-
公开(公告)号:CN108108619A
公开(公告)日:2018-06-01
申请号:CN201711483876.6
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/562 , G06F21/64 , G06F2221/033 , H04L9/3247 , H04L9/3263
Abstract: 本发明提出一种基于模式匹配对应关系的文件检测方法、系统及存储介质,本发明通过收集常用软件的文件属性与数字签名,及文件属性与网络链接所在网站数字证书间的对应关系,生成模式匹配库;判断待检测对象是否为文件或网络链接,如果是,则将所述待检测对象与模式匹配库匹配,否则跳过;若所述待检测对象与模式匹配库匹配成功,则所述待检测对象可信,否则所述待检测对象为恶意。本发明还给出相应系统及存储介质的技术方案。通过本发明方法,能够快速准确识别具有伪装及欺骗行为的文件及连接,节省了人工提取所付出的劳动力,并且快速响应。
-
公开(公告)号:CN108076036A
公开(公告)日:2018-05-25
申请号:CN201710010774.6
申请日:2017-01-06
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种威胁向量提取与标签标注的系统及方法,包括:提取模块,用于从数据源中提取元数据向量,数据源中提取的全部元数据向量形成元数据矩阵;分析模块,用于基于元数据矩阵,与计算矩阵进行计算,分析构建结果矩阵;比对模块,用于基于结果矩阵与模板矩阵进行比对,得到标注向量;更新模块,用于将标注向量更新到元数据矩阵,并对标注向量对应的元数据向量进行标签标注,同时在设定次数内重新计算元数据矩阵和结果矩阵中的值。解决威胁向量的提取,对威胁向量进行标签标注的问题,达成威胁向量提取和标签标注的目的。
-
公开(公告)号:CN106845221A
公开(公告)日:2017-06-13
申请号:CN201610983857.9
申请日:2016-11-09
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/562 , G06F8/427
Abstract: 本发明公开了一种基于语法形式的脚本类文件格式识别方法及系统,包括:获取并分析脚本类文件的语法特点;所述脚本类文件包括脚本文件以及具有语法定义的文件;针对分析后的语法特点提取至少一个识别点,所述识别点为每种脚本类文件独有的区别特征;将所述至少一个识别点在待测试用例中进行评估测试,判断是否为可用的识别点,若是,则将可用的识别点转换成识别规则并加入格式识别引擎;否则重复以上步骤直至提取到可用的识别点。本方法解决了传统方法中,对于脚本类格式识别难的问题。采用基于脚本语法特点的方法,可以有效提高脚本类格式识别的准确度。
-
公开(公告)号:CN106603557A
公开(公告)日:2017-04-26
申请号:CN201611253544.4
申请日:2016-12-30
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种基于配置信息结构的木马检测方法及系统,包括:获取已知流行木马样本,并提取所述木马样本的配置信息;分析所述配置信息,并获取配置信息结构;基于获取的配置信息结构制定检测规则;利用所述检测规则检测未知可疑文件是否为木马。本发明所述技术方案基于配置信息自身结构生成检测规则,进而有效识别木马病毒并降低误报。
-
公开(公告)号:CN105740706A
公开(公告)日:2016-07-06
申请号:CN201510985230.2
申请日:2015-12-25
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/566
Abstract: 本发明提出一种基于API名称和立即数的启发式样本检测方法及系统,包括:获取系统文件的全部导出函数名称,并计算各导出函数名称的散列值;将所有导出函数名称的散列值形成散列匹配库;遍历待检测样本的全部指令中所包含的立即数;将所述立即数与散列匹配库中的散列值匹配,并计算匹配成功的立即数个数;判断所述匹配成功的立即数个数是否超过阈值,如果是,则所述待检测样本为恶意文件,否则所述待检测样本为普通文件。本发明通过对API名称进行散列计算与待检测样本的立即数匹配,能够快速发现存在隐藏自身API调用的恶意代码样本。
-
Patent Agency Ranking
