CN105119903A - 在局域网中处理恶意程序的方法及装置 - Google Patents

在局域网中处理恶意程序的方法及装置 Download PDF

Info

Publication number
CN105119903A
CN105119903A CN201510431301.4A CN201510431301A CN105119903A CN 105119903 A CN105119903 A CN 105119903A CN 201510431301 A CN201510431301 A CN 201510431301A CN 105119903 A CN105119903 A CN 105119903A
Authority
CN
China
Prior art keywords
client
behavior
behavior outcome
outcome
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510431301.4A
Other languages
English (en)
Other versions
CN105119903B (zh
Inventor
张皓秋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Hongxiang Technical Service Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Qizhi Software Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd, Qizhi Software Beijing Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201510431301.4A priority Critical patent/CN105119903B/zh
Publication of CN105119903A publication Critical patent/CN105119903A/zh
Application granted granted Critical
Publication of CN105119903B publication Critical patent/CN105119903B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种在局域网中处理恶意程序的方法及装置。该方法包括:利用所述局域网的安全防火墙实时监控所述大量客户端访问所述局域网的行为,得到海量行为结果;对所述海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为;查找到所述至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止所述客户端运行。本发明实施例通过对海量访问局域网的行为结果的筛选,能够判断出表面上运行客户端的正常代码,但会同时在运行其他代码的行为,进而对这些行为进行有效地处理,实现对局域网中恶意程序处理的目的。

