公开(公告)号：CN105488401A

公开(公告)日：2016-04-13

申请号：CN201410770580.2

申请日：2014-12-15

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 徐小琳 ,  郑礼雄 ,  李佳 ,  严寒冰 ,  张雨晨 ,  康学斌 ,  肖新光

IPC: G06F21/56

Abstract: 本发明提出了一种基于概率差异的噪音信息清除方法及系统，包括：获取未知样本的全部行为；分别计算未知样本各行为在恶意程序和可信程序中出现的概率；通过概率差和归一处理后，得到未知样本各行为的贡献度；计算未知样本各行为的贡献度之和，判定未知样本是否为恶意。本发明通过未知样本的行为在恶意程序和可信程序中出现的概率，计算贡献度，进而进一步计算并判断其是否为恶意，能够极大的减少对样本检测的误报。

公开(公告)号：CN103902903A

公开(公告)日：2014-07-02

申请号：CN201310557502.X

申请日：2013-11-12

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 云晓春 ,  徐小琳 ,  郑礼雄 ,  高胜 ,  王琦 ,  陈阳 ,  何能强 ,  康学斌 ,  贺磊钢 ,  张栗伟

IPC: G06F21/56 ,  G06F21/53

CPC classification number: G06F21/561 ,  G06F21/53

Abstract: 本发明提供了一种基于动态沙箱环境的恶意代码分析方法及系统，包括：将恶意代码投放到带有监控的虚拟机中；运行并监控所述恶意代码，获得与系统核心资源相关的进程调用和字符串信息；判断系统核心资源规则库中是否包含所述进程调用和字符串信息，如果是，则模拟对应系统核心资源，否则丢弃所述进程调用和字符串信息；判断恶意代码是否执行完毕，如果是，则捕获动态模拟后的恶意代码信息记录，否则继续监控所述恶意代码。通过本发明的方法，能够根据恶意代码运行需要，动态模拟满足恶意代码分析需求，并减少资源耗费，达到高性价比获取恶意代码行为信息。

公开(公告)号：CN110798439A

公开(公告)日：2020-02-14

申请号：CN201811025294.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京安天网络安全技术有限公司

Inventor： 严寒冰 ,  黄云宇 ,  丁丽 ,  李佳 ,  刘广柱 ,  康学斌 ,  郭晶 ,  贾子骁 ,  王小丰 ,  肖新光 ,  高胜 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  张世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L29/06

Abstract: 本发明提出了一种主动探测物联网僵尸网络木马的方法、设备及存储介质，所述方法通过已知物联网僵尸网络木马的控制节点信息；提取相应脚本文件名，作为脚本名称字典集；对高频IP网段主动进行全端口扫描探测，获取并筛选出重要端口的指纹信息；根据脚本名称字典集，对存在重要指纹信息的目标端口进行自动化感染脚本盲猜；针对盲猜获得的自动化感染脚本，提取自动化感染脚本中存放的木马下载链接；根据木马下载链接下载所述木马，并进行检测识别，将所述木马分类，为后续木马监控提供信息。本发明还同时提出了相应的设备、装置及存储介质。通过本发明方法，能够实现主动获取物联网僵尸网络木马，为后续的监测及获取威胁情报提供有效信息。

公开(公告)号：CN110798439B

公开(公告)日：2022-04-19

申请号：CN201811025294.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京安天网络安全技术有限公司

Inventor： 严寒冰 ,  黄云宇 ,  丁丽 ,  李佳 ,  刘广柱 ,  康学斌 ,  郭晶 ,  贾子骁 ,  王小丰 ,  肖新光 ,  高胜 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  张世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L9/40

Abstract: 本发明提出了一种主动探测物联网僵尸网络木马的方法、设备及存储介质，所述方法通过已知物联网僵尸网络木马的控制节点信息；提取相应脚本文件名，作为脚本名称字典集；对高频IP网段主动进行全端口扫描探测，获取并筛选出重要端口的指纹信息；根据脚本名称字典集，对存在重要指纹信息的目标端口进行自动化感染脚本盲猜；针对盲猜获得的自动化感染脚本，提取自动化感染脚本中存放的木马下载链接；根据木马下载链接下载所述木马，并进行检测识别，将所述木马分类，为后续木马监控提供信息。本发明还同时提出了相应的设备、装置及存储介质。通过本发明方法，能够实现主动获取物联网僵尸网络木马，为后续的监测及获取威胁情报提供有效信息。

公开(公告)号：CN104901850B

公开(公告)日：2018-08-31

申请号：CN201510322046.X

申请日：2015-06-12

Applicant: 国家计算机网络与信息安全管理中心广东分中心

Inventor： 梁斌 ,  王宜阳 ,  宋苑 ,  胡赢 ,  刘家豪 ,  李晓东 ,  李佳 ,  徐晓燕 ,  康学斌 ,  董建武

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明公开了一种恶意代码终端感染机器网络定位方法。包括骨干网定位步骤、信息中心节点出口定位步骤和感染总段机器定位步骤。很好的克服了常见恶意代码感染数据从互联网侧到最终感染终端在网络定位方面遇到的困难，其在不依赖安全检测设备的情况下，非常方便的实现了不同网络层面下的恶意代码终端感染机器的网络定位。

