-
公开(公告)号:CN109120733B
公开(公告)日:2021-06-01
申请号:CN201810800900.2
申请日:2018-07-20
Applicant: 杭州安恒信息技术股份有限公司
Abstract: 本发明涉及网络通信检测技术,旨在提供一种利用DNS进行通信的检测方法。该方法包括以下步骤:基于训练得到识别随机字符串的算法;采集DNS流量并解析;根据域名长度进行过滤;分割域名;判断域名是否长且随机;识别是否使用DNS传送数据;产生告警信息;根据告警信息中的源IP,定位具体的联网设备;然后定位访问这些域名的具体进程,停止进程并清除恶意软件。本发明的检测方法可以有效针对利用DNS进行通信的行为进行告警。并且,维护人员可以通过告警的IP定位具体的设备,并清除使用DNS进行通信的恶意软件。
-
公开(公告)号:CN107729748B
公开(公告)日:2019-11-08
申请号:CN201710855521.9
申请日:2017-09-20
Applicant: 杭州安恒信息技术股份有限公司
Abstract: 本发明涉及恶意代码检测领域,旨在提供一种描述文件在沙箱中运行轨迹图的方法。该种描述文件在沙箱中运行轨迹图的方法包括步骤:将文件置于沙箱中进行检测,将HOOK到的行为、检测到的异常行为抓取下来,并保存运行过程中释放的文件;分析HOOK到的行为,确认是否有风险;静态扫描释放的文件,区分是否安全;将检测到的风险和提取出的行为进行关联,将上述行为按照所在进程进行分类,并将同一进程产生的行为进行排序,依次描述该进程的行为及其相关进程,形成运行轨迹图。本发明能够清晰直观的看到文件在沙箱中运行的轨迹,可以快速理清进程之间的关系,每个进程的具体行为以及产生恶意行为的具体进程。
-
公开(公告)号:CN109120733A
公开(公告)日:2019-01-01
申请号:CN201810800900.2
申请日:2018-07-20
Applicant: 杭州安恒信息技术股份有限公司
Abstract: 本发明涉及网络通信检测技术,旨在提供一种利用DNS进行通信的检测方法。该方法包括以下步骤:基于训练得到识别随机字符串的算法;采集DNS流量并解析;根据域名长度进行过滤;分割域名;判断域名是否长且随机;识别是否使用DNS传送数据;产生告警信息;根据告警信息中的源IP,定位具体的联网设备;然后定位访问这些域名的具体进程,停止进程并清除恶意软件。本发明的检测方法可以有效针对利用DNS进行通信的行为进行告警。并且,维护人员可以通过告警的IP定位具体的设备,并清除使用DNS进行通信的恶意软件。
-
公开(公告)号:CN111600865B
公开(公告)日:2022-06-07
申请号:CN202010392083.9
申请日:2020-05-11
Applicant: 杭州安恒信息技术股份有限公司
IPC: H04L9/40 , H04L61/4511 , H04L43/028
Abstract: 本申请公开了一种异常通信检测方法、装置及一种电子设备和存储介质,该方法包括:对流经DNS端口的流量进行采集;获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协议规范;分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常种类和异常次数;若所述异常种类超过第一阈值,且所述异常次数占总次数的比例超过第二预设阈值,则判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息。由上可知,本申请能够检测出使用DNS端口但不使用DNS协议进行通信的情况,识别出使用DNS端口进行异常通信的行为,使得DNS端口的通信异常检测更加全面,提高通信安全性。
-
公开(公告)号:CN107395650B
公开(公告)日:2020-06-09
申请号:CN201710802842.2
申请日:2017-09-07
Applicant: 杭州安恒信息技术股份有限公司
Abstract: 本发明实施例提供的基于沙箱检测文件识别木马回连方法及装置,属于网络安全检测领域。该方法通过捕获流经网卡的IP协议流量数据包,从而解析所述流量数据包,并分离所述流量数据包所携带的文件,再基于沙箱检测所述文件,捕获网络行为,再通过判断所述网络行为是否是恶意行为来识别所述网络行为所对应的域名和互联网协议地址是否为回连域名,进而通过回连域名准确识别回连行为,并能获取被木马感染的设备IP;同时能识别一些可疑的回连域名供安全人员进一步分析,进一步更快更高效的识别回连域名。
-
Patent Agency Ranking
