公开(公告)号：CN103905417A

公开(公告)日：2014-07-02

申请号：CN201310557501.5

申请日：2013-11-12

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 王明华 ,  刘阳 ,  李佳 ,  李高超 ,  李锐光 ,  贺敏 ,  肖新光 ,  童志明 ,  沈长伟

IPC: H04L29/06 ,  H04L12/26 ,  G06F21/56

Abstract: 本发明提供了一种网络设备文件鉴定装置及方法，所述装置包括：数据处理模块捕获网络数据流，并将所述网络数据流还原为文件；引擎检测模块对数据处理模块还原的文件进行检测，并根据检测结果及用户配置，判断是否需要进行文件鉴定，如果是，则将所述文件发送到文件鉴定模块，否则将检测结果发送到统计模块；文件鉴定模块对引擎检测模块发送的文件进行文件鉴定，并将鉴定结果发送到统计模块；统计模块，汇总检测结果，并反馈给用户。通过本发明的方法，能够使网络设备具备文件鉴定的能力，解决了由于网络设备无法上传文件导致无法对文件进行鉴定的问题。

公开(公告)号：CN103905417B

公开(公告)日：2018-02-16

申请号：CN201310557501.5

申请日：2013-11-12

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 王明华 ,  刘阳 ,  李佳 ,  李高超 ,  李锐光 ,  贺敏 ,  肖新光 ,  童志明 ,  沈长伟

IPC: H04L29/06 ,  H04L12/26 ,  G06F21/56

Abstract: 本发明提供了一种网络设备文件鉴定装置及方法，所述装置包括：数据处理模块捕获网络数据流，并将所述网络数据流还原为文件；引擎检测模块对数据处理模块还原的文件进行检测，并根据检测结果及用户配置，判断是否需要进行文件鉴定，如果是，则将所述文件发送到文件鉴定模块，否则将检测结果发送到统计模块；文件鉴定模块对引擎检测模块发送的文件进行文件鉴定，并将鉴定结果发送到统计模块；统计模块，汇总检测结果，并反馈给用户。通过本发明的方法，能够使网络设备具备文件鉴定的能力，解决了由于网络设备无法上传文件导致无法对文件进行鉴定的问题。

公开(公告)号：CN111723373A

公开(公告)日：2020-09-29

申请号：CN201910210484.5

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  袁炯晔 ,  童志明

IPC: G06F21/57 ,  G06F21/56 ,  G06F21/78

Abstract: 本发明提出一种复合式二进制文档的漏洞利用文件检测方法及装置，其中所述方法包括：获取待检测的复合式二进制文档，并进行文件结构校验；判断文件结构是否异常，如果为异常，则进一步检测，否则判定所述待检测复合式二进制文档为正常文件；进一步在文件结构存在异常区域数据段检测敏感特征，若存在敏感特征，则判定所述复合式二进制文档为恶意，否则判定为正常文件。本发明还相应给出实现该方法的装置。通过本发明方法，不需要提取新的特征，即能够有效检测新出现的漏洞利用文件。而仅针对结构异常区域进行敏感特征检测，能够避免误报，进一步提高检测的准确性。

公开(公告)号：CN111726322B

公开(公告)日：2023-07-07

申请号：CN201910210483.0

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  童志明

IPC: H04L9/40 ,  H04L9/32 ,  H04L67/06

Abstract: 本发明提出了一种文件篡改劫持的检测方法、装置及存储介质，包括：获取下载的源文件；查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；查询下载源文件的网站的域名信息；获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。通过识别下载文件与网站信息是否同源，来判定所下载文件是否被篡改或网站是否被劫持。解决了传统方法中，因网站被劫持，放合法签名文件，导致对于这类威胁无法检测的难题。

公开(公告)号：CN111726322A

公开(公告)日：2020-09-29

申请号：CN201910210483.0

申请日：2019-03-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧 ,  童志明

IPC: H04L29/06 ,  H04L9/32 ,  H04L29/08

Abstract: 本发明提出了一种文件篡改劫持的检测方法、装置及存储介质，包括：获取下载的源文件；查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；查询下载源文件的网站的域名信息；获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。通过识别下载文件与网站信息是否同源，来判定所下载文件是否被篡改或网站是否被劫持。解决了传统方法中，因网站被劫持，放合法签名文件，导致对于这类威胁无法检测的难题。

