公开(公告)号：CN105488401A

公开(公告)日：2016-04-13

申请号：CN201410770580.2

申请日：2014-12-15

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 徐小琳 ,  郑礼雄 ,  李佳 ,  严寒冰 ,  张雨晨 ,  康学斌 ,  肖新光

IPC: G06F21/56

Abstract: 本发明提出了一种基于概率差异的噪音信息清除方法及系统，包括：获取未知样本的全部行为；分别计算未知样本各行为在恶意程序和可信程序中出现的概率；通过概率差和归一处理后，得到未知样本各行为的贡献度；计算未知样本各行为的贡献度之和，判定未知样本是否为恶意。本发明通过未知样本的行为在恶意程序和可信程序中出现的概率，计算贡献度，进而进一步计算并判断其是否为恶意，能够极大的减少对样本检测的误报。

公开(公告)号：CN103905417A

公开(公告)日：2014-07-02

申请号：CN201310557501.5

申请日：2013-11-12

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 王明华 ,  刘阳 ,  李佳 ,  李高超 ,  李锐光 ,  贺敏 ,  肖新光 ,  童志明 ,  沈长伟

IPC: H04L29/06 ,  H04L12/26 ,  G06F21/56

Abstract: 本发明提供了一种网络设备文件鉴定装置及方法，所述装置包括：数据处理模块捕获网络数据流，并将所述网络数据流还原为文件；引擎检测模块对数据处理模块还原的文件进行检测，并根据检测结果及用户配置，判断是否需要进行文件鉴定，如果是，则将所述文件发送到文件鉴定模块，否则将检测结果发送到统计模块；文件鉴定模块对引擎检测模块发送的文件进行文件鉴定，并将鉴定结果发送到统计模块；统计模块，汇总检测结果，并反馈给用户。通过本发明的方法，能够使网络设备具备文件鉴定的能力，解决了由于网络设备无法上传文件导致无法对文件进行鉴定的问题。

公开(公告)号：CN103905417B

公开(公告)日：2018-02-16

申请号：CN201310557501.5

申请日：2013-11-12

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 王明华 ,  刘阳 ,  李佳 ,  李高超 ,  李锐光 ,  贺敏 ,  肖新光 ,  童志明 ,  沈长伟

IPC: H04L29/06 ,  H04L12/26 ,  G06F21/56

Abstract: 本发明提供了一种网络设备文件鉴定装置及方法，所述装置包括：数据处理模块捕获网络数据流，并将所述网络数据流还原为文件；引擎检测模块对数据处理模块还原的文件进行检测，并根据检测结果及用户配置，判断是否需要进行文件鉴定，如果是，则将所述文件发送到文件鉴定模块，否则将检测结果发送到统计模块；文件鉴定模块对引擎检测模块发送的文件进行文件鉴定，并将鉴定结果发送到统计模块；统计模块，汇总检测结果，并反馈给用户。通过本发明的方法，能够使网络设备具备文件鉴定的能力，解决了由于网络设备无法上传文件导致无法对文件进行鉴定的问题。

公开(公告)号：CN110798439B

公开(公告)日：2022-04-19

申请号：CN201811025294.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京安天网络安全技术有限公司

Inventor： 严寒冰 ,  黄云宇 ,  丁丽 ,  李佳 ,  刘广柱 ,  康学斌 ,  郭晶 ,  贾子骁 ,  王小丰 ,  肖新光 ,  高胜 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  张世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L9/40

Abstract: 本发明提出了一种主动探测物联网僵尸网络木马的方法、设备及存储介质，所述方法通过已知物联网僵尸网络木马的控制节点信息；提取相应脚本文件名，作为脚本名称字典集；对高频IP网段主动进行全端口扫描探测，获取并筛选出重要端口的指纹信息；根据脚本名称字典集，对存在重要指纹信息的目标端口进行自动化感染脚本盲猜；针对盲猜获得的自动化感染脚本，提取自动化感染脚本中存放的木马下载链接；根据木马下载链接下载所述木马，并进行检测识别，将所述木马分类，为后续木马监控提供信息。本发明还同时提出了相应的设备、装置及存储介质。通过本发明方法，能够实现主动获取物联网僵尸网络木马，为后续的监测及获取威胁情报提供有效信息。

公开(公告)号：CN110798439A

公开(公告)日：2020-02-14

申请号：CN201811025294.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心 ,  北京安天网络安全技术有限公司

Inventor： 严寒冰 ,  黄云宇 ,  丁丽 ,  李佳 ,  刘广柱 ,  康学斌 ,  郭晶 ,  贾子骁 ,  王小丰 ,  肖新光 ,  高胜 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  张世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L29/06

