公开(公告)号：CN113326520A

公开(公告)日：2021-08-31

申请号：CN202110650798.4

申请日：2021-06-11

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 周国华 ,  毕向阳 ,  李海峰

IPC: G06F21/60

Abstract: 本公开涉及一种访问控制过程中确定主体的方法、装置、设备和存储介质，其中，方法包括：检测到进程对资源的访问动作时，在进程已确定变换主体的情况下，将变换主体作为进程的主体；在进程未确定变换主体的情况下，根据进程的可执行文件的分类标识确定进程是一个动态库宿主进程，则获取调用栈上第一个非系统自带的动态库文件作为进程的主体；在进程未确定变换主体且进程不是一个动态库宿主进程的情况下，将进程的可执行文件作为进程的主体。由此，能够在一个访问动作发生时，提取出精确的、可追溯、可定位的主体文件，使访问控制在实际应用环境中更加有效。

公开(公告)号：CN113312615A

公开(公告)日：2021-08-27

申请号：CN202110697932.6

申请日：2021-06-23

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 周国华 ,  毕向阳 ,  李海峰

IPC: G06F21/55

Abstract: 本公开涉及一种终端检测与响应系统，包括：至少一个检测点，用于捕获事件，并构造事件的事件上下文发送给过滤引擎；安全对象数据库，用于存储关键对象的信息；过滤引擎，用于维护策略集合，并根据策略集合对检测点传入的事件上下文进行过滤处理，返回过滤结果；其中，在过滤引擎对事件上下文进行过滤判断时，查询安全对象数据库获取事件相关对象的信息；检测点，还用于根据过滤结果执行对应操作。由此，在终端能够实时检测和响应，提高检测效率和效果。

公开(公告)号：CN106790153B

公开(公告)日：2019-06-28

申请号：CN201611242260.5

申请日：2016-12-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 陈朴 ,  刘斯宇 ,  周国华

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种车联网安全控制系统及其方法。该系统包括：车辆安全单元当监测车辆的总线通信信号发生异常时，在车辆层执行安全控制处理，并将异常事件发送至联网安全单元和应用管理安全单元；或者，根据联网安全单元发送的异常事件在车辆层执行安全控制处理；联网安全单元当监测车联网通信网络发生异常时，在网络层执行安全控制处理，并将异常事件发送至其他两个单元；或者，根据车辆安全单元发送的异常事件在网络层执行安全控制处理；应用管理安全单元当监控应用层的安全状态发生异常或者接收车辆安全单元或者联网安全单元发送的异常事件，在应用层执行安全控制处理。本发明对车联网中异常事件从三个层面进行协调处理，全面保障车辆安全。

公开(公告)号：CN107301207A

公开(公告)日：2017-10-27

申请号：CN201710407995.7

申请日：2017-06-02

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 周国华

IPC: G06F17/30

Abstract: 本发明提出了一种解析XML的方法及装置，该方法包括：定义字符串指示结构；步骤二，定义文档对象模型DOM树节点结构，在所述DOM树节点结构中通过所述字符串指示结构指示XML文档中各元素的字符串，以复用所述XML文档的文本缓冲区；步骤三，通过对所述XML文档的文本缓冲区进行递归解析，使用所述DOM树节点结构构造DOM树。本发明所述一种解析XML的方法及装置，在实现XML文件的DOM树时，在节点数据结构使用外置长度的字符串表示法来指示字符串，从而达到复用XML文件的文本缓冲区的目的；在系统资源敏感的情况下，能够有效地降低内存占用，避免内存的频繁分配释放，从而提高系统的效率；带长度的字符串在进行相应的比较、查找等计算过程中，效率更高。

公开(公告)号：CN117978428B

公开(公告)日：2024-08-30

申请号：CN202311659800.X

申请日：2023-12-05

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 周国华

IPC: H04L9/40 ,  H04L67/133

Abstract: 本申请提供一种用于解析WMI客户端进程的方法、装置、处理器及存储介质，属于网络安全技术领域。该方法包括：在WMI框架服务进程启动时，加载上下文封送模块；在WMI请求调度到线程池之前，通过上下文封送模块提取客户端上下文，并将客户端上下文添加至WMI请求的WMI上下文参数中；在WMI提供者进程启动时，加载上下文解封模块；通过上下文解封模块提取WMI上下文参数中的客户端上下文，并将客户端上下文设置到当前线程上下文中。本申请能够将经WMI请求触发的资源访问的主体确定为发起WMI请求的客户端，使得访问控制和审计更加精确，有利于防止发生恶意代码绕过安全检测和溯源中断的情形。

