-
公开(公告)号:CN106845227B
公开(公告)日:2019-09-13
申请号:CN201611228959.6
申请日:2016-12-27
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提出一种基于ragel状态机的恶意脚本检测方法及系统,通过解析已知恶意脚本文件,提取恶意字符串ragel正则表达式组成检测特征库源文件;并将所述检测特征库源文件编译为待检测脚本文件的语言;利用ragel正则状态机检测待检测脚本文件;判断待检测脚本文件与检测特征库源文件中的ragel正则表达式是否匹配,如果是,则所述待检测脚本文件为恶意,否则所述待检测脚本文件为普通文件。通过本发明的技术方案,无需每条特征都对待检测文件进行全文搜索,能够加快检测恶意脚本的速度,且本技术方案利用了ragel有限状态机编译器,可以生成不同目标语言下的检测源文件,适用面更广泛。
-
公开(公告)号:CN110119618A
公开(公告)日:2019-08-13
申请号:CN201811291818.8
申请日:2018-10-31
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种恶意脚本的检测方法及装置,其中,方法包括以下步骤:获取待测脚本,并通过词法语法分析获取待测脚本的多个逻辑分块;对多个逻辑分块的每个逻辑分块进行动态处理,并获取每个逻辑块的处理结果;根据每个逻辑块的处理结果获取待测脚本的恶意检测结果。该方法能够使得恶意代码能够在动态检测中无条件执行,快速准确的检测出恶意脚本真正的恶意行为,实现恶意脚本的有效检测,从而有效提高检测的准确性和可靠性,进而使得用户可以避免遭受恶意脚本的攻击,提升用户的使用体验。
-
公开(公告)号:CN105490998B
公开(公告)日:2019-05-07
申请号:CN201410762259.X
申请日:2014-12-12
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明提出了一种基于数字证书认证的安全信用评估方法,包括:根据数字证书认证库判断所述文件的数字证书状态;将所述待检测文件与已知黑名单比对,判断所述文件是否在黑名单中,并进行标记;将所述待检测文件与已知白名单比对,判断所述文件是否在白名单中,并进行标记;最后根据待检测文件的上述判断结果及预设安全信用标准,输出待检测文件的安全信用度。通过本发明的方法,不需要与数字证书认证服务器相连,定期更新本地库,即可对数字证书进行判断,并结合数字证书的判断结果及黑白名单匹配结果,综合给出待检测文件的安全信用度。
-
公开(公告)号:CN105095330B
公开(公告)日:2019-05-07
申请号:CN201410706064.3
申请日:2014-12-01
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F16/16 , G06F16/174
Abstract: 本发明公开了一种基于压缩包内容的文件格式识别方法,包括特征提取阶段和文件识别阶段,特征提取阶段获取压缩包类型文件,并提取压缩包类型文件中所有的文件名称,通过统计分析,得到每种压缩包格式的特征标识,并形成特征库,文件识别阶段获取待识别文件,判断待识别文件是否为压缩包类型,获取压缩包类型的待识别文件中包含的所有文件名称,将这些文件名称与特征库中的特征进行匹配,最终报告待识别文件的文件格式。本发明还提出了一种基于压缩包内容的文件格式识别系统,弥补了现有格式识别技术在识别压缩包类型文件时只显示为压缩包文件,而不能精确识别具体压缩包格式的缺陷。
-
公开(公告)号:CN108429714A
公开(公告)日:2018-08-21
申请号:CN201710009636.6
申请日:2017-01-06
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
CPC classification number: H04L63/1408 , H04L63/1416 , H04L63/1425 , H04L63/1458
Abstract: 本发明公开了一种基于向量标注的针对安全对象的画像方法及系统,包括:分析数据源并提取元数据;基于预设规则对元数据进行向量提取,并用标签来指代提取的向量;将标注在元数据上的标签对应到主体、客体和行为上,并对已标注标签的元数据集合进行统计计数;基于统计计数的结果发现标签间的强关联性,进而对相应标签对应的主体、客体和行为进行群体划分;根据群体划分的结果及具备强关联性的标签生成各群体描述信息;其中,所述元数据是指用于表征数据源的描述特征。本发明所述技术方案给出了一种用户可感知的威胁向量提取和画像系统。
-
Patent Agency Ranking
公开(公告)号:CN104965837B