Abstract: 本发明提出了一种主动探测物联网僵尸网络木马的方法、设备及存储介质，所述方法通过已知物联网僵尸网络木马的控制节点信息；提取相应脚本文件名，作为脚本名称字典集；对高频IP网段主动进行全端口扫描探测，获取并筛选出重要端口的指纹信息；根据脚本名称字典集，对存在重要指纹信息的目标端口进行自动化感染脚本盲猜；针对盲猜获得的自动化感染脚本，提取自动化感染脚本中存放的木马下载链接；根据木马下载链接下载所述木马，并进行检测识别，将所述木马分类，为后续木马监控提供信息。本发明还同时提出了相应的设备、装置及存储介质。通过本发明方法，能够实现主动获取物联网僵尸网络木马，为后续的监测及获取威胁情报提供有效信息。

公开(公告)号：CN105490830B

公开(公告)日：2019-07-02

申请号：CN201510238713.6

申请日：2015-05-12

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 阙天瑶 ,  王亮 ,  孙晋超 ,  肖新光

IPC: H04L12/24

Abstract: 一种网络拓扑图中查找环状结构的方法，方法包括：获取节点信息,选取任一目标父节点，绘制树状图,然后根据所述的树状图的结构关系，找出异常节点簇，形成异常节点对，查找共同的父节点，该异常节点对与父节点所形成的闭合环，则为所找的环状结构。本发明还相应给出了一种网络拓扑图中查找环状结构的系统，通过本发明的方法，不仅能较好的体现原始网络拓扑的环状结构信息，还解决了带环的复杂网络图的布局问题，减少了无数节点或连线的交叉和重叠的问题。此外，所述方法时间复杂度和空间复杂度都较低。

公开(公告)号：CN106557692B

公开(公告)日：2019-05-07

申请号：CN201510999207.9

申请日：2015-12-28

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 孙洪伟 ,  徐翰隆 ,  肖新光

IPC: G06F21/55

Abstract: 本发明提出Linux内核操作系统ELF文件特征计算方法及系统，首先获取ELF文件，并判断ELF文件所属的系统平台，然后获取各ELF文件的session段信息，按规定对不同系统平台下不同ELF文件的session段信息进行过滤，提取过滤后各ELF文件session段信息包含的内容信息，最后对所述内容信息计算MD5值，得到各ELF文件的特征，所述特征不会再随着系统环境的变化而变化，为各ELF文件的唯一标识特征。本发明弥补了目前基于Linux内核的操作系统每次安装操作系统后，其磁盘中所有ELF格式文件的MD5值都会发生变化这一技术不足，能够精确计算出基于Linux内核操作系统的各ELF文件对应的唯一标识特征。

公开(公告)号：CN108830779A

公开(公告)日：2018-11-16

申请号：CN201711117203.9

申请日：2017-11-13

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 李小龙 ,  谷雨 ,  王小丰 ,  肖新光

IPC: G06T3/00 ,  G06T15/00

Abstract: 本发明公开一种三维模型数据的处理方法、装置、电子设备及存储介质，涉及计算机技术领域，有利于提高三维模型的渲染速度。所述处理方法包括：提取多个三维模型的轮廓关键点的三维坐标值；将所述轮廓关键点的三维坐标值，在同一维度方向上进行降维处理，分别得到对应的二维坐标值；其中，每个所述三维模型降维处理后得到的二维坐标值所确定的点的连线围成封闭的二维几何图形；在确定一个三维模型降维处理后得到的二维几何图形中包含有封闭的几何图形的情况下，将包含的封闭几何图形的关键点所对应的二维坐标值从三维模型降维处理后得到的二维几何图形的二维坐标值中删除。本发明可用于三维图像展示中。

公开(公告)号：CN105376210B

公开(公告)日：2018-09-07

申请号：CN201410738520.2

申请日：2014-12-08

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 肖新光 ,  王维

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明提供了一种账户威胁识别和防御方法及系统，所述方法具体为根据收到的数据包，判断其是否为登陆请求，如果是登陆请求，则标记所述网络连接并放行数据包，如果是服务器反馈的信息，则判断其是否为登陆正确的信息，如果登陆正确，则放行所述数据包，否则判断其是否满足恶意判定的条件，如果满足，则单项断开数据库与客户端的连接，并代理建立客户端与蜜罐服务器之间的连接。通过本发明的方法，能够及时发现恶意登陆服务器的行为，并将其代理定向到蜜罐服务器，在不打断当前连接的情况下，使攻击者在蜜罐中进行操作，保护当前服务器的同时，能够记录攻击者的行为。

公开(公告)号：CN105488393B

公开(公告)日：2018-07-03

申请号：CN201410824964.8

申请日：2014-12-27

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 徐宝旺 ,  王维 ,  肖新光

IPC: G06F21/55

Abstract: 本发明提供了一种基于数据库蜜罐的攻击行为意图分类方法及系统，本发明方法通过对已知的攻击行为进行标记并分层，枚举全部可能的入侵攻击行为标记链接，建立入侵攻击行为意图库，并检测入侵攻击行为，对入侵攻击行为进行同样的标记，将入侵攻击行为的标记与入侵攻击行为意图库进行对比，如果匹配，则为对应的行为类别，否则为未知分类。通过本发明的方法，在检测入侵攻击的同时，能够确定入侵攻击的意图，对网络环境安全状况进行评估，反映网络安全态势的真正情况。