-
公开(公告)号:CN117034275B
公开(公告)日:2023-12-22
申请号:CN202311303198.6
申请日:2023-10-10
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提供了一种基于Yara引擎的恶意文件检测方法、设备及介质,涉及恶意文件检测领域,所述方法包括:获取待检测文件A;若A的若干预设特征与预设Yara引擎的检测规则库中的任一检测规则符合预设的匹配条件,则将A确定为恶意文件;获取若干已知的恶意文件;根据每一恶意文件的属性,对所有的已知恶意文件进行聚类,以得到恶意文件组集B;获取B中每一恶意文件组对应的目标操作码分词列表集EB;获取B中每一恶意文件组对应的目标特殊字符串列表HB;根据EB和HB生成若干目标检测规则;通过预设Yara引擎将所有的目标检测规则进行加载,以得到所述检测规则库;本发明能够提高检测规则库的生成效率。
-
公开(公告)号:CN117093951A
公开(公告)日:2023-11-21
申请号:CN202311333515.9
申请日:2023-10-16
Applicant: 北京安天网络安全技术有限公司
Abstract: 本申请的实施例公开了一种威胁情报合并方法、装置、电子设备及存储介质,涉及网络安全技术领域,能够有效提高多来源情报合并处理效率。所述方法包括:获取威胁情报,提取所述威胁情报的属性;基于所述威胁情报的属性和关联规则,确定所述威胁情报的质量信标值;将所述威胁情报的质量信标值与预设阈值进行比较;对所述质量信标值超过所述预设阈值的威胁情报进行合并。本发明适用于对情报信息分析处理的场景。
-
公开(公告)号:CN110611637B
公开(公告)日:2022-07-01
申请号:CN201810611863.0
申请日:2018-06-14
Applicant: 北京安天网络安全技术有限公司
IPC: H04L9/40 , H04L41/0826
Abstract: 本发明提出一种基于VPN流量牵引的在线网络威胁检测方法及系统,所述方法包括:搭建云在线系统,所述云在线系统由至少一个云服务器组成;在所述云服务器上搭建VPN服务;在高带宽网络信道网关处部署旁路恶意威胁流量检测设备;检测目标通过VPN账户连接云在线系统;云在线系统将检测目标的网络流量牵引至旁路恶意威胁流量检测设备;旁路恶意威胁流量检测设备检测接收到的网络流量,并存储检测结果供检测目标查看。本发明还给出相应的系统,通过本发明的技术方案,将威胁流量检测设备进行在线化部署,能够共享检测设备,便于检测设备的维护降低设备部署及人工成本。
-
公开(公告)号:CN109472134B
公开(公告)日:2022-04-19
申请号:CN201711420845.6
申请日:2017-12-25
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提出了一种基于API调用序列提取控制端的方法及系统,包括:对已知木马家族样本分类,并提取各木马家族的API调用日志,提取各木马家族样本的API调用序列;定位API调用序列中连接木马控制端IP端口时调用的API详情;分别提取各家族中的木马样本在连接控制端API之前,预设数量的关键API序列及参数,并提取通用序列;将提取的通用序列与未知样本的API序列匹配,若匹配成功,则提取未知样本尝试连接控制端的IP端口即为控制端。本发明还提出相应系统。通过本发明的技术方案,能够提取同一类型家族的木马控制端,节省了人工提取时间,且该方法不受其他联网、扫描和爆破攻击等网络噪音影响,提取的信息更加准确。
-
公开(公告)号:CN109474573B
公开(公告)日:2021-05-25
申请号:CN201711491739.7
申请日:2017-12-30
Applicant: 北京安天网络安全技术有限公司
IPC: H04L29/06
Abstract: 本发明实施例提供了一种识别失活木马程序的方法、装置及存储介质,从而识别出网内处于失活或者暂时失活的木马程序,定位被该木马程序感染的主机。该方法包括:从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据;根据训练数据和提取出的数据,确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率;在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时,确定未知类型的流量来自于失活木马程序。
-
Patent Agency Ranking
公开(公告)号:CN108363922B
公开(公告)日:2020-02-07
