-
公开(公告)号:CN108073793A
公开(公告)日:2018-05-25
申请号:CN201710669522.4
申请日:2017-08-08
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/125 , G06F21/563
Abstract: 本发明提出一种基于网络检测的快速脱壳方法及系统,所述方法具体为:获取待检测加壳文件;确认待检测加壳文件需要检测的关键部分所处位置;根据关键部分所处位置,确认待检测加壳文件的脱壳范围;对脱壳范围内的待检测加壳文件进行脱壳处理;利用恶意代码检测特征,对脱壳部分进行检测,得到判定结果。通过本发明的方法及系统在检测带壳文件时,将还原文件从全部还原变为部分还原,避免了传统方法中脱壳操作占用系统资源久,脱壳速度慢的问题,有效提高脱壳效率。
-
公开(公告)号:CN103905417B
公开(公告)日:2018-02-16
申请号:CN201310557501.5
申请日:2013-11-12
Applicant: 国家计算机网络与信息安全管理中心 , 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种网络设备文件鉴定装置及方法,所述装置包括:数据处理模块捕获网络数据流,并将所述网络数据流还原为文件;引擎检测模块对数据处理模块还原的文件进行检测,并根据检测结果及用户配置,判断是否需要进行文件鉴定,如果是,则将所述文件发送到文件鉴定模块,否则将检测结果发送到统计模块;文件鉴定模块对引擎检测模块发送的文件进行文件鉴定,并将鉴定结果发送到统计模块;统计模块,汇总检测结果,并反馈给用户。通过本发明的方法,能够使网络设备具备文件鉴定的能力,解决了由于网络设备无法上传文件导致无法对文件进行鉴定的问题。
-
公开(公告)号:CN104966019B
公开(公告)日:2017-12-22
申请号:CN201410267588.7
申请日:2014-06-16
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种启发式文档威胁检测方法及系统,对于文档类文件,包括:office系列或者PDF,通过对待检测文档进行结构解析,获取静态信息,利用所述静态信息判断待检测文档是否夹带敏感数据,若夹带敏感数据,则对敏感数据进行格式解析,进一步判定敏感数据的格式是否是安全文档可夹带数据格式,若是,则待检测文档为低风险文档,否则判定是高风险文档。本发明给出的方法和系统,可以对文档类的未知威胁进行检测,并克服了传统检测方法复杂,效率低下等问题。
-
公开(公告)号:CN103905269B
公开(公告)日:2017-11-28
申请号:CN201310619430.7
申请日:2013-11-29
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种基于格式识别技术的网络双向检测方法及系统,所述方法包括:监控双向网络数据流,并抓取和缓存网络数据流中的数据包;判断所述数据包的文件格式信息与所对应URL所指向文件后缀名是否相同,如果是,则使用检测引擎检测;否则通知用户发现高危后缀伪装行为,并进行详细深度检测。同时本发明还提供了相应的检测系统。通过本发明内容,可以根据文件格式与URL格式不符,检测出具有伪装行为的数据流,进而告知用户威胁,同时由于检测环境在网络中,无需考虑网络数据传输方向的问题,能够对双向网络数据进行检测。
-
公开(公告)号:CN106657100A
公开(公告)日:2017-05-10
申请号:CN201611249289.6
申请日:2016-12-29
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: H04L63/1408 , H04L67/025
Abstract: 本发明提出基于数据包过滤的远程控制恶意程序检测方法及系统,该方法利用监测网络,获取预设时间段内的网络数据包,按照条件进行两次筛选出数据包大小在预设值范围内且通信IP固定的网络数据包,判断数据包的发包频率是否固定,若是则为可疑数据包,则可初步判定系统感染了远程控制恶意程序,然后对可疑数据包进行解析,获取其通信IP和内容,可对通信IP进行长期监测,并结合注册表查看工具,进程查看工具及系统日志判定系统是否被远程控制恶意程序感染。该方法可有效检测系统环境,检测是否有可疑数据包进而判断是否可能感染远程控制恶意软件,以便及时切断用户与服务器间的联系,有效的阻止重要信息的丢失。
-
Patent Agency Ranking
公开(公告)号:CN106612183A
公开(公告)日:2017-05-03
申请号:CN201611228655.X