公开(公告)号:CN110324210B
公开(公告)日:2020-12-25
申请号:CN201910720720.8
申请日:2019-08-06
Applicant: 杭州安恒信息技术股份有限公司
IPC: H04L12/26
Abstract: 本发明提供的一种基于ICMP协议进行隐蔽信道通信的检测方法及装置,涉及通信领域,该方法通过对获取的ICMP流量报文进行解析得到传输标识和传输内容;判断传输内容是否为杂乱;如果传输内容为杂乱,判断目标传输标识对应的请求内容和响应内容是否相同;如果目标传输标识对应的请求内容和响应内容不相同,基于目标传输标识确定隐蔽信道通信行为。该方法基于流量分析来识别是否存在基于ICMP协议的隐蔽信道通信行为,降低了对检测设备的性能要求,提高了检测效率,同时不会影响网络排查工具的使用,有利于网络的正常运行。
-
公开(公告)号:CN111600865A
公开(公告)日:2020-08-28
申请号:CN202010392083.9
申请日:2020-05-11
Applicant: 杭州安恒信息技术股份有限公司
Abstract: 本申请公开了一种异常通信检测方法、装置及一种电子设备和存储介质,该方法包括:对流经DNS端口的流量进行采集;获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协议规范;分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常种类和异常次数;若所述异常种类超过第一阈值,且所述异常次数占总次数的比例超过第二预设阈值,则判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息。由上可知,本申请能够检测出使用DNS端口但不使用DNS协议进行通信的情况,识别出使用DNS端口进行异常通信的行为,使得DNS端口的通信异常检测更加全面,提高通信安全性。
-
公开(公告)号:CN110324210A
公开(公告)日:2019-10-11
申请号:CN201910720720.8
申请日:2019-08-06
Applicant: 杭州安恒信息技术股份有限公司
IPC: H04L12/26
Abstract: 本发明提供的一种基于ICMP协议进行隐蔽信道通信的检测方法及装置,涉及通信领域,该方法通过对获取的ICMP流量报文进行解析得到传输标识和传输内容;判断传输内容是否为杂乱;如果传输内容为杂乱,判断目标传输标识对应的请求内容和响应内容是否相同;如果目标传输标识对应的请求内容和响应内容不相同,基于目标传输标识确定隐蔽信道通信行为。该方法基于流量分析来识别是否存在基于ICMP协议的隐蔽信道通信行为,降低了对检测设备的性能要求,提高了检测效率,同时不会影响网络排查工具的使用,有利于网络的正常运行。
-
公开(公告)号:CN110266739A
公开(公告)日:2019-09-20
申请号:CN201910720897.8
申请日:2019-08-06
Applicant: 杭州安恒信息技术股份有限公司
Abstract: 本申请提供了一种结合威胁情报的Fast-Flux僵尸网络的检测方法,通过获取DNS流量包,并对DNS流量包进行解析得到待解析域名;然后对待解析域名进行过滤生成过滤结果;并基于过滤结果确定待解析域名是否为疑似Fast-Flux域名;如果待解析域名为疑似Fast-Flux域名,基于待解析域名在威胁情报库中进行查询,生成查询结果;最后基于查询结果确定待解析域名是否为Fast-Flux僵尸网络。该方法采用威胁情报库检测Fast-Flux域名,以此来减少CDN域名产生的误报,有利于提高检测准确度。
-
公开(公告)号:CN108737385A
公开(公告)日:2018-11-02
申请号:CN201810375367.X
申请日:2018-04-24
Applicant: 杭州安恒信息技术股份有限公司
Abstract: 本发明涉及网络安全,旨在提供一种基于DNS映射IP的恶意域名匹配方法。该种基于DNS映射IP的恶意域名匹配方法包括步骤:搜集C&C域名、流量采集模块采集流量、DNS解析模块解析DNS流量、恶意域名识别模块识别DNS中的恶意域名、恶意IP识别模块识别恶意IP、数据包保存模块保存数据包、协议解析模块解析识别协议。本发明可以有效地对访问恶意域名的行为进行告警,包括匹配非web的恶意域名访问行为,同时对非常用协议或加密流量进行数据包保存供后续分析研究。
-
-
-
-
-
-
-
-
-
Search Results
10
records
(took 0.029 seconds)
