与目标系统104进行通信。终端102上可以安装有目标客户端(如浏览器客户端)。目标系统104可以是针对业务系统对应部署的蜜罐(如评估蜜罐防御效果的应用场景),也可以是真实的业务系统(如网络空间安全评估的应用场景)。终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备等。目标系统104可以通过独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种蜜罐识别方法,该方法可应用于如图1所示的终端,该方法包括以下步骤:
步骤201,在目标客户端访问目标系统的过程中,监测目标客户端发送的请求消息,并判断请求消息是否为跨域请求消息。
在实施中,用户可以通过终端上安装的目标客户端访问目标系统,如通过浏览器客户端访问目标系统提供的web(World Wide Web,全球广域网)页面。在目标客户端访问目标系统的过程中,终端可以监测目标客户端发送的请求消息。例如,终端可以安装相关工具(如渗透测试软件burpsuite等),以拦截目标客户端在访问目标系统的过程中发送的所有请求消息。该请求消息可以是发送给目标系统、以获取目标系统提供的资源的请求,也可以是发给其它系统(非目标系统)、用于获取非目标系统的资源的请求,即为跨域请求。终端可以将该请求消息中URL(Uniform Resource Locator,统一资源定位符)所包含的域名,与目标系统的域名进行比对,若二者不同,则终端可以将该请求消息确定为跨域请求消息。若目标客户端发送了多个请求消息,则终端可以对每个请求消息进行跨域判断。
步骤202,在请求消息为跨域请求消息的情况下,根据预设的特征识别策略,识别请求消息包含的目标识别特征。
在实施中,终端监测到目标客户端发送的请求消息为跨域请求消息(或发送的多个请求消息中存在跨域请求消息)的情况下,可以对发送的跨域请求消息进行特征识别,识别出该跨域请求消息包含的目标识别特征。目标识别特征可以是与蜜罐的溯源行为关联的特征。蜜罐的溯源行为目的是采集攻击者信息,以勾画攻击者画像,定位攻击源。攻击者信息可以包括网络信息(如IP(Internet Protocol,网际互连协议)地址、域名等)、个人身份信息(手机号、第三方平台(如微信、淘宝、微博、百度等)的登录帐号等)、浏览器指纹信息,一般通过跨域请求来实现以上信息的溯源。因此,可以基于蜜罐获取前述各攻击者信息的溯源行为(或网络行为),提取出对应的识别特征。识别特征可以有多个,若目标客户端发送的跨域请求消息与某识别特征匹配成功,则可以将该匹配成功的识别特征确定为该跨域请求消息包含的目标识别特征。若目标客户端发送了多个跨域请求消息,则终端可以确定出每个跨域请求消息匹配的目标识别特征。
步骤203,从识别特征和异常等级的对应关系中,确定目标识别特征对应的目标异常等级。
在实施中,各识别特征可以对应有异常等级,异常等级可以表征正常业务系统使用跨域请求来获取该识别特征对应的访问者信息的异常程度或常规程度,异常等级可以与异常程度正相关,即异常等级越高,异常程度越大。可以基于正常业务系统使用跨域请求获取该类信息的概率或频率,来设置各识别特征的异常等级。例如,提供正常web服务的业务系统基本不会使用跨域请求来获取手机号、浏览器指纹信息等访问者信息,因而该类信息溯源行为的识别特征(如cmpassport.com,使用fingerprint插件对应的公开函数)对应的异常等级较高。而业务系统多次调用第三方平台(特别是百度、微博等常用平台相关的站点)的可能性较大,因此对于获取百度账号信息、微博账号信息、百度统计服务等第三方平台账号信息的溯源行为的识别特征,可以对应相对较低的异常等级。可以预先建立各识别特征和异常等级的对应关系,从而终端可以在该对应关系中,查找出目标识别特征对应的异常等级,作为该跨域请求消息对应的目标异常等级。
步骤204,基于目标异常等级,确定目标系统的识别结果。
其中,识别结果用于表征目标系统是否为蜜罐。
在实施中,由于目标异常等级越高,正常的业务系统获取该目标识别特征对应的访问者信息的概率越小、异常程度越大,因而目标系统为蜜罐的概率越大。因此,终端可以在目标异常等级满足条件(如高于预设等级)的情况下,将目标系统确定为蜜罐。若目标异常等级不满足条件,则可以将目标系统确定为非蜜罐(即正常业务系统)。
上述蜜罐识别方法中,通过监测目标客户端访问目标系统的过程发送的请求消息,若监测到跨域请求消息,则进一步确定出该跨域请求消息包含的目标识别特征、以及该目标识别特征对应的目标异常等级,然后基于目标异常等级确定目标系统的识别结果。其中,目标识别特征可以是与蜜罐的溯源行为关联的特征,包含该特征的跨域请求可以用于获取访问者的信息。由于提供正常web服务的业务系统也可能涉及获取访问者部分信息的跨域请求,因而可以通过对获取访问者各类信息的跨域请求进行异常等级划分,建立各类信息的识别特征与异常等级的对应关系。正常业务系统使用跨域请求来获取该类信息的概率越小,则该类信息对应的识别特征的异常等级越高,因而可以基于跨域请求消息对应的目标异常等级来判断目标系统是否为蜜罐。由此,可以实现基于蜜罐的溯源行为特征识别蜜罐,对溯源型蜜罐的识别精准度更高,该识别结果可以更准确的反映溯源型蜜罐的实际防御效果。
