公开(公告)号：CN116861429B

公开(公告)日：2023-12-08

申请号：CN202311131111.1

申请日：2023-09-04

Applicant: 北京安天网络安全技术有限公司

Inventor： 田国新 ,  奚广生 ,  白富宽 ,  孙晋超 ,  肖新光

IPC: G06F21/56 ,  G06F18/214 ,  G06F18/2433 ,  G06F18/25

Abstract: 本发明提供了一种基于样本行为的恶意检测方法、装置、设备及介质，涉及安全检测领域，该方法包括：获取待检测文件在第一预设时间段内进行的若干文件行为信息；确定待检测文件的目标行为向量；将目标行为向量输入至目标模型中，得到对应的目标文件标识；若目标文件标识为恶意文件标识，则将待检测文件确定为恶意文件。本发明通过待检测文件进行的文件行为，获取其对应的目标行为向量，将目标行为向量输入至目标模型中，得到对应的目标文件标识，若目标文件标识为恶意文件标识，则将待检测文件确定为恶意文件，通过将待检测文件的文件行为与恶意样本文件的恶意行为进行比对，确定待检测文件是否为恶意文件，提高了检测精度和适用性。

公开(公告)号：CN116861428B

公开(公告)日：2023-12-08

申请号：CN202311131104.1

申请日：2023-09-04

Applicant: 北京安天网络安全技术有限公司

Inventor： 田国新 ,  奚广生 ,  白富宽 ,  孙晋超 ,  肖新光

IPC: G06F21/56 ,  G06F18/214 ,  G06F18/2433 ,  G06F18/25

Abstract: 本发明提供了一种基于关联文件的恶意检测方法、装置、设备及介质，涉及安全检测领域，该方法包括：获取待检测文件和每一目标关联文件进行的文件行为信息；确定待检测文件对应的目标行为向量和每一目标关联文件对应的关联行为向量；确定融合行为向量；将目标行为向量和融合行为向量、每一关联行为向量分别与融合行为向量输入至目标模型中，得到对应的目标文件标识和每一关联文件标识；若目标文件标识或关联文件标识为恶意文件标识，则将待检测文件或目标关联文件确定为恶意文件。本发明通过对待检测文件和目标关联文件的文件行为进行检测并结合，确定融合行为向量，判断待检测文件和目标关联文件是否为恶意文件，安全性得到提高。

公开(公告)号：CN116861428A

公开(公告)日：2023-10-10

申请号：CN202311131104.1

申请日：2023-09-04

Applicant: 北京安天网络安全技术有限公司

Inventor： 田国新 ,  奚广生 ,  白富宽 ,  孙晋超 ,  肖新光

IPC: G06F21/56 ,  G06F18/214 ,  G06F18/2433 ,  G06F18/25

Abstract: 本发明提供了一种基于关联文件的恶意检测方法、装置、设备及介质，涉及安全检测领域，该方法包括：获取待检测文件和每一目标关联文件进行的文件行为信息；确定待检测文件对应的目标行为向量和每一目标关联文件对应的关联行为向量；确定融合行为向量；将目标行为向量和融合行为向量、每一关联行为向量分别与融合行为向量输入至目标模型中，得到对应的目标文件标识和每一关联文件标识；若目标文件标识或关联文件标识为恶意文件标识，则将待检测文件或目标关联文件确定为恶意文件。本发明通过对待检测文件和目标关联文件的文件行为进行检测并结合，确定融合行为向量，判断待检测文件和目标关联文件是否为恶意文件，安全性得到提高。