Description

在局域网中处理恶意程序的方法及装置
技术领域
本发明涉及计算机技术领域,特别是一种在局域网中处理恶意程序的方法及装置。
背景技术
恶意程序是一个概括性的术语,是指任何故意创建用来执行未经授权并通常是有害或异常行为的程序。恶意程序可以包括病毒、木马、恶意脚本、恶意插件、恶意软件或流氓软件等。例如,计算机病毒、后门程序、键盘记录器、密码盗取者、引导区病毒、脚本病毒、犯罪程序和间谍程序等,都为恶意程序的例子。一旦用户的设备被恶意程序所利用,将很可能给用户带来无法估量的损失。
目前,有一种恶意程序会修改普通的客户端程序,它会将恶意代码附加在客户端程序中,并将客户端程序的入口点指向恶意程序的引导代码,在客户端程序启动时,引导代码启动一个线程去读取服务器上的配置,同时跳转到客户端程序的正常代码。在被启动的线程中,如果访问失败或者服务器上的配置说明无需激活恶意程序,那么就不会执行恶意代码;如果服务器上的配置说明需要激活恶意程序,那么就会跳转到指定的恶意代码。由于引导代码启动一个线程去读取服务器上的配置的同时,会跳转到客户端程序的正常代码,给用户造成迷惑,用户及时无法发现引导代码启动的线程,并对其进行处理。因而,亟需解决这一问题。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的在局域网中处理恶意程序的方法及装置。
依据本发明的一方面,提供了一种在局域网中处理恶意程序的方法,应用于由多台服务器组成的局域网,各服务器上运行大量可访问局域网的客户端,包括:
利用所述局域网的安全防火墙实时监控所述大量客户端访问所述局域网的行为,得到海量行为结果;
对所述海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为;
查找到所述至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止所述客户端运行。
可选地,对所述海量行为结果进行筛选,判断其中访问网络的行为结果与设定行为结果产生异常的至少一个行为,包括:
在所述海量行为结果中,筛选出各个客户端的访问网络的行为结果;
根据预先建立的客户端与设定行为结果列表的对应关系,查找各个客户端的设定行为结果列表;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为。
可选地,对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为,包括:
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配;
若匹配失败,则该客户端的访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
可选地,各个客户端的设定行为结果列表由各个网络访问节点的设定行为结果组成;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为,包括:
对于各个客户端,将该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果进行比对;
若该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果不相同,则该客户端的当前访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
可选地,由各服务器系统中的钩子hook记录各个客户端的访问网络的行为结果,并分析各个客户端的访问网络的行为结果生成各个客户端的设定行为结果列表。
可选地,在停止所述客户端运行之后,还包括:
将所述客户端放入预置的沙箱运行;或者,
卸载所述客户端。
可选地,将所述客户端放入预置的沙箱运行之后,还包括:
监控所述客户端后续的访问网络的行为结果;
若监控到所述客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止所述客户端运行,并卸载所述客户端。
依据本发明的另一方面,还提供了一种在局域网中处理恶意程序的装置,应用于由多台服务器组成的局域网,各服务器上运行大量可访问局域网的客户端,包括:
监控模块,适于利用所述局域网的安全防火墙实时监控所述大量客户端访问所述局域网的行为,得到海量行为结果;
判断模块,适于对所述海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为;
处理模块,适于查找到所述至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止所述客户端运行。
可选地,所述判断模块还适于:
在所述海量行为结果中,筛选出各个客户端的访问网络的行为结果;
根据预先建立的客户端与设定行为结果列表的对应关系,查找各个客户端的设定行为结果列表;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为。
可选地,所述判断模块还适于:
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配;
若匹配失败,则该客户端的访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
可选地,各个客户端的设定行为结果列表由各个网络访问节点的设定行为结果组成;
所述判断模块还适于:
对于各个客户端,将该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果进行比对;
若该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果不相同,则该客户端的当前访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
可选地,所述装置还包括:
生成模块,适于由各服务器系统中的钩子hook记录各个客户端的访问网络的行为结果,并分析各个客户端的访问网络的行为结果生成各个客户端的设定行为结果列表。
可选地,所述处理模块还适于:
将所述客户端放入预置的沙箱运行;或者,
卸载所述客户端。
可选地,所述处理模块还适于:
将所述客户端放入预置的沙箱运行之后,监控所述客户端后续的访问网络的行为结果;
若监控到所述客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止所述客户端运行,并卸载所述客户端。
本发明实施例提供了在局域网中处理恶意程序的方案,该局域网由多台服务器组成,各服务器上运行大量可访问局域网的客户端。首先,利用局域网中的安全防火墙实时监控大量客户端访问局域网的行为,得到海量行为结果。随后,对海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为。之后,查找到至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止客户端运行。一般情况下,各个客户端访问局域网的行为结果是固定的,不会发生变化,一旦发生变化,则可以判断该行为结果对应的行为即为异常行为。因而,本发明实施例通过对海量访问局域网的行为结果的筛选,能够判断出其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为。也就是说,通过对海量访问局域网的行为结果的筛选,能够判断出表面上运行客户端的正常代码,但会同时在运行其他代码的行为,进而对这些行为进行有效地处理,实现对局域网中恶意程序处理的目的。并且,本发明实施例利用局域网中的安全防火墙对大量客户端访问局域网的行为进行监控,无需加入额外的硬件,也不需要服务器去监控处理,能够节省各服务器的系统资源。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一实施例的在局域网中处理恶意程序的方法的流程图;
