公开(公告)号：CN110798439B

公开(公告)日：2022-04-19

申请号：CN201811025294.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京安天网络安全技术有限公司

Inventor： 严寒冰 ,  黄云宇 ,  丁丽 ,  李佳 ,  刘广柱 ,  康学斌 ,  郭晶 ,  贾子骁 ,  王小丰 ,  肖新光 ,  高胜 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  张世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L9/40

Abstract: 本发明提出了一种主动探测物联网僵尸网络木马的方法、设备及存储介质，所述方法通过已知物联网僵尸网络木马的控制节点信息；提取相应脚本文件名，作为脚本名称字典集；对高频IP网段主动进行全端口扫描探测，获取并筛选出重要端口的指纹信息；根据脚本名称字典集，对存在重要指纹信息的目标端口进行自动化感染脚本盲猜；针对盲猜获得的自动化感染脚本，提取自动化感染脚本中存放的木马下载链接；根据木马下载链接下载所述木马，并进行检测识别，将所述木马分类，为后续木马监控提供信息。本发明还同时提出了相应的设备、装置及存储介质。通过本发明方法，能够实现主动获取物联网僵尸网络木马，为后续的监测及获取威胁情报提供有效信息。

公开(公告)号：CN110798439A

公开(公告)日：2020-02-14

申请号：CN201811025294.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京安天网络安全技术有限公司

Inventor： 严寒冰 ,  黄云宇 ,  丁丽 ,  李佳 ,  刘广柱 ,  康学斌 ,  郭晶 ,  贾子骁 ,  王小丰 ,  肖新光 ,  高胜 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  张世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L29/06

Abstract: 本发明提出了一种主动探测物联网僵尸网络木马的方法、设备及存储介质，所述方法通过已知物联网僵尸网络木马的控制节点信息；提取相应脚本文件名，作为脚本名称字典集；对高频IP网段主动进行全端口扫描探测，获取并筛选出重要端口的指纹信息；根据脚本名称字典集，对存在重要指纹信息的目标端口进行自动化感染脚本盲猜；针对盲猜获得的自动化感染脚本，提取自动化感染脚本中存放的木马下载链接；根据木马下载链接下载所述木马，并进行检测识别，将所述木马分类，为后续木马监控提供信息。本发明还同时提出了相应的设备、装置及存储介质。通过本发明方法，能够实现主动获取物联网僵尸网络木马，为后续的监测及获取威胁情报提供有效信息。

公开(公告)号：CN105488401A

公开(公告)日：2016-04-13

申请号：CN201410770580.2

申请日：2014-12-15

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 徐小琳 ,  郑礼雄 ,  李佳 ,  严寒冰 ,  张雨晨 ,  康学斌 ,  肖新光

IPC: G06F21/56

Abstract: 本发明提出了一种基于概率差异的噪音信息清除方法及系统，包括：获取未知样本的全部行为；分别计算未知样本各行为在恶意程序和可信程序中出现的概率；通过概率差和归一处理后，得到未知样本各行为的贡献度；计算未知样本各行为的贡献度之和，判定未知样本是否为恶意。本发明通过未知样本的行为在恶意程序和可信程序中出现的概率，计算贡献度，进而进一步计算并判断其是否为恶意，能够极大的减少对样本检测的误报。

公开(公告)号：CN103905417A

公开(公告)日：2014-07-02

申请号：CN201310557501.5

申请日：2013-11-12

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 王明华 ,  刘阳 ,  李佳 ,  李高超 ,  李锐光 ,  贺敏 ,  肖新光 ,  童志明 ,  沈长伟

IPC: H04L29/06 ,  H04L12/26 ,  G06F21/56

Abstract: 本发明提供了一种网络设备文件鉴定装置及方法，所述装置包括：数据处理模块捕获网络数据流，并将所述网络数据流还原为文件；引擎检测模块对数据处理模块还原的文件进行检测，并根据检测结果及用户配置，判断是否需要进行文件鉴定，如果是，则将所述文件发送到文件鉴定模块，否则将检测结果发送到统计模块；文件鉴定模块对引擎检测模块发送的文件进行文件鉴定，并将鉴定结果发送到统计模块；统计模块，汇总检测结果，并反馈给用户。通过本发明的方法，能够使网络设备具备文件鉴定的能力，解决了由于网络设备无法上传文件导致无法对文件进行鉴定的问题。

公开(公告)号：CN103905417B

公开(公告)日：2018-02-16

申请号：CN201310557501.5

申请日：2013-11-12

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 王明华 ,  刘阳 ,  李佳 ,  李高超 ,  李锐光 ,  贺敏 ,  肖新光 ,  童志明 ,  沈长伟

IPC: H04L29/06 ,  H04L12/26 ,  G06F21/56

Abstract: 本发明提供了一种网络设备文件鉴定装置及方法，所述装置包括：数据处理模块捕获网络数据流，并将所述网络数据流还原为文件；引擎检测模块对数据处理模块还原的文件进行检测，并根据检测结果及用户配置，判断是否需要进行文件鉴定，如果是，则将所述文件发送到文件鉴定模块，否则将检测结果发送到统计模块；文件鉴定模块对引擎检测模块发送的文件进行文件鉴定，并将鉴定结果发送到统计模块；统计模块，汇总检测结果，并反馈给用户。通过本发明的方法，能够使网络设备具备文件鉴定的能力，解决了由于网络设备无法上传文件导致无法对文件进行鉴定的问题。

