公开(公告)号：CN103905417A

公开(公告)日：2014-07-02

申请号：CN201310557501.5

申请日：2013-11-12

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 王明华 ,  刘阳 ,  李佳 ,  李高超 ,  李锐光 ,  贺敏 ,  肖新光 ,  童志明 ,  沈长伟

IPC: H04L29/06 ,  H04L12/26 ,  G06F21/56

Abstract: 本发明提供了一种网络设备文件鉴定装置及方法，所述装置包括：数据处理模块捕获网络数据流，并将所述网络数据流还原为文件；引擎检测模块对数据处理模块还原的文件进行检测，并根据检测结果及用户配置，判断是否需要进行文件鉴定，如果是，则将所述文件发送到文件鉴定模块，否则将检测结果发送到统计模块；文件鉴定模块对引擎检测模块发送的文件进行文件鉴定，并将鉴定结果发送到统计模块；统计模块，汇总检测结果，并反馈给用户。通过本发明的方法，能够使网络设备具备文件鉴定的能力，解决了由于网络设备无法上传文件导致无法对文件进行鉴定的问题。

公开(公告)号：CN111723373A

公开(公告)日：2020-09-29

申请号：CN201910210484.5

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  袁炯晔 ,  童志明

IPC: G06F21/57 ,  G06F21/56 ,  G06F21/78

Abstract: 本发明提出一种复合式二进制文档的漏洞利用文件检测方法及装置，其中所述方法包括：获取待检测的复合式二进制文档，并进行文件结构校验；判断文件结构是否异常，如果为异常，则进一步检测，否则判定所述待检测复合式二进制文档为正常文件；进一步在文件结构存在异常区域数据段检测敏感特征，若存在敏感特征，则判定所述复合式二进制文档为恶意，否则判定为正常文件。本发明还相应给出实现该方法的装置。通过本发明方法，不需要提取新的特征，即能够有效检测新出现的漏洞利用文件。而仅针对结构异常区域进行敏感特征检测，能够避免误报，进一步提高检测的准确性。

公开(公告)号：CN103905417B

公开(公告)日：2018-02-16

申请号：CN201310557501.5

申请日：2013-11-12

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 王明华 ,  刘阳 ,  李佳 ,  李高超 ,  李锐光 ,  贺敏 ,  肖新光 ,  童志明 ,  沈长伟

IPC: H04L29/06 ,  H04L12/26 ,  G06F21/56

Abstract: 本发明提供了一种网络设备文件鉴定装置及方法，所述装置包括：数据处理模块捕获网络数据流，并将所述网络数据流还原为文件；引擎检测模块对数据处理模块还原的文件进行检测，并根据检测结果及用户配置，判断是否需要进行文件鉴定，如果是，则将所述文件发送到文件鉴定模块，否则将检测结果发送到统计模块；文件鉴定模块对引擎检测模块发送的文件进行文件鉴定，并将鉴定结果发送到统计模块；统计模块，汇总检测结果，并反馈给用户。通过本发明的方法，能够使网络设备具备文件鉴定的能力，解决了由于网络设备无法上传文件导致无法对文件进行鉴定的问题。

公开(公告)号：CN111726322B

公开(公告)日：2023-07-07

申请号：CN201910210483.0

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  童志明

IPC: H04L9/40 ,  H04L9/32 ,  H04L67/06

Abstract: 本发明提出了一种文件篡改劫持的检测方法、装置及存储介质，包括：获取下载的源文件；查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；查询下载源文件的网站的域名信息；获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。通过识别下载文件与网站信息是否同源，来判定所下载文件是否被篡改或网站是否被劫持。解决了传统方法中，因网站被劫持，放合法签名文件，导致对于这类威胁无法检测的难题。

公开(公告)号：CN111726322A

公开(公告)日：2020-09-29

申请号：CN201910210483.0

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  童志明

IPC: H04L29/06 ,  H04L9/32 ,  H04L29/08

Abstract: 本发明提出了一种文件篡改劫持的检测方法、装置及存储介质，包括：获取下载的源文件；查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；查询下载源文件的网站的域名信息；获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。通过识别下载文件与网站信息是否同源，来判定所下载文件是否被篡改或网站是否被劫持。解决了传统方法中，因网站被劫持，放合法签名文件，导致对于这类威胁无法检测的难题。