图2示出了根据本发明另一实施例的在局域网中处理恶意程序的方法的流程图;
图3示出了根据本发明一实施例的在局域网中处理恶意程序的装置的结构示意图;以及
图4示出了根据本发明另一实施例的在局域网中处理恶意程序的装置的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为解决上述技术问题,本发明实施例提供了一种在局域网中处理恶意程序的方法,该方法可以应用于由多台服务器组成的局域网,各服务器上运行大量可访问局域网的客户端。图1示出了根据本发明一实施例的在局域网中处理恶意程序的方法的流程图。参见图1,该方法至少可以包括步骤S102至步骤S106。
步骤S102,利用局域网的安全防火墙实时监控大量客户端访问局域网的行为,得到海量行为结果。
步骤S104,对海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为。
步骤S106,查找到至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止客户端运行。
本发明实施例提供了在局域网中处理恶意程序的方案,该局域网由多台服务器组成,各服务器上运行大量可访问局域网的客户端。首先,利用局域网中的安全防火墙实时监控大量客户端访问局域网的行为,得到海量行为结果。随后,对海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为。之后,查找到至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止客户端运行。一般情况下,各个客户端访问局域网的行为结果是固定的,不会发生变化,一旦发生变化,则可以判断该行为结果对应的行为即为异常行为。因而,本发明实施例通过对海量访问局域网的行为结果的筛选,能够判断出其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为。也就是说,通过对海量访问局域网的行为结果的筛选,能够判断出表面上运行客户端的正常代码,但会同时在运行其他代码的行为,进而对这些行为进行有效地处理,实现对局域网中恶意程序处理的目的。并且,本发明实施例利用局域网中的安全防火墙对大量客户端访问局域网的行为进行监控,无需加入额外的硬件,也不需要服务器去监控处理,能够节省各服务器的系统资源。
本发明实施例中,可以预置一套拦截点,根据各拦截点预先收集各个客户端的访问局域网络的行为结果(例如各拦截点有个区域向系统写目录、向系统敏感目录写文件、向自身目录写文件、向其他客户端写文件等行为的行为结果),生成各个客户端的设定行为结果列表,并建立各个客户端与设定行为结果列表的对应关系。这里,可以由各服务器系统中的hook(钩子)记录各个客户端的访问网络的行为结果,并分析各个客户端的访问网络的行为结果生成各个客户端的设定行为结果列表。例如,各服务器系统中的hook在预定的时间间隔内记录各个客户端的访问网络的行为结果,分析这些行为结果,生成非常完善的设定行为结果列表。这里的hook点可以是主动防御内核的入口点,主动防御在进行恶意程序防御时,不以文件特征值作为判断恶意程序的依据,而是从最原始的定义出发,直接将程序的行为作为判断恶意程序的依据。其中衍生出在本地使用特征库、在本地设置行为阈值、以及在本地启发式杀毒的方式来判别、拦截恶意程序的行为,从而一定程度上达到保护用户设备的目的。
此时,上文步骤S104可选地实施为在海量行为结果中,筛选出各个客户端的访问网络的行为结果,随后根据预先建立的客户端与设定行为结果列表的对应关系,查找各个客户端的设定行为结果列表。对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为。
进一步,对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,若匹配失败,则该客户端的访问网络的行为结果对应的行为即为确定出的至少一个行为。反之,若匹配成功,则确定该客户端的访问网络的行为结果对应的行为是正常行为。
以客户端1为例,客户端1的访问网络的行为结果为aa、bb、ccc,该客户端1的设定行为结果列表为aaa、bbb、ccc,将客户端1的访问网络的行为结果(aa、bb、ccc)与设定的行为结果列表(aaa、bbb、ccc)进行匹配,未匹配到aa、bb,则确定匹配失败,可以判断该客户端1被恶意程序截持。需要说明的是,此处仅是示意性的,并不限制本发明。
另外,对于各个客户端,若设定行为结果列表由各个网络访问节点的设定行为结果组成,也就是说,设定行为结果列表中的设定行为结果对应了相应的网络访问节点。那么,对于各个客户端,可以将该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果进行比对,若该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果不相同,则该客户端的当前访问网络的行为结果对应的行为即为确定出的至少一个行为。
以客户端2为例,客户端2的各个网络访问节点的访问网络的行为结果分别为a、b、e、c,该客户端2的设定行为结果列表中的设定行为结果依次为a、b、c,将客户端2的访问网络的行为结果(a、b、e、c)与设定的行为结果列表(a、b、c)依次进行比对,通过比对发现客户端2的访问网络的行为结果“e”与设定的行为结果列表中的“c”不相同,则可以判断该客户端2被恶意程序截持。需要说明的是,此处仅是示意性的,并不限制本发明。
为了进一步确定客户端是否被恶意程序截持,还可以利用主动防御中以HIPS(Host-basedIntrusionPreventionSystem,基于主机的入侵防御系统)为例,包括AD(ApplicationDefend,应用程序防御体系)、RD(RegistryDefend,注册表防御体系)和FD(FileDefend,文件防御体系),通过可定制的规则对服务器上运行的客户端、注册表的读写操作、以及文件读写操作进行判断并确定允许或禁止,从而确定出客户端是否被恶意程序截持,并且各个防御体系的工作顺序没有先后之分。
在本发明另一实施例中,在步骤S106中通知相应客户端被恶意程序截持,停止客户端运行之后,可以将客户端放入预置的沙箱运行,并监控客户端后续的访问网络的行为结果,或者还可以卸载客户端。进一步,若监控到客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止客户端运行,并卸载客户端。若监控到客户端后续的访问网络的行为结果与设定行为结果未产生异常,则认为客户端未被恶意程序截持,而此前的异常行为可能是其他原因,如网络不稳定、局域网中服务器上的数据资源发生变化等。
下面将通过一具体实施例来详细介绍本发明的在局域网中处理恶意程序的方法的实现过程。该实施例中,局域网由多台服务器组成,各服务器上运行大量可访问局域网的客户端,通过局域网的安全防火墙实时监控大量客户端访问局域网的行为。
图2示出了根据本发明另一实施例的在局域网中处理恶意程序的方法的流程图。参见图2,该方法至少可以包括步骤S202至步骤S214。
步骤S202,利用局域网的安全防火墙实时监控大量客户端访问局域网的行为,得到海量行为结果。
步骤S204,在海量行为结果中,筛选出各个客户端的访问网络的行为结果。
步骤S206,根据预先建立的客户端与设定行为结果列表的对应关系,查找各个客户端的设定行为结果列表。
本发明实施例中,可以预先收集各个客户端的访问局域网络的行为结果,生成各个客户端的设定行为结果列表,并建立各个客户端与设定行为结果列表的对应关系。这里,可以由各服务器系统中的hook(钩子)记录各个客户端的访问网络的行为结果,并分析各个客户端的访问网络的行为结果生成各个客户端的设定行为结果列表。例如,各服务器系统中的hook在预定的时间间隔内记录各个客户端的访问网络的行为结果,分析这些行为结果,生成非常完善的设定行为结果列表。
步骤S208,对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为。
该步骤中,对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,若匹配失败,则该客户端的访问网络的行为结果对应的行为即为确定出的至少一个行为。反之,若匹配成功,则确定该客户端的访问网络的行为结果对应的行为是正常行为。
进一步,对于各个客户端,若设定行为结果列表由各个网络访问节点的设定行为结果组成,也就是说,设定行为结果列表中的设定行为结果对应了相应的网络访问节点。那么,对于各个客户端,可以将该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果进行比对,若该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果不相同,则该客户端的当前访问网络的行为结果对应的行为即为确定出的至少一个行为。
步骤S210,查找到至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止客户端运行。
步骤S212,将客户端放入预置的沙箱运行,并监控客户端后续的访问网络的行为结果。
这里,客户端的访问网络的行为即是由属于该客户端的进程所发起的网络访问行为,其行为结果如数据包等。网络访问行为的种类繁多,包括HTTP访问(常见的有下载文件或上传信息),SMTP请求(例如收发电子邮件),DNS请求(解析域名对应的IP地址等信息)等等。
可选地,驱动层截获客户端发起的网络访问请求的数据包可以采用以下几种方式:
(1)通过在服务器注册协议驱动或者创建过滤驱动,截获客户端发起的网络访问请求的数据包。
在客户端访问网络的过程中,操作系统在处理相关数据时,会使用一些协议驱动或过滤驱动来获取网络访问行为的数据,所以可通过在服务器注册协议驱动或者创建与操作系统相似的过滤驱动,截获客户端发起的网络访问请求的数据包。具体地,可通过向NDIS(NetworkDriverInterfaceSpecification,网络驱动客户端接口规范)注册协议驱动,或者在Afd.sys(AncillaryFunctionDriverforwinsock,winsock的辅助功能驱动)的驱动设备栈、Tdi.sys(TransportDispatchInterface,传输分配接口)的驱动设备栈或Tcpip.sys(TransmissionControlProtocol/InternetProtocol,传输控制/网络通讯协议)的驱动设备栈上创建与操作系统相似的过滤驱动,截获客户端发起的网络访问请求的数据包。
以在Afd.sys的驱动设备栈上创建过滤驱动为例,当发送网络访问请求的数据包时,系统原本调用的Afd.sys的驱动分发函数会先调用创建的过滤驱动的分发函数,利用这种方法来截获数据包。
(2)利用操作系统提供的应用客户端编程接口函数截获客户端发起的网络访问请求的数据包。
以应用客户端编程接口函数为钩子(hook)函数为例,利用操作系统提供的hook函数截获WindowsSSDT(SystemServicesDescriptorTable,系统服务描述符表)提供的接口函数(如NtDeviceIoControl函数)、或者Tcpip.sys驱动提供的服务函数、或者NDIS.sys提供的导出函数,获得客户端发起的网络访问请求的数据包。
(3)通过接管客户端调用网络编程接口函数(Winsock)的请求,截获客户端发起的网络访问请求的数据包。
(4)利用注册防火墙回调的方式,截获客户端发起的网络访问请求的数据包。
步骤S214,若监控到客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止客户端运行,并卸载客户端。
由于各个客户端访问局域网的行为结果是固定的,不会发生变化,一旦发生变化,则可以判断该行为结果对应的行为即为异常行为。本发明实施例通过对海量访问局域网的行为结果的筛选,能够判断出其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为,进而查找到至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止客户端运行,并将客户端放入预置的沙箱运行,并监控客户端后续的访问网络的行为结果。若监控到客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止客户端运行,并卸载该客户端,从而实现有效地对局域网中恶意程序处理的目的。若监控到客户端后续的访问网络的行为结果与设定行为结果未产生异常,则将该客户端导出沙箱运行。
需要说明的是,实际应用中,上述所有可选实施方式可以采用结合的方式任意组合,形成本发明的可选实施例,在此不再一一赘述。
基于同一发明构思,本发明实施例还提供了一种在局域网中处理恶意程序的装置,应用于由多台服务器组成的局域网,各服务器上运行大量可访问局域网的客户端。图3示出了根据本发明一实施例的在局域网中处理恶意程序的装置的结构示意图。如图3所示,该装置至少可以包括:监控模块310、判断模块320以及处理模块330。
现介绍本发明实施例的在局域网中处理恶意程序的装置的各组成或器件的功能以及各部分间的连接关系:
监控模块310,适于利用局域网的安全防火墙实时监控大量客户端访问局域网的行为,得到海量行为结果;
判断模块320,与监控模块310相耦合,适于对海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为;
处理模块330,与判断模块320相耦合,适于查找到至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止客户端运行。
在本发明一实施例中,上述判断模块320还适于:
在海量行为结果中,筛选出各个客户端的访问网络的行为结果;
根据预先建立的客户端与设定行为结果列表的对应关系,查找各个客户端的设定行为结果列表;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为。
在本发明一实施例中,上述判断模块320还适于:
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配;
若匹配失败,则该客户端的访问网络的行为结果对应的行为即为确定出的至少一个行为。
在本发明一实施例中,各个客户端的设定行为结果列表由各个网络访问节点的设定行为结果组成,上述判断模块320还适于:
对于各个客户端,将该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果进行比对;
若该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果不相同,则该客户端的当前访问网络的行为结果对应的行为即为确定出的至少一个行为。
在本发明一实施例中,如图4所示,上文图3展示的装置还可以包括:
生成模块340,与判断模块320相耦合,适于由各服务器系统中的钩子hook记录各个客户端的访问网络的行为结果,并分析各个客户端的访问网络的行为结果生成各个客户端的设定行为结果列表。
在本发明一实施例中,上述处理模块330还适于:
将客户端放入预置的沙箱运行;或者,
卸载客户端。
在本发明一实施例中,上述处理模块330还适于:
