-
公开(公告)号:CN105763529A
公开(公告)日:2016-07-13
申请号:CN201510913376.6
申请日:2015-12-12
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
CPC classification number: H04L63/1416 , H04L63/1466 , H04L63/1483
Abstract: 本发明提出一种网络环境下攻击链获取方法及系统,根据规定时间段,对网络数据进行获取,并检测获取的网络数据是否含有攻击事件,若含有攻击事件,则在攻击端或受害端,对攻击事件发生时刻前后一段时间内与攻击事件相关联的活动窗口数据进行获取和保存,根据活动窗口数据,获取攻击链,进一步地,本发明还对获取的攻击链进行去噪处理,得到高威胁事件攻击链,并根据攻击链中最早发生的事件,对攻击源进行追溯。本发明弥补了现有网络威胁检测技术中,多采用单点检测而使得攻击链难以还原这一技术缺陷。
-
公开(公告)号:CN105656872A
公开(公告)日:2016-06-08
申请号:CN201510421096.3
申请日:2015-07-17
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
CPC classification number: H04L63/1408 , H04L63/145
Abstract: 本发明提供了一种基于骨干网的攻击者追踪方法及系统,包括:通过骨干网监控设备,监控恶意网络通信行为,并获取恶意代码样本;分析恶意代码样本,提取命令与控制服务器信息;在骨干网监控命令与控制服务器及对应端口的IP通信,获取当前控制与命令服务器的控制者IP及对应信息;判断控制者IP是否为最终控制者,如果是,则定位最终控制者IP;否则返回继续监控,直到追踪到控制者IP。本发明解决了对网络通信中追踪攻击者黑客位置困难的问题,能够通过骨干网对黑客或控制端IP进行追踪定位,打击网络恶意行为。
-
公开(公告)号:CN105487849A
公开(公告)日:2016-04-13
申请号:CN201410801308.6
申请日:2014-12-22
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F9/44
Abstract: 本发明提供了一种调用DLL未知导出函数的方法及系统,包括:加载DLL文件到内存;解析PE文件结构,获得DLL文件的导出函数信息;加载预设的函数参数集合;采用动态构造堆栈的方式,逐一调用DLL的导出函数。本发明利用动态构造堆栈的方式,给出充足的参数供导出函数使用,从而调用所有的导出函数。
-
公开(公告)号:CN102394859B
公开(公告)日:2014-05-14
申请号:CN201110211059.1
申请日:2011-07-27
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种基于线程行为的木马窃取文件检测方法,包括:监视线程的文件操作和网络操作;将监视的线程和线程所属的进程以及截获的文件操作及文件读取数据和网络操作及网络发送数据形成行为序列缓冲队列;根据缓冲队列中的行为序列判断线程读取的文件是否为网络发送的文件;如果线程读取的文件为网络发送的文件,并且检查该线程及线程所属的进程具有隐蔽性,则有木马窃取文件行为。本发明还提供了一种基于线程行为的木马窃取文件检测系统。本方法和系统极大减少对正常文件传输的误报,提高对木马窃取文件的检测。
-
公开(公告)号:CN103324615A
公开(公告)日:2013-09-25
申请号:CN201210072333.6
申请日:2012-03-19
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供一种基于搜索引擎优化的钓鱼网站探测方法,包括:分析已知钓鱼网站,将已知钓鱼网站的title作为关键词加入恶意title数据库中;保存网页爬虫获得的网页,对所获得的网页摘要及对应的URL滤重后建立网页索引数据库;用恶意title数据库中的关键词和/或用预先设定的关键词对网页索引数据库中的网页摘要进行检索,将匹配成功的网页保存为可疑网页;使用判断策略对可疑网页进行判断,将判断为钓鱼网站的可疑网页的title加入恶意title数据库中。本发明还提供了一种基于搜索引擎优化的钓鱼网站探测系统。本发明通过提取关键词来缩小检索范围,对网站进行主动爬取和判断不断的对数据库进行更新,减小了误报率,自动化判断获得的钓鱼网站,减小了漏报率。
-
Patent Agency Ranking
公开(公告)号:CN103902905B