公开(公告)日:2018-07-03
申请号:CN201410450799.4
申请日:2014-09-05
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F17/30
Abstract: 本发明提供了一种基于分块迭代的网络破损文件还原方法及系统,所述方法为,多次获取网络中来源于同一网络的样本集合,根据确定的初始分块数量,确定平均分块大小,并对样本集中的各文件进行分块,并计算各文件分块对应字节码序列的HASH值,循环逐层对比文件样本集中各文件同一层文件分块的HASH值,并确定当前层的还原文件块,根据各层确定的还原文件块,计算还原文件的破损率,如果破损率未超出预设值,则根据还原文件块对应的字节码序列还原文件。相应的本发明还提供了文件还原系统。通过本发明的方法及系统,能够对在网络传输过程中因传输问题导致破损的文件进行还原,最大程度的保证文件的完整性。
-
公开(公告)号:CN108182364A
公开(公告)日:2018-06-19
申请号:CN201711479169.X
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/563 , G06F2221/033
Abstract: 本发明提出了一种基于调用依赖关系识别攻击同源的方法及系统,所述方法包括:建立调用依赖关系特征库;分析未知攻击组织的恶意代码;提取未知攻击组织的恶意代码的调用依赖关系;将提取的调用依赖关系与调用依赖关系特征库进行关联分析;获取关联分析结果,并进行解析,获取与未知攻击组织的恶意代码具有依赖调用关系的已知攻击组织的恶意代码,则所述未知攻击组织的恶意代码与已知攻击组织的恶意代码同源。通过本发明的方法,能够通过恶意代码之间的调用关系进行同源分析,对于无网络行为的恶意代码同样具有识别能力。
-
公开(公告)号:CN108171020A
公开(公告)日:2018-06-15
申请号:CN201711427799.2
申请日:2017-12-26
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/14 , G06F21/6209 , G06F2221/2107
Abstract: 本发明提出了一种基于文件结构的压缩壳识别方法、系统及存储介质,所述方法根据压缩壳文件的特性,进行未知压缩壳的识别,通过确定可执行文件的第一个节的实际大小为0,但虚拟大小不为0,且第一个节的权限包括可读、可写、可执行,并同时具有解压缩代码,能够确定当前待检测文件具有未知的压缩壳。同时本发明还提出相应系统及存储介质。通过本发明的方法及系统,能够在不依赖传统的特征匹配的条件下,快速判断待检测文件是否带有压缩壳,弥补了传统的基于特征比较的可识别方式对未知壳无法识别的缺陷,提高了对未知压缩壳的反应速度。
-
公开(公告)号:CN108090353A
公开(公告)日:2018-05-29
申请号:CN201711067476.7
申请日:2017-11-03
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/562
Abstract: 本发明提出一种基于知识驱动的加壳代码回归检测方法及系统,所述方法包括:建立特征综合数据库,获取待检测加壳样本;将待检测加壳样本的解压代码放入样本解释器中进行短特征匹配,如果匹配成功,则根据短特征在推理机中对应的解密算法,对待检测加壳样本进行解密,并将解密后的数据提取短特征,录入明文知识库;否则,通过推理机直接对待检测加壳样本提取特征,录入密文知识库。本发明还相应给出该方法的系统、存储介质及程序产品。本发明的方法通过明文知识库和密文知识库组成的综合数据库,对加壳码进行协同检测,并且采用回归方式不断更新知识库,能够适应检测代码和检测方式的不断变化。
-
公开(公告)号:CN108073814A
公开(公告)日:2018-05-25
申请号:CN201711478620.6
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/562 , G06F2221/033
Abstract: 本发明提出一种基于静态结构化脱壳参数的脱壳方法、系统及存储介质,包括:统计已知未被篡改的加壳样本中脱壳参数所在位置;建立脱壳参数位置特征库;顺序根据脱壳参数位置特征库中脱壳参数位置,获取待检测文件中对应位置的脱壳参数;检验脱壳参数是否合法,如果是,则尝试脱壳,否则获取下一脱壳参数位置进行脱壳;判断脱壳是否成功,如果成功,则所述待检测文件的壳与脱壳参数位置特征库中相应已知加壳样本相同;否则获取下一脱壳参数位置进行脱壳。本发明的脱壳方法,不依赖于脱壳标记,对于被篡改的壳文件,具有检测及脱壳能力。
-
-
-
-
-
-
-
-
-
Search Results
92
records
(took 0.074 seconds)
