公开(公告)号：CN110798439A

公开(公告)日：2020-02-14

申请号：CN201811025294.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京安天网络安全技术有限公司

Inventor： 严寒冰 ,  黄云宇 ,  丁丽 ,  李佳 ,  刘广柱 ,  康学斌 ,  郭晶 ,  贾子骁 ,  王小丰 ,  肖新光 ,  高胜 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  张世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L29/06

Abstract: 本发明提出了一种主动探测物联网僵尸网络木马的方法、设备及存储介质，所述方法通过已知物联网僵尸网络木马的控制节点信息；提取相应脚本文件名，作为脚本名称字典集；对高频IP网段主动进行全端口扫描探测，获取并筛选出重要端口的指纹信息；根据脚本名称字典集，对存在重要指纹信息的目标端口进行自动化感染脚本盲猜；针对盲猜获得的自动化感染脚本，提取自动化感染脚本中存放的木马下载链接；根据木马下载链接下载所述木马，并进行检测识别，将所述木马分类，为后续木马监控提供信息。本发明还同时提出了相应的设备、装置及存储介质。通过本发明方法，能够实现主动获取物联网僵尸网络木马，为后续的监测及获取威胁情报提供有效信息。

公开(公告)号：CN110798439B

公开(公告)日：2022-04-19

申请号：CN201811025294.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京安天网络安全技术有限公司

Inventor： 严寒冰 ,  黄云宇 ,  丁丽 ,  李佳 ,  刘广柱 ,  康学斌 ,  郭晶 ,  贾子骁 ,  王小丰 ,  肖新光 ,  高胜 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  张世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L9/40

Abstract: 本发明提出了一种主动探测物联网僵尸网络木马的方法、设备及存储介质，所述方法通过已知物联网僵尸网络木马的控制节点信息；提取相应脚本文件名，作为脚本名称字典集；对高频IP网段主动进行全端口扫描探测，获取并筛选出重要端口的指纹信息；根据脚本名称字典集，对存在重要指纹信息的目标端口进行自动化感染脚本盲猜；针对盲猜获得的自动化感染脚本，提取自动化感染脚本中存放的木马下载链接；根据木马下载链接下载所述木马，并进行检测识别，将所述木马分类，为后续木马监控提供信息。本发明还同时提出了相应的设备、装置及存储介质。通过本发明方法，能够实现主动获取物联网僵尸网络木马，为后续的监测及获取威胁情报提供有效信息。

公开(公告)号：CN104901850B

公开(公告)日：2018-08-31

申请号：CN201510322046.X

申请日：2015-06-12

Applicant: 国家计算机网络与信息安全管理中心广东分中心

Inventor： 梁斌 ,  王宜阳 ,  宋苑 ,  胡赢 ,  刘家豪 ,  李晓东 ,  李佳 ,  徐晓燕 ,  康学斌 ,  董建武

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明公开了一种恶意代码终端感染机器网络定位方法。包括骨干网定位步骤、信息中心节点出口定位步骤和感染总段机器定位步骤。很好的克服了常见恶意代码感染数据从互联网侧到最终感染终端在网络定位方面遇到的困难，其在不依赖安全检测设备的情况下，非常方便的实现了不同网络层面下的恶意代码终端感染机器的网络定位。

公开(公告)号：CN105488401A

公开(公告)日：2016-04-13

申请号：CN201410770580.2

申请日：2014-12-15

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 徐小琳 ,  郑礼雄 ,  李佳 ,  严寒冰 ,  张雨晨 ,  康学斌 ,  肖新光

IPC: G06F21/56

Abstract: 本发明提出了一种基于概率差异的噪音信息清除方法及系统，包括：获取未知样本的全部行为；分别计算未知样本各行为在恶意程序和可信程序中出现的概率；通过概率差和归一处理后，得到未知样本各行为的贡献度；计算未知样本各行为的贡献度之和，判定未知样本是否为恶意。本发明通过未知样本的行为在恶意程序和可信程序中出现的概率，计算贡献度，进而进一步计算并判断其是否为恶意，能够极大的减少对样本检测的误报。

公开(公告)号：CN104901850A

公开(公告)日：2015-09-09

申请号：CN201510322046.X

申请日：2015-06-12

Applicant: 国家计算机网络与信息安全管理中心广东分中心

Inventor： 梁斌 ,  王宜阳 ,  宋苑 ,  胡赢 ,  刘家豪 ,  李晓东 ,  李佳 ,  徐晓燕 ,  康学斌 ,  董建武

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明公开了一种恶意代码终端感染机器网络定位方法。包括骨干网定位步骤、信息中心节点出口定位步骤和感染总段机器定位步骤。很好的克服了常见恶意代码感染数据从互联网侧到最终感染终端在网络定位方面遇到的困难，其在不依赖安全检测设备的情况下，非常方便的实现了不同网络层面下的恶意代码终端感染机器的网络定位。

公开(公告)号：CN103902903A

公开(公告)日：2014-07-02

申请号：CN201310557502.X

申请日：2013-11-12

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 云晓春 ,  徐小琳 ,  郑礼雄 ,  高胜 ,  王琦 ,  陈阳 ,  何能强 ,  康学斌 ,  贺磊钢 ,  张栗伟

