公开(公告)号：CN108076038A

公开(公告)日：2018-05-25

申请号：CN201710458777.6

申请日：2017-06-16

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 李宝俊 ,  童志明

IPC: H04L29/06

CPC classification number: H04L63/1425 ,  H04L63/1416 ,  H04L63/1441 ,  H04L2463/146

Abstract: 本发明提出一种基于服务器端口的C&C服务器判断方法及系统，包括：收集整理非官方或服务器提供商的服务器列表；定期记录服务器列表中的服务器开启或关闭非常规端口的信息；判断是否有服务器不定周期开启或关闭非常规服务端口；如果是，则所述服务器为C&C服务器；否则结束判断；根据记录的服务器开启或关闭非常规端口的信息，对所述C&C服务器进行分类，初步判定服务器之间的关联关系。本发明还提出相应系统，解决了传统方法中，存在人力分析效率低和沙盒与虚拟机占用资源高且不能事前发现潜在网络威胁的缺点，能够做到发现潜在的C&C服务器，而且能够根据判断结果进行同源跟踪。

公开(公告)号：CN106572122A

公开(公告)日：2017-04-19

申请号：CN201611127719.7

申请日：2016-12-09

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 李宝俊

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/30

Abstract: 本发明提出一种基于网络行为特征关联分析的主机安全评估方法及系统，包括：对已知的网络特征进行分析，确定每个网络特征的属性；监控待评估主机单位时间内的网络通讯行为，若单位时间内的网络通讯行为与至少一个已知恶意代码的网络特征相匹配，则根据权值，对主机的安全性进行评分；将得到的评分与预设的预警分数线进行比较，若评分大于或等于预警分数线，则确认待评估主机存在安全威胁，否则待评估主机不存在安全威胁；若待评估主机存在威胁，则根据网络特征的属性，确认恶意代码所属家族及发起攻击的组织信息。通过本发明方法对特征的有效性有量化的数值，通过计算获得的结果更加准确，减少误报，有利于威胁事件的发现和归类分析。