-
公开(公告)号:CN105653939B
公开(公告)日:2019-07-26
申请号:CN201510407302.5
申请日:2015-07-13
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/55
Abstract: 本发明公开了一种防御文档溢出的方法及装置,包括:针对系统运行情况实时生成系统快照,当发现存在文档打开操作时停止快照生成;监控文档打开期间的系统操作,当发现存在应用程序启动请求,则提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行;监控文档打开期间的行为操作,并生成行为记录,判断是否存在可疑行为,若存在则阻断所述可疑行为,否则继续监控;当发现存在文档关闭操作时,则停止所有监控行为,恢复文档打开操作前生成的系统快照。本发明所述技术方案能够有效防御恶意代码通过文档感染系统的行为。
-
公开(公告)号:CN108073808A
公开(公告)日:2018-05-25
申请号:CN201711392050.9
申请日:2017-12-21
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/552 , H04L63/145 , H04L2463/146
Abstract: 本发明公开了一种基于pdb调试信息生成攻击者画像的方法、系统及存储介质,其中,所述方法包括:逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息,包括:恶意程序所属国家、攻击者ID、攻击项目名称、pdb文件的文件名;对提取的攻击者特征信息进行关联查询,输出查询结果。本发明利用海量攻击程序相关的pdb文件的路径信息,得到攻击者特征信息并进行关联查询,最终得到更贴近自然人的攻击者特征。
-
公开(公告)号:CN103902855B
公开(公告)日:2017-03-08
申请号:CN201310689374.4
申请日:2013-12-17
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种文件篡改检测及修复的方法及系统,所述方法为:扫描获得系统中所有可信文件的HASH值及文件路径,并进行存储;监控系统中的所有文件,与HASH库对比,判断是否有异常文件或新增文件,则根据常态规则库及常态模型进行匹配,如果常态模型匹配成功,则将匹配结果的规则添加到常态规则库中,否则提示用户进行处理。通过本发明的方法,能够有效识别系统中被篡改的文件或新增文件,并且常态规则库及常态模型的组合,能够对实时改变的文件或目录及时加入常态规则库,实现常态规则的自学习,减少用户操作。
-
公开(公告)号:CN105718361A
公开(公告)日:2016-06-29
申请号:CN201510745126.6
申请日:2015-11-06
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种设备行为记录系统及方法,包括:底层驱动模块,用于识别和连接硬件记录装置;权限限制模块,用于对硬件记录装置设置权限保护;校验模块,用于判断硬件记录装置是否成功连接,若失败,则禁止当前设备执行任何操作,否则允许当前设备执行操作,并启动硬件记录装置;行为记录模块,用于当校验模块校验成功后,对于当前设备所执行的所有操作进行记录,并将记录信息写入硬件记录装置中;硬件记录装置,用于接收行为记录模块传送来的记录信息并存储。本发明所述技术方案在设备中引入了硬件记录装置,能够记录当前设备的所有行为信息,便于后续取证和分析。
-
公开(公告)号:CN105653971A
公开(公告)日:2016-06-08
申请号:CN201510440597.6
申请日:2015-07-24
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/62
CPC classification number: G06F21/62
Abstract: 本发明公开了一种基于中间层的文件保护方法,包括:遍历除系统文件外的所有文件,并记录其基本信息,包括:文件名称、文件图标或者文件版本;分析所述文件的文件关联信息,并记录所述文件对应的打开程序路径、程序名称或者程序hash值;基于预设方法对所述文件进行变形处理,并保持文件的基本信息不变;当接收到针对所述文件的打开请求时,则基于预设方法对所述文件进行逆变形处理,并利用调用程序的相关信息打开所述文件。本发明还公开了一种基于中间层的文件保护装置,所述装置可以是U盘或者其他软件硬件的形式来实现。基于上述技术方案可以有效预防文件被盗取,内容被泄密或者被修改等问题。
-
公开(公告)号:CN104980300A
公开(公告)日:2015-10-14
申请号:CN201410551576.7
申请日:2014-10-17
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种基于网络环境对设备连网进行管控的系统及方法,包括,特制网卡,用于连接网络,并配置有唯一ID标识;特制网卡驱动模块包括驱动单元1、驱动单元2和/或驱动单元3,并利用网卡管理中心对驱动单元1发送来的设备信息进行匹配,若不匹配则启动驱动单元2和/或驱动单元3进行禁止使用硬件设备或者设置BIOS密码、开机密码等操作。本发明能够根据目前的设备信息判断是否在设定的安全网络环境中,或者是否是新增设备,从而对其是否可以连网进行控制,可以有效阻止离开预设安全网络环境的设备或者新增设备连接网络,从而有效保护企业或者部门的信息安全。
-
公开(公告)号:CN102841990B
公开(公告)日:2015-07-22
申请号:CN201110357893.1
申请日:2011-11-14
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提供了一种基于统一资源定位符的恶意代码检测方法,包括:监控计算机操作系统,获取系统访问网络的URL;通过解析所述URL得到所述URL的Query域信息;将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配;如果匹配成功,则判断恶意代码存在,根据预设操作进行相应处理;否则继续监控。本发明还提供了一种基于统一资源定位符的恶意代码检测系统。本发明使用方式简单,不必使用庞大的病毒特征数据,针对盗号类恶意代码具有非常好的检出率。
-
公开(公告)号:CN103916288A
公开(公告)日:2014-07-09
申请号:CN201310734546.5
申请日:2013-12-27
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种基于网关与本地的Botnet检测方法及系统,首先,分别进行主机流量监控和网关流量监控,实时抓取网络数据包;通过解析获取网络数据包内容信息和时间信息;判断网络数据包之间的内容相似度、时间相似度或者主机网络行为,上述三种检测操作根据需要进行组合使用,并分别设置权值,判断总权值是否达到预警值,若是,则认为存在Botnet,并报警,否则认为安全。本发明所给出的技术方案解决了特征码查杀与网络流量技术中的检测滞后性问题,并且不需要蜜罐技术那样的机群搭建,更加节省资源与时间。
-
公开(公告)号:CN102841990A
公开(公告)日:2012-12-26
申请号:CN201110357893.1
申请日:2011-11-14
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/00
Abstract: 本发明提供了一种基于统一资源定位符的恶意代码检测方法,包括:监控计算机操作系统,获取系统访问网络的URL;通过解析所述URL得到所述URL的Query域信息;将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配;如果匹配成功,则判断恶意代码存在,根据预设操作进行相应处理;否则继续监控。本发明还提供了一种基于统一资源定位符的恶意代码检测系统。本发明使用方式简单,不必使用庞大的病毒特征数据,针对盗号类恶意代码具有非常好的检出率。
-
-
-
-
-
-
-
-