-
公开(公告)号:CN102843270A
公开(公告)日:2012-12-26
申请号:CN201110257457.7
申请日:2011-09-02
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种基于URL与本地文件关联的可疑URL检测方法,包括:获取系统访问的URL;判断获取的URL是否进行文件下载;如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件,根据判断结果对所述URL做进一步处理。本发明还公开了一种基于URL与本地文件关联的可疑URL检测装置。本发明将传统的启发式检测和URL关联一起,每个恶意代码都能查到下载它的URL,不仅能将可疑文件甄别出来,而且能够提供下载这个可疑文件的URL,对进一步分析和阻止恶意代码传播提供有力条件。
-
公开(公告)号:CN102841990A
公开(公告)日:2012-12-26
申请号:CN201110357893.1
申请日:2011-11-14
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/00
Abstract: 本发明提供了一种基于统一资源定位符的恶意代码检测方法,包括:监控计算机操作系统,获取系统访问网络的URL;通过解析所述URL得到所述URL的Query域信息;将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配;如果匹配成功,则判断恶意代码存在,根据预设操作进行相应处理;否则继续监控。本发明还提供了一种基于统一资源定位符的恶意代码检测系统。本发明使用方式简单,不必使用庞大的病毒特征数据,针对盗号类恶意代码具有非常好的检出率。
-
公开(公告)号:CN102760218A
公开(公告)日:2012-10-31
申请号:CN201110421910.3
申请日:2011-12-16
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供一种基于动态链接库的病毒特征库共享方法及装置,所述方法包括:将病毒特征库编译为病毒特征库动态链接库;反病毒引擎请求加载病毒特征库;加载病毒特征库对应的病毒特征库动态链接库;获得操作系统反馈的内存中的病毒特征库地址。本发明运用操作系统在内存中只保留一份动态链接库特性,实现了病毒特征库的共享,节省内存,以及动态链接库写时拷贝(WriteOnCopy)的特性,将病毒特征库储存在动态链接库中,当反病毒软件需要加载病毒特征库时,只需要加载动态链接库就可以得到病毒特征库。
-
公开(公告)号:CN106845227B
公开(公告)日:2019-09-13
申请号:CN201611228959.6
申请日:2016-12-27
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提出一种基于ragel状态机的恶意脚本检测方法及系统,通过解析已知恶意脚本文件,提取恶意字符串ragel正则表达式组成检测特征库源文件;并将所述检测特征库源文件编译为待检测脚本文件的语言;利用ragel正则状态机检测待检测脚本文件;判断待检测脚本文件与检测特征库源文件中的ragel正则表达式是否匹配,如果是,则所述待检测脚本文件为恶意,否则所述待检测脚本文件为普通文件。通过本发明的技术方案,无需每条特征都对待检测文件进行全文搜索,能够加快检测恶意脚本的速度,且本技术方案利用了ragel有限状态机编译器,可以生成不同目标语言下的检测源文件,适用面更广泛。
-
公开(公告)号:CN110119618A
公开(公告)日:2019-08-13
申请号:CN201811291818.8
申请日:2018-10-31
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种恶意脚本的检测方法及装置,其中,方法包括以下步骤:获取待测脚本,并通过词法语法分析获取待测脚本的多个逻辑分块;对多个逻辑分块的每个逻辑分块进行动态处理,并获取每个逻辑块的处理结果;根据每个逻辑块的处理结果获取待测脚本的恶意检测结果。该方法能够使得恶意代码能够在动态检测中无条件执行,快速准确的检测出恶意脚本真正的恶意行为,实现恶意脚本的有效检测,从而有效提高检测的准确性和可靠性,进而使得用户可以避免遭受恶意脚本的攻击,提升用户的使用体验。
-
Patent Agency Ranking
公开(公告)号:CN105490998B
公开(公告)日:2019-05-07
申请号:CN201410762259.X
申请日:2014-12-12
