-
公开(公告)号:CN113591073A
公开(公告)日:2021-11-02
申请号:CN202110653172.9
申请日:2021-06-11
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种Web API安全威胁发现方法及装置,包括依据若干API接口文档中提取出的关键信息,组成若干API操作,并对各API操作进行依赖关系确定,生成API操作序列;根据收集的攻击载荷、不同安全威胁的漏洞检测特征及针对不同安全威胁的漏洞注入点,构建漏洞库;从漏洞库中选择攻击载荷,并根据对应的漏洞注入点,对API操作序列进行载荷装配,得到测试用例;结合漏洞库中的漏洞检测特征分析测试用例响应结果,得到该测试用例的安全威胁发现结果。本发明通过生成API操作序列来达到对API的深层访问,覆盖更多的应用业务检测,同时在漏洞检测方面设计了多种响应结果分析方法,对多种安全风险能够进行有效检测,提高了WebAPI安全风险的检测效果。
-
公开(公告)号:CN113268734A
公开(公告)日:2021-08-17
申请号:CN202110459255.4
申请日:2021-04-27
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提出一种基于信息流分析的关键主机事件识别方法,涉及网络攻击发现领域,针对Windows系统上涉及文件操作的关键主机事件识别进行研究,通过研究信息流特性,捕捉事件间有效信息流关系,将仅能表达单步骤信息流的普通事件强化为能表达多步骤信息流的关键主机事件,而将其余的无效依赖关系及对应的冗余事件进行剔除,从而实现线索化简的目标,缓解线索爆炸问题,有助于更准确地提取攻击事件链,检测主机端攻击。
-
公开(公告)号:CN112187699A
公开(公告)日:2021-01-05
申请号:CN201910587125.1
申请日:2019-07-01
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种文件失窃的感知方法及系统。本方法为:1)在各存放设定敏感数据文件的同级或上级文件夹中放入一文件夹配置文件desktop.ini;2)在每一配置文件中写入一用于获取该配置文件所在文件夹的文件夹图标的网络位置,该网络位置的描述格式满足Windows UNC格式;3)将上述每个文件夹制作为一个文件包;4)在公网上部署名称服务器作为感知服务器;5)当文件包在一台主机上被访问时,配置文件向感知服务器发起域名解析请求;6)感知服务器根据请求获得发起访问主机的IP地址以及已登陆系统的用户名、文件夹编号标识;7)感知服务器根据提取到的信息与预定访问规则,判断是否发生了失窃或泄密事件。
-
公开(公告)号:CN112118204A
公开(公告)日:2020-12-22
申请号:CN201910531007.9
申请日:2019-06-19
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明涉及一种Windows文件系统非法访问的感知方法及系统。本发明借鉴了网络欺骗的思想,在系统中放置蜜饵文件夹用于欺骗攻击者,从而发现网络攻击或者诱使攻击者进入可控的欺骗环境。当攻击者访问蜜饵时,蜜饵中的代码会向指定地址发送消息,从而使防御方获得警报。采用基于主机的防御策略,可以为信息资产添加一层安全保障,即使在防护墙、反病毒等方案失效的情况下,仍能及时感知未知威胁,保护系统内的敏感数据。本发明的实施及部署与攻击者的攻击方法无关,能够有效检测并预警非法访问行为。
-
公开(公告)号:CN110798454A
公开(公告)日:2020-02-14
申请号:CN201910992423.9
申请日:2019-10-18
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明提供一种基于攻击组织能力评估对攻击进行防御的方法,步骤包括:1)针对攻击组织,设定若干个攻击组织能力的评估方向;2)将上述评估方向映射到若干个评估要素中;3)为上述各个评估要素赋予相同的总分数,为评估要素中的各个评估方向设定对应的评定条件,根据评定条件为评估方向打分;4)将同一个评估要素中的各个评估方向得分相加,得到各个评估要素的分数,并将各个评估要素的分数相加,得到攻击组织的整体攻击能力分数;5)通过比对整体能力分数与预先设定的攻击组织能力等级分值大小,得到攻击组织能力等级;6)对不同等级的攻击组织采用对应等级的防御策略进行防御,对同一等级中的攻击组织按照分数的高低依次先后进行防御。
-
Patent Agency Ranking
公开(公告)号:CN107786535A
公开(公告)日:2018-03-09
申请号:CN201710795646.7
申请日:2017-09-06
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