在一个实施例中,如图3所示,步骤202中识别目标识别特征的过程具体包括如下步骤:
步骤301,获取待匹配的特征集合。
其中,特征集合包含多个基于目标网络行为提取得到的识别特征。
在实施中,蜜罐采集攻击者信息的溯源行为,主要包括获取网络信息、访问第三方平台、获取浏览器指纹等目标网络行为,因而可以基于各目标网络行为提取出对应的识别特征。在一个示例中,蜜罐的各目标网络行为对应的识别特征,可以如表1所示。例如,若目标客户端发送的跨域请求消息,与表1中的识别特征“api.ip.sb”匹配成功(如请求消息的URL中包含该识别特征),则表明目标系统存在获取访问者IP地址的行为;若与识别特征“cmpassport.com”匹配成功,则表明目标系统存在获取访问者手机号的行为;若与识别特征“api.weibo.com”匹配成功,则表明目标系统存在访问第三方平台(微博平台)以获取访问者在该平台的登录账号的行为;若与使用fingerprint插件对应的公开函数匹配成功,则表明目标系统存在使用fingerprint插件获取访问者浏览器指纹的行为。可以理解的,表1中的溯源行为类别、以及各溯源行为对应的识别特征仅举例说明,具体可根据实际需要设置。各识别特征组成的集合即为待匹配的特征集合。
表1 溯源行为识别特征表
步骤302,将请求消息与特征集合中的各识别特征进行匹配处理,并将匹配成功的识别特征,确定为请求消息包含的目标识别特征。
在实施中,终端可以将请求消息与各识别特征进行匹配处理,以确定出该请求消息包含的目标识别特征。例如,终端可以将每个识别特征分别作为关键字,在该请求消息中进行关键字查找,若在请求消息中查找到某个识别特征,则该识别特征与该请求消息匹配成功,将其确定为目标识别特征。若跨域请求消息为多个,则可以分别对每个跨域请求消息进行特征匹配,确定出各跨域请求消息对应的目标识别特征。
本实施例中,将待匹配的特征集合中的各识别特征分别与请求消息进行匹配,匹配成功的识别特征即为该请求消息包含的目标识别特征,由此,可以快速准确地确定出请求消息包含的目标识别特征。
在一个实施例中,步骤302中匹配处理的过程具体包括如下步骤:解析请求消息,并从解析后的请求消息中提取目标字段信息;将目标字段信息与特征集合中的各识别特征进行比对,并将与目标字段信息相同的识别特征,确定为匹配成功的识别特征。
在实施中,终端可以对该请求消息进行解析处理,然后从解析后的请求消息中提取出目标字段信息。目标字段信息可以是该请求消息中URL包含的域名,也可以是特定位置的函数名称,具体与待匹配的识别特征有关。之后,终端可以将目标字段信息与各识别特征进行逐一比对,若存在与目标字段信息相同的识别特征,则可以将该识别特征确定为匹配成功的识别特征,作为该请求消息包含的目标识别特征。
本实施例中,提供了一种将请求消息与识别特征进行匹配,以确定目标识别特征的具体实施方式,可以快速准确的识别出请求消息包含的、与溯源行为关联的目标识别特征。
在一个实施例中,各识别特征对应有异常等级。步骤302中匹配处理的过程具体包括如下步骤:将特征集合中的各识别特征,按照异常等级从高到底的顺序与请求消息进行匹配处理。
在实施中,各识别特征可以对应有异常等级。如前述步骤203中的说明,可以预先建立识别特征和异常等级的对应关系,从而可以基于该对应关系,确定各识别特征的异常等级的高低。终端将请求消息与各识别特征进行匹配处理时,可以将各识别特征按照异常等级从高到低的顺序进行匹配。即可以优先将异常等级最高的识别特征与请求消息匹配。对于监测到一个跨域请求消息的情况,若该跨域请求消息与最高异常等级的某识别特征(或异常等级大于预设阈值的某识别特征)匹配成功,则可以将目标系统识别为蜜罐;若该跨域请求消息与最高异常等级的各识别特征(或异常等级大于预设阈值的各识别特征)均未匹配成功,则可以将目标系统识别为非蜜罐,而不需要进行后续等级的识别特征的匹配。对于监测到多个跨域请求消息的情况,在将多个跨域请求消息与各识别特征进行匹配的过程中,可以将各识别特征按照异常等级从高到低的顺序进行匹配,若任一跨域请求消息与最高异常等级的某识别特征(或异常等级大于预设阈值的某识别特征)匹配成功,则可以将目标系统识别为蜜罐,而不需要进行后续等级的识别特征的匹配。
本实施例中,在将特征集合中的各识别特征与请求消息进行匹配的过程中,可以按照异常等级从高到底的顺序进行匹配,由此,若在任一跨域请求消息与最高异常等级的某识别特征(或异常等级大于预设阈值的某识别特征)匹配成功的情况下,则可以将目标系统识别为蜜罐,不需要进行全部识别特征的匹配,可以提高识别效率。
