-
公开(公告)号:CN107979589A
公开(公告)日:2018-05-01
申请号:CN201711026220.1
申请日:2017-10-27
申请人: 杭州安恒信息技术有限公司
摘要: 本发明涉及网络安全领域,具体而言,涉及一种攻击路线展示方法、装置及设备。所述方法通过在预设的第一数据集中随机获取一个核心攻击源IP或核心攻击目标IP作为第一IP,在第一数据集中获取与第一IP对应的所述核心攻击路径和核心攻击手段,以该核心攻击路径构建核心攻击路线,根据所述核心攻击路线在预设的第二数据集中获取基础攻击路径和基础攻击手段,以基础攻击路径与核心攻击路线构建得到扩展攻击路线,显示所述核心攻击路线和\或所述扩展攻击路线,以及核心攻击路线和\或获取扩展攻击路线中对应的设定数量的核心攻击手段和\或基础攻击手段。该方法能够得到清晰的攻击路线。
-
公开(公告)号:CN107835149A
公开(公告)日:2018-03-23
申请号:CN201710824621.5
申请日:2017-09-13
申请人: 杭州安恒信息技术有限公司
摘要: 本发明提供了一种基于DNS流量分析的网络窃密行为检测方法以及装置,检测设备实时获取网络流量数据;所述检测设备对所述网络流量数据进行解析,在判断解析成功时,得到待分析数据;所述检测设备基于预先保存的数据指标,判断所述待分析数据是否满足预设条件,在为是时,保存所述待分析数据,生成警告信息,以便所述检测设备对所述待分析数据以及所述警告信息进行风险分析。该方法可以客服现有防火墙技术的不足,识别可能存在传输敏感数据的行为。
-
公开(公告)号:CN101631122A
公开(公告)日:2010-01-20
申请号:CN200910101388.3
申请日:2009-08-03
申请人: 杭州安恒信息技术有限公司
摘要: 本发明涉及一种丢包环境下提升TDS协议解析正确率的方法,本发明所述方法包括:TDS协议解析模块收到已完成TCP报文重组的应用数据后,通过提取应用数据中的TDS报文头并分析其合法性,来识别丢包情况的发生;当丢包情况发生并被识别后,对后续发生的应用数据,利用TDS半双工通讯的特点,来判断是否从属于之前的业务数据单元TDU,从而保证当一个TDU中有应用数据丢失而导致无法按TDS协议正确组装的情况下,仍然能够准确地把从属于该TDU的应用数据接收完全,再进行具体的协议解析,从而提升TDS协议解析的正确率。
-
公开(公告)号:CN107729748A
公开(公告)日:2018-02-23
申请号:CN201710855521.9
申请日:2017-09-20
申请人: 杭州安恒信息技术有限公司
摘要: 本发明涉及恶意代码检测领域,旨在提供一种描述文件在沙箱中运行轨迹图的方法。该种描述文件在沙箱中运行轨迹图的方法包括步骤:将文件置于沙箱中进行检测,将HOOK到的行为、检测到的异常行为抓取下来,并保存运行过程中释放的文件;分析HOOK到的行为,确认是否有风险;静态扫描释放的文件,区分是否安全;将检测到的风险和提取出的行为进行关联,将上述行为按照所在进程进行分类,并将同一进程产生的行为进行排序,依次描述该进程的行为及其相关进程,形成运行轨迹图。本发明能够清晰直观的看到文件在沙箱中运行的轨迹,可以快速理清进程之间的关系,每个进程的具体行为以及产生恶意行为的具体进程。
-
公开(公告)号:CN107395650A
公开(公告)日:2017-11-24
申请号:CN201710802842.2
申请日:2017-09-07
申请人: 杭州安恒信息技术有限公司
摘要: 本发明实施例提供的基于沙箱检测文件识别木马回连方法及装置,属于网络安全检测领域。该方法通过捕获流经网卡的IP协议流量数据包,从而解析所述流量数据包,并分离所述流量数据包所携带的文件,再基于沙箱检测所述文件,捕获网络行为,再通过判断所述网络行为是否是恶意行为来识别所述网络行为所对应的域名和互联网协议地址是否为回连域名,进而通过回连域名准确识别回连行为,并能获取被木马感染的设备IP;同时能识别一些可疑的回连域名供安全人员进一步分析,进一步更快更高效的识别回连域名。
-
公开(公告)号:CN107370755A
公开(公告)日:2017-11-21
申请号:CN201710731477.0
申请日:2017-08-23
申请人: 杭州安恒信息技术有限公司
