-
公开(公告)号:CN108875371B
公开(公告)日:2020-04-24
申请号:CN201711426403.2
申请日:2017-12-25
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明实施例公开一种沙箱分析方法、装置、电子设备及存储介质,涉及信息安全技术领域,能够大大减少样本逃避检测的几率,有效提升沙箱检测能力。所述方法包括:监测输入沙箱的程序样本中与重启系统相关的目标操作,并进行相应的记录;当所述沙箱的虚拟机关机时,保存所述虚拟机的运行现场;根据记录的数据确定所述程序样本运行中是否存在所述目标操作;在所述程序样本运行中存在所述目标操作的情况下,重启所述虚拟机以继续对所述程序样本进行数据采集。本发明可用于沙箱分析中。
-
公开(公告)号:CN110866249A
公开(公告)日:2020-03-06
申请号:CN201811507032.5
申请日:2018-12-11
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明的实施例公开一种动态检测恶意代码的方法、装置及电子设备,涉及网络安全防护技术领域,能够解决现有技术中终端的黑白名单和恶意代码特征库维护艰难的问题。所述方法包括:接收客户端上报的可疑文件;运行所述可疑文件,采集所述可疑文件运行时对预先设置的API数据集中的API的调用数据;将所述可疑文件运行时对所述API数据集中的API的调用数据生成为待检测数据;判断所述待检测数据与预先设置的对比样本库中的样本数据之间的相似度是否高于预定的相似度阈值;若是,则确定所述可疑文件包含恶意代码。本发明能够实现终端和服务端的动态联动检测,减少特征库维护难度,适用于各种计算机安全防护场合。
-
公开(公告)号:CN110795730A
公开(公告)日:2020-02-14
申请号:CN201811238620.3
申请日:2018-10-23
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提出了一种恶意文件彻底清除方法、系统及存储介质,所述方法通过检测计算机终端中的恶意文件拦截情况,针对未拦截的可疑文件进行系统、移动存储设备及流量等多维度的监控,当发现可疑文件对系统关键项目进行修改,则记录修改内容并备份文件;当发现可疑文件感染了移动存储设备,则记录移动存储设备的信息;同时本方法还与网络侧的流量监控设备联动,监测可疑文件是否通过网络传输,若传输则记录源IP及目的IP等信息;当计算机终端清除可疑文件时,则能够根据上述记录内容对修改进行恢复,同时对可疑文件的传输情况进行告警。
-
公开(公告)号:CN110766925A
公开(公告)日:2020-02-07
申请号:CN201811651377.8
申请日:2018-12-31
Applicant: 北京安天网络安全技术有限公司
IPC: G08C17/02
Abstract: 本发明实施例提供了一种单向远程传输键盘鼠标信号的电路及系统,用以满足应急处置中的远程操作的需求。该电路包括:第一信号插头、第一转换电路、键盘鼠标信号模拟电路、第二信号插头;所述第一转换电路,用于将通过所述第一信号插头从中转主机上接收到的键盘鼠标信号转换为串行信号;所述中转主机接收应急处置人员通过后端主机发出的键盘鼠标信号;所述键盘鼠标信号模拟电路,用于通过自身的信号接收端接收串行信号,并将串行信号解码转化成键盘控制信号及鼠标控制信号,以及通过所述第二信号插头发送给目标主机;所述键盘鼠标信号模拟电路的信号发射端悬空;其中,所述目标主机和中转主机位于发生网络安全事件的现场。
-
公开(公告)号:CN110765456A
公开(公告)日:2020-02-07
申请号:CN201811316314.7
申请日:2018-11-07
Applicant: 北京安天网络安全技术有限公司
IPC: G06F21/56
Abstract: 本发明实施例公开一种检测隐藏进程的方法、装置及存储设备,用以解决在采用Rookit技术隐藏进程之后利用目前Windows提供的系统工具无法查看出是否存在隐藏进程的问题。该方法包括:调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄;利用所述系统中常规使用的系统API遍历所述系统的所有存活进程,以获取进程句柄;比较两次获取的进程句柄的数量;在两次获取的进程句柄的数量不等时,确定所述系统中存在隐藏进程。
-
Patent Agency Ranking
公开(公告)号:CN110555308A
公开(公告)日:2019-12-10
申请号:CN201810556807.1
申请日:2018-06-01
