公开(公告)号：CN115659336A

公开(公告)日：2023-01-31

申请号：CN202211286676.2

申请日：2022-10-20

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 彭强兵 ,  姚吉

IPC: G06F21/56 ,  G06F11/30

Abstract: 本发明公开了一种监听新建进程的方法、装置、计算机设备以及计算机可读存储介质，涉及计算机技术领域，其中方法包括：接收创建新建进程的命令；检测到所述命令，根据系统调用表中的调用地址，执行内核函数；利用所述内核函数获取所述新建进程的上下文信息，并将所述上下文信息实时传送至用户态程序，实现监听所述新建进程。本发明通过利用内核函数获得上下文信息并将上下文信息实时传送至用户态程序的方式，可以在触发进程时实现对进程监听，即可以在系统调用之前就检测到恶意进程，能及时发现通过rootkit防御绕过的恶意进程，避免遗漏掉恶意进程，以及本发明通过这种方式避免了每次全量扫描进程，实现占用更少的计算资源和带宽资源。

公开(公告)号：CN115883481A

公开(公告)日：2023-03-31

申请号：CN202211557891.1

申请日：2022-12-06

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 曹文辉 ,  彭强兵

IPC: H04L47/50 ,  H04L47/215

Abstract: 本申请公开了一种请求限速方法、装置、设备及介质，应用于限速模块，涉及计算机技术领域，方法包括：获取目标客户端发送的目标请求，并判断等待队列是否为空；若为空则将目标请求发送至源站，以便源站基于目标请求返回请求响应，若不为空则判断目标请求是否为特定客户端发送的特定请求；若不为特定请求则返回等待页面至目标客户端，若为特定请求则将目标请求存放至等待队列，并在等待队列放行目标请求时，将目标请求发送至源站，以便源站基于目标请求返回请求响应。本申请在请求较多时，优先保障特定客户端发送的特定请求的正常响应，以保证使用所述特定客户端的用户的较好的用户体验。

公开(公告)号：CN116743477A

公开(公告)日：2023-09-12

申请号：CN202310828640.0

申请日：2023-07-06

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 吴小聪 ,  彭强兵

IPC: H04L9/40

Abstract: 本申请涉及一种基于责任链的远程登录防护方法、装置、设备和介质，其中，基于责任链的远程登录防护方法包括：在远程登录主机的情况下，获取第一登录信息；将所述第一登录信息输入至责任链，判断所述第一登录信息是否满足所述责任链中当前节点的判断条件；若是，则直接退出责任链并执行相应的防护策略；其中，所述防护策略包括正常登录和阻断登录；若否，则将所述第一登录信息输入至下一个节点中进行判断，直至满足当前节点的判断条件。解决了远程登录防护控制细粒度不够、不高效不准确的问题，实现了准确高效的远程登录防护。

公开(公告)号：CN114640537A

公开(公告)日：2022-06-17

申请号：CN202210334865.6

申请日：2022-03-31

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 彭强兵 ,  姚吉

IPC: H04L9/40

Abstract: 本申请公开了一种内网横向移动检测方法、装置、设备及介质，涉及计算机技术领域，所述方法包括：通过预设的蜜罐程序检测是否存在客户端访问目标端口的行为操作；目标端口设置于局域网内部的服务器上；若检测到存在客户端访问目标端口的操作，则获取客户端的特征信息；将客户端的特征信息发送至预设智能分析系统，利用预设的智能分析系统对特征信息进行分析，以实现内网横向移动检测，可见，本申请基于预设的蜜罐程序对客户端的访问进行检测，然后利用预设智能分析系统对所述客户端进行分析，由此提高了非法入侵检测的检出率以及所述局域网内部服务器的安全性，此外，由于本申请内网横向移动检测是无交互性质的检测，因此极大的降低了维护成本。

公开(公告)号：CN113938305B

公开(公告)日：2024-04-26

申请号：CN202111211459.2

申请日：2021-10-18

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 彭强兵 ,  范渊 ,  杨勃

IPC: H04L9/40 ,  H04L67/146 ,  H04L69/16

Abstract: 本发明公开了一种非法外联的判定方法、系统及装置。在外部程序对服务器发起或监听网络连接请求时，获取该网络连接请求的程序标识特征，然后判断网络连接的程序标识特征是否存在于预设程序标识特征库，当该程序标识特征存在于预设程序标识特征库时，判定网络连接为非法外联，能够在服务器与外部程序之间出现网络连接请求时就发现该网络连接，避免了获取网络连接请求的间隔长而不能及时发现该网络连接，且能够获取连接形式为短连接的网络连接，由于在服务器与外部程序之间建立网络连接前就获取程序标识特征，能够在黑客使用木马程序修改系统命令之前获取到该网络连接。此外，由于只需要获取该条网络连接的程序标识特征，节省了计算机存储资源。

公开(公告)号：CN113938305A

公开(公告)日：2022-01-14

申请号：CN202111211459.2

申请日：2021-10-18

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 彭强兵 ,  范渊 ,  杨勃

IPC: H04L9/40 ,  H04L67/146 ,  H04L69/16

Abstract: 本发明公开了一种非法外联的判定方法、系统及装置。在外部程序对服务器发起或监听网络连接请求时，获取该网络连接请求的程序标识特征，然后判断网络连接的程序标识特征是否存在于预设程序标识特征库，当该程序标识特征存在于预设程序标识特征库时，判定网络连接为非法外联，能够在服务器与外部程序之间出现网络连接请求时就发现该网络连接，避免了获取网络连接请求的间隔长而不能及时发现该网络连接，且能够获取连接形式为短连接的网络连接，由于在服务器与外部程序之间建立网络连接前就获取程序标识特征，能够在黑客使用木马程序修改系统命令之前获取到该网络连接。此外，由于只需要获取该条网络连接的程序标识特征，节省了计算机存储资源。