公开(公告)号：CN118944985B

公开(公告)日：2024-12-24

申请号：CN202411431987.2

申请日：2024-10-14

Applicant: 北京安天网络安全技术有限公司

Inventor： 李登锋 ,  白淳升 ,  肖新光

IPC: H04L9/40

Abstract: 本发明公开了一种基于网络空间测绘的网络攻击发现方法及相关装置，涉及信息安全技术领域,为缩短从攻击事件的发生到攻击痕迹的检出之间的时间窗口而发明。其中方法包括：设定待测绘空间范围，其中，待测绘空间范围包括但不限于全量IP空间、区域网段、域名列表以及分散IP地址列表；对待测绘空间范围的存活目标进行网络测绘，得到存活目标的交互流量特征和服务指纹特征；根据预备的携带溯源情报和威胁类型信息的匹配特征，对交互流量特征和服务指纹特征进行匹配，得到存活目标的特征匹配结果；对存活目标的特征匹配结果进行相关度评估，判断存活目标是否为特征相关。本发明适用于网络安全防御的场合。

公开(公告)号：CN114266042A

公开(公告)日：2022-04-01

申请号：CN202111555311.0

申请日：2021-12-17

Applicant: 北京安天网络安全技术有限公司

Inventor： 白淳升 ,  刘佳男

IPC: G06F21/55 ,  G06F21/53 ,  G06F16/955

Abstract: 本发明提出了一种信息检测方法及装置、电子设备和计算机可读存储介质，该方法包括：获取第一列表和第二列表；在所述第二列表中确定目标URL地址，所述目标URL地址的网络服务域名存在于所述第一列表中；基于预定的信誉度计算规则，确定目标URL地址的信誉度；在目标URL地址的信誉度小于或等于指定阈值时，监测目标URL地址处的信息内容是否发生变化；若所述目标URL地址的信息内容发生变化，基于所述变化对应的行为，确定所述目标URL地址是否为被恶意代码C2利用的异常地址。本发明的技术方案，针对合法网络服务的地址被恶意代码C2利用的情况，能够快速高效地识别出该地址的异常，有助于安全监测的顺利进行和后续安全保护行为的及时实施，提升了网络安全。

公开(公告)号：CN118944985A

公开(公告)日：2024-11-12

申请号：CN202411431987.2

申请日：2024-10-14

Applicant: 北京安天网络安全技术有限公司

Inventor： 李登锋 ,  白淳升 ,  肖新光

IPC: H04L9/40

Abstract: 本发明公开了一种基于网络空间测绘的网络攻击发现方法及相关装置，涉及信息安全技术领域,为缩短从攻击事件的发生到攻击痕迹的检出之间的时间窗口而发明。其中方法包括：设定待测绘空间范围，其中，待测绘空间范围包括但不限于全量IP空间、区域网段、域名列表以及分散IP地址列表；对待测绘空间范围的存活目标进行网络测绘，得到存活目标的交互流量特征和服务指纹特征；根据预备的携带溯源情报和威胁类型信息的匹配特征，对交互流量特征和服务指纹特征进行匹配，得到存活目标的特征匹配结果；对存活目标的特征匹配结果进行相关度评估，判断存活目标是否为特征相关。本发明适用于网络安全防御的场合。

公开(公告)号：CN116305290A

公开(公告)日：2023-06-23

申请号：CN202310546715.6

申请日：2023-05-16

Applicant: 北京安天网络安全技术有限公司

Inventor： 邢宝玉 ,  白淳升 ,  肖新光

IPC: G06F21/62 ,  G06F21/64 ,  G06F21/60 ,  G06F16/18 ,  G06F16/182

Abstract: 本发明提供了一种系统日志安全检测方法及装置、电子设备及存储介质，该方法包括：响应于目标日志文件的文件头信息内的文件校验和发生改变，从目标日志文件包含的若干原始数据块中确定出至少一个目标数据块；获取目标事件记录信息的当前摘要信息以及历史摘要信息；目标事件记录信息为目标数据块中包含的事件记录信息；若任意目标事件记录信息对应的当前摘要信息和历史摘要信息存在差异，则输出报警提示。本发明在系统日志内容校验算法的基础上，通过记录校验和以及目标日志文件的摘要信息的对比，来检测目标日志文件是否存在被篡改的情况，与现有的日志防篡改技术相比，可以在保护日志的完整性的同时，对目标日志文件进行安全检测。

公开(公告)号：CN106549929B

公开(公告)日：2019-11-05

申请号：CN201610556224.X

申请日：2016-07-15

Applicant: 北京安天网络安全技术有限公司

Inventor： 白淳升 ,  李柏松

IPC: H04L29/06

Abstract: 本发明公开了一种APT攻击源头的定位方法及系统，包括：获取各网络节点的流量数据；提取所述流量数据中所有非本地IP地址并按网络节点分别存储所述流量数据；分析所述流量数据并判断是否存在异常网络连接；若存在异常网络连接，则从总出口节点开始依次向下比对，定位起始异常网络节点；监控所述起始异常网络节点并追溯攻击源头。本发明所述技术方案能够对通过控制网络设备来转发通信数据的隐匿式攻击进行发现和溯源。

公开(公告)号：CN108347370A

公开(公告)日：2018-07-31

申请号：CN201710974033.X

申请日：2017-10-19

Applicant: 北京安天网络安全技术有限公司

Inventor： 白淳升 ,  李柏松 ,  王小丰

IPC: H04L12/58 ,  H04L29/06

Abstract: 本发明提出一种针对性攻击邮件的检测方法及系统，本发明方法检测并解析邮件数据，获取源数据；提取邮件地址，判断提取的邮件地址是否为仿冒地址，如果是，则发出针对性攻击邮件报警，否则将所述邮件地址录入待判定地址库。通过对邮件地址进行分析，发现针对性构造的仿冒邮件，进而发现针对性攻击邮件，该方法不依赖于邮件内容进行判定。