CN110750788A - 一种基于高交互蜜罐技术的病毒文件检测方法 - Google Patents

一种基于高交互蜜罐技术的病毒文件检测方法 Download PDF

Info

Publication number
CN110750788A
CN110750788A CN201910984633.3A CN201910984633A CN110750788A CN 110750788 A CN110750788 A CN 110750788A CN 201910984633 A CN201910984633 A CN 201910984633A CN 110750788 A CN110750788 A CN 110750788A
Authority
CN
China
Prior art keywords
file
virus
interaction
interaction honeypot
files
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910984633.3A
Other languages
English (en)
Inventor
张帅哲
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN201910984633.3A priority Critical patent/CN110750788A/zh
Publication of CN110750788A publication Critical patent/CN110750788A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及一种基于高交互蜜罐技术的病毒文件检测方法,建立高交互蜜罐,高交互蜜罐启动后,数据处理中心处理下属高交互蜜罐捕捉的新增或修改文件并存入沙盒,以特征分析引擎比较沙盒中和数据库中的文件,检测得到病毒文件并反馈至数据处理中心;本发明能够在底层进程中部署记录高交互蜜罐的监控进程,监测到黑客攻击蜜罐的网络数据包,捕获黑客在蜜罐中新增或者修改的文件,与病毒库对比,进一步判断文件是否是黑客攻击使用的病毒文件。本发明可在现有检测业务上开发,减少开发成本;高交互蜜罐不仅能记录基本信息、进程列表、网络连接数据,还可通过病毒库、结合入侵者IP建立黑客画像库,对黑客的通用攻击手法更好了解,建立对应的防护机制。

