公开(公告)号：CN116132171A

公开(公告)日：2023-05-16

申请号：CN202310120077.1

申请日：2023-02-15

Applicant: 网络通信与安全紫金山实验室

Inventor： 姬励 ,  刘文彦 ,  张帅 ,  程国振 ,  孔飞 ,  刘明 ,  史雪静

IPC: H04L9/40 ,  H04L67/133

Abstract: 本申请公开了一种基于自启动场景的请求分组方法、装置、设备及介质，涉及拟态防御技术领域，包括：判断是否监测到执行体进行自启动操作；若是，则确定执行体的函数调用信息，并生成相应的第一目标标签值，以及确定执行体的代码调用层级，并生成相应的第二目标标签值；基于第一目标标签值与第二目标标签值生成拟态标签，并将拟态标签添加至输出请求；将输出请求发送至拟态右括号，以便拟态右括号接收到输出请求后并对输出请求执行拟态裁决前，基于拟态标签对输出请求进行分组。这样一来，可以在执行体自启动后生成相应的拟态标签，以便拟态右括号接收到请求时，基于所述拟态标签对请求进行分组，有效提高了自启动场景下拟态裁决的效率。

公开(公告)号：CN115766101A

公开(公告)日：2023-03-07

申请号：CN202211310763.7

申请日：2022-10-25

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 张帅 ,  扈红超 ,  沈娟 ,  程国振 ,  刘文彦 ,  史雪静 ,  商珂 ,  孔飞 ,  仝玉 ,  刘明

IPC: H04L9/40 ,  G06F21/57 ,  G06F21/55 ,  G06F21/56

Abstract: 本发明提供一种基于eBPF技术的行为特征裁决方法及装置。该方法包括：针对并行运行系统编写eBPF监控程序，通过eBPF技术将eBPF监控程序挂载到并行运行系统中对应的内核态和用户态挂载点上；当执行体在运行中触发已挂载的eBPF监控程序时，eBPF监控程序获取执行体的运行状态数据；在用户态通过eBPF Maps接收eBPF监控程序获取的执行体的运行状态数据，通过预置规则对收集到的运行状态数据进行预处理，最终形成执行体的行为特征；在收集到多个执行体的行为特征后，通过运行状态的锚点对多个执行体的行为特征进行同步，接着通过策略裁决比对多个执行体的行为特征来发现疑似的攻击行为。通过eBPF技术能够以极低开销获取运行时状态并据此发现疑似攻击行为。