-
公开(公告)号:CN103580949A
公开(公告)日:2014-02-12
申请号:CN201210578030.1
申请日:2012-12-27
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种可切换的非完整流和完整流检测方法及系统,首先,获取网络数据流前部预设数量的数据包并进行还原,然后对还原出的部分数据进行病毒的检测;继续获取所述数据流的数据包,如果数据包接收失败或者所述数据流的数据包已经接收完成,则对所接收的所有数据包进行还原并进行病毒检测。从而,既可以在无法获取完整流时进行非完整流检测,又可以在非完整流检测失败或者需要时进行完整流检测,既减少了系统占用,提高了检测效率,也保证了检出率。
-
公开(公告)号:CN102340428A
公开(公告)日:2012-02-01
申请号:CN201110298976.8
申请日:2011-09-29
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种基于网络丢包的URL检测与拦截方法,包括:监控网络数据包,判断所述网络数据包是发送数据包还是返回数据包;若所述网络数据包是发送数据包,判断所述发送数据包中是否包含URL并进行相应的处理;若所述网络数据包是返回数据包,判断所述返回数据包的信息是否记录在所述的URL和URL相关信息中,并进行相应的处理。本发明还提供了一种基于网络丢包的URL检测与拦截系统。本发明利用TCP协议的数据校验机制对URL进行异步检测。通过测试本方面的技术方案达到了URL在用户态检测的要求,能够拦截危险的URL访问网络。
-
公开(公告)号:CN110135153A
公开(公告)日:2019-08-16
申请号:CN201811295818.5
申请日:2018-11-01
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种软件的可信检测方法及装置,其中,方法包括以下步骤:检测待测可信软件是否可信;如果待测软件可信,则提取待测可信软件的PE文件中多个信标;检测多个信标是否均属于可信信标库,并在多个信标中任意一个信标不属于可信信标库时,判定待测可信软件被仿冒或篡改。该方法可以有效检测对可信软件的仿冒或篡改,尤其是可以准确检测内嵌恶意信标而实现恶意目的的行为,提高检测的准确性和可靠性,有效避免用户遭受恶意代码攻击,提高用户使用体验。
-
公开(公告)号:CN105740706B
公开(公告)日:2019-05-07
申请号:CN201510985230.2
申请日:2015-12-25
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提出一种基于API名称和立即数的启发式样本检测方法及系统,包括:获取系统文件的全部导出函数名称,并计算各导出函数名称的散列值;将所有导出函数名称的散列值形成散列匹配库;遍历待检测样本的全部指令中所包含的立即数;将所述立即数与散列匹配库中的散列值匹配,并计算匹配成功的立即数个数;判断所述匹配成功的立即数个数是否超过阈值,如果是,则所述待检测样本为恶意文件,否则所述待检测样本为普通文件。本发明通过对API名称进行散列计算与待检测样本的立即数匹配,能够快速发现存在隐藏自身API调用的恶意代码样本。
-
公开(公告)号:CN108171014A
公开(公告)日:2018-06-15
申请号:CN201711484553.9
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/10 , H04L63/1408
Abstract: 本发明提出一种RTF可疑文件的检测方法、系统及存储介质,所述方法包括:获取RTF文件中objdata数据段;搜索objdata数据段中是否同时存在16进制数据及非16进制数据;如果存在,则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值,如果是,则所述objdata数据段被混淆,即所述RTF文件可疑,否则所述objdata数据段未被混淆,即RTF文件正常。通过本发明的方法,能够有效识别在RTF中进行混淆的文件,解决现有依据特征进行检测的技术中,由于特征被混杂文件打乱而无法检测的问题。
-
Patent Agency Ranking
公开(公告)号:CN108073815A
公开(公告)日:2018-05-25
申请号:CN201711482612.9
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/563 , G06F2221/033