公开(公告)号：CN116861430B

公开(公告)日：2023-11-17

申请号：CN202311131112.6

申请日：2023-09-04

Applicant: 北京安天网络安全技术有限公司

Inventor： 田国新 ,  奚广生 ,  白富宽 ,  孙晋超 ,  肖新光

IPC: G06F21/56 ,  G06F18/214 ,  G06F18/2433 ,  G06F18/25

Abstract: 本发明提供了一种恶意文件检测方法、装置、设备及介质，涉及安全检测领域，该方法包括：获取待检测文件的文件特征；对文件特征进行检测，得到检测结果；若检测结果表示待检测文件不为恶意文件，则确定待检测文件的第一行为向量；得到第一行为向量与每一第一样本向量对应的第一匹配度；若任一第一匹配度大于预设匹配度阈值，则确定待检测文件的第二行为向量；得到对应的目标文件标识；若目标文件标识为恶意文件标识，则将待检测文件确定为恶意文件。本发明通过对待检测文件进行分段式检测，以及根据待检测文件的文件行为，与恶意样本文件的若干恶意行为的结合进行比对，来确定待检测文件是否为恶意文件，提高了检测精度、适用性和检测效率。

公开(公告)号：CN116861430A

公开(公告)日：2023-10-10

申请号：CN202311131112.6

申请日：2023-09-04

Applicant: 北京安天网络安全技术有限公司

Inventor： 田国新 ,  奚广生 ,  白富宽 ,  孙晋超 ,  肖新光

IPC: G06F21/56 ,  G06F18/214 ,  G06F18/2433 ,  G06F18/25

Abstract: 本发明提供了一种恶意文件检测方法、装置、设备及介质，涉及安全检测领域，该方法包括：获取待检测文件的文件特征；对文件特征进行检测，得到检测结果；若检测结果表示待检测文件不为恶意文件，则确定待检测文件的第一行为向量；得到第一行为向量与每一第一样本向量对应的第一匹配度；若任一第一匹配度大于预设匹配度阈值，则确定待检测文件的第二行为向量；得到对应的目标文件标识；若目标文件标识为恶意文件标识，则将待检测文件确定为恶意文件。本发明通过对待检测文件进行分段式检测，以及根据待检测文件的文件行为，与恶意样本文件的若干恶意行为的结合进行比对，来确定待检测文件是否为恶意文件，提高了检测精度、适用性和检测效率。

公开(公告)号：CN116861429A

公开(公告)日：2023-10-10

申请号：CN202311131111.1

申请日：2023-09-04

Applicant: 北京安天网络安全技术有限公司

Inventor： 田国新 ,  奚广生 ,  白富宽 ,  孙晋超 ,  肖新光

IPC: G06F21/56 ,  G06F18/214 ,  G06F18/2433 ,  G06F18/25

Abstract: 本发明提供了一种基于样本行为的恶意检测方法、装置、设备及介质，涉及安全检测领域，该方法包括：获取待检测文件在第一预设时间段内进行的若干文件行为信息；确定待检测文件的目标行为向量；将目标行为向量输入至目标模型中，得到对应的目标文件标识；若目标文件标识为恶意文件标识，则将待检测文件确定为恶意文件。本发明通过待检测文件进行的文件行为，获取其对应的目标行为向量，将目标行为向量输入至目标模型中，得到对应的目标文件标识，若目标文件标识为恶意文件标识，则将待检测文件确定为恶意文件，通过将待检测文件的文件行为与恶意样本文件的恶意行为进行比对，确定待检测文件是否为恶意文件，提高了检测精度和适用性。

