-
公开(公告)号:CN109472134B
公开(公告)日:2022-04-19
申请号:CN201711420845.6
申请日:2017-12-25
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提出了一种基于API调用序列提取控制端的方法及系统,包括:对已知木马家族样本分类,并提取各木马家族的API调用日志,提取各木马家族样本的API调用序列;定位API调用序列中连接木马控制端IP端口时调用的API详情;分别提取各家族中的木马样本在连接控制端API之前,预设数量的关键API序列及参数,并提取通用序列;将提取的通用序列与未知样本的API序列匹配,若匹配成功,则提取未知样本尝试连接控制端的IP端口即为控制端。本发明还提出相应系统。通过本发明的技术方案,能够提取同一类型家族的木马控制端,节省了人工提取时间,且该方法不受其他联网、扫描和爆破攻击等网络噪音影响,提取的信息更加准确。
-
公开(公告)号:CN110555308B
公开(公告)日:2021-11-12
申请号:CN201810556807.1
申请日:2018-06-01
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明实施例公开一种终端应用行为跟踪和威胁风险评估方法及系统,上述方法包括:管理中心创建终端软件标识信息库并利用终端软件标识信息库进行全网终端信息的分析和统计;输出分析和统计结果,进行最终处置:如当前时间安装存在漏洞的软件终端,管理中心批量下发补丁修复;如终端历史时间安装且已卸载存在漏洞的软件,则管理中心向客户端下发深度删除软件指令;本方法针对主机中的系统文件和应用软件,从应用软件各个过程,以及主机操作系统、应用软件版本、服务运行设置等实际环境进行跟踪和记录,为主机威胁风险分析和漏洞修复提供全面的、多样化的、可分析数据,从而解决已卸载软件漏洞无法有效分析、识别和处理等问题。
-
公开(公告)号:CN109472140B
公开(公告)日:2021-11-12
申请号:CN201711468574.1
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明公开了基于窗体标题校验阻止勒索软件加密的方法及系统,其中,所述方法包括:若存在打开非可执行文件的操作,则获取当前所有窗体标题;利用非可执行文件的文件名作为关键字匹配所有窗体标题;若匹配成功,则判定为人为操作并放行,否则判定为勒索软件的非法操作并阻止相应写入操作。本发明可以及时发现并阻止新型勒索软件加密用户的磁盘文件。
-
公开(公告)号:CN109474452B
公开(公告)日:2021-09-28
申请号:CN201711419647.8
申请日:2017-12-25
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明公开了自动识别B/S僵尸网络后台的方法、系统及存储介质,其中,所述方法包括:获取待检测网站URL;对待检测网站URL进行预处理;从僵尸网络后台特征库中提取特征,并判断特征类型;若所述特征为文件名特征,则利用所述文件名特征对待检测网站进行爬行测试,若存在所述文件名特征对应的网页文件则告警;若所述特征为文件内容特征,则利用所述文件内容特征遍历待检测网站,若匹配成功则告警;其中,所述僵尸网络后台特征库中存储有从已知僵尸网络后台中提取的文件名特征和文件内容特征。本发明能够有效识别基于HTTP协议的B/S架构的僵尸网络后台。
-
公开(公告)号:CN109472133B
公开(公告)日:2021-09-28
申请号:CN201711250084.4
申请日:2017-12-01
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明实施例提供了一种沙箱监控方法和装置,用以降低恶意代码通过检查公知的Hook点进行逆向的可能性。该方法包括:在沙箱中启动待分析的程序;确定所述待分析程序的进程ID;在待分析程序运行期间,确定当前产生的中断或者执行的特定指令为系统调用;确定所述系统调用由所述待分析程序的进程ID标识的进程产生;获取所述系统调用及其参数,并获取所述系统调用的结果,以将获取的所述系统调用及其参数和所述系统调用的结果传递给所述沙箱分析流程进行分析。
-
Patent Agency Ranking
公开(公告)号:CN110868379B
公开(公告)日:2021-09-21
申请号:CN201811560012.4
申请日:2018-12-19
