CN109672681A - 入侵检测方法及入侵检测装置 - Google Patents
入侵检测方法及入侵检测装置 Download PDFInfo
- Publication number
- CN109672681A CN109672681A CN201811586487.0A CN201811586487A CN109672681A CN 109672681 A CN109672681 A CN 109672681A CN 201811586487 A CN201811586487 A CN 201811586487A CN 109672681 A CN109672681 A CN 109672681A
- Authority
- CN
- China
- Prior art keywords
- information
- target information
- function
- operation behavior
- handled
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种入侵检测方法,包括:通过对Linux内核态中的待劫持函数进行劫持以获得操作行为信息;对所获得的操作行为信息进行处理以获得与操作行为信息相对应的目标信息;将所获得的目标信息写入共享内存;从共享内存中获取目标信息并对目标信息进行处理以获得目标检测信息;将目标检测信息传送到管理服务器以进行检测。本发明的入侵检测方法只对最主要的四个***调用函数进行劫持,使得HIDS的结构简化,目标检测信息收集与检测分开使得资源消耗减小,内核兼容性好,并且采用共享内存的信息传输方式比在netLink模式下有较大的性能提升。
Description
技术领域
本发明涉及网络安全,尤其涉及入侵检测方法及入侵检测装置。
背景技术
基于主机的入侵检测***(HIDS)是安全防护体系的重要一环,也是安全纵深防御体系中的最后一环。当攻击者攻击到内部网络,获得了服务器的权限,通过账户操作、提权操作、网络配置、文件操作,往往会给主机所有者造成严重的损害,包括服务中断或彻底破坏、数据泄露或丢失、持续执行与业务无关的操作(例如发送DDOS攻击数据包、挖矿等),有时还会使服务器持续留有后门。Linux***的HIDS一直是安全领域最为基础也最为难以解决的问题,主要原因包括版本众多、稳定性差、性能损耗严重等。
目前常见的HIDS研发思路包括:(1)基于主流的开源项目,例如OSSEC,进行客制化开发;(2)基于Linux Audit,进行操作分析。但是这两种方案在真正实施过程中,存在以下的问题:1)结构复杂、功能繁多、不能灵活调整,2)资源消耗大,性能损耗严重,3)在用户态难以对rootkit等高级威胁进行检测。
因此,亟需一种简化结构、减小资源消耗并且交互性好的入侵检测方法及检测装置。
发明内容
针对上述问题,本发明一方面提供了一种入侵检测方法,包括:通过对Linux内核态中的待劫持函数进行劫持来获得操作行为信息;对所获得的操作行为信息进行处理以获得与所述操作行为信息相对应的目标信息;将所获得的目标信息写入共享内存;从所述共享内存中获取所述目标信息并对所述目标信息进行处理以获得目标检测信息;以及将所获得的目标检测信息传送到管理服务器以进行检测。
本发明另一方面提供了一种的入侵检测装置,所述装置包括:处理器;以及存储器,其用于存储指令,当所述指令被执行时使得所述处理器执行以下操作:通过对Linux内核态中的待劫持函数进行劫持来获得操作行为信息;对所获得的操作行为信息进行处理以获得与所述操作行为信息相对应的目标信息;将所获得的目标信息写入共享内存;从所述共享内存中获取所述目标信息并对所述目标信息进行处理以获得目标检测信息;以及将所获得的目标检测信息传送到管理服务器以进行检测。
本发明另一方面提供了一种计算机可读存储介质,所述存储介质包括指令,当所述指令被执行时,所述计算机的处理器执行上述入侵检测方法。
本发明的入侵检测方法只对最主要的四个***调用函数进行劫持,使得HIDS的结构简化,目标检测信息收集与检测分开使得资源消耗减小,内核兼容性好,并且采用共享内存的信息传输方式比在netLink模式下有较大的性能提升。
附图说明
图1是根据本发明的HIDS的整体架构图100;
图2是根据本发明实施例的入侵检测方法的流程图200;
图3是根据本发明的一个实施例的入侵检测方法的流程图300;
图4是的根据本发明实施例的侵检测装置的示意图400。
具体实施方式
以下参考附图详细描述本公开的各个示例性实施例。附图中的流程图和框图示出了根据本公开的各种实施例的方法和***的可能实现的体系架构、功能和操作。应当注意,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,所述模块、程序段、或代码的一部分可以包括一个或多个用于实现各个实施例中所规定的逻辑功能的可执行指令。也应当注意,在有些作为备选的实现中,方框中所标注的功能也可以按照不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,或者它们有时也可以按照相反的顺序执行,这取决于所涉及的功能。同样应当注意的是,流程图和/或框图中的每个方框、以及流程图和/或框图中的方框的组合,可以使用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以使用专用硬件与计算机指令的组合来实现。