在一个实施例中,目标异常等级包括第一异常等级和第二异常等级,第一异常等级的异常程度大于第二异常等级。如图4所述,步骤204中确定识别结果的过程具体包括如下步骤:
步骤401,在目标异常等级为第一异常等级的情况下,将目标系统识别为蜜罐。
在实施中,异常等级可以分为两级,即第一异常等级(如高异常等级)和第二异常等级(如低异常等级)。可以根据正常业务系统使用跨域请求来获取该识别特征对应的访问者信息的异常程度高低,设置各识别特征的异常等级。如获取手机号、浏览器指纹信息等网络行为对应的识别特征(如表1中的cmpassport.com,使用fingerprint插件对应的公开函数),可以设为第一异常等级。其它识别特征(如访问包含登陆账号信息的第三方平台、获取网络信息等网络行为的识别特征)可以设为第二异常等级。若终端识别出目标客户端发送的跨域请求消息对应的目标异常等级为第一异常等级,则可以将目标系统识别为蜜罐。
步骤402,在目标异常等级为第二异常等级的情况下,确定目标异常等级为第二异常等级的请求消息集合,并基于请求消息集合确定目标系统的识别结果。
在实施中,若终端识别出目标客户端发送的跨域请求消息对应的目标异常等级为第二异常等级,则可以确定目标异常等级为第二异常等级的请求消息集合,例如,可以将目标客户端在访问目标系统的过程中发送的全部第二异常等级的跨域请求消息组成请求消息集合,或者将目标客户端在预设时长内(如访问目标系统后的1分钟内)发送的第二异常等级的跨域请求消息组成请求消息集合。然后终端可以基于请求消息集合确定目标系统的识别结果。例如,终端可以确定请求消息集合中的请求消息的数量,若该数量大于预设阈值,则识别为蜜罐,若小于或等于预设阈值,则识别为非蜜罐。
本实施例中,异常等级包括两级,跨域请求消息可以为一个或多个,若任一跨域请求消息对应的目标识别特征为第一异常等级,则可以将目标系统识别为蜜罐;若全部跨域请求消息均不是第一异常等级,且确定出第二异常等级的跨域请求消息,则可以将第二异常等级的跨域请求消息组成请求消息集合,以基于该集合确定识别结果。由此,可以基于蜜罐的溯源行为特征,快速、准确的识别出蜜罐。
在一个实施例中,步骤402中确定识别结果的过程具体包括如下步骤:提取请求消息集合中各请求消息包含的目标域名;在目标域名的种类数量大于预设阈值的情况下,将目标系统识别为蜜罐。
在实施中,终端确定出目标异常等级为第二异常等级的请求消息集合后,可以提取集合中各请求消息中URL包含的目标域名(可以为二级域名)。然后,终端可以将相同的目标域名作为同一种类,确定出目标域名的种类数量(若从m个请求消息中提取出n种不同的目标域名,则目标域名的种类数量为n)。若目标域名的种类数量大于预设阈值(如设为3),则可以将目标系统识别为蜜罐。若目标域名的种类数量小于或等于预设阈值,则该跨域请求消息可能是正常业务系统获取访问者信息的正常行为,则可以将目标系统识别为非蜜罐。
本实施例中,由于存在正常业务系统使用第二异常等级的跨域请求消息获取访问者相关信息的较大可能性,因而在目标客户端发送的各跨域请求消息中不包含第一异常等级的跨域请求消息、而包含第二异常等级的跨域请求消息的情况下,可以从各第二异常等级的跨域请求消息中提取出目标域名,根据目标域名的种类数量判断是否为蜜罐。由此,可以避免将正常业务系统识别为蜜罐,提高蜜罐的识别精准度。
在一个实施例中,目标异常等级包括第一异常等级和第二异常等级,第一异常等级的异常程度大于第二异常等级。如图5所述,步骤204中确定识别结果的过程具体包括如下步骤:
步骤501,在目标异常等级为第二异常等级的情况下,获取目标系统的前端内容信息。
在实施中,终端在确定出跨域请求消息包含的目标识别特征的异常等级为第二异常等级时(即不包含第一异常等级、而包含第二异常等级的目标识别特征),可以获取目标系统的前端内容信息,如使用爬虫工具爬取目标系统的前端页面显示的内容信息。
步骤502,将目标系统的前端内容信息和请求消息输入至关联度模型,得到请求消息与目标系统的关联度。
在实施中,终端可以将目标系统的前端内容信息和该第二异常等级的跨域请求消息,输入至关联度模型。关联度模型可以为预先训练的机器学习模型,用于对输入的内容信息和跨域请求消息进行处理,输出二者的关联程度。例如,若目标系统所属企业与跨域请求消息中URL包含的目标域名所属企业的关联程度较大,则二者的关联度数值较大。关联度模型可以基于目标系统的前端内容信息和请求消息进行关联度预测,由此可以得到该请求消息与目标系统的关联度。
步骤503,在关联度小于预设阈值的情况下,将目标系统识别为蜜罐。
在实施中,若目标系统与请求消息的关联度数值小于预设阈值,即二者的关联程度较小,即目标系统使用该跨域请求消息获取访问者信息的可能性较小,则终端可以将目标系统识别为蜜罐。
本实施例中,可以使用关联度模型,基于目标系统的前端内容信息和请求消息预测出二者的关联度,若关联度较小,说明目标系统使用该跨域请求消息获取访问者信息的可能性较小,则终端可以将目标系统识别为蜜罐,由此可以提高蜜罐的识别精准度。
