公开(公告)号：CN109510808A

公开(公告)日：2019-03-22

申请号：CN201711489510.X

申请日：2017-12-29

Applicant: 北京安天网络安全技术有限公司

Inventor： 黄云宇 ,  刘广柱 ,  康学斌 ,  王小丰

IPC: H04L29/06

Abstract: 本发明提出一种自动化放马站点探测方法、系统及存储介质，所述方法包括：根据已知放马站点，提取协议标识；分析统计已知恶意IP，提取恶意IP较密集的IP网段列表；对提取的IP网段列表，自动化枚举探测IP的活跃性，并形成目标数据列表；利用协议标识，枚举探测识别目标数据列表中各活跃IP，判断是否存在协议标识，如果是，则对应IP为放马站点；对探测到的放马站点中的数据进行打包下载。通过本发明技术方案，能够自动化的探测放马站点，并进行恶意代码数据的下载，能够有效及时监控并感知放马站点的最新活跃情报。

公开(公告)号：CN109474573A

公开(公告)日：2019-03-15

申请号：CN201711491739.7

申请日：2017-12-30

Applicant: 北京安天网络安全技术有限公司

Inventor： 康学斌 ,  张雨晨 ,  王小丰 ,  肖新光

IPC: H04L29/06

Abstract: 本发明实施例提供了一种识别失活木马程序的方法、装置及存储介质，从而识别出网内处于失活或者暂时失活的木马程序，定位被该木马程序感染的主机。该方法包括：从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据；根据训练数据和提取出的数据，确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率；在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时，确定未知类型的流量来自于失活木马程序。

公开(公告)号：CN109474572A

公开(公告)日：2019-03-15

申请号：CN201711489517.1

申请日：2017-12-29

Applicant: 北京安天网络安全技术有限公司

Inventor： 黄云宇 ,  刘广柱 ,  康学斌 ,  王小丰

IPC: H04L29/06

CPC classification number: H04L63/1408 ,  H04L63/145 ,  H04L2463/144

Abstract: 本发明提出了一种基于集群僵尸网络监控捕获放马站点的方法及系统，本发明方法获取已知各恶意代码家族的僵尸网络的恶意代码，并解析出控制节点，及获取各恶意代码家族的协议，建立协议解析模块；通过模拟被控端，与控制节点进行信息交互及监控，获取交叉感染指令，并根据交叉感染指令解析出恶意代码存放地址，即新发现的放马站点，对该地址中的文件进行打包下载。本发明的技术方案，能够对集群僵尸网络进行监控，及时发现恶意代码交叉感染情况，发现新的放马站点。同时对新放马站点的监控，以及结合以往控制端的监控，能够实现僵尸网络间的交互监控。