本文所使用的术语“包括”、“包含”及类似术语应该被理解为是开放性的术语,即“包括/包含但不限于”,表示还可以包括其他内容。术语“基于”是“至少部分地基于"。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”,等等。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。对于附图中的各单元之间的连线,仅仅是为了便于说明,其表示至少连线两端的单元是相互通信的,并非旨在限制未连线的单元之间无法通信。
术语解释:
目标信息:是指调用进程的相关信息,例如,用户信息、具体操作行为信息、可执行文件的位置信息、文件执行目录信息、stdin、stdout等与安全检测相关的信息。
目标检测信息:从目标信息中提炼出的最终将被检测的信息。
LKM(Linux kernel module)模块,也称为内核模块:在本发明中LKM模块是用于在被管理服务器的Linux内核态中对***调用函数进行劫持(hook)的模块,是由多个函数组成的模块,可以在内核态中实现对操作***执行命令的劫持,从而实现对执行命令相关信息进行完整、有效的收集。
Agent模块,也称为代理模块:运行于被管理服务器的Linux用户态中的模块,主要功能包括向LKM模块下发命令进行信息收集、以及与Server模块进行通信和传输数据等。
Server模块,也称为服务模块:运行在管理服务器上的模块,主要功能包括进行数据分析、指令下发、异常告警、加载更新分析规则等,对Agent模块向其提供的数据进行检测分析并发出异常告警。
以下结合附图对本发明进行详细描述。
图1是根据本发明的HIDS的整体架构图100。
如图1所示,本发明的HIDS包括管理服务器101和被管理服务器1021,服务器101包括Server模块101a,被管理服务器1021包括Agent模块1021a和LKM模块1021b。应理解,本发明的HIDS可以包括N个被管理服务器(即包括被管理服务器1021、1022……102N,其中,N≥2),每个被管理服务器中均包括Agent模块1021a和LKM模块1021b。
图2是根据本发明实施例的入侵检测方法的流程图200。
步骤S201:通过对Linux内核态中的待劫持函数(即Linux的四个内核***调用函数execve、connect、init_module、和finit_module)进行劫持以获得操作行为信息。其中,操作行为信息是对内核***调用函数进行调用时形成的操作行为记录。
步骤S202:对所获得的操作行为信息进行处理以获得与操作行为信息相对应的目标信息。
步骤S203:将获得的目标信息写入共享内存。
步骤S204:从共享内存获取目标信息并对该目标信息进行处理以获得目标检测信息。
步骤S205:将获得的目标检测信息传送到管理服务器以进行检测。
本发明的入侵检测方法只对最主要的四个***调用函数进行劫持,使得HIDS的结构简化,目标检测信息收集与检测分开使得资源消耗减小,内核兼容性好,并且采用共享内存的信息传输方式比在netLink模式下有较大的性能提升。
图3是根据本发明的一个实施例的入侵检测方法的流程图300。
步骤S301:LKM模块101a在被管理服务器1021的内核态中劫持对execve,connect,init_module和finit_module***调用函数的***调用从而获得操作行为信息。
步骤S302:LKM模块101a通过task_struct数据结构和Linux内核态的***函数(例如,dentry_path_raw()、d_path()等)来获得目标信息。
应理解,在另一个实施例中,在劫持***调用函数connect时,LKM模块101a通过kernel_getsockname()函数来获得当前connect中的source ip/port。在另一个实施例中,LKM模块101a根据Linux命名空间(namespace)特性对容器(例如,docker)进行隔离,使得容器与命名空间兼容和相关联从而收集容器中的数据。
本发明中获得的目标信息比Linux Audit中劫持上述四个***调用函数获得的目标信息多出以下字段:stdin fd file、stdout fd file、被劫持主机IP、主机名、操作用户名、当前操作目录,并且对于execve函数还多出执行参数,对于connect函数还多输出source ip和source port,从而可以收集更全面的目标信息。此外,本发明对Linux命名空间进行了兼容,使得可以识别操作行为是来自宿主机还是其他容器(例如,Docker)。
步骤S303:LKM模块101a将获得的目标信息写入共享内存。
步骤S304:Agent模块1021a从共享内存获取目标信息并对该目标信息进行处理以获得目标检测信息。
应理解,在一个实施例中,步骤S304包括以下子步骤:通过UID(UserIdentification,用户身份证明)查询用户名;添加时间戳;截断超大数据以防止数据过大;处理换行符;最后转换为json格式并进行压缩的目标检测信息。
步骤S305:Agent模块1021a将目标检测信息传送到管理服务器101进行检测。
步骤S306:如果Server模块101a检测出目标检测信息中存在恶意行为,则Server模块101a向Agent模块1021a发出异常警告。
应理解的是,在另一实施例中,Server模块可以与其他异常检测设备进行联动实现对目标检测信息的检测。