IPC分类号: H04L29/06
摘要: 本发明涉及APT攻击检测领域,旨在提供一种多维度深层次检测APT攻击的方法。该种多维度深层次检测APT攻击的方法包括步骤:对常见的网络应用层协议数据包做流量采集、解析还原;对获得的网络应用行为进行分析检测,记录攻击行为并进行告警;进一步优化各攻击点的检测策略和机制;关联生成APT攻击链路。本发明对APT攻击生命周期的各个阶段中可能的攻击点,从多个维度进行深层次的分析检测,并且某一攻击阶段中发现的攻击线索用来进一步作为其他攻击阶段的检测依据,各攻击阶段的检测结论用来进一步关联,形成确定性更高的攻击证据。
-
公开(公告)号:CN104200161A
公开(公告)日:2014-12-10
申请号:CN201410381591.1
申请日:2014-08-05
申请人: 杭州安恒信息技术有限公司
CPC分类号: G06F21/566 , G06F21/53
摘要: 本发明涉及恶意代码检测领域,旨在提供一种实现沙箱智能检测文件的方法及其沙箱智能检测系统。该种实现沙箱智能检测文件的方法,通过在沙箱进行文件行为检测时,将被检测文件提交到沙箱运行后,检测模块调用被检测文件,并通过API HOOK模块监控程序的运行行为,同时通过检测模块的智能模拟模块来充分还原被检测文件在真实环境下的运行情况。本发明通过专有程序实现了模拟人工操作,解决了当前动态行为分析过程中无法完整还原程序运行轨迹而导致恶意行为漏报的问题;通过API HOOK劫持技术解决了文件检测过程中被检测文件反虚拟化的问题。
-
公开(公告)号:CN101631122B
公开(公告)日:2012-01-11
申请号:CN200910101388.3
申请日:2009-08-03
申请人: 杭州安恒信息技术有限公司
摘要: 本发明涉及一种丢包环境下提升TDS协议解析正确率的方法,本发明所述方法包括:TDS协议解析模块收到已完成TCP报文重组的应用数据后,通过提取应用数据中的TDS报文头并分析其合法性,来识别丢包情况的发生;当丢包情况发生并被识别后,对后续发生的应用数据,利用TDS半双工通讯的特点,来判断是否从属于之前的业务数据单元TDU,从而保证当一个TDU中有应用数据丢失而导致无法按TDS协议正确组装的情况下,仍然能够准确地把从属于该TDU的应用数据接收完全,再进行具体的协议解析,从而提升TDS协议解析的正确率。
-
公开(公告)号:CN107612911A
公开(公告)日:2018-01-19
申请号:CN201710850732.3
申请日:2017-09-20
申请人: 杭州安恒信息技术有限公司
摘要: 本发明涉及一种基于DNS流量检测受感染主机和C&C服务器的方法,构建训练集并训练识别随机域名的算法,采集经过任一网卡的DNS流量并解析得到DNS信息;利用识别随机域名的算法判断DNS信息中的域名是否为随机域名,是则判断域名是否解析成功的信息,解析失败则识别受感染主机,对受感染的主机进行信息保存,识别C&C服务器,对C&C服务器,进行信息保存,告警并保存告警信息、展现。本发明通过DNS流量信息有效识别被使用DGA算法进行回连的病毒、木马感染的主机以及其背后的C&C服务器,精确度高,相比通过其他流量的检测手段,DNS流量要小很多,因而本发明的成本更低且效率更高。
-
公开(公告)号:CN107609396A
公开(公告)日:2018-01-19
申请号:CN201710867250.9
申请日:2017-09-22
申请人: 杭州安恒信息技术有限公司
摘要: 本发明涉及一种基于沙箱虚拟机的逃逸检测方法,将待检测文件置入沙箱虚拟机中,以挂起的方式运行或者打开待检测文件,产生进程,将监控程序注入进程中,正常运行进程,监控程序记录进程的行为操作,进程运行结束或达到预设时间时停止进程,分析记录的行为操作,对于存在行为操作属于恶意文件自发判断当前是否在沙箱虚拟机中的待检测文件,判断是否存在沙箱虚拟机逃逸行为,对于存在沙箱虚拟机逃逸行为的恶意文件进行告警。本发明判断可疑软件是否存在沙箱虚拟机逃逸行为,可疑文件执行判断行为但未执行恶意行为,仍可通过其执行的判断行为来判断其是否存在沙箱虚拟机逃逸行为,为判断其是否是危险文件提供参考,能更准确全面的判断恶意文件。
-
-
-
-
-
-
-
-
-
搜索结果
25 条记录 (耗时 0.041 秒)
