公开(公告)号：CN111949362A

公开(公告)日：2020-11-17

申请号：CN201910398055.5

申请日：2019-05-14

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  杜海超 ,  白璐 ,  黄庆佳 ,  王笑语 ,  解亚敏 ,  武希耀 ,  唐静 ,  付玉霞

IPC: G06F9/455

Abstract: 本发明提出一种基于虚拟化技术的主机信息采集方法，包括以下步骤：在int80/sysenter指令执行结束后与下一条指令执行之前设置捕获点，捕获客户机中发起行为的进程相关信息；对捕获的发起行为的进程相关信息进行语义重构，将底层信息翻译为操作系统级的语义信息；当获取可疑进程的ID或出现某一进程与受控进程存在依赖关系时，对该进程进行备份处理；根据捕获到的行为类型形成进程间的依赖关系，并对进程行为进行相应控制。本发明方法设置监控点位于虚拟机监控器中，无需在用户虚拟机中部署监控代理，同时，虚拟机内部的操作无法更改监控层代码，保证了透明性与安全性。

公开(公告)号：CN119945727A

公开(公告)日：2025-05-06

申请号：CN202411925984.4

申请日：2024-12-25

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  舒钰淇 ,  曹雅琴 ,  冯云 ,  李博文 ,  赵建军 ,  王笑语 ,  谭儒

IPC: H04L9/40 ,  H04L67/12

Abstract: 本发明公开了一种面向云原生环境的后渗透攻击牵引方法及系统，其步骤包括：1)将每一攻击方法在云原生环境中Kubernetes业务集群内的系统调用行为作为一个敏感行为，得到一敏感行为列表；2)在一个与外界隔离的局域网中运行目标业务集群并执行敏感行为列表中的每一敏感行为，构造对应敏感行为的敏感行为基线，得到一敏感行为基线列表；3)对目标业务集群进行脱敏克隆，得到蜜网集群；4)将目标业务集群与蜜网集群均部署于公网并对外提供服务，对目标业务集群中的系统调用行为进行监控与记录，当监控到一敏感行为i且其调用链符合敏感行为基线，则视为正常业务操作；否则判定为恶意行为；5)将恶意行为的攻击者牵引至蜜网集群。