-
公开(公告)号:CN109472134B
公开(公告)日:2022-04-19
申请号:CN201711420845.6
申请日:2017-12-25
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提出了一种基于API调用序列提取控制端的方法及系统,包括:对已知木马家族样本分类,并提取各木马家族的API调用日志,提取各木马家族样本的API调用序列;定位API调用序列中连接木马控制端IP端口时调用的API详情;分别提取各家族中的木马样本在连接控制端API之前,预设数量的关键API序列及参数,并提取通用序列;将提取的通用序列与未知样本的API序列匹配,若匹配成功,则提取未知样本尝试连接控制端的IP端口即为控制端。本发明还提出相应系统。通过本发明的技术方案,能够提取同一类型家族的木马控制端,节省了人工提取时间,且该方法不受其他联网、扫描和爆破攻击等网络噪音影响,提取的信息更加准确。
-
公开(公告)号:CN109474573B
公开(公告)日:2021-05-25
申请号:CN201711491739.7
申请日:2017-12-30
Applicant: 北京安天网络安全技术有限公司
IPC: H04L29/06
Abstract: 本发明实施例提供了一种识别失活木马程序的方法、装置及存储介质,从而识别出网内处于失活或者暂时失活的木马程序,定位被该木马程序感染的主机。该方法包括:从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据;根据训练数据和提取出的数据,确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率;在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时,确定未知类型的流量来自于失活木马程序。
-
公开(公告)号:CN108363922B
公开(公告)日:2020-02-07
申请号:CN201710974003.9
申请日:2017-10-19
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提出一种自动化恶意代码仿真检测方法及系统,所述方法包括:通过对已知恶意代码样本集进行家族分类,并提取出信息交互数据,建立专用协议数据库、专用协议知识库、通用协议数据库及通用协议知识库;获取恶意样本的网络请求,根据专用协议知识库,对恶意样本的家族及专用通信协议进行识别;根据通用协议知识库,对恶意样本的通信请求类型及通用通信协议进行识别;对恶意代码通用协议及专用协议自动化仿真,触发恶意代码的恶意行为。通过本发明的技术方案,能够触发恶意行为操作执行机制,优化沙箱的自动化恶意代码分析能力,极大减少人工分析投入。
-
公开(公告)号:CN109472134A
公开(公告)日:2019-03-15
申请号:CN201711420845.6
申请日:2017-12-25
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提出了一种基于API调用序列提取控制端的方法及系统,包括:对已知木马家族样本分类,并提取各木马家族的API调用日志,提取各木马家族样本的API调用序列;定位API调用序列中连接木马控制端IP端口时调用的API详情;分别提取各家族中的木马样本在连接控制端API之前,预设数量的关键API序列及参数,并提取通用序列;将提取的通用序列与未知样本的API序列匹配,若匹配成功,则提取未知样本尝试连接控制端的IP端口即为控制端。本发明还提出相应系统。通过本发明的技术方案,能够提取同一类型家族的木马控制端,节省了人工提取时间,且该方法不受其他联网、扫描和爆破攻击等网络噪音影响,提取的信息更加准确。
-
公开(公告)号:CN108363922A
公开(公告)日:2018-08-03
申请号:CN201710974003.9
申请日:2017-10-19
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提出一种自动化恶意代码仿真检测方法及系统,所述方法包括:通过对已知恶意代码样本集进行家族分类,并提取出信息交互数据,建立专用协议数据库、专用协议知识库、通用协议数据库及通用协议知识库;获取恶意样本的网络请求,根据专用协议知识库,对恶意样本的家族及专用通信协议进行识别;根据通用协议知识库,对恶意样本的通信请求类型及通用通信协议进行识别;对恶意代码通用协议及专用协议自动化仿真,触发恶意代码的恶意行为。通过本发明的技术方案,能够触发恶意行为操作执行机制,优化沙箱的自动化恶意代码分析能力,极大减少人工分析投入。