公开(公告)号：CN113312623B

公开(公告)日：2023-11-24

申请号：CN202110685406.8

申请日：2021-06-21

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 周国华 ,  毕向阳 ,  李海峰

IPC: G06F21/56 ,  G06F21/57

Abstract: 本公开涉及一种访问控制中的进程检测方法、装置、电子设备和存储介质，其中，方法包括：在进程启动时，获取进程的第一可执行文件；获取第一可执行文件的第一代码签名，判断第一代码签名是否在可信发行者列表中；第一代码签名在可信发行者列表中时，获取进程的父进程，并将父进程的可信标志作为进程的当前可信标志；检测进程的操作信息，根据操作信息更新当前可信标志，以根据当前可信标志确定进程是否可信，以允许进程执行操作。由此，能够快速准确确定进程是否可信。

公开(公告)号：CN113342908B

公开(公告)日：2022-03-11

申请号：CN202110733656.4

申请日：2021-06-30

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 毕向阳 ,  周国华 ,  李海峰

IPC: G06F16/28 ,  G06F16/25 ,  G06F16/22 ,  G06F16/21

Abstract: 本公开涉及一种面向对象的内核层数据库的构建方法，其特征在于，数据库在运行时，全部数据存储于内核层分配的内存上，数据库是面向对象的，是由一个架构定义统一描述的，数据库的存取单元为对象和对象属性，数据库包括：接口层，用于接收并处理对象的存取请求和结构化查询请求；逻辑层，用于实现对象的存取；其中，对对象的操作是基于对象标识，对象标识可以计算转换为编程语言的对象指针；物理层，用于实现对象和对象属性的数据存取；物理层，还用于存储全局索引表，全局索引表用于建立特定类型对象的路径索引；物理层，还用于实现对象数据和对象属性数据的持久化存储。由此，满足内核场景下，对复杂对象的存储和查询需求，提高访问效率。

公开(公告)号：CN106790153A

公开(公告)日：2017-05-31

申请号：CN201611242260.5

申请日：2016-12-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 陈朴 ,  刘斯宇 ,  周国华

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L67/12 ,  H04L63/0428 ,  H04L63/16

Abstract: 本发明公开了一种车联网安全控制系统及其方法。该系统包括：车辆安全单元当监测车辆的总线通信信号发生异常时，在车辆层执行安全控制处理，并将异常事件发送至联网安全单元和应用管理安全单元；或者，根据联网安全单元发送的异常事件在车辆层执行安全控制处理；联网安全单元当监测车联网通信网络发生异常时，在网络层执行安全控制处理，并将异常事件发送至其他两个单元；或者，根据车辆安全单元发送的异常事件在网络层执行安全控制处理；应用管理安全单元当监控应用层的安全状态发生异常或者接收车辆安全单元或者联网安全单元发送的异常事件，在应用层执行安全控制处理。本发明对车联网中异常事件从三个层面进行协调处理，全面保障车辆安全。

公开(公告)号：CN119416199A

公开(公告)日：2025-02-11

申请号：CN202411401374.4

申请日：2024-10-09

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 周国华

IPC: G06F21/51 ,  G06F21/55 ,  G06F16/17

Abstract: 本申请实施例提供了一种跟踪Windows任务计划程序创建进程的方法，涉及信息安全技术领域。其中，方法包括：将包含上下文封送模块的动态连接库注入到任务计划服务进程，通过所述动态连接库将Windows事件跟踪中的事件跟踪API与上下文封送模块中的钩子函数进行挂钩；通过所述钩子函数获取系统的统一后台进程管理器所调用的事件跟踪API中的参数信息，基于所述参数信息构建线程的任务上下文；安全代理模块在收到进程创建的回调时，实现以下操作：判断线程的任务上下文是否存在，在线程存在任务上下文的情况下，根据所述任务上下文对创建的进程进行操作。本申请提供的实施方式实现了对任务创建进程的精准捕获。

公开(公告)号：CN117978428A

公开(公告)日：2024-05-03

申请号：CN202311659800.X

申请日：2023-12-05

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 周国华

IPC: H04L9/40 ,  H04L67/133

Abstract: 本申请提供一种用于解析WMI客户端进程的方法、装置、处理器及存储介质，属于网络安全技术领域。该方法包括：在WMI框架服务进程启动时，加载上下文封送模块；在WMI请求调度到线程池之前，通过上下文封送模块提取客户端上下文，并将客户端上下文添加至WMI请求的WMI上下文参数中；在WMI提供者进程启动时，加载上下文解封模块；通过上下文解封模块提取WMI上下文参数中的客户端上下文，并将客户端上下文设置到当前线程上下文中。本申请能够将经WMI请求触发的资源访问的主体确定为发起WMI请求的客户端，使得访问控制和审计更加精确，有利于防止发生恶意代码绕过安全检测和溯源中断的情形。