公开(公告)号：CN117034276A

公开(公告)日：2023-11-10

申请号：CN202311303217.5

申请日：2023-10-10

Applicant: 北京安天网络安全技术有限公司

Inventor： 关墨辰 ,  李旗 ,  肖新光

IPC: G06F21/56 ,  G06F21/55

Abstract: 本申请提供一种异常进程确定方法、装置、电子设备及存储介质，涉及网络安全领域。该方法包括：在第一设定时长内每隔第二设定时长获取内存空间当前的快照，以得到快照列表A；根据A、目标进程的进程标识和预设的m个目标指令，得到目标数量列表集B；根据若干子时间段对B中的目标数量进行分组，得到目标数量列表组集D；根据D，获取进程指令特征向量T；根据T和预设特征向量列表HT，确定匹配度列表P；若max(P)大于预设匹配度阈值YZ，则将所述目标进程确定为异常进程。本申请能够在保证确定目标进程是否为异常进程的准确性的同时，降低确定目标指令执行数量所需的算力。

公开(公告)号：CN117033146A

公开(公告)日：2023-11-10

申请号：CN202311303215.6

申请日：2023-10-10

Applicant: 北京安天网络安全技术有限公司

Inventor： 关墨辰 ,  李旗 ,  肖新光

IPC: G06F11/30

Abstract: 本申请提供一种指定共识合约执行进程的识别方法、装置、设备及介质，涉及网络完全领域。该方法包括：在目标时间段内，每当目标进程调用任一关键指令集时，确定当前调用的关键指令集所对应的调用信息，以得到调用信息列表D；根据D和预设的名称‑数量映射表，确定目标数量列表集B；根据D，确定总数量列表NUM；根据B和NUM，获取目标比例列表L；若PL＞Y1且FL＜Y2，则将所述目标进程确定为指定共识合约执行进程；其中，Y1为预设比例阈值，Y2为预设比例波动阈值，PL为关键比例，FL为比例波动值；PL和FL根据L确定。本申请能准确的识别出指定共识合约执行进程。

公开(公告)号：CN117033146B

公开(公告)日：2023-12-08

申请号：CN202311303215.6

申请日：2023-10-10

Applicant: 北京安天网络安全技术有限公司

Inventor： 关墨辰 ,  李旗 ,  肖新光

IPC: G06F11/30

Abstract: 本申请提供一种指定共识合约执行进程的识别方法、装置、设备及介质，涉及网络完全领域。该方法包括：在目标时间段内，每当目标进程调用任一关键指令集时，确定当前调用的关键指令集所对应的调用信息，以得到调用信息列表D；根据D和预设的名称‑数量映射表，确定目标数量列表集B；根据D，确定总数量列表NUM；根据B和NUM，获取目标比例列表L；若PL＞Y1且FL＜Y2，则将所述目标进程确定为指定共识合约执行进程；其中，Y1为预设比例阈值，Y2为预设比例波动阈值，PL为关键比例，FL为比例波动值；PL和FL根据L确定。本申请能准确的识别出指定共识合约执行进程。

公开(公告)号：CN117034276B

公开(公告)日：2023-12-15

申请号：CN202311303217.5

申请日：2023-10-10

Applicant: 北京安天网络安全技术有限公司

Inventor： 关墨辰 ,  李旗 ,  肖新光

IPC: G06F21/56 ,  G06F21/55

Abstract: 本申请提供一种异常进程确定方法、装置、电子设备及存储介质，涉及网络安全领域。该方法包括：在第一设定时长内每隔第二设定时长获取内存空间当前的快照，以得到快照列表A；根据A、目标进程的进程标识和预设的m个目标指令，得到目标数量列表集B；根据若干子时间段对B中的目标数量进行分组，得到目标数量列表组集D；根据D，获取进程指令特征向量T；根据T和预设特征向量列表HT，确定匹配度列表P；若max(P)大于预设匹配度阈值YZ，则将所述目标进程确定为异常进程。本申请能够在保证确定目标进程是否为异常进程的准确性的同时，降低确定目标指令执行数量所需的算力。

公开(公告)号：CN117056927A

公开(公告)日：2023-11-14

申请号：CN202311303216.0

申请日：2023-10-10

Applicant: 北京安天网络安全技术有限公司

Inventor： 关墨辰 ,  李旗 ,  肖新光

IPC: G06F21/56

Abstract: 本申请提供一种基于指令的恶意进程确定方法、装置、设备及介质，涉及网络安全领域。该方法包括：连续n次，每当目标进程执行任一预设的关键指令时，获取关键指令对应的待执行寄存器内的所有待执行指令，以得到n个待执行指令列表；遍历每一待执行指令列表，确定目标指令数量列表A；获取目标进程每次执行关键指令后的第一时间长度内的内存平均占用率，以得到内存平均占用率列表C；获取目标进程每次执行关键指令后的第一时间长度内的显存平均占用率，以得到显存平均占用率列表G；根据A、C和G，确定进程指令特征向量T；将T输入预设的恶意进程确定模块中，以得到输出的确定结果。本申请能够在识别出恶意进程的同时，降低误报率。

公开(公告)号：CN117056927B

公开(公告)日：2023-12-08

申请号：CN202311303216.0

申请日：2023-10-10

Applicant: 北京安天网络安全技术有限公司

Inventor： 关墨辰 ,  李旗 ,  肖新光

IPC: G06F21/56

Abstract: 本申请提供一种基于指令的恶意进程确定方法、装置、设备及介质，涉及网络安全领域。该方法包括：连续n次，每当目标进程执行任一预设的关键指令时，获取关键指令对应的待执行寄存器内的所有待执行指令，以得到n个待执行指令列表；遍历每一待执行指令列表，确定目标指令数量列表A；获取目标进程每次执行关键指令后的第一时间长度内的内存平均占用率，以得到内存平均占用率列表C；获取目标进程每次执行关键指令后的第一时间长度内的显存平均占用率，以得到显存平均占用率列表G；根据A、C和G，确定进程指令特征向量T；将T输入预设的恶意进程确定模块中，以得到输出的确定结果。本申请能够在识别出恶意进程的同时，降低误报率。