-
公开(公告)号:CN119094244B
公开(公告)日:2025-02-11
申请号:CN202411569915.4
申请日:2024-11-06
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明实施例公开的分布式恶意样本仿真分析方法、装置、电子设备及存储介质,涉及网络安全技术领域。包括:根据接收到的恶意样本的文件头信息,基于加权评分算法计算每个恶意样本与不同的虚拟机操作系统和硬件架构构成的虚拟机环境的匹配度得分;根据匹配度得分,判断与恶意样本匹配度最佳的虚拟机环境;根据判断结果,将恶意样本对应投放至匹配度最佳的虚拟机环境中;利用行为监控组件实时记录恶意样本在运行时对系统的操作行为以及利用流量监控组件实时记录恶意样本在运行时的网络流量;根据实时记录的恶意样本的操作行为和网络流量对恶意样本进行分析,能够全方位了解和收集恶意样本的信息,以提高样本分析效率。适用于威胁情报收集场景中。
-
公开(公告)号:CN117093951B
公开(公告)日:2024-01-26
申请号:CN202311333515.9
申请日:2023-10-16
Applicant: 北京安天网络安全技术有限公司
Abstract: 本申请的实施例公开了一种威胁情报合并方法、装置、电子设备及存储介质,涉及网络安全技术领域,能够有效提高多来源情报合并处理效率。所述方法包括:获取威胁情报,提取所述威胁情报的属性;基于所述威胁情报的属性和关联规则,确定所述威胁情报的质量信标值;将所述威胁情报的质量信标值与预设阈值进行比较;对所述质量信标值超过所述预设阈值的威胁情报进行合并。本发明适用于对情报信息分析处理的场景。
-
公开(公告)号:CN117034275A
公开(公告)日:2023-11-10
申请号:CN202311303198.6
申请日:2023-10-10
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提供了一种基于Yara引擎的恶意文件检测方法、设备及介质,涉及恶意文件检测领域,所述方法包括:获取待检测文件A;若A的若干预设特征与预设Yara引擎的检测规则库中的任一检测规则符合预设的匹配条件,则将A确定为恶意文件;获取若干已知的恶意文件;根据每一恶意文件的属性,对所有的已知恶意文件进行聚类,以得到恶意文件组集B;获取B中每一恶意文件组对应的目标操作码分词列表集EB;获取B中每一恶意文件组对应的目标特殊字符串列表HB;根据EB和HB生成若干目标检测规则;通过预设Yara引擎将所有的目标检测规则进行加载,以得到所述检测规则库;本发明能够提高检测规则库的生成效率。
-
公开(公告)号:CN109995716B
公开(公告)日:2021-07-30
申请号:CN201711487771.8
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种基于高交互蜜罐系统的行为激发方法及装置,其中,方法包括:获取高交互蜜罐系统的通信流量;判断通信流量是否满足预设放行条件;如果不满足预设放行条件,则确定为非蜜罐网断流量,并进一步判断是否为恶意通信流量;如果为恶意通信流量,则修改流量导向规则,以将通信流量随机牵引至其他蜜罐,并获取攻击动作。该方法可以在判定为恶意通信流量时,将恶意通信流量牵引至其他蜜罐,有效提高安全性。
-
Patent Agency Ranking
公开(公告)号:CN109474572B
公开(公告)日:2021-02-09
申请号:CN201711489517.1
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
IPC: H04L29/06
Abstract: 本发明提出了一种基于集群僵尸网络监控捕获放马站点的方法及系统,本发明方法获取已知各恶意代码家族的僵尸网络的恶意代码,并解析出控制节点,及获取各恶意代码家族的协议,建立协议解析模块;通过模拟被控端,与控制节点进行信息交互及监控,获取交叉感染指令,并根据交叉感染指令解析出恶意代码存放地址,即新发现的放马站点,对该地址中的文件进行打包下载。本发明的技术方案,能够对集群僵尸网络进行监控,及时发现恶意代码交叉感染情况,发现新的放马站点。同时对新放马站点的监控,以及结合以往控制端的监控,能够实现僵尸网络间的交互监控。
-
公开(公告)号:CN109670304B
公开(公告)日:2020-12-22
申请号:CN201710954080.8
申请日:2017-10-13
Applicant: 北京安天网络安全技术有限公司
IPC: G06F21/56
Abstract: 本发明提出一种恶意代码家族属性的识别方法、装置及电子设备,其中,方法包括:获取待识别的对象的内存镜像文件,从内存镜像文件中提取有效的字符串;根据字符串,获取对象与每个家族之间的相似度;根据内存镜像文件,获取对象的第一图像指纹;根据每个家族中每个病毒样本的内存镜像文件,获取每个病毒样本的第二图像指纹;将第一图像指纹与每个家族的每个第二图像指纹进行比较,获取对象与每个家族之间的汉明距离;根据每个家族对应的相似度和汉明距离,确定对象的家族属性。由此,通过恶意代码与家族之间的相似度和汉明距离即可准确识别出恶意代码的家族属性,提高了恶意代码家族属性识别的通用性、鲁棒性和准确性。
-
公开(公告)号:CN109510808A
公开(公告)日:2019-03-22
申请号:CN201711489510.X
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
IPC: H04L29/06
Abstract: 本发明提出一种自动化放马站点探测方法、系统及存储介质,所述方法包括:根据已知放马站点,提取协议标识;分析统计已知恶意IP,提取恶意IP较密集的IP网段列表;对提取的IP网段列表,自动化枚举探测IP的活跃性,并形成目标数据列表;利用协议标识,枚举探测识别目标数据列表中各活跃IP,判断是否存在协议标识,如果是,则对应IP为放马站点;对探测到的放马站点中的数据进行打包下载。通过本发明技术方案,能够自动化的探测放马站点,并进行恶意代码数据的下载,能够有效及时监控并感知放马站点的最新活跃情报。
-
公开(公告)号:CN109474573A
公开(公告)日:2019-03-15
申请号:CN201711491739.7
申请日:2017-12-30
Applicant: 北京安天网络安全技术有限公司
IPC: H04L29/06
Abstract: 本发明实施例提供了一种识别失活木马程序的方法、装置及存储介质,从而识别出网内处于失活或者暂时失活的木马程序,定位被该木马程序感染的主机。该方法包括:从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据;根据训练数据和提取出的数据,确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率;在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时,确定未知类型的流量来自于失活木马程序。
-
公开(公告)号:CN109474572A
公开(公告)日:2019-03-15
申请号:CN201711489517.1
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
IPC: H04L29/06
CPC classification number: H04L63/1408 , H04L63/145 , H04L2463/144
Abstract: 本发明提出了一种基于集群僵尸网络监控捕获放马站点的方法及系统,本发明方法获取已知各恶意代码家族的僵尸网络的恶意代码,并解析出控制节点,及获取各恶意代码家族的协议,建立协议解析模块;通过模拟被控端,与控制节点进行信息交互及监控,获取交叉感染指令,并根据交叉感染指令解析出恶意代码存放地址,即新发现的放马站点,对该地址中的文件进行打包下载。本发明的技术方案,能够对集群僵尸网络进行监控,及时发现恶意代码交叉感染情况,发现新的放马站点。同时对新放马站点的监控,以及结合以往控制端的监控,能够实现僵尸网络间的交互监控。
-
-
-
-
-
-
-
-
Search Results
39
records
(took 0.224 seconds)
