公开(公告)号：CN109995705B

公开(公告)日：2022-03-25

申请号：CN201711480108.5

申请日：2017-12-29

Applicant: 北京安天网络安全技术有限公司

Inventor： 朱晴 ,  张颂蘅 ,  康学斌 ,  王小丰

IPC: H04L9/40

Abstract: 本发明公开了一种基于高交互蜜罐系统的攻击链检测方法及装置，其中，方法包括：获取高交互蜜罐系统的虚拟机系统行为和服务通信流量；获取系统进程释放的PE文件及PE文件的联网信息；根据PE文件及PE文件的联网信息回溯得到释放PE文件的进程信息及PE对应通信地址；根据服务通信流量、释放PE文件的进程信息获取对应的服务信息及内网通信地址信息；根据虚拟机系统行为、服务信息、PE通信信息、内网通信地址信息提取攻击链。该方法可以根据高交互蜜罐系统的虚拟机系统行为和进程端口信息提取攻击链，使蜜罐攻击流程变得更清晰，提高攻击的准确性。

公开(公告)号：CN109995705A

公开(公告)日：2019-07-09

申请号：CN201711480108.5

申请日：2017-12-29

Applicant: 北京安天网络安全技术有限公司

Inventor： 朱晴 ,  张颂蘅 ,  康学斌 ,  王小丰

IPC: H04L29/06

Abstract: 本发明公开了一种基于高交互蜜罐系统的攻击链检测方法及装置，其中，方法包括：获取高交互蜜罐系统的虚拟机系统行为和服务通信流量；获取系统进程释放的PE文件及PE文件的联网信息；根据PE文件及PE文件的联网信息回溯得到释放PE文件的进程信息及PE对应通信地址；根据服务通信流量、释放PE文件的进程信息获取对应的服务信息及内网通信地址信息；根据虚拟机系统行为、服务信息、PE通信信息、内网通信地址信息提取攻击链。该方法可以根据高交互蜜罐系统的虚拟机系统行为和进程端口信息提取攻击链，使蜜罐攻击流程变得更清晰，提高攻击的准确性。