公开(公告)号:CN105718799A
公开(公告)日:2016-06-29
申请号:CN201510572601.4
申请日:2015-09-10
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提出了一种识别文件溢出漏洞的方法及系统,所述方法包括:读取待检测文件的文件内容及文件大小,并保存到内存中;根据待检测文件格式,对加载到内存中的文件内容进行遍历;统计待检测文件中未被遍历到的数据长度;判断待检测文件中未被遍历到的数据长度是否大于0,如果是,则所述待检测文件可能存在溢出漏洞,发送给溢出漏洞扫描器进一步扫描;否则不存在溢出漏洞。通过本发明的方法,只需要了解文件的文件格式,即能够快速识别文件的溢出漏洞,与其他漏洞识别技术相比,可节约大量时间成本。
-
公开(公告)号:CN102843270B
公开(公告)日:2016-01-27
申请号:CN201110257457.7
申请日:2011-09-02
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种基于URL与本地文件关联的可疑URL检测方法,包括:获取系统访问的URL;判断获取的URL是否进行文件下载;如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件,根据判断结果对所述URL做进一步处理。本发明还公开了一种基于URL与本地文件关联的可疑URL检测装置。本发明将传统的启发式检测和URL关联一起,每个恶意代码都能查到下载它的URL,不仅能将可疑文件甄别出来,而且能够提供下载这个可疑文件的URL,对进一步分析和阻止恶意代码传播提供有力条件。
-
公开(公告)号:CN105024989A
公开(公告)日:2015-11-04
申请号:CN201410688920.7
申请日:2014-11-26
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明提出了一种基于异常端口的恶意URL启发式检测方法,在特征提取阶段利用已知恶意URL作为训练数据,获取恶意URL端口数据,过滤满足规定的常规端口数据,将保留的非常规端口数据作为特征标识,并形成特征库,在URL检测阶段,先获取待检测URL端口数据,然后将获取的端口数据与特征库中的特征标识进行匹配,最后返回检测结果,本发明还提出了一种基于异常端口的恶意URL启发式检测系统。本发明以端口数据作为匹配特征,利用启发式思想对URL进行检测,弥补了现有URL检测技术中,病毒特征库数据量过大、占用系统资源过多、不能很好的保证检测效率的不足。
-
公开(公告)号:CN104978523A
公开(公告)日:2015-10-14
申请号:CN201410618772.1
申请日:2014-11-06
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种基于网络热词识别的恶意样本捕获方法及系统,首先,基于社交网络获取网络热词;基于预设算法计算所述网络热词的热度,筛选出热度超过预设阈值的网络热词添加至热词库;获取含有热词库中的网络热词并且排名在前的网页,保存网页地址到可疑地址表;若所述网页内含有链接地址,则将所述链接地址加入可疑地址表;若所述可疑地址表中的网页地址指向可下载文件,则获取所述可下载文件;对获取的网页地址和可下载文件进行是否恶意的检测。本发明所提供的方法及系统,对于被包装成热门话题或者资源的恶意代码有很好的检出效果。
-
公开(公告)号:CN104966020A
公开(公告)日:2015-10-07
申请号:CN201410352804.8
申请日:2014-07-24
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种基于特征向量的反病毒云检测方法及系统,所述方法通过提取客户端未检测出的文件指定位置的特征,组成特征向量,并将所述特征向量发送到云端进行检测,若云端检测为恶意,则将结果发送到客户端,并对待检测文件进行查杀处理,否则将所述待检测文件放行,并且云端特征库根据预设时间进行定期清理及更新。通过本发明的方法及系统,只需要在云端服务器部署病毒特征库,不需要对文件整体存储及检测,因此能够提高检测效率、快速响应的同时,减轻云端服务器的压力。
-
-
-
-
-
-
-
-
-
Search Results
92
records
(took 0.046 seconds)
