公开(公告)号：CN107835149B

公开(公告)日：2020-06-05

申请号：CN201710824621.5

申请日：2017-09-13

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 程华才 ,  范渊 ,  李凯

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明提供了一种基于DNS流量分析的网络窃密行为检测方法以及装置，检测设备实时获取网络流量数据；所述检测设备对所述网络流量数据进行解析，在判断解析成功时，得到待分析数据；所述检测设备基于预先保存的数据指标，判断所述待分析数据是否满足预设条件，在为是时，保存所述待分析数据，生成警告信息，以便所述检测设备对所述待分析数据以及所述警告信息进行风险分析。该方法可以克服现有防火墙技术的不足，识别可能存在传输敏感数据的行为。

公开(公告)号：CN107645503B

公开(公告)日：2020-01-24

申请号：CN201710855704.0

申请日：2017-09-20

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 程华才 ,  范渊 ,  李凯

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明涉及网络安全APT检测领域，旨在提供一种基于规则的恶意域名所属DGA家族的检测方法。该种基于规则的恶意域名所属DGA家族的检测方法，用于对恶意域名进行分析与检测，识别网络中被攻击的计算机设备所感染病毒的DGA家族。本发明通过对僵尸程序短时间里大量请求的异常域名的特征计算，将计算结果与已知的DGA算法生成的域名特征规则进行匹配，快速地识别当前网络里的某一计算机设备感染的僵尸程序相关的DGA家族类型，有利于后续的网络攻击的追踪溯源和僵尸程序的清除工作、补救措施的开展。