CPC classification number: H04L63/1416 , H04L63/1441 , H04L63/1466 , H04L63/1475
Abstract: 本发明提出一种基于无线路由器的智能设备轻量级保护方法和无线路由器。通过在常见的家用路由器上部署防护系统的方式,在不额外部署硬件防护设备且不修改被保护智能设备的前提下,完成对所接入智能设备的安全防护。本发明不需要额外购置外部硬件保护设备,无额外硬件成本投入,便于向家庭用户推广;对被保护的智能设备无类型、系统等要求,不需要修改智能设备系统,方案普适性高;通过主动检测和被动防御完成了已知安全风险检测修复和未知可疑流量拦截两个层面的安全防护,并可通过插件系统扩展检测防护功能,防护覆盖全面;通过在用户浏览的网页中插入预警信息,能够降低安全响应时间。本发明能够在一定程度上解决目前智能设备面临的安全问题。
-
公开(公告)号:CN107729752A
公开(公告)日:2018-02-23
申请号:CN201710822530.8
申请日:2017-09-13
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种勒索软件防御方法及系统。该方法包括以下步骤:1)在操作系统的用户态或内核态对勒索软件必须调用的API进行全局挂接;2)生成并部署有限段欺骗数据;3)当进程进行文件遍历操作时,在遍历结果中插入一定数量的欺骗数据并返回给该进程,以对该进程进行欺骗;4)当全局挂接的API发现某进程对欺骗数据进行操作时,监控欺骗数据是否被实施了不正常的改变,以判定该进程是否为勒索软件的恶意行为;5)若判定该进程为勒索软件的恶意行为,则终止该进程并通知用户。本发明能够在低消耗、零损失的条件下对勒索软件进程进行实时检测和终止,保护用户和企业的数据与财产安全。
-
公开(公告)号:CN119835016A
公开(公告)日:2025-04-15
申请号:CN202411840097.7
申请日:2024-12-13
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种HTTPS攻击流量还原方法及系统,属于计算机网络安全和流量分析领域。所述方法包括:建立攻击者行为知识库,所述攻击者行为知识库用于描述攻击者为实现攻击目的必定会执行的系统调用行为事件;构建HTTPS流量中每一HTTPS请求的行为事件树;其中,所述行为事件树包括:HTTPS请求事件、系统调用行为事件和HTTPS响应事件,所述HTTPS请求事件和所述HTTPS响应事件的数据分别与HTTPS请求和HTTPS响应的明文数据相关联;在攻击者行为知识库中进行系统调用行为事件的匹配,并在匹配成功的情况下,基于HTTPS请求和HTTPS响应的明文数据进行该HTTPS请求的HTTPS流量还原。本发明可以将攻击流量与攻击行为进行关联后,对攻击流量进行还原。
-
公开(公告)号:CN118568721A
公开(公告)日:2024-08-30
申请号:CN202410715625.X
申请日:2024-06-04
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56 , G06F18/213
Abstract: 本发明公开一种Webshell动态检测方法及系统,属于计算机网络安全技术领域。所述方法包括:通过对Web应用进行插桩,并得到Web应用的行为事件,所述行为事件包括:被插桩的函数名称、传入被插桩函数的参数和调用信息;基于被插桩函数之间的调用关系和被插桩函数与行为事件的行为范围之间的关系,构建Web应用行为模型,所述Web应用行为模型包括:调用‑行为图和调用哈希‑行为映射,所述调用哈希‑行为映射是键为调用栈哈希且值为行为范围的映射;基于所述Web应用行为模型对目标Web应用产生的行为事件进行Webshell识别。本发明可以高效准确的检测异常的Webshell行为。
-
公开(公告)号:CN114912110B
公开(公告)日:2024-08-06
申请号:CN202210279951.1
申请日:2022-03-21
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56 , G06F40/30 , G06F40/284
Abstract: 本发明提出一种Node.js代码安全检测方法及系统,涉及计算机网络安全领域,对待检测的程序代码及其所使用的第三方库代码进行TypeScript化处理,并将处理后的程序代码打包为单文件形式的程序代码;将打包后的程序代码编译为抽象语法树,并对程序代码中的动态特性进行静态化处理;将静态化处理后的抽象语法树编译为中间表示,标记入口函数、危险函数及无害化处理函数;对标记后的中间表示构建值流图,在图上进行双向污点分析,搜索潜在风险利用路径。本发明弥补了现有检测方法不能检测出控制流和数据流较为复杂中代码的安全风险的缺陷,有效地提高了Node.js代码的安全性。
-
-
-
-
-
-
-
-
-
Search Results
63
records
(took 0.03 seconds)