在一个实施例中,该方法还包括目标渗透测试软件的目标功能的关闭提示步骤,具体包括如下步骤:检测目标客户端安装的目标渗透测试软件的目标功能的启用状态;启用状态包括开启状态和关闭状态;在目标功能为开启状态的情况下,显示提示信息,提示信息用于提示用户关闭目标功能。
在实施中,部分蜜罐可能引入反调试功能,该功能可以检测访问者机器是否正在使用目标渗透测试软件(如通过访问http://burp或相关内容来检测渗透测试软件burpsuite的使用),若检测到,则蜜罐会停止溯源行为,以防止访问者机器通过该目标渗透测试软件进行蜜罐识别。若蜜罐停止溯源行为,则会影响蜜罐识别准确度。因此,针对蜜罐的反调试功能,终端可以检测目标客户端安装的目标渗透测试软件的目标功能,如http://burp代理功能和burp的浏览器错误回显信息提示功能的启用状态。若目标功能为开启状态,则终端可以显示提示信息,用于提示用户关闭目标功能(如关闭http://burp代理和/或关闭burp的浏览器错误回显信息)。
本实施例中,通过针对蜜罐的反调试功能,提示用户关闭目标渗透测试软件的目标功能,由此,可以避免蜜罐的反调试检测影响蜜罐识别精准度。
在一个实施例中,该方法还包括基于蜜罐的反制行为特征进行蜜罐识别的过程,具体包括如下步骤:在目标客户端访问目标系统的过程中,获取目标系统的文件数据;识别文件数据的风险程度,并在文件数据的风险程度满足预设条件的情况下,将目标系统识别为蜜罐。
在实施中,终端可以在目标客户端访问目标系统的过程中,获取目标系统的文件数据,如爬取目标系统的执行文件、配置文件、压缩包等。然后,终端可以识别文件数据的风险程度。例如,终端可以将获取的文件上传至风险分析平台(如VirusTotal、腾讯哈勃微步在线云沙箱等一个或多个风险分析平台)进行风险程度分析,得到文件数据的风险程度。若任一风险分析平台分析出文件数据的风险程度高于预设阈值,则可以将目标系统识别为蜜罐。
本实施例中,若识别目标系统的文件数据为高风险文件,则将目标系统识别为蜜罐,由此,可以进一步基于蜜罐的反制行为特征(如引入木马等风险文件)进行蜜罐识别,提高蜜罐的识别精准度。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的蜜罐识别装置方法的蜜罐识别装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个蜜罐识别装置实施例中的具体限定可以参见上文中对于蜜罐识别装置方法的限定,在此不再赘述。
在一个实施例中,如图6所示,提供了一种蜜罐识别装置600,包括:监测模块601、第一识别模块602、第一确定模块603和第二确定模块604,其中:
监测模块601,用于在目标客户端访问目标系统的过程中,监测目标客户端发送的请求消息,并判断请求消息是否为跨域请求消息。
第一识别模块602,用于在请求消息为跨域请求消息的情况下,根据预设的特征识别策略,识别请求消息包含的目标识别特征。
第一确定模块603,用于从识别特征和异常等级的对应关系中,确定目标识别特征对应的目标异常等级。
第二确定模块604,用于基于目标异常等级,确定目标系统的识别结果,识别结果用于表征目标系统是否为蜜罐。
在其中一个实施例中,第一识别模块602具体用于:获取待匹配的特征集合;特征集合包含多个基于目标网络行为提取得到的识别特征;将请求消息与特征集合中的各识别特征进行匹配处理,并将匹配成功的识别特征,确定为请求消息包含的目标识别特征。
在其中一个实施例中,第一识别模块602具体用于:解析请求消息,并从解析后的请求消息中提取目标字段信息;将目标字段信息与特征集合中的各识别特征进行比对,并将与目标字段信息相同的识别特征,确定为匹配成功的识别特征。
在其中一个实施例中,识别特征对应有异常等级;第一识别模块602具体用于:将特征集合中的各识别特征,按照异常等级从高到底的顺序与请求消息进行匹配处理。
在其中一个实施例中,目标异常等级包括第一异常等级和第二异常等级,第一异常等级的异常程度大于第二异常等级;第二确定模块604具体用于:在目标异常等级为第一异常等级的情况下,将目标系统识别为蜜罐;在目标异常等级为第二异常等级的情况下,确定目标异常等级为第二异常等级的请求消息集合,并基于请求消息集合确定目标系统的识别结果。
在其中一个实施例中,第二确定模块604具体用于:提取请求消息集合中各请求消息包含的目标域名;在目标域名的种类数量大于预设阈值的情况下,将目标系统识别为蜜罐。
在其中一个实施例中,目标异常等级包括第一异常等级和第二异常等级,第一异常等级的异常程度大于第二异常等级;第二确定模块604具体用于:在目标异常等级为第二异常等级的情况下,获取目标系统的前端内容信息;将目标系统的前端内容信息和请求消息输入至关联度模型,得到请求消息与目标系统的关联度;在关联度小于预设阈值的情况下,将目标系统识别为蜜罐。