Description

一种基于高交互蜜罐技术的病毒文件检测方法
技术领域
本发明涉及防止未授权行为的保护计算机、其部件、程序或数据的安全装置的技术领域,特别涉及一种基于高交互蜜罐技术的病毒文件检测方法。
背景技术
随着互联网技术的快速发展,越来越多的网络攻击工具和网络攻击技术被发明出来。为了防御和探测到网络入侵攻击,需要部署一些高交互的蜜罐伪装成真实环境去收集出入侵者的攻击数据。
蜜罐是一种诱饵***,用于检测和告警攻击者的恶意活动,智能蜜罐可以将黑客从真实数据中心转移出去,还可以让用户更详细地了解黑客的行为,更重要的是,不会对数据中心或云性能造成任何干扰。高交互蜜罐则是欺骗技术中规模的另一端,攻击者不是简单地模拟某些协议或服务,而是提供真实的攻击***,这使得他们猜测他们被转移或观察的可能性大大降低。由于这种情况下,***仅作为诱饵出现,因此发现的任何流量都是恶意存在的,故可以轻松发现威胁并跟踪攻击者的行为。通过使用高交互蜜罐,研究人员可以了解攻击者用于升级权限的工具,或者他们为尝试发现敏感数据而进行的横向移动。
现有技术中,已存在的类似技术侧重于捕获已知攻击事件、自动发现未知攻击事件以及提取隐蔽的互联网恶意资源信息或者恶意软件收集;这使得现有的高交互蜜罐检测技术检测的目标过于单一,只能检测高交互蜜罐的基本信息、进程列表、网络连接的数据,没有捕获黑客在部署的蜜罐中新增或者修改的文件的方法,缺少判断、排查新增或者修改文件是否为病毒文件的方法,不能更加全面掌握入侵者的入侵手段和入侵数据。
发明内容
本发明解决了现有技术中,高交互蜜罐检测技术检测的目标过于单一,只能检测高交互蜜罐环境的基本信息、进程列表、网络连接的数据,缺少捕获黑客部署在高交互蜜罐中新增或者修改的文件的方法,缺少判断、排查新增或者修改文件是否为病毒文件的方法,不能更加全面掌握入侵者的入侵手段和数据的问题,提供了一种优化的基于高交互蜜罐技术的病毒文件检测方法。
本发明所采用的技术方案是,一种基于高交互蜜罐技术的病毒文件检测方法,所述方法包括以下步骤:
步骤1:建立高交互蜜罐;
步骤2:高交互蜜罐启动,数据处理中心处理下属高交互蜜罐捕捉的新增文件或修改文件并存入沙盒中;
步骤3:以沙盒中文件和数据库中的文件进行比较,检测得到病毒文件,将病毒文件反馈至数据处理中心。
优选地,所述步骤1中,根据分析中心的指示补充信息,建立高交互蜜罐。
优选地,所述信息包括IP地址、子网掩码、网关、操作***类型。
优选地,所述步骤2包括以下步骤:
步骤2.1:高交互蜜罐启动;关联的监控服务启动;
步骤2.2:数据处理中心通过监控服务实时接收新增进程或网络连接;
步骤2.3:若存在新增文件或修改文件,则进行下一步,否则,返回步骤2.2;
步骤2.4:将所述文件捕获并置于沙盒中,记录捕获文件的文件路径,计算捕获文件的Hash值;
步骤2.5:将文件及对应的文件路径、Hash值推送到数据处理中心。
优选地,所述步骤2.2中,数据处理中心每隔预设时间T将当前所有进程列表和网络连接数据进行推送、展示。
优选地,所述步骤3包括以下步骤:
步骤3.1:将沙盒中的文件使用特征分析引擎进行计算,结合数据库进行文件分析;
步骤3.2:若沙盒中的任一文件的扫描结果是病毒文件,则进行下一步,否则,返回步骤3.1;
步骤3.3:沙盒将病毒的信息上传到数据处理中心;
步骤3.4:数据处理中心进行展示。
优选地,所述步骤3.1中,特征分析引擎计算文件包括以下步骤:
步骤3.1.1:以ssdeep工具中的弱哈希计算文件内容,生成一4字节的哈希值,以预设的条件对文件进行分片处理,确定文件分片的大小;
步骤3.1.2:以ssdeep工具中的FNV哈希算法对文件的每一部分分片计算哈希值;
步骤3.1.3:选取任一部分对应的FNV哈希结果中最低的8位,使用一ASCII字符标识,作为当前分片压缩映射的最终哈希结果;
步骤3.1.4:将压缩映射后的最终哈希值以步骤3.1.1中预设的条件进行连接,得到当前文件的模糊哈希值,作为特征分析引擎计算得到的特征码;
步骤3.1.5:比较文件的特征码和病毒库中的特征码。
优选地,所述步骤3.1.5中,比较包括顺次执行的相似性比较算法、编辑距离算法。
优选地,所述步骤3.1中,数据库为病毒库。
优选地,所述步骤3.3中,病毒的信息包括病毒的种类、名字及当前文件在高交互蜜罐中对应的关联信息。
本发明提供了一种优化的基于高交互蜜罐技术的病毒文件检测方法,通过建立高交互蜜罐,在高交互蜜罐启动后,数据处理中心处理下属高交互蜜罐捕捉的新增文件或修改文件并存入沙盒中,以特征分析引擎将沙盒中文件和数据库中的文件进行比较,检测得到病毒文件并反馈至数据处理中心;本发明能够在底层进程中部署记录高交互蜜罐的监控进程,监测到黑客攻击蜜罐的网络数据包,捕获黑客在蜜罐中新增或者修改的文件,统一与已存在的病毒库进行对比,进一步判断文件是否是黑客攻击使用的病毒文件。