公开(公告)号：CN306078899S

公开(公告)日：2020-09-29

申请号：CN201930683658.0

申请日：2019-12-09

Applicant: 北京安天网络安全技术有限公司

Designer： 奚广生 ,  田国新 ,  孙晋超 ,  肖新光

Abstract: 1.本外观设计产品的名称：带内部通联分析图形用户界面的显示屏幕面板。
2.本外观设计产品的用途：本外观设计产品用于展示内部网络资产相互通讯情况。
3.本外观设计产品的设计要点：在于屏幕中的图形用户界面的界面内容。
4.最能表明设计要点的图片或照片：主视图。
5.请求保护的外观设计包含色彩。
6.无设计要点，省略左视图;无设计要点，省略右视图;无设计要点，省略俯视图;无设计要点，省略仰视图;无设计要点，省略后视图。
7.图形用户界面的用途：用于展示内部网络资产相互通讯情况。
8.图形用户界面的变化状态说明：主视图为初始界面，界面顶部包括一个时间选择框，一个手动输入搜索框，界面左侧为一个筛选展示功能区，界面右侧展示内部通联图，内部通联图中不同色块代表不同的IP网段；点击初始界面顶部的时间选择框，选择时间范围，界面按选定的时间范围展示内部网络资产相互通讯情况，界面切换至界面变化状态图1；点击初始界面左侧的筛选展示功能区的协议标签及采集器标签的下来按钮，界面展示相应的下拉选项，界面切换至界面变化状态图2至界面变化状态图5，勾选界面状态变化状态图2至界面变化状态图5中任意选项，界面按用户勾选内容展示内部网络资产相互通讯情况，界面切换至界面变化状态图7至界面状态变化图8；拖动初始界面展示的内部通联图下方的时间轴，界面按选定的具体时间段展示内部网络资产相互通讯情况，界面切换至界面变化状态图9至界面变化状态图10；在初始界面的手动输入搜索框中输入要查询的IP，界面会展示查询IP所在IP段之间的内部网络资产相互通讯情况，界面切换至界面变化状态图11；点击界面变化状态图11中的内部通联图上查询IP所在的IP段的点（红色的点），界面展示查询IP与IP段之间的内部网络资产相互通讯情况，界面切换至界面变化状态图12；继续点击界面变化状态图12中内部通联图上查询IP的点（红色的点），界面切换至单点视角展示点对点的内网通讯情况、通讯使用的端口、协议、通讯时间以及相应通讯次数，界面切换至界面变化状态图13；该显示屏幕面板可用于手机、平板、电脑、显示器；上述界面内容中的数据、参数仅供参考，用于体现变化效果，不属于设计要素。

公开(公告)号：CN305948035S

公开(公告)日：2020-07-28

申请号：CN201930714747.7

申请日：2019-12-20

Applicant: 北京安天网络安全技术有限公司

Designer： 奚广生 ,  田国新 ,  孙晋超 ,  肖新光

Abstract: 1.本外观设计产品的名称：带安全日志动态图形用户界面的显示屏幕面板。
2.本外观设计产品的用途：本外观设计产品用于动态展示网络安全日志。
3.本外观设计产品的设计要点：在于屏幕中的图形用户界面的界面内容。
4.最能表明设计要点的图片或照片：主视图。
5.无设计要点，省略左视图;无设计要点，省略右视图;无设计要点，省略俯视图;无设计要点，省略仰视图;无设计要点，省略后视图。
6.图形用户界面的用途：用于动态展示网络安全日志。
7.图形用户界面的变化状态说明：主视图界面左侧为配置统计区，右侧界面为时间选择框，字段筛选框、日志时间轴及安全日志列表栏；鼠标拖动初始界面的时间轴，界面展示选定时间范围内的网络安全日志，界面切换至界面变化状态图1至界面变化状态图2；点击初始界面的时间选择框，界面按选定时间展示网络安全日志列表，界面切换至界面变化状态图3；点击初始界面左侧的配置统计区的复选框，配置统计区展示复选框选定内容的字段聚类统计列表，日志列表栏展示相应聚类以及统计结果，界面切换至界面变化状态图4至界面变化状态图6；点击界面变化状态图6中聚类统计列表中具体内容，可筛选日志列表中相应信息，界面切换至界面变化状态图7至界面变化状态图9；点击界面变化状态9中的字段筛选框，界面按选中字段，展示安全日志列表，界面切换至界面变化状态图10；点击界面变化状态图10中日志列表栏首行设置字段聚合列表，选择相应字段后日志列表按选择字段逐一聚合，界面切换至界面变化状态图11至界面变化状态图12；该显示屏幕面板可用于平板、电脑；上述界面内容中的数据、参数仅供参考，用于体现变化效果，不属于设计要素。