在其中一个实施例中,该装置还包括检测模块和提示模块,其中:
检测模块,用于检测目标客户端安装的目标渗透测试软件的目标功能的启用状态;启用状态包括开启状态和关闭状态。
提示模块,用于在目标功能为开启状态的情况下,显示提示信息,提示信息用于提示用户关闭目标功能。
在其中一个实施例中,该装置还包括获取模块和第二识别模块,其中:
获取模块,用于在目标客户端访问目标系统的过程中,获取目标系统的文件数据。
第二识别模块,用于识别文件数据的风险程度,并在文件数据的风险程度满足预设条件的情况下,将目标系统识别为蜜罐。
上述蜜罐识别装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种蜜罐识别方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本申请提供的蜜罐识别方法、装置、计算机设备、存储介质和计算机程序产品涉及信息安全技术领域,可用于金融科技领域或其他领域,本申请对应用领域不做限定。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random AccessMemory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种蜜罐识别方法,其特征在于,所述方法包括:
在目标客户端访问目标系统的过程中,监测所述目标客户端发送的请求消息,并判断所述请求消息是否为跨域请求消息;
在所述请求消息为跨域请求消息的情况下,根据预设的特征识别策略,识别所述请求消息包含的目标识别特征;所述目标识别特征是与蜜罐的溯源行为关联的特征;
从识别特征和异常等级的对应关系中,确定所述目标识别特征对应的目标异常等级;
基于所述目标异常等级,确定所述目标系统的识别结果,所述识别结果用于表征所述目标系统是否为蜜罐;
其中,所述目标异常等级包括第一异常等级和第二异常等级,所述第一异常等级的异常程度大于所述第二异常等级;所述基于所述目标异常等级,确定所述目标系统的识别结果,包括:
在所述目标异常等级为第一异常等级的情况下,将所述目标系统识别为蜜罐;
在所述目标异常等级为第二异常等级的情况下,确定目标异常等级为第二异常等级的请求消息集合,提取所述请求消息集合中各请求消息包含的目标域名,并在所述目标域名的种类数量大于预设阈值的情况下,将所述目标系统识别为蜜罐。
2.根据权利要求1所述的方法,其特征在于,所述根据预设的特征识别策略,识别所述请求消息包含的目标识别特征,包括:
获取待匹配的特征集合;所述特征集合包含多个基于目标网络行为提取得到的识别特征;
将所述请求消息与所述特征集合中的各所述识别特征进行匹配处理,并将匹配成功的所述识别特征,确定为所述请求消息包含的目标识别特征。
3.根据权利要求2所述的方法,其特征在于,所述将所述请求消息与所述特征集合中的各所述识别特征进行匹配处理,包括:
解析所述请求消息,并从解析后的请求消息中提取目标字段信息;
将所述目标字段信息与所述特征集合中的各所述识别特征进行比对,并将与所述目标字段信息相同的识别特征,确定为匹配成功的识别特征。
4.根据权利要求2所述的方法,其特征在于,所述识别特征对应有异常等级;所述将所述请求消息与所述特征集合中的各所述识别特征进行匹配处理,包括:
将所述特征集合中的各所述识别特征,按照异常等级从高到底的顺序与所述请求消息进行匹配处理。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
检测所述目标客户端安装的目标渗透测试软件的目标功能的启用状态;所述启用状态包括开启状态和关闭状态;
在所述目标功能为开启状态的情况下,显示提示信息,所述提示信息用于提示用户关闭所述目标功能。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述目标客户端访问所述目标系统的过程中,获取所述目标系统的文件数据;
识别所述文件数据的风险程度,并在所述文件数据的风险程度满足预设条件的情况下,将所述目标系统识别为蜜罐。
7.一种蜜罐识别装置,其特征在于,所述装置包括:
监测模块,用于在目标客户端访问目标系统的过程中,监测所述目标客户端发送的请求消息,并判断所述请求消息是否为跨域请求消息;
第一识别模块,用于在所述请求消息为跨域请求消息的情况下,根据预设的特征识别策略,识别所述请求消息包含的目标识别特征;所述目标识别特征是与蜜罐的溯源行为关联的特征;
第一确定模块,用于从识别特征和异常等级的对应关系中,确定所述目标识别特征对应的目标异常等级;
第二确定模块,用于基于所述目标异常等级,确定所述目标系统的识别结果,所述识别结果用于表征所述目标系统是否为蜜罐;
其中,所述目标异常等级包括第一异常等级和第二异常等级,所述第一异常等级的异常程度大于所述第二异常等级;所述第二确定模块还用于:
在所述目标异常等级为第一异常等级的情况下,将所述目标系统识别为蜜罐;在所述目标异常等级为第二异常等级的情况下,确定目标异常等级为第二异常等级的请求消息集合,提取所述请求消息集合中各请求消息包含的目标域名,并在所述目标域名的种类数量大于预设阈值的情况下,将所述目标系统识别为蜜罐。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
获取模块,用于在所述目标客户端访问所述目标系统的过程中,获取所述目标系统的文件数据;
第二识别模块,用于识别所述文件数据的风险程度,并在所述文件数据的风险程度满足预设条件的情况下,将所述目标系统识别为蜜罐。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310377006.XA CN116094847B (zh) | 2023-04-11 | 2023-04-11 | 蜜罐识别方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310377006.XA CN116094847B (zh) | 2023-04-11 | 2023-04-11 | 蜜罐识别方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116094847A CN116094847A (zh) | 2023-05-09 |
| CN116094847B true CN116094847B (zh) | 2023-06-20 |
Family
ID=86187319
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310377006.XA Active CN116094847B (zh) | 2023-04-11 | 2023-04-11 | 蜜罐识别方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116094847B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108429739A (zh) * | 2018-02-12 | 2018-08-21 | 烽台科技(北京)有限公司 | 一种识别蜜罐的方法、系统及终端设备 |
| CN112217800A (zh) * | 2020-09-14 | 2021-01-12 | 广州大学 | 一种蜜罐识别方法、系统、装置及介质 |
| WO2022257226A1 (zh) * | 2021-06-10 | 2022-12-15 | 腾讯云计算(北京)有限责任公司 | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115398430A (zh) * | 2020-04-28 | 2022-11-25 | 西门子股份公司 | 恶意入侵检测方法、装置、系统、计算设备、介质和程序 |
| US11947694B2 (en) * | 2021-06-29 | 2024-04-02 | International Business Machines Corporation | Dynamic virtual honeypot utilizing honey tokens and data masking |
| CN114826663B (zh) * | 2022-03-18 | 2023-12-01 | 烽台科技(北京)有限公司 | 蜜罐识别方法、装置、设备及存储介质 |
| CN115695008A (zh) * | 2022-11-02 | 2023-02-03 | 中国工商银行股份有限公司 | 网络系统的防护方法、装置、设备、存储介质和产品 |
| CN115834231A (zh) * | 2022-12-19 | 2023-03-21 | 广东电网有限责任公司 | 一种蜜罐系统的识别方法、装置、终端设备及存储介质 |
-
2023
- 2023-04-11 CN CN202310377006.XA patent/CN116094847B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108429739A (zh) * | 2018-02-12 | 2018-08-21 | 烽台科技(北京)有限公司 | 一种识别蜜罐的方法、系统及终端设备 |
| CN112217800A (zh) * | 2020-09-14 | 2021-01-12 | 广州大学 | 一种蜜罐识别方法、系统、装置及介质 |