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明实施例公开一种终端应用行为跟踪和威胁风险评估方法及系统,上述方法包括:管理中心创建终端软件标识信息库并利用终端软件标识信息库进行全网终端信息的分析和统计;输出分析和统计结果,进行最终处置:如当前时间安装存在漏洞的软件终端,管理中心批量下发补丁修复;如终端历史时间安装且已卸载存在漏洞的软件,则管理中心向客户端下发深度删除软件指令;本方法针对主机中的系统文件和应用软件,从应用软件各个过程,以及主机操作系统、应用软件版本、服务运行设置等实际环境进行跟踪和记录,为主机威胁风险分析和漏洞修复提供全面的、多样化的、可分析数据,从而解决已卸载软件漏洞无法有效分析、识别和处理等问题。
-
公开(公告)号:CN109510808A
公开(公告)日:2019-03-22
申请号:CN201711489510.X
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
IPC: H04L29/06
Abstract: 本发明提出一种自动化放马站点探测方法、系统及存储介质,所述方法包括:根据已知放马站点,提取协议标识;分析统计已知恶意IP,提取恶意IP较密集的IP网段列表;对提取的IP网段列表,自动化枚举探测IP的活跃性,并形成目标数据列表;利用协议标识,枚举探测识别目标数据列表中各活跃IP,判断是否存在协议标识,如果是,则对应IP为放马站点;对探测到的放马站点中的数据进行打包下载。通过本发明技术方案,能够自动化的探测放马站点,并进行恶意代码数据的下载,能够有效及时监控并感知放马站点的最新活跃情报。
-
公开(公告)号:CN109474573A
公开(公告)日:2019-03-15
申请号:CN201711491739.7
申请日:2017-12-30
Applicant: 北京安天网络安全技术有限公司
IPC: H04L29/06
Abstract: 本发明实施例提供了一种识别失活木马程序的方法、装置及存储介质,从而识别出网内处于失活或者暂时失活的木马程序,定位被该木马程序感染的主机。该方法包括:从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据;根据训练数据和提取出的数据,确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率;在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时,确定未知类型的流量来自于失活木马程序。
-
公开(公告)号:CN109474572A
公开(公告)日:2019-03-15
申请号:CN201711489517.1
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
IPC: H04L29/06
CPC classification number: H04L63/1408 , H04L63/145 , H04L2463/144
Abstract: 本发明提出了一种基于集群僵尸网络监控捕获放马站点的方法及系统,本发明方法获取已知各恶意代码家族的僵尸网络的恶意代码,并解析出控制节点,及获取各恶意代码家族的协议,建立协议解析模块;通过模拟被控端,与控制节点进行信息交互及监控,获取交叉感染指令,并根据交叉感染指令解析出恶意代码存放地址,即新发现的放马站点,对该地址中的文件进行打包下载。本发明的技术方案,能够对集群僵尸网络进行监控,及时发现恶意代码交叉感染情况,发现新的放马站点。同时对新放马站点的监控,以及结合以往控制端的监控,能够实现僵尸网络间的交互监控。
-
公开(公告)号:CN109474570A
公开(公告)日:2019-03-15
申请号:CN201711473589.7
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
IPC: H04L29/06
CPC classification number: H04L63/1458 , H04L63/1425
Abstract: 本发明提出了一种检测慢速攻击的方法及系统,包括:通过智能学习过程统计客户端与服务端的数据交互情况,形成基础特征,并存入哈希表;实时监控客户端与服务端的数据交互情况,当发现异常交互时,获取交互信息,并存入哈希表;根据异常交互的具体交互情况,判断环境中是否存在慢速攻击。本发明可在第一时间检出慢速攻击,并提供有效应对措施,有效降低由于攻击而造成的损失。
-
-
-
-
-
-
-
-
-
Search Results
171
records
(took 0.083 seconds)
