-
公开(公告)号:CN112989332B
公开(公告)日:2024-06-11
申请号:CN202110376209.8
申请日:2021-04-08
Applicant: 北京安天网络安全技术有限公司
IPC: G06F21/55 , G06F16/906
Abstract: 本发明涉及一种异常用户行为检测方法和装置,该方法包括:获取待检测用户的待检测数据和历史数据;其中,所述待检测用户的待检测数据和历史数据均包括用户行为数据,所述用户行为数据包括各软件的使用次数,所述历史数据为在所述待检测数据产生的时间点之前的预设时长的数据;根据所述待检测用户的待检测数据和历史数据包括的各软件的使用次数,判断所述待检测用户的角色类型是否发生变化;根据所述待检测用户的待检测数据和历史数据包括的用户行为数据,判断所述待检测用户的行为类型是否发生变化;如果所述待检测用户的角色类型和行为类型均发生变化,则将所述待检测用户确定为异常用户。本发明的方案能够提高异常用户行为检测的准确度。
-
公开(公告)号:CN112989345B
公开(公告)日:2024-04-12
申请号:CN202110284629.3
申请日:2021-03-17
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明涉及网络安全技术领域,尤其涉及一种威胁处置方法及框架、电子设备、计算机可读存储介质,该方法包括:读取脚本文件,并对脚本文件中的文本进行逐行扫描;根据扫描结果,进行词法分析与语法分析,生成抽象语法树;根据抽象语法树,按照语法规则将所有动作与预定义的原语进行匹配,生成执行流;根据执行流进行执行,对发现的原语进行API安全校验并调用对应的各威胁处置模块执行相应动作,完成威胁处置。本发明提供的威胁处置方法及框架专为病毒威胁处置设计,不受平台、架构、系统限制,能够进行流程编排,安全可控,学习成本低,且简单易用。
-
公开(公告)号:CN111027072B
公开(公告)日:2024-02-27
申请号:CN201911323902.8
申请日:2019-12-20
Applicant: 北京安天网络安全技术有限公司
Abstract: 为策略的检测技术,无法全面的对系统进行检测本发明公开了一种Linux下基于elf二进制 的问题。标准解析的内核Rootkit检测方法、装置及存储设备,涉及网络安全领域,包括:加载待测内核,读取其中内核文件或者内核模块文件到内存;读取内核及内核模块的elf文件中代码段和只读数据段的内容;将读取到的代码段和只读数据段内容与运行中的待测内核的代码区和只读数据区进行逐一比对获取差异;若差异出现在只读数据段则直接判定为内核Rootkit;若差异出现在代
-
公开(公告)号:CN116992450B
公开(公告)日:2024-01-23
申请号:CN202311254333.2
申请日:2023-09-27
Applicant: 北京安天网络安全技术有限公司
IPC: G06F21/56
Abstract: 本发明提供了一种文件检测规则确定方法及装置、电子设备及存储介质,涉及数据处理领域,该方法包括:根据若干目标检测恶意文件,确定第一初始检测规则;对预设的若干验证样本文件进行恶意检测,以得到第一初始检测规则对应的检测准确度;若检测准确度小于预设检测准确度阈值,则获取补充样本文件;重新确定第二初始检测规则,若第二初始检测规则对应的检测准确度大于等于预设检测准确度阈值,则将第二初始检测规则确定为恶意检测规则。本发明通过补充样本文件对确定的初始检测规则进行重新确定,以提高根据目标恶意文件和目标相似样本文件确定的初始检测规则的检测精度。
-
公开(公告)号:CN115242534B
公开(公告)日:2024-01-02
申请号:CN202210898832.4
申请日:2021-03-17
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明涉及一种异常节点识别方法、安全查询方法和装置。本发明考虑到了存在数据交互的节点中异常节点对其他节点的影响,在识别节点的异常状态时使得识别结果更加准确。另外,在识别出各个节点的异常状态之后,将识别结果生成多个加密密文,并通过多个信道一一对应传输加密密文,可以降低隐私数据泄露的风险。
-
Patent Agency Ranking
公开(公告)号:CN116992448B
公开(公告)日:2023-12-15
申请号:CN202311254330.9
申请日:2023-09-27
Applicant: 北京安天网络安全技术有限公司
IPC: G06F21/56 , G06F40/194 , G06F40/30 , G06F16/903 , G06F18/22
