公开(公告)号：CN116702134A

公开(公告)日：2023-09-05

申请号：CN202310723336.X

申请日：2023-06-16

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 沈娟 ,  张帅 ,  程国振 ,  刘文彦

IPC: G06F21/55 ,  H04L9/40 ,  G06F21/56 ,  G06F18/22

Abstract: 本申请公开了一种行为特征裁决方法、装置及电子设备和存储介质，该方法包括：逐个对比多个对象的行为特征序列中对应位置的行为特征，确定不一致的行为特征对应的目标位置，将目标位置以及后续位置依次作为当前位置执行行为特征裁决流程；行为特征裁决流程为：将当前位置的行为特征分别加入至多个对象对应的多个窗口；确定多个窗口对应的行为特征集合之间的相似度，若相似度满足预设条件则清空多个窗口内的行为特征，对比下一个位置的行为特征是否一致；若窗口已满则将窗口中第一个不一致的行为特征判定为异常行为特征，将窗口的起始位置滑动至第二个不一致的行为特征的位置。本申请容忍了行为乱序、延迟，降低了虚警率同时又保证了较低的漏警率。

公开(公告)号：CN115766101A

公开(公告)日：2023-03-07

申请号：CN202211310763.7

申请日：2022-10-25

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 张帅 ,  扈红超 ,  沈娟 ,  程国振 ,  刘文彦 ,  史雪静 ,  商珂 ,  孔飞 ,  仝玉 ,  刘明

IPC: H04L9/40 ,  G06F21/57 ,  G06F21/55 ,  G06F21/56

Abstract: 本发明提供一种基于eBPF技术的行为特征裁决方法及装置。该方法包括：针对并行运行系统编写eBPF监控程序，通过eBPF技术将eBPF监控程序挂载到并行运行系统中对应的内核态和用户态挂载点上；当执行体在运行中触发已挂载的eBPF监控程序时，eBPF监控程序获取执行体的运行状态数据；在用户态通过eBPF Maps接收eBPF监控程序获取的执行体的运行状态数据，通过预置规则对收集到的运行状态数据进行预处理，最终形成执行体的行为特征；在收集到多个执行体的行为特征后，通过运行状态的锚点对多个执行体的行为特征进行同步，接着通过策略裁决比对多个执行体的行为特征来发现疑似的攻击行为。通过eBPF技术能够以极低开销获取运行时状态并据此发现疑似攻击行为。

公开(公告)号：CN118487817A

公开(公告)日：2024-08-13

申请号：CN202410619610.3

申请日：2024-05-17

Applicant: 紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 姬励 ,  张帅 ,  程国振 ,  刘文彦 ,  刘明 ,  孔飞 ,  沈娟

IPC: H04L9/40

Abstract: 本申请公开了一种拟态裁决方法、装置、设备及存储介质，涉及拟态防御技术领域，包括：当接收到拟态右括号发送的放行请求后，获取各冗余执行体处理业务请求过程中的信息得到目标信息；对所述目标信息中的信息进行组合，得到各所述冗余执行体对应的多个第一组合；分别对各所述冗余执行体对应的所有所述第一组合进行关联聚合得到聚合结果，并为各所述聚合结果生成唯一对应的拟态标签；基于所述拟态标签对所述拟态右括号阻塞的通过各所述冗余执行体对所述业务请求进行处理后得到的多个输出请求进行拟态裁决，得到是否对所述输出请求进行放行的拟态裁决结果。本申请能够实现裁决和放行的异步执行，提高拟态裁决的效率和准确性。