-
公开(公告)号:CN110868379B
公开(公告)日:2021-09-21
申请号:CN201811560012.4
申请日:2018-12-19
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明的实施例公开一种基于DNS解析报文的入侵威胁指标拓展方法、装置及电子设备,涉及计算机网络安全防护技术领域,能够解决现有的入侵威胁指标有限的问题。所述方法包括:获取实时接收的网络流量的IP地址;判断所述网络流量的IP地址是否能在预先设置的IP子库中匹配到;若是,则根据所述网络流量使用的协议对所述网络流量进行分类;对DNS协议流量进行DNS解析,得到DNS解析报文;根据预先设置的入侵威胁指标匹配库判断所述DNS协议流量的解析请求发起方是否被恶意代码感染;若是,则在所述入侵威胁指标匹配库中增加入侵威胁指标拓展记录。本发明适用于各种使用IOC进行安全威胁检测的场合。
-
公开(公告)号:CN113282891A
公开(公告)日:2021-08-20
申请号:CN202110722422.X
申请日:2021-06-28
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提供了一种版本授权控制方法、装置、计算设备及存储介质,其中方法包括:接收用户端发送的数据服务请求;根据所述数据服务请求确定所述用户端对应的授权文件;根据所述授权文件获取与所述用户端对应权限的目标版本数据对象;利用所述目标版本数据对象为所述用户端提供服务。本方案,能够保证为用户端提供服务时使用的数据对象的版本是该用户端具有权限的版本,以保证版本授权的可控性。
-
公开(公告)号:CN112994950A
公开(公告)日:2021-06-18
申请号:CN202110369850.9
申请日:2021-04-07
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明涉及告警误报排除方法、装置及计算机可读介质、装置及计算机可读介质,方法包括:捕获HTTP网络数据包;确定每个捕获到的网络数据包对应的通信协议;确定对应于预设的至少一种目标通信协议的至少一个目标数据包,其中,目标通信协议为对应于至少一种抢票站点的通信协议;将每个目标数据包输入预先构建的抢票站点地址特征库,确定当前目标数据包的地址信息是否对应一抢票站点的特征信息;其中,抢票站点地址特征库通过获取至少一种抢票站点的特征信息构建得到;当目标数据包的地址信息对应抢票站点,将其列为威胁访问告警白名单。本发明提供的方案能够排除抢票产生的高频访问而引起的告警误报。
-
公开(公告)号:CN108881150B
公开(公告)日:2021-03-23
申请号:CN201711498286.0
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
IPC: H04L29/06
Abstract: 本发明实施例公开一种检测任务的处理方法、装置、电子设备及存储介质,涉及计算机应用领域。所述方法包括:从已获取的任务文件样本中,提取待检测对象;生成与所述待检测对象对应的检测任务,所述检测任务包括第一全要素字段,所述第一全要素字段包括待检测对象标识以及检测任务信息;将所述检测任务存入消息队列中,以使鉴定器从所述消息队列中获取所述检测任务,根据所述待检测对象标识以及检测任务信息对所述待检测对象进行检测处理,并将检测后的分析结果存入所述消息队列中,所述消息队列与所述鉴定器一一对应。本发明实现了无需编写复杂的任务派发机制,代码更简洁,运行更流畅,降低了维护成本,提高了该机制的扩展性。
-
公开(公告)号:CN108875357B
公开(公告)日:2020-05-12
申请号:CN201711391646.7
申请日:2017-12-20
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明的实施例公开一种程序启动方法、装置、电子设备及存储介质,涉及计算机网络安全领域,能够在客户机外部实现对样本程序的启动。所述一种程序启动方法,应用于宿主机,该方法包括:将样本程序输入到客户机;当监测到客户机的控制流的触发事件,将当前执行指针跳转到所述汇编指令片段进行执行以启动所述样本程序。本发明适用于对样本程序的检测。
-
Patent Agency Ranking
