公开(公告)号：CN119135534A

公开(公告)日：2024-12-13

申请号：CN202411165983.4

申请日：2024-08-23

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨强

IPC: H04L41/0823 ,  H04L69/16

Abstract: 本申请提供一种DPDK动态网卡添加方法、存储介质、电子设备及程序产品，通过监控内核发送的添加网卡事件，并调用对应的添加网卡事件处理函数，实时处理动态添加的网卡，在DPDK动态添加网卡的过程中，不需要重启整个DPDK进程，从而不影响已有网卡设备的网络通信。并且，DPDK使用AF_XDP套接字可以显著减少数据包处理延迟。AF_XDP是一种高效的数据包接收机制，它允许应用程序直接访问网络硬件的队列，绕过内核协议栈，从而减少CPU消耗和延迟。通过为每个网卡队列创建并绑定AF_XDP套接字，可以实现更细粒度的数据包处理，提高并行处理能力。

公开(公告)号：CN117708795A

公开(公告)日：2024-03-15

申请号：CN202311811826.1

申请日：2023-12-26

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨强

IPC: G06F21/44 ,  G06F11/30

Abstract: 本申请实施例提供一种进程提权检测方法、装置、机器可读存储介质及计算设备，属于计算机技术领域。方法包括通过基于预设跟踪点在Linux内核中加载监控程序，其中，预设跟踪点包括进程新建跟踪点和进程调用跟踪点，加载于进程新建跟踪点的监控程序用于获取新建进程的进程信息，加载于进程调用跟踪点的监控程序用于获取调用进程的进程信息；根据监控程序获取进程信息，其中，进程信息包括进程新建信息和进程调用信息；基于进程信息确定进程信息对应的目标进程是否为提权进程；在目标进程为提权进程的情况下，基于目标进程的进程类型对目标进程进行处理，其中，进程类型包括新建进程和调用进程。减少了进程提权行为带来的风险，提升系统安全性。

公开(公告)号：CN113992428B

公开(公告)日：2024-02-09

申请号：CN202111435431.7

申请日：2021-11-29

Applicant: 天融信雄安网络安全技术有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨强

IPC: H04L9/40 ,  G06F9/4401 ,  G06F9/455

Abstract: 本申请提供一种容器环境下的入侵防御方法及装置、电子设备、计算机可读存储介质，方法包括：指定网卡驱动接收到数据包，其中，指定网卡驱动包括宿主机的容器内虚拟网卡的网卡驱动、以及宿主机的物理网卡的网卡驱动；指定网卡驱动调用XDP网络钩子上的eBPF程序，eBPF程序从的数据包中解析出数据包特征值，通过eBPF程序在快速路径流表中，查找与数据包特征值对应的快速路径流表项；基于查找结果对数据包进行处理。本申请方案，由于指定网卡驱动的XDP网络钩子上绑定了eBPF程序，该eBPF程序可以通过快速路径流表对已经经过检测的连接的数据包进行快速处理，避免了流量全部被Linux网络协

公开(公告)号：CN115834184A

公开(公告)日：2023-03-21

申请号：CN202211449238.3

申请日：2022-11-18

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨强

IPC: H04L9/40 ,  H04L69/16

Abstract: 本申请提供容器流量的安全检测方法、系统、电子设备和存储介质。宿主机设置有业务容器和安全服务容器，该方法包括：获取所述业务容器所收发的容器流量；将所述容器流量重定向至所述安全服务容器，从而能够通过所述安全服务容器对所述容器流量进行安全检测。

公开(公告)号：CN119127394A

公开(公告)日：2024-12-13

申请号：CN202411185320.9

申请日：2024-08-27

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨强

IPC: G06F9/455 ,  G06F9/54 ,  G06F16/176

Abstract: 本申请实施例提供一种主备虚拟机会话同步方法、设备及存储介质，涉及数据同步技术领域。所述方法包括：通过宿主机将共享文件的共享目录分别挂载至主备虚拟机的虚拟共享目录下，以使主虚拟机、备用虚拟机分别将共享文件映射至各自的共享虚拟内存中；通过主虚拟机响应于备用虚拟机的会话同步请求，并将主虚拟机的会话数据复制至主虚拟机的共享虚拟内存中，以使备用虚拟机基于备用虚拟机的共享虚拟内存将会话数据同步至备用虚拟机中。本申请实施例通过将共享文件的目录分别挂载至主备虚拟机，并将共享文件分别映射至主备虚拟机的虚拟内存中，使得主备虚拟机能够通过共享内存实现会话数据的快速同步，从而有效提高了主备虚拟机会话同步的效率。

