公开(公告)号：CN112329014B

公开(公告)日：2025-01-10

申请号：CN202011357398.6

申请日：2020-11-27

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 周玉刚 ,  范渊

IPC: G06F21/56

Abstract: 本申请涉及一种病毒识别防御方法、装置、存储介质及设备，方法包括：通过主机行为分析，识别恶意程序；对恶意程序的日志进行识别，确定恶意程序的攻击行为；根据恶意程序的攻击行为，采用对应的预设策略对恶意程序的攻击行为进行防御。本发明通过主机行为分析，识别恶意程序，并基于对恶意程序的日志进行识别，以确定恶意程序产生的各种行为动作以及其影响和意图，最终确定攻击行为，以便采用对应的应对策略对该攻击行为进行有效防御，从而实现对未知勒索病毒进行准确识别和联动防御。

公开(公告)号：CN111709009A

公开(公告)日：2020-09-25

申请号：CN202010551595.5

申请日：2020-06-17

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 周玉刚 ,  范渊

IPC: G06F21/44 ,  G06F21/57 ,  H04L29/06

Abstract: 本申请涉及一种联网工业控制系统的探测方法、装置、计算机设备和介质。其中，该联网工业控制系统的探测方法包括：从存活端口库中读取存活端口，并使用探测脚本探测与存活端口对应的工控设备的第一特征信息；使用第一特征信息，在工控设备指纹库中模糊匹配对应的工控设备；根据匹配到的工控设备所使用的工控通信协议，获取工控设备的第二特征信息；根据第一特征信息和第二特征信息，生成工控设备的指纹特征，并将指纹特征存储到工控设备指纹库中。通过本申请，解决了相关技术中搜索引擎对工业控制系统的探测深度不够的问题，增加了对工业控制系统的探测深度。

公开(公告)号：CN112329014A

公开(公告)日：2021-02-05

申请号：CN202011357398.6

申请日：2020-11-27

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 周玉刚 ,  范渊

IPC: G06F21/56

Abstract: 本申请涉及一种病毒识别防御方法、装置、存储介质及设备，方法包括：通过主机行为分析，识别恶意程序；对恶意程序的日志进行识别，确定恶意程序的攻击行为；根据恶意程序的攻击行为，采用对应的预设策略对恶意程序的攻击行为进行防御。本发明通过主机行为分析，识别恶意程序，并基于对恶意程序的日志进行识别，以确定恶意程序产生的各种行为动作以及其影响和意图，最终确定攻击行为，以便采用对应的应对策略对该攻击行为进行有效防御，从而实现对未知勒索病毒进行准确识别和联动防御。

公开(公告)号：CN110752951A

公开(公告)日：2020-02-04

申请号：CN201911020510.4

申请日：2019-10-24

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 周玉刚 ,  范渊

IPC: H04L12/24 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明提供了一种工业网络流量监测审计方法、装置及系统，涉及工业控制的技术领域，应用于终端设备，包括：采集工业交换机的镜像流量；基于工业交换机的端口确定镜像流量的工控协议，并根据与工控协议对应的协议规范解析所述工控协议，得到协议解析信息；基于协议解析信息处理镜像流量，得到工业交换机的资产档案；接收工控系统导出的变量信息，并基于变量信息匹配资产档案中的工业行为；基于预设管理策略，将变量信息以及工业行为确定为第一处理数据，并将第一处理数据发送至工业网络监测审计平台，以使工业网络监测审计平台进行工业网络流量监测审计。本发明分布式的工业网络流量监测审计装置成本低，部署方便，且具有稳定性和实用性。

公开(公告)号：CN108696544A

公开(公告)日：2018-10-23

申请号：CN201811031062.3

申请日：2018-09-05

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 周玉刚 ,  范渊

IPC: H04L29/06

CPC classification number: H04L63/1433 ,  H04L63/1416 ,  H04L63/1466

Abstract: 本发明提供了一种基于工控系统的安全漏洞探测方法和装置；其中，该方法包括：对设定地址范围内的工控设备进行ping扫描，得到在线工控设备的IP地址列表；根据IP地址列表，向对应的在线工控设备发送信息请求数据包；根据在线工控设备的回应信息，以及预设的设备信息库，确定在线工控设备的设备信息；设备信息包括系统制造商标识、产品系列及型号、固件版本、设备地址、设备名称中的多种；根据在线工控设备的设备信息，从预设的漏洞信息库中查找得到在线工控设备的漏洞信息。本发明通过主动扫描方式可以全面有效地探测出工控设备，具有较好的实用性，并查找得到不同种类设备的漏洞信息，从而提高了工控设备的安全稳定性。