公开(公告)号：CN104901850A

公开(公告)日：2015-09-09

申请号：CN201510322046.X

申请日：2015-06-12

Applicant: 国家计算机网络与信息安全管理中心广东分中心

Inventor： 梁斌 ,  王宜阳 ,  宋苑 ,  胡赢 ,  刘家豪 ,  李晓东 ,  李佳 ,  徐晓燕 ,  康学斌 ,  董建武

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明公开了一种恶意代码终端感染机器网络定位方法。包括骨干网定位步骤、信息中心节点出口定位步骤和感染总段机器定位步骤。很好的克服了常见恶意代码感染数据从互联网侧到最终感染终端在网络定位方面遇到的困难，其在不依赖安全检测设备的情况下，非常方便的实现了不同网络层面下的恶意代码终端感染机器的网络定位。

公开(公告)号：CN211830800U

公开(公告)日：2020-10-30

申请号：CN202020487490.3

申请日：2020-04-07

Applicant: 江西省计算技术研究所 ,  国家计算机网络与信息安全管理中心江西分中心 ,  深圳市安之天信息技术有限公司

Inventor： 付康 ,  汤辉 ,  陈松 ,  贺余盛 ,  胡少文 ,  康学斌 ,  孙丹 ,  徐宁

IPC: H04L12/26 ,  H05K5/06 ,  H05K5/03 ,  H05K5/02

Abstract: 本实用新型涉及协议分析仪技术领域，且公开了一种基于全流量分析的便携流量盒子，解决了现有协议分析仪结构较大，工人很难稳定的对分析仪进行拿持和携带，同时分析仪的表面没有防护装置，不能有效的进行防尘和防水的问题，其包括分析仪本体，所述分析仪本体一端的两侧均固定安装有固定块，两个固定块的中部均活动安装有活动轴，两个固定块通过活动轴分别活动安装有第一密封卡盒和第二密封卡盒；本基于全流量分析的便携流量盒子带有有效的拿持机构，从而在使用的过程中能够稳定、便捷的进行拿持和携带，同时本基于全流量分析的便携流量盒子带有防护措施，能够有效的起到防尘和防水的作用。

公开(公告)号：CN211831454U

公开(公告)日：2020-10-30

申请号：CN202020488088.7

申请日：2020-04-07

Applicant: 江西省计算技术研究所 ,  国家计算机网络与信息安全管理中心江西分中心 ,  深圳市安之天信息技术有限公司

Inventor： 贺余盛 ,  陈松 ,  汤辉 ,  付康 ,  孙丹 ,  康学斌 ,  胡少文 ,  孟莎莎

IPC: H05K5/02 ,  H05K7/20

Abstract: 本实用新型涉及网络安全设备技术领域，且公开了一种用于动态威胁鉴定设备，解决了现如今网络安全设备本身不能有效的进行散热，而导致温度过高影响设备的有效运行，同时网络安全设备没有防护措施，当发生碰撞等破坏情况时造成设备损坏的问题，其包括底座，所述底座底部的四角处均安装有万向轮，底座顶部的中部固定安装有设备外壳，设备外壳内腔的底部安装有设备元件，设备外壳一侧的底部等距离安装有进气机构；本鉴定设备能够有效的对内部元件进行散热降温，从而使网络安全设备能够稳定、有效且持续的进行运行，同时本鉴定设备带有有效的防护措施，使设备在遭受碰撞等破坏情况时能够有效的对内部元件进行保护。

公开(公告)号：CN105718795B

公开(公告)日：2019-05-07

申请号：CN201510540091.2

申请日：2015-08-28

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 康学斌 ,  董建武 ,  何公道

IPC: G06F21/55 ,  G06F21/56

Abstract: 本发明提供了一种Linux下基于特征码的恶意代码取证方法及系统，本方法主要通过已知恶意文件及非恶意文件，提取精确的特征码，将linux系统下的文件的特征进行白名单检测后，将未知文件与WM特征规则库进行多模匹配，检测出更详细精确的结果，并给出检测取证报告。本发明同样利用了linux中注册表和启动项等信息是以文件形式保存的特点，提取启动项信息、内存信息、进程信息等，能够对其进行检测，来检出系统中存在的恶意文件。

公开(公告)号：CN106570401A

公开(公告)日：2017-04-19

申请号：CN201611229093.0

申请日：2016-12-27

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 康学斌 ,  徐艺航 ,  肖新光

IPC: G06F21/56

CPC classification number: G06F21/562

Abstract: 本发明公开了一种基于时间变化的恶意代码检测方法及系统，包括：获取用户唯一性的标识id，以及当前时间t；基于时间t、id变量的向量函数进行计算，产生向量集合；依据所述向量集合来识别恶意代码。解决现有技术中大部分安全防护产品都是通过识别恶意代码标识向量来对恶意代码进行识别，且每次对同一恶意代码的检测向量相同，这样很难抵抗黑客的持续试探、绕过的问题。