图4示出了根据本发明的实施例的入侵检测装置400的示意图。装置400可以包括:存储器401和耦合到存储器401的处理器402。存储器401用于存储指令,处理器402被配置为当存储器401中的存储指令被执行时执行以下操作:通过对Linux内核态中的待劫持函数进行劫持来获得操作行为信息;对所获得的操作行为信息进行处理以获得与操作行为信息相对应的目标信息;将所获得的目标信息写入共享内存;从共享内存中获取所述目标信息并对目标信息进行处理以获得目标检测信息;以及将所获得的目标检测信息传送到管理服务器以进行检测。在一种实施方式中,所述待劫持函数为***调用函数execve、connect、init_module和finit_module。在一种实施方式中,对所获得的操作行为信息进行处理以获得与所述操作行为信息相对应的目标信息包括:通过task_struct数据结构和内核态的***函数来获得所述目标信息。在一种实施方式中,通过task_struct数据结构和内核态的***函数来获得所述目标信息还包括:通过kernel_getsockname()函数来获得当前connect中的source ip/port。在一种实施方式中,通过task_struct数据结构和内核态的***函数获得所述目标信息还包括:根据Linux的命名空间特性对容器进行隔离,以使得所述容器与所述命名空间兼容和相关联从而收集所述容器中的数据。在一种实施方式中,所述内核态的***函数为dentry_path_raw()或d_path()。在一种实施方式中,对所述目标信息进行处理以获得目标检测信息还包括:根据UID信息获取用户名;添加时间戳;截断超大数据;处理换行符;以及转化为json格式并进行压缩的目标检测信息。
如图4所示,装置400还可以包括通信接口403,用于与其它设备进行信息交互。此外,装置400还可以包括总线404,存储器401、处理器402和通信接口403通过总线404来彼此进行通信。
存储器401可以包括易失性存储器,也可以包括非易失性存储器。处理器402可以是中央处理器(CPU)、微控制器、专用集成电路(ASIC)、数字信号处理器(DSP)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、或是被配置为实现本发明的实施例的一个或多个集成电路。
替代地,上述的入侵检测方法能够通过计算机程序产品,即有形的计算机可读存储介质来体现。计算机程序产品可以包括计算机可读存储介质,其上载有用于执行本公开的各个方面的计算机可读程序指令。计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是但不限于电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其它自由传播的电磁波、通过波导或其它传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
需要注意的是,以上列举的仅为本发明的具体实施例,显然本发明不限于以上实施例,随之有着许多的类似变化。本领域的技术人员如果从本发明公开的内容直接导出或联想到的所有变形,均应属于本发明的保护范围。
Claims (15)
1.一种入侵检测方法,包括:
通过对Linux内核态中的待劫持函数进行劫持来获得操作行为信息;
对所获得的操作行为信息进行处理以获得与所述操作行为信息相对应的目标信息;
将所获得的目标信息写入共享内存;
从所述共享内存中获取所述目标信息并对所述目标信息进行处理以获得目标检测信息;以及
将所获得的目标检测信息传送到管理服务器以进行检测。
2.根据权利要求1所述的方法,其中,所述待劫持函数为***调用函数execve、connect、init_module和finit_module。
3.根据权利要求2所述的方法,其中,对所获得的操作行为信息进行处理以获得与所述操作行为信息相对应的目标信息包括:
通过task_struct数据结构和内核态的***函数来获得所述目标信息。
4.根据权利要求3所述的方法,其中,通过task_struct数据结构和内核态的***函数来获得所述目标信息还包括:通过kernel_getsockname()函数来获得当前connect中的source ip/port。
5.根据权利要求3或4所述的方法,其中,通过task_struct数据结构和内核态的***函数获得所述目标信息还包括:根据Linux的命名空间特性对容器进行隔离,以使得所述容器与所述命名空间兼容和相关联从而收集所述容器中的数据。
6.根据权利要求3所述的方法,其中,所述内核态的***函数为dentry_path_raw()或d_path()。
7.根据权利要求1所述的方法,其中,对所述目标信息进行处理以获得目标检测信息还包括:
根据UID信息获取用户名;
添加时间戳;
截断超大数据;
处理换行符;以及
转化为json格式并进行压缩的目标检测信息。
8.一种的入侵检测装置,所述装置包括:
处理器;以及
存储器,其用于存储指令,当所述指令被执行时使得所述处理器执行以下操作:
通过对Linux内核态中的待劫持函数进行劫持来获得操作行为信息;
对所获得的操作行为信息进行处理以获得与所述操作行为信息相对应的目标信息;
将所获得的目标信息写入共享内存;
从所述共享内存中获取所述目标信息并对所述目标信息进行处理以获得目标检测信息;以及
将所获得的目标检测信息传送到管理服务器以进行检测。
9.根据权利要求8所述的装置,其中,所述待劫持函数为***调用函数execve、connect、init_module和finit_module。
10.根据权利要求9所述的装置,其中,对所获得的操作行为信息进行处理以获得与所述操作行为信息相对应的目标信息包括:
