云服务发现: 合法身份低频查询

合法身份低频查询（Legitimate Identity Low-Frequency Query）是一种利用合法云服务凭证实施隐蔽侦察的技术。攻击者通过窃取或仿冒具备基础权限的云账户身份，以低于常规检测阈值的频率调用云服务API（如AWS DescribeInstances或Azure ListResources），在保持身份凭证有效性的同时，将探测行为融入正常运维操作中。该技术通过精确控制请求间隔与数据量，规避基于API调用频率或突发流量的异常检测机制，实现长期、低噪的云环境资产测绘。

该技术的匿迹机制基于身份可信性与行为节律控制的双重策略。攻击者首先通过钓鱼攻击或凭证泄露获取有效身份，确保API请求具备合法数字签名与权限凭证。其次，采用时间序列优化算法动态调整请求间隔，使探测节奏匹配目标云环境的运维操作周期（如工作日高峰时段），并确保单次请求量低于安全设备的统计告警阈值。技术实现需解决三个关键问题：凭证生命周期管理（维持访问令牌有效性）、API响应解析自动化（提取关键元数据而不触发审计日志告警）、以及行为模式自适应（根据防御策略动态调整探测参数）。最终形成的侦察模式具有身份合法性、行为低显著性、数据获取持续性的特征，使得传统基于身份异常或流量突增的检测模型难以识别。