公开(公告)号：CN103049696A

公开(公告)日：2013-04-17

申请号：CN201210477628.1

申请日：2012-11-21

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 王明华 ,  徐娜 ,  周勇林 ,  朱春鸽 ,  宋渊 ,  陈景妹 ,  陈云飞

IPC: G06F21/56 ,  G06F9/455

Abstract: 本发明公开了一种虚拟机躲避识别的方法及装置。其方法包括：获取虚拟机特征参数，该虚拟机特征参数为被用来识别虚拟机的参数，修改所述虚拟机特征参数。本发明提供的技术方案，通过修改所述虚拟机特征参数，从而躲避恶意软件通过虚拟机特征参数对虚拟机的识别，提供了一种有效的虚拟机躲避识别方案，从而增加对恶意软件的监测和捕捉的有效性。

公开(公告)号：CN103051605B

公开(公告)日：2016-06-29

申请号：CN201210476237.8

申请日：2012-11-21

Applicant: 国家计算机网络与信息安全管理中心 ,  北京神州绿盟信息安全科技股份有限公司

Inventor： 徐娜 ,  周勇林 ,  王明华 ,  张腾 ,  黄明峰 ,  陈景妹 ,  朱春鸽

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明实施例提供一种数据包处理方法、装置和系统，包括：针对现有技术在检测到发往目的主机的异常数据包，阻断包含该异常数据包的数据流，导致用于进行网络攻击的异常数据包无法被完整接收，进而无法用于后续的攻击行为和特征的准确分析的问题，本发明实施例提出，如果在向目的主机发送的数据包中，确定出异常数据包，则将该异常数据包发往指定主机，在保证目的主机不会受到异常数据包攻击的同时，可以利用指定主机完整接收用于进行网络攻击的异常数据包，从而可以利用指定主机接收到的异常数据包进行后续的攻击者攻击行为和特征的准确分析，跟踪研究最新的攻击手段和方法。

公开(公告)号：CN102739647A

公开(公告)日：2012-10-17

申请号：CN201210161703.3

申请日：2012-05-23

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 徐娜 ,  周勇林 ,  陈景妹 ,  陈云飞 ,  王营康 ,  刘阳

IPC: H04L29/06 ,  H04L12/26 ,  H04L29/08

Abstract: 本发明公开了一种基于高交互蜜罐的网络安全系统及实现方法。该系统包括：蜜罐监测模块，用于对攻击事件网络行为日志和主机行为日志进行分类采集；站点关联分析模块，用于对攻击事件网络行为日志和主机行为日志进行汇总和自动关联分析，根据自动关联分析结果过滤无效网络告警、捕获已知攻击事件、自动发现未知攻击事件、以及提取隐蔽的互联网恶意资源信息；汇总分析展示模块，用于汇总并统计所有蜜网站点上捕获的已知攻击事件和/或未知攻击事件，为用户展示还原选定攻击事件的场景，并根据隐蔽的互联网恶意资源信息对隐蔽的互联网恶意资源进行自动探测。

公开(公告)号：CN103051605A

公开(公告)日：2013-04-17

申请号：CN201210476237.8

申请日：2012-11-21

Applicant: 国家计算机网络与信息安全管理中心 ,  北京神州绿盟信息安全科技股份有限公司

Inventor： 徐娜 ,  周勇林 ,  王明华 ,  张腾 ,  黄明峰 ,  陈景妹 ,  朱春鸽

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明实施例提供一种数据包处理方法、装置和系统，包括：针对现有技术在检测到发往目的主机的异常数据包，阻断包含该异常数据包的数据流，导致用于进行网络攻击的异常数据包无法被完整接收，进而无法用于后续的攻击行为和特征的准确分析的问题，本发明实施例提出，如果在向目的主机发送的数据包中，确定出异常数据包，则将该异常数据包发往指定主机，在保证目的主机不会受到异常数据包攻击的同时，可以利用指定主机完整接收用于进行网络攻击的异常数据包，从而可以利用指定主机接收到的异常数据包进行后续的攻击者攻击行为和特征的准确分析，跟踪研究最新的攻击手段和方法。