-
公开(公告)号:CN108229168A
公开(公告)日:2018-06-29
申请号:CN201711489577.3
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/562 , G06F16/2462
Abstract: 本发明提出一种嵌套类文件的启发式检测方法、系统及存储介质,所述方法包括:对获取的嵌套类文件进行文件拆分;获取拆分出的文件类型,并对文件类型进行规则化处理,整理为知识数据;将所述知识数据与知识库进行匹配;若匹配成功,则所述嵌套类文件存在恶意,输出检测结果,结束检测;否则对未匹配成功的嵌套类文件进行恶意性分析。本发明不需要进行复杂的逻辑分析,也不需要虚拟环境来动态执行脚本,而是基于嵌套类文件基于异常环境下将会产生威胁行为这一性质来进行启发式检测,可以有效的提高检测的速度、准确度等。
-
公开(公告)号:CN105488394B
公开(公告)日:2018-06-12
申请号:CN201410824968.6
申请日:2014-12-27
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/55
Abstract: 本发明公开了一种面向蜜罐系统进行入侵行为识别和分类的方法及系统,首先,计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,生成事件信息库;捕获新入侵事件;计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较;判断是否存在相似度达到预设阈值的已入侵事件,若存在,则新入侵事件与所述已入侵事件属于同类型事件,否则新入侵事件为首发事件。本发明技术方案不仅可以有效拦截入侵事件,同时可以对新入侵事件进行类型识别,以便进行深入分析。
-
公开(公告)号:CN108090358A
公开(公告)日:2018-05-29
申请号:CN201711461021.3
申请日:2017-12-28
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/564 , G06F2221/033
Abstract: 本发明公开了一种防御哈希碰撞躲避反病毒检测的方法及系统,其中,所述方法包括:选定修改白名单文件和待检测样本的预处理策略;基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库;基于选定的预处理策略修改待检测样本并计算哈希值;将待检测样本的哈希值与白名单库匹配,若匹配成功,则待检测样本为白名单文件,否则进行后续检测。本发明通过破坏哈希碰撞样本的原本结构,进而有效防御利用哈希碰撞躲避反病毒检测的情况出现。
-
公开(公告)号:CN106650450A
公开(公告)日:2017-05-10
申请号:CN201611249315.5
申请日:2016-12-29
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/563
Abstract: 本发明提出一种基于代码指纹识别的恶意脚本启发式检测方法及系统,所述方法包括:提取待检测脚本文件中的代码指纹属性;将代码指纹属性生成代码指纹;将所述代码指纹与代码指纹库匹配,若匹配成功,则待检测脚本文件为恶意,并确定待检测脚本文件来源;否则对待检测脚本文件进行分析;分析待检测脚本文件,若所述待检测脚本分析结果为恶意,则将提取到的代码指纹及代码来源添加到代码指纹库;若所述待检测脚本分析结果为非恶意,则放行所述待检测脚本文件。通过发明的方法,不需要进行复杂的逻辑分析或虚拟环境执行脚本,即可有效的进行未知脚本的检测。
-
公开(公告)号:CN106650449A
公开(公告)日:2017-05-10
申请号:CN201611245850.3
申请日:2016-12-29
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提出一种基于变量名混淆程度的脚本启发式检测方法及系统,通过收集英文单词语料库;并使用监督类型的机器学习方法对收集到的语料库进行分类模型训练;将待检测脚本中提取出的变量名输入分类模型,对输出结果进行统计,如果统计结果中有一项或多项大于预设值,则待检测脚本为恶意。通过本发明的方法解决了现有脚本检测维护复杂,资源占用高、运行速度慢的问题。
-
Patent Agency Ranking
公开(公告)号:CN106650426A
公开(公告)日:2017-05-10
申请号:CN201611127815.1
申请日:2016-12-09
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/53 , G06F21/566
Abstract: 本发明提出一种动态提取可执行文件内存映像的方法及系统,包括:利用虚拟机加载目标可执行文件;根据预设间隔频率定时提取目标可执行文件的内存映像;对提取出来的内存映像进行消重;将消重后的所有内存映像保存并提交检测程序检测。通过本发明的方法,不会遗漏可执行文件的内存映像,解决了恶意代码按需释放真实恶意代码躲避查杀的问题。
-
公开(公告)号:CN106557692A
公开(公告)日:2017-04-05
申请号:CN201510999207.9
申请日:2015-12-28
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/55
CPC classification number: G06F21/554
Abstract: 本发明提出Linux内核操作系统ELF文件特征计算方法及系统,首先获取ELF文件,并判断ELF文件所属的系统平台,然后获取各ELF文件的session段信息,按规定对不同系统平台下不同ELF文件的session段信息进行过滤,提取过滤后各ELF文件session段信息包含的内容信息,最后对所述内容信息计算MD5值,得到各ELF文件的特征,所述特征不会再随着系统环境的变化而变化,为各ELF文件的唯一标识特征。本发明弥补了目前基于Linux内核的操作系统每次安装操作系统后,其磁盘中所有ELF格式文件的MD5值都会发生变化这一技术不足,能够精确计算出基于Linux内核操作系统的各ELF文件对应的唯一标识特征。
-
公开(公告)号:CN103902905B
公开(公告)日:2017-02-15
申请号:CN201310691228.5
申请日:2013-12-17
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提供了一种软件结构聚类的恶意代码生成器识别方法及系统。本发明的方法通过找到相同时间戳的样本,并提取相同时间戳样本的软件结构信息构造向量,通过计算Simhash值,找到Simhash距离小于指定值的样本,则能够判断该类样本具有相似的文件结构,为恶意代码生成器生成的代码。同样本发明还给出了相应的系统结构。通过本发明的方法,能够利用生成器与编译产生的软件结构的差异,发现生成器,并利用大规模相似性找到软件结构相似的样本。
-
公开(公告)号:CN105760759A
公开(公告)日:2016-07-13
申请号:CN201510892489.2
申请日:2015-12-08
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/56 , G06F21/565 , G06F21/6245
Abstract: 本发明公开了一种基于进程监控的文档保护方法及系统,首先对计算机系统进程进行监控,并对文档操作进程进行监控,由于敲诈者病毒多采用删除文档和加密文档的方式对系统文档进行恶意操作,所以这要对文档操作进程中的删除文档进程和修改文档进程进行监控,在所述进行对文档进行确定性的具体操作之前,对进程进行挂起,并判断进程行为是否为恶意,若是,则进行预警处理,若否,则放行进程。本发明能够有效维护用户系统文档安全,保护用户信息、财产安全。
-
公开(公告)号:CN105743877A
公开(公告)日:2016-07-06
申请号:CN201510725335.4
申请日:2015-11-02
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
CPC classification number: H04L63/1425 , H04L63/0245 , H04L63/1416
Abstract: 本发明提出一种网络安全威胁情报处理方法及系统,包括:获取已知恶意代码样本的全部动静态特征;获取已知白样本的动静态特征,建立白样本特征情报库;通过白样本特征情报库对恶意代码样本的全部动静态特征进行过滤将过滤后保留得到的恶意代码样本的动静态特征形成黑样本特征情报库;周期性的执行上述步骤,补充白样本特征情报库及黑样本特征情报库;并定期输出白样本特征情报库及黑样本特征情报库,进行准确率及有效性验证,并将检出的误报特征进行更新。本发明还提出相应系统。通过本发明能够获得可信来源的信息,并转化为威胁情报,不断提高准确性,降低误报率,产出高覆盖率的特征情报库,辅助家族及样本特征分析识别,提升通用检出能力。
-
-
-
-
-
-
-
-
-
Search Results
211
records
(took 0.111 seconds)