公开(公告)日:2017-02-15
申请号:CN201310691228.5
申请日:2013-12-17
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提供了一种软件结构聚类的恶意代码生成器识别方法及系统。本发明的方法通过找到相同时间戳的样本,并提取相同时间戳样本的软件结构信息构造向量,通过计算Simhash值,找到Simhash距离小于指定值的样本,则能够判断该类样本具有相似的文件结构,为恶意代码生成器生成的代码。同样本发明还给出了相应的系统结构。通过本发明的方法,能够利用生成器与编译产生的软件结构的差异,发现生成器,并利用大规模相似性找到软件结构相似的样本。
-
公开(公告)号:CN105743877A
公开(公告)日:2016-07-06
申请号:CN201510725335.4
申请日:2015-11-02
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
CPC classification number: H04L63/1425 , H04L63/0245 , H04L63/1416
Abstract: 本发明提出一种网络安全威胁情报处理方法及系统,包括:获取已知恶意代码样本的全部动静态特征;获取已知白样本的动静态特征,建立白样本特征情报库;通过白样本特征情报库对恶意代码样本的全部动静态特征进行过滤将过滤后保留得到的恶意代码样本的动静态特征形成黑样本特征情报库;周期性的执行上述步骤,补充白样本特征情报库及黑样本特征情报库;并定期输出白样本特征情报库及黑样本特征情报库,进行准确率及有效性验证,并将检出的误报特征进行更新。本发明还提出相应系统。通过本发明能够获得可信来源的信息,并转化为威胁情报,不断提高准确性,降低误报率,产出高覆盖率的特征情报库,辅助家族及样本特征分析识别,提升通用检出能力。
-
公开(公告)号:CN102819723B
公开(公告)日:2015-07-22
申请号:CN201110440506.0
申请日:2011-12-26
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种恶意二维码检测方法,包括:识别恶意二维码图形获得二进制数据,计算并保存所述恶意二维码二进制数据的HASH值;提取恶意二维码片段特征;获取待检测二维码图形的二进制数据及所述二进制数据的长度;计算待检测二维码图形的二进制数据的全HASH值,并与所述恶意二维码二进制数据的HASH值、片段特征以及所包含的恶意URL进行匹配,判断所述待检测二维码是否为恶意二维码。本发明还提供了一种恶意二维码检测系统。本发明技术方案主要通过对二维码图形识别转换为二进制数据,对二进制数据进行特征检测,检测URL恶意二维码。
-
公开(公告)号:CN103902905A
公开(公告)日:2014-07-02
申请号:CN201310691228.5
申请日:2013-12-17
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/563 , G06F2221/033 , G06F2221/2151
Abstract: 本发明提供了一种软件结构聚类的恶意代码生成器识别方法及系统。本发明的方法通过找到相同时间戳的样本,并提取相同时间戳样本的软件结构信息构造向量,通过计算Simhash值,找到Simhash距离小于指定值的样本,则能够判断该类样本具有相似的文件结构,为恶意代码生成器生成的代码。同样本发明还给出了相应的系统结构。通过本发明的方法,能够利用生成器与编译产生的软件结构的差异,发现生成器,并利用大规模相似性找到软件结构相似的样本。
-
公开(公告)号:CN102819723A
公开(公告)日:2012-12-12
申请号:CN201110440506.0
申请日:2011-12-26
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种恶意二维码检测方法,包括:识别恶意二维码图形获得二进制数据,计算并保存所述恶意二维码二进制数据的HASH值;提取恶意二维码片段特征;获取待检测二维码图形的二进制数据及所述二进制数据的大小;计算待检测二维码图形的二进制数据的全HASH值,并与所述恶意二维码二进制数据的HASH值、片段特征以及所包含的恶意URL进行匹配,判断所述待检测二维码是否为恶意二维码。本发明还提供了一种恶意二维码检测系统。本发明技术方案主要通过对二维码图形识别转换为二进制数据,对二进制数据进行特征检测,检测URL恶意二维码。
-
-
-
-
-
-
-
-
-
Search Results
41
records
(took 0.14 seconds)