公开(公告)号：CN105024989B

公开(公告)日：2018-09-07

申请号：CN201410688920.7

申请日：2014-11-26

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 童志明 ,  于爽 ,  沈长伟 ,  张栗伟

IPC: H04L29/06

Abstract: 本发明提出了一种基于异常端口的恶意URL启发式检测方法，在特征提取阶段利用已知恶意URL作为训练数据，获取恶意URL端口数据，过滤满足规定的常规端口数据，将保留的非常规端口数据作为特征标识，并形成特征库，在URL检测阶段，先获取待检测URL端口数据，然后将获取的端口数据与特征库中的特征标识进行匹配，最后返回检测结果，本发明还提出了一种基于异常端口的恶意URL启发式检测系统。本发明以端口数据作为匹配特征，利用启发式思想对URL进行检测，弥补了现有URL检测技术中，病毒特征库数据量过大、占用系统资源过多、不能很好的保证检测效率的不足。

公开(公告)号：CN108229168A

公开(公告)日：2018-06-29

申请号：CN201711489577.3

申请日：2017-12-29

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 李增光 ,  童志明 ,  何公道 ,  肖新光

IPC: G06F21/56 ,  G06F17/30

CPC classification number: G06F21/562 ,  G06F16/2462

Abstract: 本发明提出一种嵌套类文件的启发式检测方法、系统及存储介质，所述方法包括：对获取的嵌套类文件进行文件拆分；获取拆分出的文件类型，并对文件类型进行规则化处理，整理为知识数据；将所述知识数据与知识库进行匹配；若匹配成功，则所述嵌套类文件存在恶意，输出检测结果，结束检测；否则对未匹配成功的嵌套类文件进行恶意性分析。本发明不需要进行复杂的逻辑分析，也不需要虚拟环境来动态执行脚本，而是基于嵌套类文件基于异常环境下将会产生威胁行为这一性质来进行启发式检测，可以有效的提高检测的速度、准确度等。

公开(公告)号：CN108197466A

公开(公告)日：2018-06-22

申请号：CN201711418452.1

申请日：2017-12-25

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 沈长伟 ,  童志明 ,  何公道

IPC: G06F21/55 ,  G06F21/56

CPC classification number: G06F21/552 ,  G06F21/562

Abstract: 本发明提出一种基于判定策略前置的反病毒引擎检测方法及系统：反病毒引擎向终端输出全部向量检测规则；用户根据终端系统需求，选择相应向量检测规则建立防御配置策略；生成用户向量检测规则；获取待检测文件；基于用户向量检测规则，检测待检测文件；判断是否存在威胁，如果是，则对用户进行告警；否则所述待检测文件无威胁。本发明还给出相应系统及存储介质技术方案。通过本发明的方法，能够增加检测和防御结果的不确定性，可以有效应对攻击者的攻击尝试，增加用户针对自身环境特点的防御能力。用户由被动防御方案的接受者，转变为主动进行防御方案定制，使得反病毒引擎判定策略由厂商判定转变为厂商和用户共同判定。

公开(公告)号：CN108076038A

公开(公告)日：2018-05-25

申请号：CN201710458777.6

申请日：2017-06-16

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 李宝俊 ,  童志明

IPC: H04L29/06

CPC classification number: H04L63/1425 ,  H04L63/1416 ,  H04L63/1441 ,  H04L2463/146

Abstract: 本发明提出一种基于服务器端口的C&C服务器判断方法及系统，包括：收集整理非官方或服务器提供商的服务器列表；定期记录服务器列表中的服务器开启或关闭非常规端口的信息；判断是否有服务器不定周期开启或关闭非常规服务端口；如果是，则所述服务器为C&C服务器；否则结束判断；根据记录的服务器开启或关闭非常规端口的信息，对所述C&C服务器进行分类，初步判定服务器之间的关联关系。本发明还提出相应系统，解决了传统方法中，存在人力分析效率低和沙盒与虚拟机占用资源高且不能事前发现潜在网络威胁的缺点，能够做到发现潜在的C&C服务器，而且能够根据判断结果进行同源跟踪。

公开(公告)号：CN108073812A

公开(公告)日：2018-05-25

申请号：CN201710669523.9

申请日：2017-08-08

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 李石磊 ,  童志明 ,  何公道

IPC: G06F21/56

CPC classification number: G06F21/563 ,  G06F2221/033

Abstract: 本发明提出了一种基于反汇编的PE程序入口点归一化方法及系统，所述方法通过对可执行文件的入口点进行预设条数的反汇编操作，并判断是否是跳转指令或者隐式跳转指令，如果是跳转指令或隐式跳转指令，则将可执行文件的入口点指向目标跳转地址，然后让反病毒软件重新进行扫描识别。通过本发明的方法及系统，能够对修改可执行文件入口点位置的恶意代码进行有效的分析及对抗，最大程度保证基于入口点分析恶意代码的程序可以正确工作。