| WO2022257226A1 (zh) * | 2021-06-10 | 2022-12-15 | 腾讯云计算(北京)有限责任公司 | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于蜜罐的反射攻击溯源;吴铁军;《保密科学技术》;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116094847A (zh) | 2023-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200296137A1 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| US12003534B2 (en) | Detecting and mitigating forged authentication attacks within a domain | |
| US20210297452A1 (en) | Rating organization cybersecurity using active and passive external reconnaissance | |
| US11570204B2 (en) | Detecting and mitigating golden ticket attacks within a domain | |
| Damshenas et al. | M0droid: An android behavioral-based malware detection model | |
| ES2965917T3 (es) | Detección de debilidad de seguridad e infiltración y reparación en contenido de sitio web ofuscado | |
| US10904286B1 (en) | Detection of phishing attacks using similarity analysis | |
| US20220201042A1 (en) | Ai-driven defensive penetration test analysis and recommendation system | |
| US20190215330A1 (en) | Detecting attacks on web applications using server logs | |
| US20190073483A1 (en) | Identifying sensitive data writes to data stores | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
| US20230362200A1 (en) | Dynamic cybersecurity scoring and operational risk reduction assessment | |
| US20220014561A1 (en) | System and methods for automated internet-scale web application vulnerability scanning and enhanced security profiling | |
| US20170155683A1 (en) | Remedial action for release of threat data | |
| Aggarwal et al. | I spy with my little eye: Analysis and detection of spying browser extensions | |
| CN111683047A (zh) | 越权漏洞检测方法、装置、计算机设备及介质 | |
| CN110912874A (zh) | 有效识别机器访问行为的方法及系统 | |
| CN111371757A (zh) | 恶意通信检测方法、装置、计算机设备和存储介质 | |
| US11290479B2 (en) | Determining insights in an electronic environment | |
| CN112347457A (zh) | 异常账户检测方法、装置、计算机设备和存储介质 | |
| Alidoosti et al. | Evaluating the web‐application resiliency to business‐layer DoS attacks | |
| CN116094847B (zh) | 蜜罐识别方法、装置、计算机设备和存储介质 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN115225359A (zh) | 蜜罐数据溯源方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |