公开(公告)号：CN118886013B

公开(公告)日：2025-01-07

申请号：CN202411336755.9

申请日：2024-09-25

Applicant: 北京安天网络安全技术有限公司

Inventor： 高泽霖 ,  刘佳男 ,  肖新光

IPC: G06F21/56

Abstract: 本发明提供了一种基于挖矿木马竞争特性的防护方法、装置及计算设备，涉及计算机技术领域，该方法包括：对获取的挖矿木马样本进行分析，得到挖矿木马样本库；运行挖矿木马样本，确定挖矿木马样本中包括的用于终止其他挖矿木马进程的目标终止指令；基于目标终止指令对应的进程信息，生成可疑进程黑名单；根据挖矿木马样本库和可疑进程黑名单进行防护。本方案能够快速识别挖矿木马，实现高效防护，同时有效提高了恶意软件防护的准确性和及时性。

公开(公告)号：CN119094248A

公开(公告)日：2024-12-06

申请号：CN202411581001.X

申请日：2024-11-07

Applicant: 北京安天网络安全技术有限公司

Inventor： 高泽霖 ,  刘佳男 ,  肖新光

IPC: H04L9/40

Abstract: 本发明公开了一种窃密木马回传数据流量的检测方法和装置，属于信息安全领域。方法包括：基于预设的配置文件，实时监控各进程对敏感文件的读取以及实时Hook各进程对加密API的调用，并记录各进程的加密API调用信息；其中，配置文件含有待Hook的加密API和待监控的敏感文件，加密API调用信息至少包括加密API的调用顺序、各加密API的名称、参数和返回值；当读取的敏感文件超出设定阈值时，拦截该进程对外发送的数据包；基于该进程的加密API调用信息，对拦截的数据包进行逆向解密，以识别窃密木马窃取的敏感信息。本方案可以迅速解密数据包，并且通过监控敏感文件的读取，能够及时发现和阻止潜在的敏感信息泄露。

公开(公告)号：CN117077180A

公开(公告)日：2023-11-17

申请号：CN202311314167.0

申请日：2023-10-11

Applicant: 北京安天网络安全技术有限公司

Inventor： 王昆明 ,  刘佳男 ,  高喜宝 ,  李柏松 ,  肖新光

IPC: G06F21/60 ,  G06F21/64 ,  G06F21/57

Abstract: 本发明实施例公开的勒索加密数据恢复可行性评估及处理装置、方法、电子设备及存储介质，涉及网络空间安全防御技术领域。所述装置包括：条件匹配程序模块，用于将受害端点的基本信息及勒索软件信息与评估与恢复资源数据库中存储的勒索加密数据恢复前提条件集合进行匹配，判断是否满足恢复条件；方法选取程序模块，用于根据受害端点基本信息、遭遇勒索软件信息及满足的恢复条件，选取适用于该受害端点的勒索加密数据恢复方法；数据恢复程序模块，利用所述恢复方法，以受害数据为操作对象，将受害数据恢复至被勒索加密前状态。本发明实施例能够有效地帮助用户判断是否有可能恢复被勒索软件加密或锁定的数据，并提供相应的恢复处理方案。

公开(公告)号：CN114266042A

公开(公告)日：2022-04-01

申请号：CN202111555311.0

申请日：2021-12-17

Applicant: 北京安天网络安全技术有限公司

Inventor： 白淳升 ,  刘佳男

IPC: G06F21/55 ,  G06F21/53 ,  G06F16/955

Abstract: 本发明提出了一种信息检测方法及装置、电子设备和计算机可读存储介质，该方法包括：获取第一列表和第二列表；在所述第二列表中确定目标URL地址，所述目标URL地址的网络服务域名存在于所述第一列表中；基于预定的信誉度计算规则，确定目标URL地址的信誉度；在目标URL地址的信誉度小于或等于指定阈值时，监测目标URL地址处的信息内容是否发生变化；若所述目标URL地址的信息内容发生变化，基于所述变化对应的行为，确定所述目标URL地址是否为被恶意代码C2利用的异常地址。本发明的技术方案，针对合法网络服务的地址被恶意代码C2利用的情况，能够快速高效地识别出该地址的异常，有助于安全监测的顺利进行和后续安全保护行为的及时实施，提升了网络安全。

公开(公告)号：CN106657095B

公开(公告)日：2020-07-28

申请号：CN201611245508.3

申请日：2016-12-29

Applicant: 北京安天网络安全技术有限公司

Inventor： 刘佳男 ,  李柏松

IPC: H04L29/06

Abstract: 本发明公开了一种识别未知类远控木马的方法及系统，包括：对当前网络执行断网操作后恢复网络，获取网络中的所有流量；记录网络中的所有流量的五元组信息和上下行数据包大小；将每次恢复网络至下次断网记为一个周期，重复预设周期的上述操作；选取五元组信息相同的网络流量，并对比预设周期间的网络流量的重合度，若重合度大于等于预设值则判定存在未知类远控木马。本发明所述技术方案能够弥补主机侧检测的不足，有效解决未知类远控木马识别的问题。

公开(公告)号：CN109474452A

公开(公告)日：2019-03-15

申请号：CN201711419647.8

申请日：2017-12-25

Applicant: 北京安天网络安全技术有限公司

Inventor： 刘佳男 ,  王文辉 ,  李柏松 ,  王小丰

IPC: H04L12/24 ,  H04L29/06

Abstract: 本发明公开了自动识别B/S僵尸网络后台的方法、系统及存储介质，其中，所述方法包括：获取待检测网站URL；对待检测网站URL进行预处理；从僵尸网络后台特征库中提取特征，并判断特征类型；若所述特征为文件名特征，则利用所述文件名特征对待检测网站进行爬行测试，若存在所述文件名特征对应的网页文件则告警；若所述特征为文件内容特征，则利用所述文件内容特征遍历待检测网站，若匹配成功则告警；其中，所述僵尸网络后台特征库中存储有从已知僵尸网络后台中提取的文件名特征和文件内容特征。本发明能够有效识别基于HTTP协议的B/S架构的僵尸网络后台。