本发明解决了高交互蜜罐无法定位出入侵文件的位置和样本隔离的解决方法,可以把新增或者修改的未知文件作为样本捕捉在一个沙盒中进行隔离,沙盒和病毒库关联,对沙盒中的文件的样本特征进行甄别并确定病毒文件及对应的类型。
本发明的有益效果在于:
1、基于高交互蜜罐的病毒文件检测方法可以在现有的检测业务上进行开发,减少了开发的成本;
2、高交互蜜罐不仅只能记录基本信息、进程列表、网络连接数据;
3、后续可以通过病毒库、结合入侵者的IP建立黑客画像库,进而对这些黑客的通用攻击手法有更好的了解,还能建立对应的防护机制。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种基于高交互蜜罐技术的病毒文件检测方法,所述方法包括以下步骤。
步骤1:建立高交互蜜罐。
所述步骤1中,根据分析中心的指示补充信息,建立高交互蜜罐。
所述信息包括IP地址、子网掩码、网关、操作***类型。
步骤2:高交互蜜罐启动,数据处理中心处理下属高交互蜜罐捕捉的新增文件或修改文件并存入沙盒中。
所述步骤2包括以下步骤:
步骤2.1:高交互蜜罐启动;关联的监控服务启动;
步骤2.2:数据处理中心通过监控服务实时接收新增进程或网络连接;
所述步骤2.2中,数据处理中心每隔预设时间T将当前所有进程列表和网络连接数据进行推送、展示。
步骤2.3:若存在新增文件或修改文件,则进行下一步,否则,返回步骤2.2;
步骤2.4:将所述文件捕获并置于沙盒中,记录捕获文件的文件路径,计算捕获文件的Hash值;
步骤2.5:将文件及对应的文件路径、Hash值推送到数据处理中心。
本发明中,事实上,高交互蜜罐的操作***分成Linux操作***和Windows操作***,而不论是Linux***高交互蜜罐还是Windows***高交互蜜罐,在刚开机时都会启动一个监控的服务,通过这个服务,数据处理中心能实时接收到新增的进程或者网络连接。
本发明中,一般预设时间为10分钟,即每10分钟会把当前***的所有进程列表和网络连接数据都推送到数据处理中心展示更新。
本发明中,数据处理中心可以将捕获的文件翻入沙盒,也可以展示沙盒反馈的数据。
本发明中,在Linux***高交互蜜罐中,通过Inotify监控Linux文件***事件,通过设定好的文件监控目录,监测目录中文件的打开、关闭、移动/重命名、删除或者改变属性。
本发明中,在Windows***高交互蜜罐中,一般可以通过自主设计的Windows底层驱动程序来监测文件***的事件,与Linux高交互蜜罐一样,通过设定好的文件监控目录,监测目录中文件的打开、关闭、移动/重命名、删除或者改变属性;具体来说,这个Windows底层驱动程序是伴随蜜罐***的开机而启动的,其伪装成一个普通的进程驱动程序,实际上是通过Windows***自带的函数ReadDirectoryChangesW监控目标目录,当目录下某一文件发生改变则可以知道具体是哪一个文件发生了变化;在实际操作中,在驱动程序中设置好需要监控的目录,每当有进行文件变更,则会采集变更的信息并上报给数据处理中心。
本发明中,每当有文件发生变化的时候,两个***的高交互蜜罐都会把发生变化的文件捕获起来放在一个沙盒中,并且记录捕获文件的文件路径和通过设定好的算法计算捕获文件的Hash值,然后再推送到数据处理中心去;其中,这里的Hash值一般为经过普通的哈希函数,如SHA256后得到的值。
本发明中,步骤2的推送只指沙盒把捕获到的所有文件所在蜜罐的文件路径的数值和该文件的计算得到的哈希数值反馈至数据处理中心并统一在一个页面内实时展示;进一步来说,推送到数据处理中心的数据是捕获到的全部文件的数据,不区分是否为病毒文件。
步骤3:以沙盒中文件和数据库中的文件进行比较,检测得到病毒文件,将病毒文件反馈至数据处理中心。
所述步骤3包括以下步骤:
步骤3.1:将沙盒中的文件使用特征分析引擎进行计算,结合数据库进行文件分析;
所述步骤3.1中,特征分析引擎计算文件包括以下步骤:
步骤3.1.1:以ssdeep工具中的弱哈希计算文件内容,生成一4字节的哈希值,以预设的条件对文件进行分片处理,确定文件分片的大小;
步骤3.1.2:以ssdeep工具中的FNV哈希算法对文件的每一部分分片计算哈希值;
步骤3.1.3:选取任一部分对应的FNV哈希结果中最低的8位,使用一ASCII字符标识,作为当前分片压缩映射的最终哈希结果;