通过task_struct数据结构和内核态的***函数来获得所述目标信息。
11.根据权利要求10所述的装置,其中,通过task_struct数据结构和内核态的***函数来获得所述目标信息还包括:通过kernel_getsockname()函数来获得当前connect中的source ip/port。
12.根据权利要求10或11所述的装置,其中,通过task_struct数据结构和内核态的***函数获得所述目标信息还包括:根据Linux的命名空间特性对容器进行隔离,以使得所述容器与所述命名空间兼容和相关联从而收集所述容器中的数据。
13.根据权利要求10所述的装置,其中,所述内核态的***函数为dentry_path_raw()或d_path()。
14.根据权利要求8所述的装置,其中,
对所述目标信息进行处理以获得目标检测信息还包括:
根据UID信息获取用户名;
添加时间戳;
截断超大数据;
处理换行符;以及
转化为json格式并进行压缩的目标检测信息。
15.一种计算机可读存储介质,所述存储介质包括指令,当所述指令被执行时,所述计算机的处理器执行权利要求1-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811586487.0A CN109672681A (zh) | 2018-12-25 | 2018-12-25 | 入侵检测方法及入侵检测装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811586487.0A CN109672681A (zh) | 2018-12-25 | 2018-12-25 | 入侵检测方法及入侵检测装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109672681A true CN109672681A (zh) | 2019-04-23 |
Family
ID=66146092
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811586487.0A Pending CN109672681A (zh) | 2018-12-25 | 2018-12-25 | 入侵检测方法及入侵检测装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109672681A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112084005A (zh) * | 2020-09-09 | 2020-12-15 | 北京升鑫网络科技有限公司 | 一种容器行为审计方法、装置、终端及存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1581768A (zh) * | 2003-08-04 | 2005-02-16 | 联想(北京)有限公司 | 一种入侵检测方法 |
CN101901313A (zh) * | 2010-06-10 | 2010-12-01 | 中科方德软件有限公司 | 一种Linux文件保护***及方法 |
CN101997912A (zh) * | 2010-10-27 | 2011-03-30 | 苏州凌霄科技有限公司 | 基于Android平台的强制访问控制装置及控制方法 |
CN102340489A (zh) * | 2010-07-20 | 2012-02-01 | 阿里巴巴集团控股有限公司 | 一种服务器之间的数据传输方法和服务器 |
US8677118B1 (en) * | 2005-02-01 | 2014-03-18 | Trend Micro, Inc. | Automated kernel hook module building |
CN104008337A (zh) * | 2014-05-07 | 2014-08-27 | 广州华多网络科技有限公司 | 一种基于Linux***的主动防御方法及装置 |
CN106161522A (zh) * | 2015-04-02 | 2016-11-23 | 华为技术有限公司 | 一种网络设备间的通信方法、网络设备及分布式网络 |
CN106778244A (zh) * | 2016-11-28 | 2017-05-31 | 北京奇虎科技有限公司 | 基于虚拟机的内核漏洞检测进程保护方法及装置 |
-
2018
- 2018-12-25 CN CN201811586487.0A patent/CN109672681A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1581768A (zh) * | 2003-08-04 | 2005-02-16 | 联想(北京)有限公司 | 一种入侵检测方法 |
US8677118B1 (en) * | 2005-02-01 | 2014-03-18 | Trend Micro, Inc. | Automated kernel hook module building |
CN101901313A (zh) * | 2010-06-10 | 2010-12-01 | 中科方德软件有限公司 | 一种Linux文件保护***及方法 |
CN102340489A (zh) * | 2010-07-20 | 2012-02-01 | 阿里巴巴集团控股有限公司 | 一种服务器之间的数据传输方法和服务器 |
