公开(公告)号：CN106778273A

公开(公告)日：2017-05-31

申请号：CN201611238879.9

申请日：2016-12-28

Applicant: 北京安天网络安全技术有限公司

Inventor： 贾琼 ,  李柏松

IPC: G06F21/56 ,  G06F21/53

CPC classification number: G06F21/566 ,  G06F21/53

Abstract: 本发明公开了一种验证恶意代码在受害者主机中活跃度的方法及系统，包括：监控网内通信行为，若存在恶意代码则记录相关流量信息；基于相关流量信息还原恶意代码样本，并记录相关的五元组信息；将所述恶意代码样本投入沙箱运行，并获取回传的C&C的IP地址；判断所述IP地址是否在所述五元组信息中，若是则判定恶意代码在受害者主机中活跃，否则判定恶意代码未在受害者主机中活跃。本发明所述技术方案能够克服传统方法难以追溯恶意代码样本在受害者机器中是否活跃的问题。

公开(公告)号：CN109474571A

公开(公告)日：2019-03-15

申请号：CN201711474639.3

申请日：2017-12-29

Applicant: 北京安天网络安全技术有限公司

Inventor： 李柏松 ,  贾琼 ,  王小丰

IPC: H04L29/06 ,  H04L12/26

CPC classification number: H04L63/1408 ,  H04L43/06 ,  H04L43/0817 ,  H04L63/1425

Abstract: 本发明公开了一种协同联动发现Rootkit的方法及系统，其中，所述方法包括：主机侧：收集主机侧的系统进程信息和对应的网络状态信息；定期将所述系统进程信息和所述网络状态信息上报至网络监测设备；接收来自网络监测设备的反馈结果，并基于反馈结果作出响应。网络侧：接收主机侧定期上报的系统进程信息和对应的网络状态信息，并与检测流量数据对比分析，并判定是否存在恶意网络请求；根据恶意网络请求与系统进程信息和网络状态信息的匹配情况，向主机安全设备发送反馈结果。本发明通过主机安全软件与网络监测设备的配合来发现隐藏的网络行为进而发现Rootkit。