步骤3.1.4:将压缩映射后的最终哈希值以步骤3.1.1中预设的条件进行连接,得到当前文件的模糊哈希值,作为特征分析引擎计算得到的特征码;
步骤3.1.5:比较文件的特征码和病毒库中的特征码。
所述步骤3.1.5中,比较包括顺次执行的相似性比较算法、编辑距离算法。
所述步骤3.1中,数据库为病毒库。
步骤3.2:若沙盒中的任一文件的扫描结果是病毒文件,则进行下一步,否则,返回步骤3.1;
步骤3.3:沙盒将病毒的信息上传到数据处理中心;
所述步骤3.3中,病毒的信息包括病毒的种类、名字及当前文件在高交互蜜罐中对应的关联信息。
步骤3.4:数据处理中心进行展示。
本发明中,主要采用特征分析引擎对沙盒中隔离出的文件和数据库做比较,使用模糊哈希算法计算文件的特征值,并将文件的特征值和数据库中已存在的特征值做比较。
本发明中,模糊哈希算法的主要原理是:
使用模糊哈希计算工具ssdeep中的Alder-32[4]的弱哈希计算文件局部内容,并快速生成一个4字节的哈希值,利用弱哈希分析局部的特点,在设定的特定条件N下对文件进行分片处理,确定文件分片的大小;此处的局部、特定条件N为本领域常规技术,本领域技术人员可以依据需求自行设置;
在文件分片完成后,使用模糊哈希计算工具ssdeep中的Fowler-Noll-Vo hash[5]的哈希算法对文件的每一部分分片计算哈希值;
使用ssdeep只选取FNV哈希结果中的最低8位,并且使用一个ASCll字符标识出来,作为这个分片压缩映射的最终哈希结果;这种压缩映射的方式可能会存在引入误报问题的可能性,但是在考虑压缩过后的哈希值更加方便存储的优点对比下,误报问题可以忽略;
将压缩映射后的最终哈希值配合设定的分片条件N连接到一起,就可以得到这个文件的模糊哈希值,作为我们特征分析引擎计算出来的特征码;
比较沙盒中的文件的特征码和病毒库中的特征码即可。
本发明中,比较顺次采用相似性比较算法、编辑距离算法。使用传统的相似性比较算法是因为在对FNV哈希结果的处理中只选取了最低8位,此为一个ASCII字符,故最终拼接获得的模糊哈希值也是一个字符串;采用编辑距离算法(Levenshtein距离),其原理是在两个字串之间由一个转成另一个所需的最小编辑操作次数,如果它们的距离越大,说明它们越是不同,而如果它们的距离越小,说明它们的相似程度很高;编辑距离算法允许的操作包括单个字符的替换、单个字符的***、单个字符的删除。
本发明中,以一实施例说明编辑距离算法:
令string1= " Maven",string2= " Maven",经过编辑距离算法计算,距离为0,相似度为1-0/Math.Max(string1.length,string2.length),值为1;
令string1= " Maven1",string2= " Maven2",经过编辑距离算法计算,距离为1,字符串之间经历单个字符的替换,相似度为1-0/Math.Max(string1.length,string2.length),值为0.8;
算法允许下的单个字符的替换、单个字符的***、单个字符的删除的操作数都是固定值1,基于此,对两个特征码的对比结果需要增加一阀值,超过阀值的对比文件,认为并非病毒文件,否则认为它是病毒文件,并基于该文件和病毒库里的哪一个文件相似度更加接近数值1来确定具体是哪一个病毒文件。
本发明中,文件检测关键基础是病毒库。病毒库中特征文件越详细越详细,病毒扫描引擎可以检测出来的病毒也越多,识别效果就越好。
本发明中,步骤3中检测到病毒文件后,会重新再把这个文件的信息推送更新到数据处理中心,并展示。
本发明通过建立高交互蜜罐,在高交互蜜罐启动后,由数据处理中心捕捉新增文件或修改文件并存入沙盒中,以特征分析引擎将沙盒中文件和数据库中的文件进行比较,检测得到病毒文件并反馈至数据处理中心;本发明能够在底层进程中部署记录蜜罐的监控进程,监测到黑客攻击蜜罐的网络数据包,捕获黑客在蜜罐中新增或者修改的文件,统一与已存在的病毒库进程对比,进一步判断文件是否是黑客攻击使用的病毒文件。
本发明解决了高交互蜜罐无法定位出入侵文件的位置和样本隔离的解决方法,可以把新增或者修改的未知文件作为样本捕捉在一个沙盒中进行隔离,沙盒和病毒库关联,对沙盒中的文件的样本特征进行甄别并确定病毒文件及对应的类型。本发明基于高交互蜜罐的病毒文件检测方法可以在现有的检测业务上进行开发,减少了开发的成本;高交互蜜罐不仅只能记录基本信息、进程列表、网络连接数据;后续可以通过病毒库、结合入侵者的IP建立黑客画像库,进而对这些黑客的通用攻击手法有更好的了解,还能建立对应的防护机制。

