公开(公告)号：CN112199669B

公开(公告)日：2022-05-17

申请号：CN202011022208.5

申请日：2020-09-25

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 陈曦 ,  范渊

IPC: G06F21/55 ,  G06F11/30 ,  G06F9/50

Abstract: 本申请公开了一种检测ROP攻击的方法、装置、计算机设备和计算机可读存储介质，所述方法通过获取目标进程的信息，进而利用IPT机制跟踪目标进程，获得间接跳转数据；再利用已经获得的间接跳转数据构建基线；构建基线后，通过新获得的间接跳转跟踪数据，构建新的间接跳转序列表；然后通过对比间接跳转序列与基线间的关系，检测所述目标进程是否是ROP攻击所产生的进程。本申请不需要修改原有的二进制文件，仅依赖芯片与CPU提供的功能，即可解决相关技术中检测ROP攻击过程中系统损耗大的问题，在检测ROP攻击过程中能使系统保持高性能。

公开(公告)号：CN112199678B

公开(公告)日：2024-04-09

申请号：CN202011024888.4

申请日：2020-09-25

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 陈曦 ,  范渊

IPC: G06F21/56 ,  G06Q50/18

Abstract: 本申请涉及一种在线取证的方法、装置、计算机设备和可读存储介质，通过获取在线取证软件的进程信息；根据所述进程信息，得到待保护的内存区域；在检测到恶意程序对所述待保护的内存区域的代码段进行修改操作时，利用虚拟化页表机制，将所述修改操作转移到其他物理内存页面中；当所述代码段被执行时，再将所述执行操作转移到原物理内存页面中。本申请利用虚拟化页表机制将恶意程序的修改操作转移到其他物理页面上，能够欺骗恶意软件，使恶意软件认为已经篡改成功，防止恶意软件掩饰其自身的行为，同时在线取证软件在原物理内存上完成执行操作，能够获得未被恶意程序篡改的可靠信息。

公开(公告)号：CN112199678A

公开(公告)日：2021-01-08

申请号：CN202011024888.4

申请日：2020-09-25

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 陈曦 ,  范渊

IPC: G06F21/56 ,  G06Q50/18

Abstract: 本申请涉及一种在线取证的方法、装置、计算机设备和可读存储介质，通过获取在线取证软件的进程信息；根据所述进程信息，得到待保护的内存区域；在检测到恶意程序对所述待保护的内存区域的代码段进行修改操作时，利用虚拟化页表机制，将所述修改操作转移到其他物理内存页面中；当所述代码段被执行时，再将所述执行操作转移到原物理内存页面中。本申请利用虚拟化页表机制将恶意程序的修改操作转移到其他物理页面上，能够欺骗恶意软件，使恶意软件认为已经篡改成功，防止恶意软件掩饰其自身的行为，同时在线取证软件在原物理内存上完成执行操作，能够获得未被恶意程序篡改的可靠信息。

公开(公告)号：CN112199669A

公开(公告)日：2021-01-08

申请号：CN202011022208.5

申请日：2020-09-25

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 陈曦 ,  范渊

IPC: G06F21/55 ,  G06F11/30 ,  G06F9/50

Abstract: 本申请公开了一种检测ROP攻击的方法、装置、计算机设备和计算机可读存储介质，所述方法通过获取目标进程的信息，进而利用IPT机制跟踪目标进程，获得间接跳转数据；再利用已经获得的间接跳转数据构建基线；构建基线后，通过新获得的间接跳转跟踪数据，构建新的间接跳转序列表；然后通过对比间接跳转序列与基线间的关系，检测所述目标进程是否是ROP攻击所产生的进程。本申请不需要修改原有的二进制文件，仅依赖芯片与CPU提供的功能，即可解决相关技术中检测ROP攻击过程中系统损耗大的问题，在检测ROP攻击过程中能使系统保持高性能。

公开(公告)号：CN116915446A

公开(公告)日：2023-10-20

申请号：CN202310733260.9

申请日：2023-06-20

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 王柱 ,  陈曦

IPC: H04L9/40 ,  H04L67/02 ,  H04L69/08 ,  H04L69/22

Abstract: 本申请涉及一种基于国密和国际协议的代理通信方法、装置和计算机设备，其中，该基于国密和国际协议的代理通信方法包括：在接收到的客户端流量为HTTPS流量时，确定对应的客户端协议类型，客户端协议类型为国密SSL协议或国际SSL协议；获取客户端流量对应的访问信息，确定对应的服务器协议类型，服务器协议类型为国密SSL协议或国际SSL协议；在客户端协议类型与服务器协议类型不同时，对接受到的请求信息进行协议转换，将转换后的请求信息发送至目标服务器，并对目标服务器返回的响应信息进行协议转换，将转换后的响应信息发送至客户端，通过本申请，解决了无法低成本实现基于国密SSL协议和国际SSL协议的代理通信的问题，实现了降低设备的预算成本。

公开(公告)号：CN110944005A

公开(公告)日：2020-03-31

申请号：CN201911259266.7

申请日：2019-12-10

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 陈曦 ,  范渊

IPC: H04L29/06

Abstract: 本申请公开了一种基于应用层防火墙的防御方法、装置、设备、介质，该方法包括：接收目标服务器中的防火墙代理获取到的第一服务器信息向量，其中，所述防火墙代理为部署在所述目标服务器中的可执行文件，用于获取关于所述目标服务器的所述第一服务器信息向量；解析所述第一服务器信息向量，得到第二服务器信息向量；根据所述第二服务器信息向量和本地预设策略树，确定出所述目标服务器对应的目标防火墙攻击检测策略；利用所述目标防火墙攻击检测策略对所述目标服务器进行防御，这样能够生成与服务器对应的检测策略，提高检测效率和检测准确度，减低漏报率和误报率，增强防御性能。