Abstract: 本发明提供了一种基于数据源重要程度的样本确定方法及装置、设备及介质,涉及数据处理领域,包括:响应于接收到目标恶意文件,获取每一目标数据源对目标恶意文件设置的名称字符串,得到目标名称字符串列表;对每一名称字符串进行字符串拆分,得到目标候选字符串列表集;根据目标候选字符串列表集,确定每一目标数据源的重要程度;确定与目标恶意文件对应的目标相似样本文件。本发明通过每一目标数据源对目标恶意文件的名称字符串进行拆分,得到每一目标数据源的文件特征分析用的字符串数量,进而通过拆分得到的字符串数量确定对应的重要程度,通过每一重要程度,确定相似样本文件,使得到的相似样本文件与目标恶意文件之间的相似准确度更高。
-
公开(公告)号:CN116992439B
公开(公告)日:2023-12-08
申请号:CN202311268168.6
申请日:2023-09-28
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提供了一种用户行为习惯模型确定方法及装置、设备及介质,涉及安全检测领域,该方法包括:获取目标设备在每一目标子时间段内执行的若干目标操作行为的行为标识列表;确定若干第一行为习惯信息;确定若干第二行为习惯信息;根据语义特征组对应的所有第一行为习惯信息和所有第二行为习惯信息,确定对应的用户行为习惯模型。本发明通过对目标设备的不同操作用户的操作行为进行统计分析,分别得到每一操作用户对应的第一行为习惯信息和第二行为习惯信息,进而确定出每一操作用户对应的用户行为习惯模型,通过每一用户行为习惯模型,可以对目标设备的操作行为进行检测,确定对应的被APT攻击的目标文件,以提高目标文件的查找效率和精准度。
-
公开(公告)号:CN116861428B
公开(公告)日:2023-12-08
申请号:CN202311131104.1
申请日:2023-09-04
Applicant: 北京安天网络安全技术有限公司
IPC: G06F21/56 , G06F18/214 , G06F18/2433 , G06F18/25
Abstract: 本发明提供了一种基于关联文件的恶意检测方法、装置、设备及介质,涉及安全检测领域,该方法包括:获取待检测文件和每一目标关联文件进行的文件行为信息;确定待检测文件对应的目标行为向量和每一目标关联文件对应的关联行为向量;确定融合行为向量;将目标行为向量和融合行为向量、每一关联行为向量分别与融合行为向量输入至目标模型中,得到对应的目标文件标识和每一关联文件标识;若目标文件标识或关联文件标识为恶意文件标识,则将待检测文件或目标关联文件确定为恶意文件。本发明通过对待检测文件和目标关联文件的文件行为进行检测并结合,确定融合行为向量,判断待检测文件和目标关联文件是否为恶意文件,安全性得到提高。
-
公开(公告)号:CN116956296B
公开(公告)日:2023-12-01
申请号:CN202311216835.6
申请日:2023-09-20
Applicant: 北京安天网络安全技术有限公司
IPC: G06F21/56 , G06F18/22 , G06F18/23213 , H04L9/40
Abstract: 本发明提供了一种文件的动态检测方法、电子设备及存储介质,涉及文件的动态检测领域,所述方法包括:获取若干样本文件,以得到样本文件集B;获取B中每一样本文件对应的行为特征向量,以得到B对应的第一行为特征向量集FB;获取待检测文件D对应的监控周期T0;依次获取D在h个相邻的监控时间点分别对应的行为特征向量,以得到第二行为特征向量集FD;根据FD与FB,得到目标相似度集β3;若β3i>β3i+1;则将D确3定为非恶意文件,并终止对D的监控;若β i<β3i+1,则将当前的监控周期T0的长度调整为(1+1/h×∑he=1β3e)×CT0,并继续对D进行监控;从而提高恶意文件检测结果的准确性。
-
公开(公告)号:CN117081862A
公开(公告)日:2023-11-17
申请号:CN202311330593.3
申请日:2023-10-16
Applicant: 北京安天网络安全技术有限公司
IPC: H04L9/40
Abstract: 本申请的实施例公开了一种局域网安全防御方法、装置、电子设备及存储介质,涉及网络安全技术领域,能够有效提高网络安全防御的主动性和安全性。所述方法包括:监测当前局域网中是否存在失陷主机;若当前局域网中存在失陷主机,则监听当前局域网中第一主机对第二主机的ARP请求;其中,所述第一主机为所述失陷主机;响应于所述第一主机的ARP请求,向所述第一主机发送ARP回复报文;获取所述第一主机对所述第二主机的访问流量,并将所述访问流量发送至仿真资产;通过所述仿真资产对所述访问流量进行响应,得到回程流量,将所述回程流量发送给所述第一主机。本发明适用于阻止横向攻击扩散的场景。
-
-
-
-
-
-
-
-
-
Search Results
574
records
(took 0.093 seconds)