Claims (10)

1.一种基于高交互蜜罐技术的病毒文件检测方法,其特征在于:所述方法包括以下步骤:
步骤1:建立高交互蜜罐;
步骤2:高交互蜜罐启动,数据处理中心处理下属高交互蜜罐捕捉的新增文件或修改文件并存入沙盒中;
步骤3:以沙盒中文件和数据库中的文件进行比较,检测得到病毒文件,将病毒文件反馈至数据处理中心。
2.根据权利要求1所述的一种基于高交互蜜罐技术的病毒文件检测方法,其特征在于:所述步骤1中,根据分析中心的指示补充信息,建立高交互蜜罐。
3.根据权利要求2所述的一种基于高交互蜜罐技术的病毒文件检测方法,其特征在于:所述信息包括IP地址、子网掩码、网关、操作***类型。
4.根据权利要求1所述的一种基于高交互蜜罐技术的病毒文件检测方法,其特征在于:所述步骤2包括以下步骤:
步骤2.1:高交互蜜罐启动;关联的监控服务启动;
步骤2.2:数据处理中心通过监控服务实时接收新增进程或网络连接;
步骤2.3:若存在新增文件或修改文件,则进行下一步,否则,返回步骤2.2;
步骤2.4:将所述文件捕获并置于沙盒中,记录捕获文件的文件路径,计算捕获文件的Hash值;
步骤2.5:将文件及对应的文件路径、Hash值推送到数据处理中心。
5.根据权利要求4所述的一种基于高交互蜜罐技术的病毒文件检测方法,其特征在于:所述步骤2.2中,数据处理中心每隔预设时间T将当前所有进程列表和网络连接数据进行推送、展示。
6.根据权利要求1所述的一种基于高交互蜜罐技术的病毒文件检测方法,其特征在于:所述步骤3包括以下步骤:
步骤3.1:将沙盒中的文件使用特征分析引擎进行计算,结合数据库进行文件分析;
步骤3.2:若沙盒中的任一文件的扫描结果是病毒文件,则进行下一步,否则,返回步骤3.1;
步骤3.3:沙盒将病毒的信息上传到数据处理中心;
步骤3.4:数据处理中心进行展示。
7.根据权利要求6所述的一种基于高交互蜜罐技术的病毒文件检测方法,其特征在于:所述步骤3.1中,特征分析引擎计算文件包括以下步骤:
步骤3.1.1:以ssdeep工具中的弱哈希计算文件内容,生成一4字节的哈希值,以预设的条件对文件进行分片处理,确定文件分片的大小;
步骤3.1.2:以ssdeep工具中的FNV哈希算法对文件的每一部分分片计算哈希值;
步骤3.1.3:选取任一部分对应的FNV哈希结果中最低的8位,使用一ASCII字符标识,作为当前分片压缩映射的最终哈希结果;
步骤3.1.4:将压缩映射后的最终哈希值以步骤3.1.1中预设的条件进行连接,得到当前文件的模糊哈希值,作为特征分析引擎计算得到的特征码;
步骤3.1.5:比较文件的特征码和病毒库中的特征码。
8.根据权利要求7所述的一种基于高交互蜜罐技术的病毒文件检测方法,其特征在于:所述步骤3.1.5中,比较包括顺次执行的相似性比较算法、编辑距离算法。
9.根据权利要求6所述的一种基于高交互蜜罐技术的病毒文件检测方法,其特征在于:所述步骤3.1中,数据库为病毒库。
10.根据权利要求6所述的一种基于高交互蜜罐技术的病毒文件检测方法,其特征在于:所述步骤3.3中,病毒的信息包括病毒的种类、名字及当前文件在高交互蜜罐中对应的关联信息。
CN201910984633.3A 2019-10-16 2019-10-16 一种基于高交互蜜罐技术的病毒文件检测方法 Pending CN110750788A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910984633.3A CN110750788A (zh) 2019-10-16 2019-10-16 一种基于高交互蜜罐技术的病毒文件检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910984633.3A CN110750788A (zh) 2019-10-16 2019-10-16 一种基于高交互蜜罐技术的病毒文件检测方法

Publications (1)

Publication Number Publication Date
CN110750788A true CN110750788A (zh) 2020-02-04

Family

ID=69278567

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910984633.3A Pending CN110750788A (zh) 2019-10-16 2019-10-16 一种基于高交互蜜罐技术的病毒文件检测方法

Country Status (1)