公开(公告)号：CN117494115A

公开(公告)日：2024-02-02

申请号：CN202311501826.1

申请日：2023-11-10

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨强

IPC: G06F21/55 ,  G06N5/01

Abstract: 本申请实施例提供一种容器环境下的反弹shell检测方法、装置、设备和介质，其中，方法包括：在内核函数添加主动上传信息程序，所述内核函数在所述待检测进程工作时被所述待检测进程调用；获取主动上传信息程序上传的待检测进程的相关信息；根据所述待检测进程建立和容器匹配的进程树；根据所述待检测进程的相关信息对所述待检测进程进行内反弹shell检测，得到检测结果；当所述检测结果为异常时，根据所述待检测进程所属的进程树确定受到反弹shell攻击的容器。上述方法使进程主动上报相关信息，基于相关信息进行内反弹shell检测，并且在容器环境下快速确认当前受到反弹shell攻击的容器。

公开(公告)号：CN117473501A

公开(公告)日：2024-01-30

申请号：CN202311475825.4

申请日：2023-11-07

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨强

IPC: G06F21/56

Abstract: 本申请实施例提供一种基于eBPF的隐藏进程检测方法、装置、设备及介质，所述方法包括：响应于创建函数被调用，通过在内核态中执行挂载于创建函数的eBPF跟踪程序，跟踪获取创建进程的进程数据，并记录在进程文件中；响应于终止函数被调用，通过在内核态中执行挂载于终止函数的eBPF跟踪程序，跟踪获取终止进程的进程数据，并更新进程文件；在用户态中获取用于记录进程信息的虚拟文件系统，并针对进程文件记录的每个运行进程，从虚拟文件系统中查找运行进程的进程信息；确定未查找到进程信息的目标进程为隐藏进程。通过eBPF技术跟踪进程创建与终止，维护进程文件记录所有运行进程，以及对比虚拟文件系统与进程文件的进程异同，从而排查出隐藏进程。

公开(公告)号：CN117472514A

公开(公告)日：2024-01-30

申请号：CN202311537067.4

申请日：2023-11-17

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨强

IPC: G06F9/455 ,  G06F21/44 ,  G06F21/60

Abstract: 本申请提供了一种容器权限管理方法、装置、电子设备和可读存储介质，其中，该方法包括：当第一进程执行目标操作时，获取所述第一进程的第一进程号；根据所述第一进程号，确定出所述第一进程对应的第一容器的第一容器名；根据所述第一容器名，查找所述第一容器所包含的权限集；根据所述权限集判断所述第一进程是否包含所述目标操作的操作权限；若所述第一进程具有所述目标操作的操作权限，则所述第一进程执行所述目标操作。

公开(公告)号：CN114039789A

公开(公告)日：2022-02-11

申请号：CN202111363303.6

申请日：2021-11-17

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨强

IPC: H04L9/40 ,  G06F9/455

Abstract: 本申请提供一种流量防护方法及电子设备、存储介质，所述方法应用于宿主机，所述宿主机部署有虚拟化防火墙和业务虚拟机，所述方法包括：将eBPF程序下发在网卡驱动程序的XDP网络钩子上；通过所述eBPF程序将所述业务虚拟机外发的流量重定向给所述虚拟化防火墙；通过所述eBPF程序将所述虚拟化防火墙检测确认放行的流量，发送到目标虚拟机或目标物理网卡。该方案通过采用eBPF程序，存在BUG也不会导致宿主机出现宕机等情况，并且可以适配不同Linux内核版本。

公开(公告)号：CN118944961A

公开(公告)日：2024-11-12

申请号：CN202411212356.1

申请日：2024-08-30

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨强

IPC: H04L9/40 ,  H04L61/103 ,  H04L41/40 ,  H04L101/622 ,  H04L101/695

Abstract: 本申请实施例提供一种虚拟机IP地址与MAC地址管理方法、设备及存储介质，涉及网络管理技术领域。所述方法包括：实时监测并获取目标虚拟机发出的数据包；获取对应于所述目标虚拟机的虚拟机网卡信息；获取所述数据包的源IP地址和源MAC地址，判断所述源IP地址和所述源MAC地址是否与所述虚拟机网卡信息相符，并对所述数据包放行或丢弃。本申请实施例通过将扩展数据包过滤程序部署到宿主机的虚拟机网卡驱动的XDP网络钩子处，能够实时监测并获取虚拟机发出的数据包，并根据虚拟机网卡信息对数据包进行地址绑定和管理，无需通过虚拟化网络组件即可实现对虚拟机的IP‑MAC地址进行管理的目的，从而有效提高了对虚拟机网卡的IP‑MAC地址进行管理的适用范围。