Abstract: 本发明提出一种基于代码切片的家族判定方法、系统及存储介质,所述方法包括,获取待检测文件,并判断文件格式;根据文件格式,按照最小功能的结构化数据块对待检测文件进行文件切片;分别计算各切片的模糊哈希;利用相似度计算方法,将各切片的模糊哈希与恶意代码切片特征库进行关联分析,得到与待检测文件相似的已知样本;确定关联分析后相似度最高的已知样本;则所述待检测文件与所述相似度最高的已知样本为同一恶意代码家族。本发明不需要了解恶意代码特性及特征码额提取,仅通过了解文件结构,即可利用相似度判定恶意代码的家族。
-
公开(公告)号:CN108073809A
公开(公告)日:2018-05-25
申请号:CN201711420803.2
申请日:2017-12-25
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/55
CPC classification number: G06F21/55
Abstract: 本发明提出一种基于异常组件关联的APT启发式检测方法及系统,发明方法包括:监控系统中的全部启动进程;记录全部组件的调用关系及组件环境信息,并缓存到缓存知识库;对系统新获取的组件,记录其调用关系及组件环境信息;将新获取的组件的调用关系及组件环境信息与缓存知识库匹配,基于匹配规则,判断系统内的组件是否异常,如果是,则向用户告警,并提示风险,否则将所述新获取的组件的调用关系及组件环境信息存储到缓存知识库中。本发明还提出相应系统及存储介质。通过本发明的方法,可以有效检测组件化,模块化,工程化,高隐蔽性,复杂的APT攻击。
-
公开(公告)号:CN106648676A
公开(公告)日:2017-05-10
申请号:CN201611237195.7
申请日:2016-12-28
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提出一种利用运行时库识别编译器的方法及系统,提取已知不同类型及版本编译器编译的二进制文件的运行时库特征码,并构造成为编译器识别特征库;获取待识别的二进制可执行文件;检测待识别的二进制可执行文件入口点附近是否包含编译器识别特征库中的运行时库特征码,如果是,则所述待识别的二进制可执行文件编译器类型为可识别的,输出编译器信息;否则待识别的二进制可执行文件可能为压缩加密类型,如果是加密类型,则对待识别的二进制可执行文件解密处理后,再进行编译器识别;否则待识别的二进制可执行文件的编译器无法识别。本发明不需要对二进制可执行文件进行详细分析,只需查看程序入口点,即可确认详细的编译器类型及版本等信息。
-
公开(公告)号:CN105677558A
公开(公告)日:2016-06-15
申请号:CN201510380606.7
申请日:2015-07-02
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F11/36
Abstract: 一种基于形式归一化的脚本启发式检测方法及系统,包括:获取待检测脚本;对待检测脚本进行标准化处理,删除无作用的代码及字符;对待检测脚本的结构及语法分析,获得可变化名称;将所述可变化名称进行统一命名处理,并建立统一命名处理前后的可变化名称的对应关系;根据对应关系,依次替换待检测脚本中的可变化名称,输出新的待检测脚本;将新的待检测脚本提交给反病毒引擎进行检测。通过本发明的方法及系统,可以有效对抗通过变换名称来逃避反病毒引擎检测的恶意代码。
-
公开(公告)号:CN105654106A
公开(公告)日:2016-06-08
申请号:CN201510419436.9
申请日:2015-07-17
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06K9/62
CPC classification number: G06K9/6282
Abstract: 本发明提出了一种决策树生成方法及系统,所述方法包括:获取训练样本集及样本属性,统计每个样本属性在训练样本集中不同取值的种类数,根据其并分别计算每个样本属性的区分度,选择区分度最高的样本属性作为决策树分支划分的依据属性;将划分后的训练样本集继续按照上述方法递归计算划分,直到分支节点达到预设的阈值,决策树生成完成。本发明还给出了对应的系统,通过本发明的方法,能够合理进行决策树划分属性的选择,使得划分的结果更准确并具有实用价值。
-
-
-
-
-
-
-
-
-
Search Results
92
records
(took 0.034 seconds)