将客户端放入预置的沙箱运行之后,监控客户端后续的访问网络的行为结果;
若监控到客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止客户端运行,并卸载客户端。
根据上述任意一个优选实施例或多个优选实施例的组合,本发明实施例能够达到如下有益效果:
本发明实施例提供了在局域网中处理恶意程序的方案,该局域网由多台服务器组成,各服务器上运行大量可访问局域网的客户端。首先,利用局域网中的安全防火墙实时监控大量客户端访问局域网的行为,得到海量行为结果。随后,对海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为。之后,查找到至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止客户端运行。一般情况下,各个客户端访问局域网的行为结果是固定的,不会发生变化,一旦发生变化,则可以判断该行为结果对应的行为即为异常行为。因而,本发明实施例通过对海量访问局域网的行为结果的筛选,能够判断出其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为。也就是说,通过对海量访问局域网的行为结果的筛选,能够判断出表面上运行客户端的正常代码,但会同时在运行其他代码的行为,进而对这些行为进行有效地处理,实现对局域网中恶意程序处理的目的。并且,本发明实施例利用局域网中的安全防火墙对大量客户端访问局域网的行为进行监控,无需加入额外的硬件,也不需要服务器去监控处理,能够节省各服务器的系统资源。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的在局域网中处理恶意程序的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
至此,本领域技术人员应认识到,虽然本文已详尽示出和描述了本发明的多个示例性实施例,但是,在不脱离本发明精神和范围的情况下,仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此,本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。
本发明实施例公开了:A1、一种在局域网中处理恶意程序的方法,应用于由多台服务器组成的局域网,各服务器上运行大量可访问局域网的客户端,包括:
利用所述局域网的安全防火墙实时监控所述大量客户端访问所述局域网的行为,得到海量行为结果;
对所述海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为;
查找到所述至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止所述客户端运行。
A2、根据A1所述的方法,其中,对所述海量行为结果进行筛选,判断其中访问网络的行为结果与设定行为结果产生异常的至少一个行为,包括:
在所述海量行为结果中,筛选出各个客户端的访问网络的行为结果;
根据预先建立的客户端与设定行为结果列表的对应关系,查找各个客户端的设定行为结果列表;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为。
A3、根据A2所述的方法,其中,对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为,包括:
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配;
若匹配失败,则该客户端的访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
A4、根据A2所述的方法,其中,各个客户端的设定行为结果列表由各个网络访问节点的设定行为结果组成;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为,包括:
对于各个客户端,将该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果进行比对;
若该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果不相同,则该客户端的当前访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
A5、根据A2-A4任一项所述的方法,其中,由各服务器系统中的钩子hook记录各个客户端的访问网络的行为结果,并分析各个客户端的访问网络的行为结果生成各个客户端的设定行为结果列表。
A6、根据A1-A5任一项所述的方法,其中,在停止所述客户端运行之后,还包括:
将所述客户端放入预置的沙箱运行;或者,
卸载所述客户端。
A7、根据A6所述的方法,其中,将所述客户端放入预置的沙箱运行之后,还包括:
监控所述客户端后续的访问网络的行为结果;
若监控到所述客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止所述客户端运行,并卸载所述客户端。
B8、一种在局域网中处理恶意程序的装置,应用于由多台服务器组成的局域网,各服务器上运行大量可访问局域网的客户端,包括:
监控模块,适于利用所述局域网的安全防火墙实时监控所述大量客户端访问所述局域网的行为,得到海量行为结果;
判断模块,适于对所述海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为;
处理模块,适于查找到所述至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止所述客户端运行。
B9、根据B8所述的装置,其中,所述判断模块还适于:
在所述海量行为结果中,筛选出各个客户端的访问网络的行为结果;
根据预先建立的客户端与设定行为结果列表的对应关系,查找各个客户端的设定行为结果列表;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为。
B10、根据B9所述的装置,其中,所述判断模块还适于:
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配;
若匹配失败,则该客户端的访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
B11、根据B9所述的装置,其中,各个客户端的设定行为结果列表由各个网络访问节点的设定行为结果组成;
所述判断模块还适于:
对于各个客户端,将该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果进行比对;
若该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果不相同,则该客户端的当前访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
B12、根据B9-B11任一项所述的装置,其中,还包括:
生成模块,适于由各服务器系统中的钩子hook记录各个客户端的访问网络的行为结果,并分析各个客户端的访问网络的行为结果生成各个客户端的设定行为结果列表。
B13、根据B8-B12任一项所述的装置,其中,所述处理模块还适于:
将所述客户端放入预置的沙箱运行;或者,
卸载所述客户端。
B14、根据B13所述的装置,其中,所述处理模块还适于:
将所述客户端放入预置的沙箱运行之后,监控所述客户端后续的访问网络的行为结果;
若监控到所述客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止所述客户端运行,并卸载所述客户端。