Country Link
CN (1) CN110750788A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111680294A (zh) * 2020-06-15 2020-09-18 杭州安恒信息技术股份有限公司 一种基于高交互蜜罐技术的数据库监控方法、装置、设备
CN112165459A (zh) * 2020-09-08 2021-01-01 广州锦行网络科技有限公司 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法
CN114462023A (zh) * 2022-01-21 2022-05-10 内蒙古工业大学 一种用于发电厂控制***的蜜罐防御控制方法及装置
CN115001876A (zh) * 2022-08-05 2022-09-02 深圳市亿联无限科技有限公司 Wan侧保护网关的方法、***、终端设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060161982A1 (en) * 2005-01-18 2006-07-20 Chari Suresh N Intrusion detection system
CN102457495A (zh) * 2010-10-21 2012-05-16 中华电信股份有限公司 网络病毒防护方法及***
CN106485148A (zh) * 2015-10-29 2017-03-08 远江盛邦(北京)网络安全科技股份有限公司 基于js‑bom结合的恶意代码行为分析沙箱的实现方法
CN106682505A (zh) * 2016-05-04 2017-05-17 腾讯科技(深圳)有限公司 一种病毒检测方法、终端、服务器及***
CN109995705A (zh) * 2017-12-29 2019-07-09 北京安天网络安全技术有限公司 基于高交互蜜罐***的攻击链检测方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060161982A1 (en) * 2005-01-18 2006-07-20 Chari Suresh N Intrusion detection system
CN102457495A (zh) * 2010-10-21 2012-05-16 中华电信股份有限公司 网络病毒防护方法及***
CN106485148A (zh) * 2015-10-29 2017-03-08 远江盛邦(北京)网络安全科技股份有限公司 基于js‑bom结合的恶意代码行为分析沙箱的实现方法
CN106682505A (zh) * 2016-05-04 2017-05-17 腾讯科技(深圳)有限公司 一种病毒检测方法、终端、服务器及***
CN109995705A (zh) * 2017-12-29 2019-07-09 北京安天网络安全技术有限公司 基于高交互蜜罐***的攻击链检测方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
PI9NC: "模糊哈希算法的原理与应用", 《CSDN》 *
金小江: "《信息安全与管理》", 28 February 2018, 第151-153页 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111680294A (zh) * 2020-06-15 2020-09-18 杭州安恒信息技术股份有限公司 一种基于高交互蜜罐技术的数据库监控方法、装置、设备
CN112165459A (zh) * 2020-09-08 2021-01-01 广州锦行网络科技有限公司 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法
CN112165459B (zh) * 2020-09-08 2021-06-11 广州锦行网络科技有限公司 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法
CN114462023A (zh) * 2022-01-21 2022-05-10 内蒙古工业大学 一种用于发电厂控制***的蜜罐防御控制方法及装置
CN115001876A (zh) * 2022-08-05 2022-09-02 深圳市亿联无限科技有限公司 Wan侧保护网关的方法、***、终端设备及存储介质

Similar Documents

Publication Publication Date Title
CN110719291B (zh) 一种基于威胁情报的网络威胁识别方法及识别***
CN110730175B (zh) 一种基于威胁情报的僵尸网络检测方法及检测***
CN106790186B (zh) 基于多源异常事件关联分析的多步攻击检测方法
CN110750788A (zh) 一种基于高交互蜜罐技术的病毒文件检测方法
WO2018177210A1 (zh) 防御apt攻击
US10417420B2 (en) Malware detection and classification based on memory semantic analysis
CN101714931B (zh) 一种未知恶意代码的预警方法、设备和***
CN111988339B (zh) 一种基于dikw模型的网络攻击路径发现、提取和关联的方法
US8407798B1 (en) Method for simulation aided security event management
US8056115B2 (en) System, method and program product for identifying network-attack profiles and blocking network intrusions
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
CN110837640B (zh) 恶意文件的查杀方法、查杀设备、存储介质及装置
CA2545916A1 (en) Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
CN112637220A (zh) 一种工控***安全防护方法及装置
CN111541705B (zh) 一种ttp自动化提取与攻击团队聚类的方法
CN112115183B (zh) 一种基于图的蜜罐***威胁情报分析方法
KR20110088042A (ko) 악성 코드 자동 판별 장치 및 방법
CN111859374B (zh) 社会工程学攻击事件的检测方法、装置以及***
CN113364799A (zh) 一种网络威胁行为的处理方法和***
CN107231364B (zh) 一种网站漏洞检测方法及装置、计算机装置及存储介质
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks
CN116319074B (zh) 一种基于多源日志的失陷设备检测方法、装置及电子设备
JP2010250607A (ja) 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム
CN106878338B (zh) 远动设备网关防火墙一体机***
CN113722705B (zh) 一种恶意程序清除方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200204

RJ01 Rejection of invention patent application after publication