公开(公告)号：CN110798439A

公开(公告)日：2020-02-14

申请号：CN201811025294.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京安天网络安全技术有限公司

Inventor： 严寒冰 ,  黄云宇 ,  丁丽 ,  李佳 ,  刘广柱 ,  康学斌 ,  郭晶 ,  贾子骁 ,  王小丰 ,  肖新光 ,  高胜 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  张世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L29/06

Abstract: 本发明提出了一种主动探测物联网僵尸网络木马的方法、设备及存储介质，所述方法通过已知物联网僵尸网络木马的控制节点信息；提取相应脚本文件名，作为脚本名称字典集；对高频IP网段主动进行全端口扫描探测，获取并筛选出重要端口的指纹信息；根据脚本名称字典集，对存在重要指纹信息的目标端口进行自动化感染脚本盲猜；针对盲猜获得的自动化感染脚本，提取自动化感染脚本中存放的木马下载链接；根据木马下载链接下载所述木马，并进行检测识别，将所述木马分类，为后续木马监控提供信息。本发明还同时提出了相应的设备、装置及存储介质。通过本发明方法，能够实现主动获取物联网僵尸网络木马，为后续的监测及获取威胁情报提供有效信息。

公开(公告)号：CN110798439B

公开(公告)日：2022-04-19

申请号：CN201811025294.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京安天网络安全技术有限公司

Inventor： 严寒冰 ,  黄云宇 ,  丁丽 ,  李佳 ,  刘广柱 ,  康学斌 ,  郭晶 ,  贾子骁 ,  王小丰 ,  肖新光 ,  高胜 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  张世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L9/40

Abstract: 本发明提出了一种主动探测物联网僵尸网络木马的方法、设备及存储介质，所述方法通过已知物联网僵尸网络木马的控制节点信息；提取相应脚本文件名，作为脚本名称字典集；对高频IP网段主动进行全端口扫描探测，获取并筛选出重要端口的指纹信息；根据脚本名称字典集，对存在重要指纹信息的目标端口进行自动化感染脚本盲猜；针对盲猜获得的自动化感染脚本，提取自动化感染脚本中存放的木马下载链接；根据木马下载链接下载所述木马，并进行检测识别，将所述木马分类，为后续木马监控提供信息。本发明还同时提出了相应的设备、装置及存储介质。通过本发明方法，能够实现主动获取物联网僵尸网络木马，为后续的监测及获取威胁情报提供有效信息。

公开(公告)号：CN110794971B

公开(公告)日：2023-06-02

申请号：CN201811651403.7

申请日：2018-12-31

Applicant: 北京安天网络安全技术有限公司

Inventor： 徐翰隆 ,  庞奇 ,  王盈 ,  王小丰 ,  肖新光

IPC: G06F3/02 ,  G06F3/0354 ,  G06F3/038

Abstract: 本发明实施例提供了一种远程控制设备及系统，用以满足应急处置中的远程操作的需求。该设备包括键盘鼠标模拟器、视频信号采集器和中转主机；键盘鼠标模拟器，用于将从中转主机上接收到的键盘鼠标信号转换为串行信号，并将串行信号解码转化成键盘控制信号及鼠标控制信号，并发送给目标主机；视频信号采集器，用于采集目标主机显示的信号，并将采集到的信号经由中转主机发送给后端主机；中转主机，用于接收应急处置人员在后端主机上发出的键盘鼠标信号，并发送给键盘鼠标模拟器；并用于接收视频信号采集器采集到的信号，并发送给后端主机；其中，键盘鼠标模拟器、视频信号采集器和中转主机位于发生网络安全事件的现场。

公开(公告)号：CN110868381B

公开(公告)日：2022-04-19

申请号：CN201811561121.8

申请日：2018-12-19

Applicant: 北京安天网络安全技术有限公司

Inventor： 关墨辰 ,  李林哲 ,  王小丰 ,  肖新光

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本发明的实施例公开一种基于DNS解析结果触发的流量数据收集方法、装置及电子设备，能够解决现有技术中无法提供足够多的有效线索对Ioc检测结果进行分析研判的问题。所述方法包括：对DNS流量进行DNS解析；判断DNS解析结果是否是DNS响应；若所述DNS解析结果是DNS响应，则对所述DNS解析结果进行入侵威胁指标判断；若判定所述DNS解析结果命中入侵威胁指标，则生成关于所述DNS解析结果的记录；从所述记录的录入时间开始至预设时长届满前，收集所述记录对应IP地址流过的流量数据。本发明收集可能具有威胁的解析对象的相关流量数据，适用于各种网络安全防护产品。

公开(公告)号：CN109995705B

公开(公告)日：2022-03-25

申请号：CN201711480108.5

申请日：2017-12-29

Applicant: 北京安天网络安全技术有限公司

Inventor： 朱晴 ,  张颂蘅 ,  康学斌 ,  王小丰

IPC: H04L9/40

Abstract: 本发明公开了一种基于高交互蜜罐系统的攻击链检测方法及装置，其中，方法包括：获取高交互蜜罐系统的虚拟机系统行为和服务通信流量；获取系统进程释放的PE文件及PE文件的联网信息；根据PE文件及PE文件的联网信息回溯得到释放PE文件的进程信息及PE对应通信地址；根据服务通信流量、释放PE文件的进程信息获取对应的服务信息及内网通信地址信息；根据虚拟机系统行为、服务信息、PE通信信息、内网通信地址信息提取攻击链。该方法可以根据高交互蜜罐系统的虚拟机系统行为和进程端口信息提取攻击链，使蜜罐攻击流程变得更清晰，提高攻击的准确性。