Claims (10)

1.一种在局域网中处理恶意程序的方法,应用于由多台服务器组成的局域网,各服务器上运行大量可访问局域网的客户端,包括:
利用所述局域网的安全防火墙实时监控所述大量客户端访问所述局域网的行为,得到海量行为结果;
对所述海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为;
查找到所述至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止所述客户端运行。
2.根据权利要求1所述的方法,其中,对所述海量行为结果进行筛选,判断其中访问网络的行为结果与设定行为结果产生异常的至少一个行为,包括:
在所述海量行为结果中,筛选出各个客户端的访问网络的行为结果;
根据预先建立的客户端与设定行为结果列表的对应关系,查找各个客户端的设定行为结果列表;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为。
3.根据权利要求2所述的方法,其中,对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为,包括:
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配;
若匹配失败,则该客户端的访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
4.根据权利要求2所述的方法,其中,各个客户端的设定行为结果列表由各个网络访问节点的设定行为结果组成;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为,包括:
对于各个客户端,将该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果进行比对;
若该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果不相同,则该客户端的当前访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
5.根据权利要求2-4任一项所述的方法,其中,由各服务器系统中的钩子hook记录各个客户端的访问网络的行为结果,并分析各个客户端的访问网络的行为结果生成各个客户端的设定行为结果列表。
6.根据权利要求1-5任一项所述的方法,其中,在停止所述客户端运行之后,还包括:
将所述客户端放入预置的沙箱运行;或者,
卸载所述客户端。
7.根据权利要求6所述的方法,其中,将所述客户端放入预置的沙箱运行之后,还包括:
监控所述客户端后续的访问网络的行为结果;
若监控到所述客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止所述客户端运行,并卸载所述客户端。
8.一种在局域网中处理恶意程序的装置,应用于由多台服务器组成的局域网,各服务器上运行大量可访问局域网的客户端,包括:
监控模块,适于利用所述局域网的安全防火墙实时监控所述大量客户端访问所述局域网的行为,得到海量行为结果;
判断模块,适于对所述海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为;
处理模块,适于查找到所述至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止所述客户端运行。
9.根据权利要求8所述的装置,其中,所述判断模块还适于:
在所述海量行为结果中,筛选出各个客户端的访问网络的行为结果;
根据预先建立的客户端与设定行为结果列表的对应关系,查找各个客户端的设定行为结果列表;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为。
10.根据权利要求9所述的装置,其中,所述判断模块还适于:
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配;
若匹配失败,则该客户端的访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
CN201510431301.4A 2015-07-21 2015-07-21 在局域网中处理恶意程序的方法及装置 Active CN105119903B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510431301.4A CN105119903B (zh) 2015-07-21 2015-07-21 在局域网中处理恶意程序的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510431301.4A CN105119903B (zh) 2015-07-21 2015-07-21 在局域网中处理恶意程序的方法及装置