申请日:2016-12-27
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L9/32
Abstract: 本发明提出了一种国产操作系统下应用软件的交叉数字签名方法及系统,包括:软件开发者将待发布软件拷贝至签名专用设备;签名专用设备对待发布软件进行签名;将生成的签名软件及签名证书发布到管理专用设备;管理专用设备对签名软件进行二次交叉签名,并生成交叉签名软件及交叉签名证书,并将所述交叉签名软件及交叉签名证书发布到应用商店。本发明同时还提出了对应的交叉数字签名系统,通过本发明,使用专用的签名设备进行交叉签名,加强了待发布软件的可信度,防止非法盗用证书产生的不良后果;同时能够实现对软件开发者身份的管理。
-
公开(公告)号:CN106599685A
公开(公告)日:2017-04-26
申请号:CN201610848325.4
申请日:2016-09-26
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/56 , G06F21/577
Abstract: 本发明公开了一种内核级Rootkit检测方法,包括:解析System.map符号表,获取静态符号名称和符号类型;解析kallsyms符号表,获取动态符号名称、符号类型以及符号所属模块;将kallsyms符号表与System.map符号表进行对比,判定系统是否存在Rootkit行为。目前针对未知Rootkit的解决方法是通过内核动态监控或虚拟机化执行分析技术进行检测,检测手段比较复杂,需要内核模块的编写,并且只能针对特定范围内的内核版本,不具备普适性,跨平台通用性较差。通过内核符号表对比的方法,可以在应用层实现Rootkit的判别与检测,又不受内核版本的约束,具有简易性与通用性。
-
公开(公告)号:CN105490998A
公开(公告)日:2016-04-13
申请号:CN201410762259.X
申请日:2014-12-12
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明提出了一种基于数字证书认证的安全信用评估方法,包括:根据数字证书认证库判断所述文件的数字证书状态;将所述待检测文件与已知黑名单比对,判断所述文件是否在黑名单中,并进行标记;将所述待检测文件与已知白名单比对,判断所述文件是否在白名单中,并进行标记;最后根据待检测文件的上述判断结果及预设安全信用标准,输出待检测文件的安全信用度。通过本发明的方法,不需要与数字证书认证服务器相连,定期更新本地库,即可对数字证书进行判断,并结合数字证书的判断结果及黑白名单匹配结果,综合给出待检测文件的安全信用度。
-
公开(公告)号:CN105488410A
公开(公告)日:2016-04-13
申请号:CN201510254384.4
申请日:2015-05-19
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/562
Abstract: 本发明提供了一种excel宏表病毒的检测方法及系统,包括:提取待检测excel文档中macro sheet substream流数据;分析macro sheet substream流数据,得到宏表中所有单元格的信息,并提取每个单元格的公式命令数据;提取每个公式命令数据中的token和公式长度;计算所有token和公式长度的哈希值;遍历恶意excel宏表病毒特征库,与所述哈希值匹配,匹配成功则所述待检测excel文档为恶意,否则非恶意。通过本发明的方法,能够有效的检测宏表病毒,并提出了一种excel宏表病毒的归一化检测方法。能够快速判断excel的宏表中是否存在恶意代码,同时有效减少特征数量。
-
公开(公告)号:CN103905419A
公开(公告)日:2014-07-02
申请号:CN201310641203.4
申请日:2013-12-04
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明提供了一种文件鉴定装置及方法,所述装置包括:静态检测模块,对网络设备发送来的文件进行静态检测,并根据检测结果及用户配置,判断是否需要进行动态检测,如果是则将所述文件发送到动态检测模块,否则执行统计模块;动态检测模块,用于对所述文件进行动态检测,记录并监控文件行为;统计模块,用于汇总检测结果,并反馈给用户。本发明还相应提供了文件鉴定方法,通过本发明的装置及方法,能够使网络设备在不需要将文件上传到反病毒厂商的情况下,进行文件鉴定,同时不占用网络设备自身资源,具有较高的工作及检测效率。
-
-
-
-
-
-
-
-
-
Search Results
92
records
(took 0.042 seconds)