公开(公告)号：CN109472135B

公开(公告)日：2022-02-22

申请号：CN201711474097.X

申请日：2017-12-29

Applicant: 北京安天网络安全技术有限公司

Inventor： 关墨辰 ,  李林哲 ,  王永亮 ,  王小丰 ,  肖新光

IPC: G06F21/55 ,  G06F21/56

Abstract: 本发明实施例提供了一种检测进程注入的方法、装置及存储介质，用以解决目前的检测进程注入的方法无法检测出可以逃避基于API调用的特征的进程注入方法问题。该方法包括：启动目标进程；捕获所述目标进程中的应用程序编程接口API；确定捕获的API中存在调用行为的API的调用关系，其中，存在调用行为的API是调用了除用于捕获所述目标进程中的API的函数以外的其他API的API；将存在调用行为的API的调用关系与调用规则进行匹配；其中，调用规则是执行所述目标进程的系统正常运行时的API的调用关系；当存在调用关系匹配不成功的API时，确定目标进程被注入。

公开(公告)号：CN109960928B

公开(公告)日：2021-10-29

申请号：CN201711408846.9

申请日：2017-12-22

Applicant: 北京安天网络安全技术有限公司

Inventor： 李丹 ,  韩文奇 ,  王小丰 ,  肖新光

IPC: G06F21/53

Abstract: 本发明公开了一种可疑文件的处理方法和处理系统，其中，可疑文件的处理方法包括：将可疑文件上传给分析设备，以便所述分析设备在受限环境中打开所述可疑文件，并将所述可疑文件的内容以预设格式反馈给用户；接收所述分析设备反馈的内容，以便用户判断所述可疑文件是否安全。本发明具有如下优点：通过将可疑文件上传给外部设备，由外部设备在受限环境中通过预设格式打开，然后反馈给用户，使得外部设备打开可疑文件时不会中断用户操作，用户体验好。

公开(公告)号：CN109471655B

公开(公告)日：2021-08-13

申请号：CN201711419610.5

申请日：2017-12-25

Applicant: 北京安天网络安全技术有限公司

Inventor： 孙洪伟 ,  徐翰隆 ,  王小丰 ,  肖新光

IPC: G06F8/70 ,  G06F8/65 ,  G06F21/56

Abstract: 发明提出了一种基于封闭式壁垒模型的业务应用更新方法及系统，包括：将系统运维所用的专用介质与业务应用文件夹在管理中心进行关联锁定；保证维护的工作内容与其关联的内容一致，否则会出现操作失败情况；将待维护的主机运行状态切换为运维模式；运维人员将专用介质接入待维护主机，触发病毒检测程序，对专用介质进行审计，并将审计结果上报至管理平台；若审计结果为无已知病毒，运维人员将待维护内容写入相关业务文件夹中；否则终止维护过程；维护过程结束后，管理员将运行状态切换为运行模式。本发明能够降低对主机的维护成本，提高工作效率和业务安全生产管理的实用性。

公开(公告)号：CN109474510B

公开(公告)日：2021-05-25

申请号：CN201711419685.3

申请日：2017-12-25

Applicant: 北京安天网络安全技术有限公司

Inventor： 肖新光 ,  奚乾悦 ,  徐翰隆 ,  王小丰

IPC: H04L12/58 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明提出了一种邮箱安全交叉审计方法、系统及存储介质，通过对邮箱所在终端的多维度数据进行采集，建立一套能够更准确判断邮箱使用环境是否异常的检测与告警机制，并且与邮箱服务器进行联动，对异常邮件，可向收件人进行告警提示。通过本发明提供的针对邮箱账号登陆与使用的多维度数据检测，可以极大降低异常的误报概率，并且通过与邮箱服务器的联动，可以对收件人也提供安全保护，抵御通过邮件为途径的社工攻击；本发明更适用于现阶段移动办公场景，能够提升防御能力。

公开(公告)号：CN109960666B

公开(公告)日：2021-05-11

申请号：CN201711404839.1

申请日：2017-12-22

Applicant: 北京安天网络安全技术有限公司

Inventor： 佟金龙 ,  徐翰隆 ,  王小丰 ,  肖新光

IPC: G06F12/0891 ,  G06F8/20

Abstract: 本发明提出一种反射与aidl获取并清理缓存方法及系统，该方法包括以下步骤：通过反射模块将包管理器封装成相应接口；自定义一个包观察者类，回调获取每个包的大小信息；创建包状态观察者对象与包大小观察者对象，以便反射模块调用；将包状态观察者对象以aidl形式传入参数中，以便成功返回所有应用的包文件的缓存信息；通过反射模块调用包管理器的接口间接调用隐藏api清理内存。本发明能够在不用root的情况下，实现对其他软件的缓存信息的读取与清理，从而得到更大的内存空间。