Publications (2)

Publication Number Publication Date
CN105119903A true CN105119903A (zh) 2015-12-02
CN105119903B CN105119903B (zh) 2019-03-08

Family

ID=54667792

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510431301.4A Active CN105119903B (zh) 2015-07-21 2015-07-21 在局域网中处理恶意程序的方法及装置

Country Status (1)

Country Link
CN (1) CN105119903B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116451269A (zh) * 2023-03-29 2023-07-18 北京华路时代信息技术股份有限公司 数据保护方法、装置、电子设备和可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101414997A (zh) * 2007-10-15 2009-04-22 北京瑞星国际软件有限公司 阻止恶意程序访问网络的方法和装置
CN102404741A (zh) * 2011-11-30 2012-04-04 中国联合网络通信集团有限公司 移动终端上网异常检测方法和装置
CN103699840A (zh) * 2013-12-12 2014-04-02 北京奇虎科技有限公司 网页劫持的检测方法和装置
WO2014172063A1 (en) * 2013-04-19 2014-10-23 Lastline, Inc. Methods and systems for reciprocal generation of watch-lists and malware signatures
CN104123498A (zh) * 2014-07-18 2014-10-29 广州金山网络科技有限公司 一种安卓系统Activity的安全性确定方法及装置
US20150089625A1 (en) * 2013-09-25 2015-03-26 Malwarebytes Corporation Access Control Manager