IPC: G06F21/56 ,  G06F21/53

CPC classification number: G06F21/561 ,  G06F21/53

Abstract: 本发明提供了一种基于动态沙箱环境的恶意代码分析方法及系统，包括：将恶意代码投放到带有监控的虚拟机中；运行并监控所述恶意代码，获得与系统核心资源相关的进程调用和字符串信息；判断系统核心资源规则库中是否包含所述进程调用和字符串信息，如果是，则模拟对应系统核心资源，否则丢弃所述进程调用和字符串信息；判断恶意代码是否执行完毕，如果是，则捕获动态模拟后的恶意代码信息记录，否则继续监控所述恶意代码。通过本发明的方法，能够根据恶意代码运行需要，动态模拟满足恶意代码分析需求，并减少资源耗费，达到高性价比获取恶意代码行为信息。

公开(公告)号：CN211830800U

公开(公告)日：2020-10-30

申请号：CN202020487490.3

申请日：2020-04-07

Applicant: 江西省计算技术研究所 ,  国家计算机网络与信息安全管理中心江西分中心 ,  深圳市安之天信息技术有限公司

Inventor： 付康 ,  汤辉 ,  陈松 ,  贺余盛 ,  胡少文 ,  康学斌 ,  孙丹 ,  徐宁

IPC: H04L12/26 ,  H05K5/06 ,  H05K5/03 ,  H05K5/02

Abstract: 本实用新型涉及协议分析仪技术领域，且公开了一种基于全流量分析的便携流量盒子，解决了现有协议分析仪结构较大，工人很难稳定的对分析仪进行拿持和携带，同时分析仪的表面没有防护装置，不能有效的进行防尘和防水的问题，其包括分析仪本体，所述分析仪本体一端的两侧均固定安装有固定块，两个固定块的中部均活动安装有活动轴，两个固定块通过活动轴分别活动安装有第一密封卡盒和第二密封卡盒；本基于全流量分析的便携流量盒子带有有效的拿持机构，从而在使用的过程中能够稳定、便捷的进行拿持和携带，同时本基于全流量分析的便携流量盒子带有防护措施，能够有效的起到防尘和防水的作用。

公开(公告)号：CN211831454U

公开(公告)日：2020-10-30

申请号：CN202020488088.7

申请日：2020-04-07

Applicant: 江西省计算技术研究所 ,  国家计算机网络与信息安全管理中心江西分中心 ,  深圳市安之天信息技术有限公司

Inventor： 贺余盛 ,  陈松 ,  汤辉 ,  付康 ,  孙丹 ,  康学斌 ,  胡少文 ,  孟莎莎

IPC: H05K5/02 ,  H05K7/20

Abstract: 本实用新型涉及网络安全设备技术领域，且公开了一种用于动态威胁鉴定设备，解决了现如今网络安全设备本身不能有效的进行散热，而导致温度过高影响设备的有效运行，同时网络安全设备没有防护措施，当发生碰撞等破坏情况时造成设备损坏的问题，其包括底座，所述底座底部的四角处均安装有万向轮，底座顶部的中部固定安装有设备外壳，设备外壳内腔的底部安装有设备元件，设备外壳一侧的底部等距离安装有进气机构；本鉴定设备能够有效的对内部元件进行散热降温，从而使网络安全设备能够稳定、有效且持续的进行运行，同时本鉴定设备带有有效的防护措施，使设备在遭受碰撞等破坏情况时能够有效的对内部元件进行保护。

公开(公告)号：CN117081862A

公开(公告)日：2023-11-17

申请号：CN202311330593.3

申请日：2023-10-16

Applicant: 北京安天网络安全技术有限公司

Inventor： 何秋勇 ,  余兰 ,  张雨晨 ,  康学斌 ,  肖新光

IPC: H04L9/40

Abstract: 本申请的实施例公开了一种局域网安全防御方法、装置、电子设备及存储介质，涉及网络安全技术领域，能够有效提高网络安全防御的主动性和安全性。所述方法包括：监测当前局域网中是否存在失陷主机；若当前局域网中存在失陷主机，则监听当前局域网中第一主机对第二主机的ARP请求；其中，所述第一主机为所述失陷主机；响应于所述第一主机的ARP请求，向所述第一主机发送ARP回复报文；获取所述第一主机对所述第二主机的访问流量，并将所述访问流量发送至仿真资产；通过所述仿真资产对所述访问流量进行响应，得到回程流量，将所述回程流量发送给所述第一主机。本发明适用于阻止横向攻击扩散的场景。

公开(公告)号：CN109995705A

公开(公告)日：2019-07-09

申请号：CN201711480108.5

申请日：2017-12-29

Applicant: 北京安天网络安全技术有限公司

Inventor： 朱晴 ,  张颂蘅 ,  康学斌 ,  王小丰

IPC: H04L29/06

Abstract: 本发明公开了一种基于高交互蜜罐系统的攻击链检测方法及装置，其中，方法包括：获取高交互蜜罐系统的虚拟机系统行为和服务通信流量；获取系统进程释放的PE文件及PE文件的联网信息；根据PE文件及PE文件的联网信息回溯得到释放PE文件的进程信息及PE对应通信地址；根据服务通信流量、释放PE文件的进程信息获取对应的服务信息及内网通信地址信息；根据虚拟机系统行为、服务信息、PE通信信息、内网通信地址信息提取攻击链。该方法可以根据高交互蜜罐系统的虚拟机系统行为和进程端口信息提取攻击链，使蜜罐攻击流程变得更清晰，提高攻击的准确性。