公开(公告)号：CN119945727A

公开(公告)日：2025-05-06

申请号：CN202411925984.4

申请日：2024-12-25

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  舒钰淇 ,  曹雅琴 ,  冯云 ,  李博文 ,  赵建军 ,  王笑语 ,  谭儒

IPC: H04L9/40 ,  H04L67/12

Abstract: 本发明公开了一种面向云原生环境的后渗透攻击牵引方法及系统，其步骤包括：1)将每一攻击方法在云原生环境中Kubernetes业务集群内的系统调用行为作为一个敏感行为，得到一敏感行为列表；2)在一个与外界隔离的局域网中运行目标业务集群并执行敏感行为列表中的每一敏感行为，构造对应敏感行为的敏感行为基线，得到一敏感行为基线列表；3)对目标业务集群进行脱敏克隆，得到蜜网集群；4)将目标业务集群与蜜网集群均部署于公网并对外提供服务，对目标业务集群中的系统调用行为进行监控与记录，当监控到一敏感行为i且其调用链符合敏感行为基线，则视为正常业务操作；否则判定为恶意行为；5)将恶意行为的攻击者牵引至蜜网集群。