-
Patent Agency Ranking
公开(公告)号:CN119276641B
公开(公告)日:2025-05-09
申请号:CN202411808496.5
申请日:2024-12-10
Applicant: 北京安天网络安全技术有限公司
IPC: H04L9/40 , G06F18/15 , G06F18/2115 , G06F18/214 , G06F18/2433 , G06F18/243
Abstract: 本申请的实施例公开了一种基于预设协议的隐蔽通道通信的检测方法及装置,涉及网络安全技术领域,为能够有效地检测基于预设协议的隐蔽通道进行通信的报文而发明。所述方法包括:采集目标检测环境中的待检测数据报文;其中,所述待检测数据报文为基于预设协议的数据报文;获取所述待检测数据报文的指定特征的特征值;根据所述特征值和预先训练的基于变精度粗糙集的决策树优化模型,确定所述待检测数据报文是否为恶意报文,以确定所述待检测数据报文是否为基于预设协议的隐蔽通道进行通信的报文。本申请适用于对检测环境中是否存在基于预设协议的隐蔽通道进行通信。
-
公开(公告)号:CN109474567B
公开(公告)日:2022-01-07
申请号:CN201710974000.5
申请日:2017-10-19
Applicant: 公安部第三研究所 , 北京安天网络安全技术有限公司
IPC: H04L9/40
Abstract: 本发明的实施例公开一种DDOS攻击溯源方法、装置、计算机可读存储介质及电子设备,涉及计算机安全技术,具有较强的网络环境适应能力。所述DDOS攻击溯源方法包括:接收输入的遭受DDOS攻击的攻击目标信息;根据所述攻击目标信息,查询预先建立的DDOS攻击溯源库,获取与所述攻击目标信息相关联的控制端信息;其中,所述DDOS攻击溯源库中具有控制端信息与攻击目标信息的关联关系。本发明适用于对DDOS攻击进行溯源。
-
公开(公告)号:CN109995716A
公开(公告)日:2019-07-09
申请号:CN201711487771.8
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种基于高交互蜜罐系统的行为激发方法及装置,其中,方法包括:获取高交互蜜罐系统的通信流量;判断通信流量是否满足预设放行条件;如果不满足预设放行条件,则确定为非蜜罐网断流量,并进一步判断是否为恶意通信流量;如果为恶意通信流量,则修改流量导向规则,以将通信流量随机牵引至其他蜜罐,并获取攻击动作。该方法可以在判定为恶意通信流量时,将恶意通信流量牵引至其他蜜罐,有效提高安全性。
-
公开(公告)号:CN109474567A
公开(公告)日:2019-03-15
申请号:CN201710974000.5
申请日:2017-10-19
Applicant: 公安部第三研究所 , 北京安天网络安全技术有限公司
IPC: H04L29/06
Abstract: 本发明的实施例公开一种DDOS攻击溯源方法、装置、计算机可读存储介质及电子设备,涉及计算机安全技术,具有较强的网络环境适应能力。所述DDOS攻击溯源方法包括:接收输入的遭受DDOS攻击的攻击目标信息;根据所述攻击目标信息,查询预先建立的DDOS攻击溯源库,获取与所述攻击目标信息相关联的控制端信息;其中,所述DDOS攻击溯源库中具有控制端信息与攻击目标信息的关联关系。本发明适用于对DDOS攻击进行溯源。
-
公开(公告)号:CN103902914B
公开(公告)日:2017-06-23
申请号:CN201310423156.6
申请日:2013-09-17
Applicant: 北京安天网络安全技术有限公司
IPC: G06F21/57
Abstract: 本发明公开了一种针对高级可持续威胁的溢出漏洞检测方法及系统,首先,选择待检测软件的基础版本,并记录具有补丁文件的分支版本信息;所述基础版本为待检测软件的一个或多个重要版本;捕获网络中的可疑文档类型样本,投入虚拟机;依据各补丁文件与各分支版本的对应关系,在虚拟机中构造各分支版本环境;在各分支版本环境下加载并打开所述可疑文档类型样本;监控所述可疑文档类型样本的API调用情况,判断是否存在溢出行为,并进一步判断所述分支版本是否是最新版本,从而判断是否存在高级可持续威胁可以利用的0day漏洞。并且,可以有效的检测出待检测软件已知漏洞,可以发现待检测软件是否存在0day漏洞。
-
-
-
-
-
-
-
-
-
Search Results
39
records
(took 0.075 seconds)