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明提出了一种基于数字证书认证的安全信用评估方法,包括:根据数字证书认证库判断所述文件的数字证书状态;将所述待检测文件与已知黑名单比对,判断所述文件是否在黑名单中,并进行标记;将所述待检测文件与已知白名单比对,判断所述文件是否在白名单中,并进行标记;最后根据待检测文件的上述判断结果及预设安全信用标准,输出待检测文件的安全信用度。通过本发明的方法,不需要与数字证书认证服务器相连,定期更新本地库,即可对数字证书进行判断,并结合数字证书的判断结果及黑白名单匹配结果,综合给出待检测文件的安全信用度。
-
公开(公告)号:CN105095330B
公开(公告)日:2019-05-07
申请号:CN201410706064.3
申请日:2014-12-01
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F16/16 , G06F16/174
Abstract: 本发明公开了一种基于压缩包内容的文件格式识别方法,包括特征提取阶段和文件识别阶段,特征提取阶段获取压缩包类型文件,并提取压缩包类型文件中所有的文件名称,通过统计分析,得到每种压缩包格式的特征标识,并形成特征库,文件识别阶段获取待识别文件,判断待识别文件是否为压缩包类型,获取压缩包类型的待识别文件中包含的所有文件名称,将这些文件名称与特征库中的特征进行匹配,最终报告待识别文件的文件格式。本发明还提出了一种基于压缩包内容的文件格式识别系统,弥补了现有格式识别技术在识别压缩包类型文件时只显示为压缩包文件,而不能精确识别具体压缩包格式的缺陷。
-
公开(公告)号:CN108429714A
公开(公告)日:2018-08-21
申请号:CN201710009636.6
申请日:2017-01-06
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
CPC classification number: H04L63/1408 , H04L63/1416 , H04L63/1425 , H04L63/1458
Abstract: 本发明公开了一种基于向量标注的针对安全对象的画像方法及系统,包括:分析数据源并提取元数据;基于预设规则对元数据进行向量提取,并用标签来指代提取的向量;将标注在元数据上的标签对应到主体、客体和行为上,并对已标注标签的元数据集合进行统计计数;基于统计计数的结果发现标签间的强关联性,进而对相应标签对应的主体、客体和行为进行群体划分;根据群体划分的结果及具备强关联性的标签生成各群体描述信息;其中,所述元数据是指用于表征数据源的描述特征。本发明所述技术方案给出了一种用户可感知的威胁向量提取和画像系统。
-
公开(公告)号:CN104965837B
公开(公告)日:2018-07-03
申请号:CN201410450799.4
申请日:2014-09-05
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F17/30
Abstract: 本发明提供了一种基于分块迭代的网络破损文件还原方法及系统,所述方法为,多次获取网络中来源于同一网络的样本集合,根据确定的初始分块数量,确定平均分块大小,并对样本集中的各文件进行分块,并计算各文件分块对应字节码序列的HASH值,循环逐层对比文件样本集中各文件同一层文件分块的HASH值,并确定当前层的还原文件块,根据各层确定的还原文件块,计算还原文件的破损率,如果破损率未超出预设值,则根据还原文件块对应的字节码序列还原文件。相应的本发明还提供了文件还原系统。通过本发明的方法及系统,能够对在网络传输过程中因传输问题导致破损的文件进行还原,最大程度的保证文件的完整性。
-
公开(公告)号:CN108182364A
公开(公告)日:2018-06-19
申请号:CN201711479169.X
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/563 , G06F2221/033
Abstract: 本发明提出了一种基于调用依赖关系识别攻击同源的方法及系统,所述方法包括:建立调用依赖关系特征库;分析未知攻击组织的恶意代码;提取未知攻击组织的恶意代码的调用依赖关系;将提取的调用依赖关系与调用依赖关系特征库进行关联分析;获取关联分析结果,并进行解析,获取与未知攻击组织的恶意代码具有依赖调用关系的已知攻击组织的恶意代码,则所述未知攻击组织的恶意代码与已知攻击组织的恶意代码同源。通过本发明的方法,能够通过恶意代码之间的调用关系进行同源分析,对于无网络行为的恶意代码同样具有识别能力。
-
-
-
-
-
-
-
-
-
Search Results
95
records
(took 0.069 seconds)
