-
公开(公告)号:CN105024989B
公开(公告)日:2018-09-07
申请号:CN201410688920.7
申请日:2014-11-26
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明提出了一种基于异常端口的恶意URL启发式检测方法,在特征提取阶段利用已知恶意URL作为训练数据,获取恶意URL端口数据,过滤满足规定的常规端口数据,将保留的非常规端口数据作为特征标识,并形成特征库,在URL检测阶段,先获取待检测URL端口数据,然后将获取的端口数据与特征库中的特征标识进行匹配,最后返回检测结果,本发明还提出了一种基于异常端口的恶意URL启发式检测系统。本发明以端口数据作为匹配特征,利用启发式思想对URL进行检测,弥补了现有URL检测技术中,病毒特征库数据量过大、占用系统资源过多、不能很好的保证检测效率的不足。
-
公开(公告)号:CN108229168A
公开(公告)日:2018-06-29
申请号:CN201711489577.3
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/562 , G06F16/2462
Abstract: 本发明提出一种嵌套类文件的启发式检测方法、系统及存储介质,所述方法包括:对获取的嵌套类文件进行文件拆分;获取拆分出的文件类型,并对文件类型进行规则化处理,整理为知识数据;将所述知识数据与知识库进行匹配;若匹配成功,则所述嵌套类文件存在恶意,输出检测结果,结束检测;否则对未匹配成功的嵌套类文件进行恶意性分析。本发明不需要进行复杂的逻辑分析,也不需要虚拟环境来动态执行脚本,而是基于嵌套类文件基于异常环境下将会产生威胁行为这一性质来进行启发式检测,可以有效的提高检测的速度、准确度等。
-
公开(公告)号:CN108197466A
公开(公告)日:2018-06-22
申请号:CN201711418452.1
申请日:2017-12-25
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/552 , G06F21/562
Abstract: 本发明提出一种基于判定策略前置的反病毒引擎检测方法及系统:反病毒引擎向终端输出全部向量检测规则;用户根据终端系统需求,选择相应向量检测规则建立防御配置策略;生成用户向量检测规则;获取待检测文件;基于用户向量检测规则,检测待检测文件;判断是否存在威胁,如果是,则对用户进行告警;否则所述待检测文件无威胁。本发明还给出相应系统及存储介质技术方案。通过本发明的方法,能够增加检测和防御结果的不确定性,可以有效应对攻击者的攻击尝试,增加用户针对自身环境特点的防御能力。用户由被动防御方案的接受者,转变为主动进行防御方案定制,使得反病毒引擎判定策略由厂商判定转变为厂商和用户共同判定。
-
公开(公告)号:CN108076038A
公开(公告)日:2018-05-25
申请号:CN201710458777.6
申请日:2017-06-16
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
CPC classification number: H04L63/1425 , H04L63/1416 , H04L63/1441 , H04L2463/146
Abstract: 本发明提出一种基于服务器端口的C&C服务器判断方法及系统,包括:收集整理非官方或服务器提供商的服务器列表;定期记录服务器列表中的服务器开启或关闭非常规端口的信息;判断是否有服务器不定周期开启或关闭非常规服务端口;如果是,则所述服务器为C&C服务器;否则结束判断;根据记录的服务器开启或关闭非常规端口的信息,对所述C&C服务器进行分类,初步判定服务器之间的关联关系。本发明还提出相应系统,解决了传统方法中,存在人力分析效率低和沙盒与虚拟机占用资源高且不能事前发现潜在网络威胁的缺点,能够做到发现潜在的C&C服务器,而且能够根据判断结果进行同源跟踪。
-
公开(公告)号:CN108073812A
公开(公告)日:2018-05-25
申请号:CN201710669523.9
申请日:2017-08-08
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/563 , G06F2221/033
Abstract: 本发明提出了一种基于反汇编的PE程序入口点归一化方法及系统,所述方法通过对可执行文件的入口点进行预设条数的反汇编操作,并判断是否是跳转指令或者隐式跳转指令,如果是跳转指令或隐式跳转指令,则将可执行文件的入口点指向目标跳转地址,然后让反病毒软件重新进行扫描识别。通过本发明的方法及系统,能够对修改可执行文件入口点位置的恶意代码进行有效的分析及对抗,最大程度保证基于入口点分析恶意代码的程序可以正确工作。
-
Patent Agency Ranking
公开(公告)号:CN106650450A
公开(公告)日:2017-05-10
申请号:CN201611249315.5
申请日:2016-12-29
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/563
Abstract: 本发明提出一种基于代码指纹识别的恶意脚本启发式检测方法及系统,所述方法包括:提取待检测脚本文件中的代码指纹属性;将代码指纹属性生成代码指纹;将所述代码指纹与代码指纹库匹配,若匹配成功,则待检测脚本文件为恶意,并确定待检测脚本文件来源;否则对待检测脚本文件进行分析;分析待检测脚本文件,若所述待检测脚本分析结果为恶意,则将提取到的代码指纹及代码来源添加到代码指纹库;若所述待检测脚本分析结果为非恶意,则放行所述待检测脚本文件。通过发明的方法,不需要进行复杂的逻辑分析或虚拟环境执行脚本,即可有效的进行未知脚本的检测。
-
公开(公告)号:CN106650449A
公开(公告)日:2017-05-10
申请号:CN201611245850.3
申请日:2016-12-29
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提出一种基于变量名混淆程度的脚本启发式检测方法及系统,通过收集英文单词语料库;并使用监督类型的机器学习方法对收集到的语料库进行分类模型训练;将待检测脚本中提取出的变量名输入分类模型,对输出结果进行统计,如果统计结果中有一项或多项大于预设值,则待检测脚本为恶意。通过本发明的方法解决了现有脚本检测维护复杂,资源占用高、运行速度慢的问题。
-
公开(公告)号:CN106650426A
公开(公告)日:2017-05-10
申请号:CN201611127815.1
申请日:2016-12-09
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/53 , G06F21/566
Abstract: 本发明提出一种动态提取可执行文件内存映像的方法及系统,包括:利用虚拟机加载目标可执行文件;根据预设间隔频率定时提取目标可执行文件的内存映像;对提取出来的内存映像进行消重;将消重后的所有内存映像保存并提交检测程序检测。通过本发明的方法,不会遗漏可执行文件的内存映像,解决了恶意代码按需释放真实恶意代码躲避查杀的问题。
-
公开(公告)号:CN103902905B
公开(公告)日:2017-02-15
申请号:CN201310691228.5
申请日:2013-12-17
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提供了一种软件结构聚类的恶意代码生成器识别方法及系统。本发明的方法通过找到相同时间戳的样本,并提取相同时间戳样本的软件结构信息构造向量,通过计算Simhash值,找到Simhash距离小于指定值的样本,则能够判断该类样本具有相似的文件结构,为恶意代码生成器生成的代码。同样本发明还给出了相应的系统结构。通过本发明的方法,能够利用生成器与编译产生的软件结构的差异,发现生成器,并利用大规模相似性找到软件结构相似的样本。
-
公开(公告)号:CN105488403A
公开(公告)日:2016-04-13
申请号:CN201410807630.X
申请日:2014-12-23
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及系统,包括:加载特征码库;获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;提取所述待检测PE文件的全部未使用字段;将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。本发明通过对PE文件的格式进行解析,获取一些特定的字段进行检测,加快了检测的速度,减小了内存使用,并且对于利用这些字段进行反抗检测软件的行为能够有效检出。
-
-
-
-
-
-
-
-
-
Search Results
92
records
(took 0.039 seconds)