申请号:CN201710974003.9
申请日:2017-10-19
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提出一种自动化恶意代码仿真检测方法及系统,所述方法包括:通过对已知恶意代码样本集进行家族分类,并提取出信息交互数据,建立专用协议数据库、专用协议知识库、通用协议数据库及通用协议知识库;获取恶意样本的网络请求,根据专用协议知识库,对恶意样本的家族及专用通信协议进行识别;根据通用协议知识库,对恶意样本的通信请求类型及通用通信协议进行识别;对恶意代码通用协议及专用协议自动化仿真,触发恶意代码的恶意行为。通过本发明的技术方案,能够触发恶意行为操作执行机制,优化沙箱的自动化恶意代码分析能力,极大减少人工分析投入。
-
公开(公告)号:CN109472134A
公开(公告)日:2019-03-15
申请号:CN201711420845.6
申请日:2017-12-25
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提出了一种基于API调用序列提取控制端的方法及系统,包括:对已知木马家族样本分类,并提取各木马家族的API调用日志,提取各木马家族样本的API调用序列;定位API调用序列中连接木马控制端IP端口时调用的API详情;分别提取各家族中的木马样本在连接控制端API之前,预设数量的关键API序列及参数,并提取通用序列;将提取的通用序列与未知样本的API序列匹配,若匹配成功,则提取未知样本尝试连接控制端的IP端口即为控制端。本发明还提出相应系统。通过本发明的技术方案,能够提取同一类型家族的木马控制端,节省了人工提取时间,且该方法不受其他联网、扫描和爆破攻击等网络噪音影响,提取的信息更加准确。
-
公开(公告)号:CN108363922A
公开(公告)日:2018-08-03
申请号:CN201710974003.9
申请日:2017-10-19
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提出一种自动化恶意代码仿真检测方法及系统,所述方法包括:通过对已知恶意代码样本集进行家族分类,并提取出信息交互数据,建立专用协议数据库、专用协议知识库、通用协议数据库及通用协议知识库;获取恶意样本的网络请求,根据专用协议知识库,对恶意样本的家族及专用通信协议进行识别;根据通用协议知识库,对恶意样本的通信请求类型及通用通信协议进行识别;对恶意代码通用协议及专用协议自动化仿真,触发恶意代码的恶意行为。通过本发明的技术方案,能够触发恶意行为操作执行机制,优化沙箱的自动化恶意代码分析能力,极大减少人工分析投入。
-
公开(公告)号:CN119276641B
公开(公告)日:2025-05-09
申请号:CN202411808496.5
申请日:2024-12-10
Applicant: 北京安天网络安全技术有限公司
IPC: H04L9/40 , G06F18/15 , G06F18/2115 , G06F18/214 , G06F18/2433 , G06F18/243
Abstract: 本申请的实施例公开了一种基于预设协议的隐蔽通道通信的检测方法及装置,涉及网络安全技术领域,为能够有效地检测基于预设协议的隐蔽通道进行通信的报文而发明。所述方法包括:采集目标检测环境中的待检测数据报文;其中,所述待检测数据报文为基于预设协议的数据报文;获取所述待检测数据报文的指定特征的特征值;根据所述特征值和预先训练的基于变精度粗糙集的决策树优化模型,确定所述待检测数据报文是否为恶意报文,以确定所述待检测数据报文是否为基于预设协议的隐蔽通道进行通信的报文。本申请适用于对检测环境中是否存在基于预设协议的隐蔽通道进行通信。
-
公开(公告)号:CN109474567B
公开(公告)日:2022-01-07
申请号:CN201710974000.5
申请日:2017-10-19
Applicant: 公安部第三研究所 , 北京安天网络安全技术有限公司
IPC: H04L9/40
Abstract: 本发明的实施例公开一种DDOS攻击溯源方法、装置、计算机可读存储介质及电子设备,涉及计算机安全技术,具有较强的网络环境适应能力。所述DDOS攻击溯源方法包括:接收输入的遭受DDOS攻击的攻击目标信息;根据所述攻击目标信息,查询预先建立的DDOS攻击溯源库,获取与所述攻击目标信息相关联的控制端信息;其中,所述DDOS攻击溯源库中具有控制端信息与攻击目标信息的关联关系。本发明适用于对DDOS攻击进行溯源。
-
-
-
-
-
-
-
-
-
Search Results
33
records
(took 0.033 seconds)
