公开(公告)号：CN105488401A

公开(公告)日：2016-04-13

申请号：CN201410770580.2

申请日：2014-12-15

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨安天科技股份有限公司

Inventor： 徐小琳 ,  郑礼雄 ,  李佳 ,  严寒冰 ,  张雨晨 ,  康学斌 ,  肖新光

IPC: G06F21/56

Abstract: 本发明提出了一种基于概率差异的噪音信息清除方法及系统，包括：获取未知样本的全部行为；分别计算未知样本各行为在恶意程序和可信程序中出现的概率；通过概率差和归一处理后，得到未知样本各行为的贡献度；计算未知样本各行为的贡献度之和，判定未知样本是否为恶意。本发明通过未知样本的行为在恶意程序和可信程序中出现的概率，计算贡献度，进而进一步计算并判断其是否为恶意，能够极大的减少对样本检测的误报。

公开(公告)号：CN106557693A

公开(公告)日：2017-04-05

申请号：CN201610299611.X

申请日：2016-05-09

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 王彦杰 ,  宋成伟 ,  严寒冰 ,  韩文奇 ,  肖新光

IPC: G06F21/55

CPC classification number: G06F21/554

Abstract: 本发明提出一种恶意Hook行为检测方法及系统，首先按规定创建系统函数的替代函数，其次监控系统中可执行程序的运行动态，判断是否有敏感Hook函数调用行为，若没有则放行，否则将相应可执行程序跳转到替代函数中进行处理。本发明对系统中可执行文件进行动态监控，有效检测恶意Hook行为，并通过替代函数的方式有效阻拦恶意行为的释放，保护系统数据安全；本发明通过替代函数的方式拦截恶意Hook行为，而不是直接将恶意Hook进程杀掉，该方式不影响系统中其他程序运行，能够充分维护系统稳定性。