公开(公告)号：CN114254318B

公开(公告)日：2025-03-07

申请号：CN202111490030.1

申请日：2021-12-08

Applicant: 北京安天网络安全技术有限公司

Inventor： 张锐 ,  盛颖 ,  肖新光

IPC: G06F21/56 ,  G06F21/55

Abstract: 本申请提供了一种勒索病毒检测方法、装置、计算机设备及存储介质，涉及网络安全技术领域，用于减少诱饵文件所占用的存储空间，减少系统资源消耗。方法主要包括：实获取预置目录的目录信息；实时检测是否存在可疑进程遍历目标根目录；若存在可疑进程遍历所述目标根目录，根据预置目录的目录信息在所述目标根目录下创建诱饵目录，在诱饵目录下创建多个文档类型的虚拟的诱饵文件；将虚拟的诱饵文件的路径重定向到预置目录下的诱饵文件上；当可疑进程对诱饵目录中的虚拟的诱饵文件进行操作时，根据可疑进程对虚拟的诱饵文件重定向到的预置目录中的诱饵文件的操作结果，确定可疑进程是否为勒索病毒。

公开(公告)号：CN119094244B

公开(公告)日：2025-02-11

申请号：CN202411569915.4

申请日：2024-11-06

Applicant: 北京安天网络安全技术有限公司

Inventor： 张雨晨 ,  康学斌 ,  肖新光

IPC: H04L9/40 ,  H04L41/14

Abstract: 本发明实施例公开的分布式恶意样本仿真分析方法、装置、电子设备及存储介质，涉及网络安全技术领域。包括：根据接收到的恶意样本的文件头信息，基于加权评分算法计算每个恶意样本与不同的虚拟机操作系统和硬件架构构成的虚拟机环境的匹配度得分；根据匹配度得分，判断与恶意样本匹配度最佳的虚拟机环境；根据判断结果，将恶意样本对应投放至匹配度最佳的虚拟机环境中；利用行为监控组件实时记录恶意样本在运行时对系统的操作行为以及利用流量监控组件实时记录恶意样本在运行时的网络流量；根据实时记录的恶意样本的操作行为和网络流量对恶意样本进行分析，能够全方位了解和收集恶意样本的信息，以提高样本分析效率。适用于威胁情报收集场景中。

公开(公告)号：CN119051728B

公开(公告)日：2025-02-07

申请号：CN202411497835.2

申请日：2024-10-25

Applicant: 北京安天网络安全技术有限公司

Inventor： 林长伟 ,  李柏松 ,  肖新光

IPC: H04B7/185 ,  H04L9/40

Abstract: 本发明提供了一种轻量级卫星安全系统及卫星安全响应方法，涉及卫星通信安全技术领域，系统包括：数据采集与边缘处理层，部署在底层物理节点上，用于采集物理节点上与卫星安全相关的关键数据；多维度耦合分析层，部署在中间层的集中设备上，用于将多个物理节点发来的关键数据进行多维度耦合分析，利用耦合结果识别卫星通信系统中的异常行为；威胁响应与协同防御层，部署在上层中心管理设备上，用于对识别出的异常行为进行威胁响应。本方案，能够在卫星通信环境资源受限的情况下，降低数据传输量，提高对卫星通信系统异常行为的识别有效性，并快速进行威胁响应，确保卫星通信系统的安全。

公开(公告)号：CN119004467B

公开(公告)日：2025-01-24

申请号：CN202411464909.2

申请日：2024-10-21

Applicant: 北京安天网络安全技术有限公司

Inventor： 高泽霖 ,  刘佳男 ,  肖新光

IPC: G06F21/56 ,  G06F3/04812 ,  G06F21/53

Abstract: 本申请提供了一种用于待检测文件的沙箱确定方法、装置、介质及设备，涉及信息安全领域，该方法包括：获取待检测文件对应的来源设备的设备特征，以得到待检测设备特征向量，获取上述待检测设备特征向量和若干预设沙箱中每一预设沙箱对应的对比特征向量之间的匹配度，得到匹配度列表；将上述匹配度列表中最大的匹配度对应的预设沙箱确定为目标沙箱。本申请使得恶意文件难以判断出自己是在沙箱环境中运行，能够正常执行恶意行为，进而通过沙箱能够判断其是否是恶意的，并记录它的恶意行为。

公开(公告)号：CN119089443A

公开(公告)日：2024-12-06

申请号：CN202411581071.5

申请日：2024-11-07

Applicant: 北京安天网络安全技术有限公司

Inventor： 高泽霖 ,  刘佳男 ,  肖新光

IPC: G06F21/56 ,  G06F21/55

Abstract: 本发明公开了一种恶意代码行为的分析检测方法和装置，属于恶意代码分析与检测领域。方法包括：基于预设的配置文件，实时Hook恶意代码对目标API的调用；其中，配置文件至少含有待Hook的目标API，目标API包括反虚拟机API、用于反分析的文件操作API和用于与恶意服务器通信的网络通信API；当恶意代码调用目标API时，中断恶意代码的执行；获取用以模拟正常运行环境的返回值或参数，以使恶意代码正常运行，并实时监控记录恶意代码的行为数据。本发明可以在不修改恶意代码原始文件的情况下，让其正常运行，从而全面捕获恶意代码的真实行为，不仅可以有效提升恶意代码分析的可靠性和完整性，而且可以减少时间和资源的消耗。