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明的实施例公开一种基于DNS解析报文的入侵威胁指标拓展方法、装置及电子设备,涉及计算机网络安全防护技术领域,能够解决现有的入侵威胁指标有限的问题。所述方法包括:获取实时接收的网络流量的IP地址;判断所述网络流量的IP地址是否能在预先设置的IP子库中匹配到;若是,则根据所述网络流量使用的协议对所述网络流量进行分类;对DNS协议流量进行DNS解析,得到DNS解析报文;根据预先设置的入侵威胁指标匹配库判断所述DNS协议流量的解析请求发起方是否被恶意代码感染;若是,则在所述入侵威胁指标匹配库中增加入侵威胁指标拓展记录。本发明适用于各种使用IOC进行安全威胁检测的场合。
-
公开(公告)号:CN109474573B
公开(公告)日:2021-05-25
申请号:CN201711491739.7
申请日:2017-12-30
Applicant: 北京安天网络安全技术有限公司
IPC: H04L29/06
Abstract: 本发明实施例提供了一种识别失活木马程序的方法、装置及存储介质,从而识别出网内处于失活或者暂时失活的木马程序,定位被该木马程序感染的主机。该方法包括:从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据;根据训练数据和提取出的数据,确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率;在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时,确定未知类型的流量来自于失活木马程序。
-
公开(公告)号:CN108875373B
公开(公告)日:2021-04-20
申请号:CN201711498913.0
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
IPC: G06F21/56
Abstract: 本发明的实施例公开一种移动存储介质文件管控方法、装置、系统及电子设备,涉及计算机安全技术领域,能够解决现有技术中没有有效的能够管控移动存储介质复制保密计算机上文件的方案的问题。所述移动存储介质文件管控方法,包括:当客户端监测到数据传输接口有已注册移动存储介质接入时,通过病毒查杀方式扫描所述已注册移动存储介质,获取所述已注册移动存储介质上存储的文件的标识信息;客户端将扫描信息发送给所述远程监控中心存储;所述扫描信息包括所述已注册移动存储介质的标识信息及其上存储的文件的标识信息。本发明实现简单却能够提高计算机资料的安全性,适用于各种计算机资料需要安全保护的场合。
-
公开(公告)号:CN108881150B
公开(公告)日:2021-03-23
申请号:CN201711498286.0
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
IPC: H04L29/06
Abstract: 本发明实施例公开一种检测任务的处理方法、装置、电子设备及存储介质,涉及计算机应用领域。所述方法包括:从已获取的任务文件样本中,提取待检测对象;生成与所述待检测对象对应的检测任务,所述检测任务包括第一全要素字段,所述第一全要素字段包括待检测对象标识以及检测任务信息;将所述检测任务存入消息队列中,以使鉴定器从所述消息队列中获取所述检测任务,根据所述待检测对象标识以及检测任务信息对所述待检测对象进行检测处理,并将检测后的分析结果存入所述消息队列中,所述消息队列与所述鉴定器一一对应。本发明实现了无需编写复杂的任务派发机制,代码更简洁,运行更流畅,降低了维护成本,提高了该机制的扩展性。
-
公开(公告)号:CN110766925B
公开(公告)日:2020-09-29
申请号:CN201811651377.8
申请日:2018-12-31
Applicant: 北京安天网络安全技术有限公司
IPC: G08C17/02
Abstract: 本发明实施例提供了一种单向远程传输键盘鼠标信号的电路及系统,用以满足应急处置中的远程操作的需求。该电路包括:第一信号插头、第一转换电路、键盘鼠标信号模拟电路、第二信号插头;所述第一转换电路,用于将通过所述第一信号插头从中转主机上接收到的键盘鼠标信号转换为串行信号;所述中转主机接收应急处置人员通过后端主机发出的键盘鼠标信号;所述键盘鼠标信号模拟电路,用于通过自身的信号接收端接收串行信号,并将串行信号解码转化成键盘控制信号及鼠标控制信号,以及通过所述第二信号插头发送给目标主机;所述键盘鼠标信号模拟电路的信号发射端悬空;其中,所述目标主机和中转主机位于发生网络安全事件的现场。
-
-
-
-
-
-
-
-
-
Search Results
171
records
(took 0.074 seconds)