公开(公告)号:CN109947721A
公开(公告)日:2019-06-28
申请号:CN201711252485.3
申请日:2017-12-01
Applicant: 北京安天网络安全技术有限公司
IPC: G06F16/174 , G06F16/16
Abstract: 本发明实施例提供了一种小文件处理方法和装置,用以解决目前在涉及到大量小文件还原,且还原的小文件需要进行定期的删除的场景下,直接删除大量小文件会产生大量的随机访问,从而导致磁盘低效的问题。该方法包括:将每一个淘汰周期内还原的小文件写入到一个索引节点对应的大文件;不同淘汰周期内还原的小文件写入到不同索引节点对应的大文件;其中,所述小文件是小于预设大小的文件,所述大文件由若干个小文件整合而成;在确定需要删除一个淘汰周期内还原的小文件后,删除该淘汰周期对应的大文件的元数据,并删除该淘汰周期对应的大文件;其中,一个大文件的元数据包括该大文件的存储位置。
-
公开(公告)号:CN109472135A
公开(公告)日:2019-03-15
申请号:CN201711474097.X
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明实施例提供了一种检测进程注入的方法、装置及存储介质,用以解决目前的检测进程注入的方法无法检测出可以逃避基于API调用的特征的进程注入方法问题。该方法包括:启动目标进程;捕获所述目标进程中的应用程序编程接口API;确定捕获的API中存在调用行为的API的调用关系,其中,存在调用行为的API是调用了除用于捕获所述目标进程中的API的函数以外的其他API的API;将存在调用行为的API的调用关系与调用规则进行匹配;其中,调用规则是执行所述目标进程的系统正常运行时的API的调用关系;当存在调用关系匹配不成功的API时,确定目标进程被注入。
-
公开(公告)号:CN109472133A
公开(公告)日:2019-03-15
申请号:CN201711250084.4
申请日:2017-12-01
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明实施例提供了一种沙箱监控方法和装置,用以降低恶意代码通过检查公知的Hook点进行逆向的可能性。该方法包括:在沙箱中启动待分析的程序;确定所述待分析程序的进程ID;在待分析程序运行期间,确定当前产生的中断或者执行的特定指令为系统调用;确定所述系统调用由所述待分析程序的进程ID标识的进程产生;获取所述系统调用及其参数,并获取所述系统调用的结果,以将获取的所述系统调用及其参数和所述系统调用的结果传递给所述沙箱分析流程进行分析。
-
公开(公告)号:CN108875371A
公开(公告)日:2018-11-23
申请号:CN201711426403.2
申请日:2017-12-25
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明实施例公开一种沙箱分析方法、装置、电子设备及存储介质,涉及信息安全技术领域,能够大大减少样本逃避检测的几率,有效提升沙箱检测能力。所述方法包括:监测输入沙箱的程序样本中与重启系统相关的目标操作,并进行相应的记录;当所述沙箱的虚拟机关机时,保存所述虚拟机的运行现场;根据记录的数据确定所述程序样本运行中是否存在所述目标操作;在所述程序样本运行中存在所述目标操作的情况下,重启所述虚拟机以继续对所述程序样本进行数据采集。本发明可用于沙箱分析中。
-
公开(公告)号:CN108875363A
公开(公告)日:2018-11-23
申请号:CN201711498890.3
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明的实施例公开一种加速虚拟执行的方法、装置、电子设备及存储介质,涉及计算机安全领域,能够提高现有技术中虚拟执行的效率。本发明实施例提供一种加速虚拟执行的方法,包括:每次调用应用程序的调用接口API时,将第一指令序列与指令知识库中的目标指令序列进行模式匹配搜索;当匹配成功时,根据所述目标指令序列与执行结果的对应关系,获取与所述第一指令序列对应的执行结果;根据所述执行结果,直接修改根据所述第一指令序列操作发生变化的寄存器。
-
-
-
-
-
-
-
-
-
Search Results
85
records
(took 0.038 seconds)