CN101997912A (zh) * | 2010-10-27 | 2011-03-30 | 苏州凌霄科技有限公司 | 基于Android平台的强制访问控制装置及控制方法 |
CN104008337A (zh) * | 2014-05-07 | 2014-08-27 | 广州华多网络科技有限公司 | 一种基于Linux***的主动防御方法及装置 |
CN106161522A (zh) * | 2015-04-02 | 2016-11-23 | 华为技术有限公司 | 一种网络设备间的通信方法、网络设备及分布式网络 |
CN106778244A (zh) * | 2016-11-28 | 2017-05-31 | 北京奇虎科技有限公司 | 基于虚拟机的内核漏洞检测进程保护方法及装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112084005A (zh) * | 2020-09-09 | 2020-12-15 | 北京升鑫网络科技有限公司 | 一种容器行为审计方法、装置、终端及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210184948A1 (en) | System and Method for Cloud-Based Control-Plane Event Monitor | |
US20220210200A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
US20180367547A1 (en) | Detecting malicious beaconing communities using lockstep detection and co-occurrence graph | |
KR101753647B1 (ko) | 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법 | |
EP1971102B1 (en) | Method and system for monitoring communication devices to detect malicious software | |
KR102462128B1 (ko) | 컴퓨터 보안 사건을 보고하기 위한 시스템 및 방법 | |
WO2018017498A1 (en) | Inferential exploit attempt detection | |
US11425150B1 (en) | Lateral movement visualization for intrusion detection and remediation | |
US8775607B2 (en) | Identifying stray assets in a computing enviroment and responsively taking resolution actions | |
Baldwin et al. | Emerging from the cloud: A bibliometric analysis of cloud forensics studies | |
Islam et al. | digital forensic investigation framework for internet of things (IoT): A Comprehensive Approach | |
US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
Wang et al. | A centralized HIDS framework for private cloud | |
CN106302404A (zh) | 一种收集网络溯源信息的方法及*** | |
CN109218280A (zh) | 实施数据中心中的物理和虚拟应用组件的微分段策略 | |
Islam et al. | A comprehensive data security and forensic investigation framework for cloud-iot ecosystem | |
CN115426137A (zh) | 恶意加密网络流量检测溯源方法及*** | |
CN111316272A (zh) | 使用行为和深度分析的先进网络安全威胁减缓 | |
Park et al. | Ransomware-based cyber attacks: A comprehensive survey | |
CN109672681A (zh) | 入侵检测方法及入侵检测装置 | |
CN108197468A (zh) | 一种移动存储介质的内网攻击智能防护*** | |
US20140222496A1 (en) | Determining cost and risk associated with assets of an information technology environment | |
CN105162765B (zh) | 一种基于断尾求生的云数据安全实现方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190423 |
|
WD01 | Invention patent application deemed withdrawn after publication |