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101414997A (zh) * 2007-10-15 2009-04-22 北京瑞星国际软件有限公司 阻止恶意程序访问网络的方法和装置
CN102404741A (zh) * 2011-11-30 2012-04-04 中国联合网络通信集团有限公司 移动终端上网异常检测方法和装置
WO2014172063A1 (en) * 2013-04-19 2014-10-23 Lastline, Inc. Methods and systems for reciprocal generation of watch-lists and malware signatures
US20150089625A1 (en) * 2013-09-25 2015-03-26 Malwarebytes Corporation Access Control Manager
CN103699840A (zh) * 2013-12-12 2014-04-02 北京奇虎科技有限公司 网页劫持的检测方法和装置
CN104123498A (zh) * 2014-07-18 2014-10-29 广州金山网络科技有限公司 一种安卓系统Activity的安全性确定方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116451269A (zh) * 2023-03-29 2023-07-18 北京华路时代信息技术股份有限公司 数据保护方法、装置、电子设备和可读存储介质

Also Published As

Publication number Publication date
CN105119903B (zh) 2019-03-08

Similar Documents

Publication Publication Date Title
US9922191B1 (en) Determining malware prevention based on retrospective content scan
US10652273B2 (en) Mitigation of anti-sandbox malware techniques
US9329973B2 (en) Method and apparatus for automated testing software
US10057284B2 (en) Security threat detection
US8353036B2 (en) Method and system for protecting cross-domain interaction of a web application on an unmodified browser
US11962606B2 (en) Protecting serverless applications
US8925076B2 (en) Application-specific re-adjustment of computer security settings
Akiyama et al. Design and implementation of high interaction client honeypot for drive-by-download attacks
US8407804B2 (en) System and method of whitelisting parent virtual images
US20130167236A1 (en) Method and system for automatically generating virus descriptions
CN111737696A (zh) 一种恶意文件检测的方法、系统、设备及可读存储介质
CN112702300A (zh) 一种安全漏洞的防御方法和设备
US20120047259A1 (en) Web hosted security system communication
CN105100092B (zh) 控制客户端访问网络的检测方法、装置和系统
US8955138B1 (en) Systems and methods for reevaluating apparently benign behavior on computing devices
US20140310807A1 (en) Cloud-based secure download method
CN110119619B (zh) 创建防病毒记录的系统和方法
Qbeitah et al. Dynamic malware analysis of phishing emails
US9948680B2 (en) Security configuration file conversion with security policy optimization
US9794275B1 (en) Lightweight replicas for securing cloud-based services
CN103152323A (zh) 控制客户端网络访问行为的方法及系统
US9275226B1 (en) Systems and methods for detecting selective malware attacks
US9332023B1 (en) Uploading signatures to gateway level unified threat management devices after endpoint level behavior based detection of zero day threats
RU2514137C1 (ru) Способ автоматической настройки средства безопасности
CN105119903A (zh) 在局域网中处理恶意程序的方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20211203

Address after: 300450 No. 9-3-401, No. 39, Gaoxin 6th Road, Binhai Science Park, high tech Zone, Binhai New Area, Tianjin

Patentee after: 3600 Technology Group Co.,Ltd.

Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park)

Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Patentee before: Qizhi software (Beijing) Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230627

Address after: 1765, floor 17, floor 15, building 3, No. 10 Jiuxianqiao Road, Chaoyang District, Beijing 100015

Patentee after: Beijing Hongxiang Technical Service Co.,Ltd.

Address before: 300450 No. 9-3-401, No. 39, Gaoxin 6th Road, Binhai Science Park, high tech Zone, Binhai New Area, Tianjin

Patentee before: 3600 Technology Group Co.,Ltd.