公开(公告)号：CN108197471A

公开(公告)日：2018-06-22

申请号：CN201711374957.2

申请日：2017-12-19

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 田永 ,  白波 ,  张江伟

IPC: G06F21/56 ,  G06K9/62

Abstract: 本发明公开了一种恶意软件检测方法及装置，所述方法包括：根据预设的每项行为，将模拟运行待检测的软件时存在的预设的行为作为目标行为；根据预先确定的预设的每项行为对应恶意软件的概率，确定软件存在的目标行为的目标概率，根据软件存在的目标行为的目标概率及预设的复合概率公式，确定软件的复合概率，其中针对预设的每项行为，根据恶意软件在模拟运行时存在该行为的第一概率，以及非恶意软件在模拟运行时存在该行为的第二概率确定该行为对应恶意软件的概率；判断复合概率是否大于预设的概率阈值；如果是，确定软件为恶意软件。由于在本发明实施例中，保证了预设的每项行为对应恶意软件的概率的准确性，进而提高了恶意软件检测的准确性。

公开(公告)号：CN108197471B

公开(公告)日：2020-07-10

申请号：CN201711374957.2

申请日：2017-12-19

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 田永 ,  白波 ,  张江伟

IPC: G06F21/56 ,  G06K9/62

Abstract: 本发明公开了一种恶意软件检测方法及装置，所述方法包括：根据预设的每项行为，将模拟运行待检测的软件时存在的预设的行为作为目标行为；根据预先确定的预设的每项行为对应恶意软件的概率，确定软件存在的目标行为的目标概率，根据软件存在的目标行为的目标概率及预设的复合概率公式，确定软件的复合概率，其中针对预设的每项行为，根据恶意软件在模拟运行时存在该行为的第一概率，以及非恶意软件在模拟运行时存在该行为的第二概率确定该行为对应恶意软件的概率；判断复合概率是否大于预设的概率阈值；如果是，确定软件为恶意软件。由于在本发明实施例中，保证了预设的每项行为对应恶意软件的概率的准确性，进而提高了恶意软件检测的准确性。

公开(公告)号：CN111698256B

公开(公告)日：2022-05-10

申请号：CN202010551313.1

申请日：2020-06-17

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 田永

IPC: H04L9/40 ,  G06F16/903 ,  G06F16/901

Abstract: 本发明涉及网络安全技术领域，尤其涉及检测非法链接的方法及装置。所述方法包括：获取待检测的目标网址，以及获取包含一个以上白名单网址的白名单网址集合；基于白名单网址集合，构建呈树状结构的网址有限状态自动机；在对网址有限状态自动机中的字符节点进行遍历的过程中，确定遍历到的当前字符节点相对于目标网址的节点相似度；判断节点相似度是否等于1；若等于1，则将目标网址确定为合法链接；若不等于1，则判断节点相似度是否大于预设相似度阈值；若小于或等于预设相似度阈值，则结束对当前字符节点对应的分支结构的遍历，跳转至下一分支结构进行遍历；若大于预设相似度阈值，则将目标网址确定为非法链接。本发明提高了检测效率。

公开(公告)号：CN113742475B

公开(公告)日：2024-07-26

申请号：CN202111060539.2

申请日：2021-09-10

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 田永 ,  范敦球 ,  吴铁军 ,  赵光远 ,  白睿

IPC: G06F16/335 ,  G06F21/56

Abstract: 本发明公开了一种office文档检测方法、装置、设备及介质，所述方法包括：提取office文档的宏；通过解析所述office文档的宏，确定所述office文档的模板特征参数；将确定出的所述office文档的模板特征参数与预先保存的黑白名单库中的模板特征参数进行匹配，检测所述office文档是否为恶意文档。基于同一个office文档模板，用户即使根据需要删减或增加相应内容，office文档的宏是不变的，因此，根据office文档的宏确定office文档的模板特征参数，然后基于模板特征参数检测office文档是否为恶意文档，解决了现有技术检测office文档的局限性较大的问题。

公开(公告)号：CN113742475A

公开(公告)日：2021-12-03

申请号：CN202111060539.2

申请日：2021-09-10

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 田永 ,  范敦球 ,  吴铁军 ,  赵光远 ,  白睿

IPC: G06F16/335 ,  G06F21/56

Abstract: 本发明公开了一种office文档检测方法、装置、设备及介质，所述方法包括：提取office文档的宏；通过解析所述office文档的宏，确定所述office文档的模板特征参数；将确定出的所述office文档的模板特征参数与预先保存的黑白名单库中的模板特征参数进行匹配，检测所述office文档是否为恶意文档。基于同一个office文档模板，用户即使根据需要删减或增加相应内容，office文档的宏是不变的，因此，根据office文档的宏确定office文档的模板特征参数，然后基于模板特征参数检测office文档是否为恶意文档，解决了现有技术检测office文档的局限性较大的问题。

公开(公告)号：CN111698256A

公开(公告)日：2020-09-22

申请号：CN202010551313.1

申请日：2020-06-17

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 田永

IPC: H04L29/06 ,  G06F16/903 ,  G06F16/901

Abstract: 本发明涉及网络安全技术领域，尤其涉及检测非法链接的方法及装置。所述方法包括：获取待检测的目标网址，以及获取包含一个以上白名单网址的白名单网址集合；基于白名单网址集合，构建呈树状结构的网址有限状态自动机；在对网址有限状态自动机中的字符节点进行遍历的过程中，确定遍历到的当前字符节点相对于目标网址的节点相似度；判断节点相似度是否等于1；若等于1，则将目标网址确定为合法链接；若不等于1，则判断节点相似度是否大于预设相似度阈值；若小于或等于预设相似度阈值，则结束对当前字符节点对应的分支结构的遍历，跳转至下一分支结构进行遍历；若大于预设相似度阈值，则将目标网址确定为非法链接。本发明提高了检测效率。