-
Patent Agency Ranking
公开(公告)号:CN102819697B
公开(公告)日:2015-07-22
申请号:CN201110440633.0
申请日:2011-12-26
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种基于线程反编译的多平台恶意代码检测方法包括:通过特征提取获取恶意指令序列;依次检测系统中的线程信息,识别线程起始数据的指令集,并根据不同指令集对每个线程起始数据进行反编译得到线程的执行指令序列;将所述线程的执行指令序列与所述恶意指令序列进行完全匹配,如果匹配成功则该所述线程为恶意线程。还公开了一种基于线程反编译的多平台恶意代码检测系统。本发明技术方案可以检测多种平台的恶意代码。同时可以检测恶意代码的线程并对线程进行处置。
-
公开(公告)号:CN103916379A
公开(公告)日:2014-07-09
申请号:CN201310640806.2
申请日:2013-12-04
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明公开了基于高频统计的CC攻击识别方法及系统,首先,识别骨干网流量中的HTTPGET请求,并获取源IP、目的IP和URI,计算hash值;若缓冲区中存在与所述hash值相同的统计项目,则计数值加1,否则判断缓冲区是否已满,若否,将所述hash值作为新的统计项目加入缓冲区,并设定计数值为1,否则将缓冲区所有统计项目的计数值减1,并判断缓冲区中是否存在计数值为0的统计项目,若存在,则清除所述统计项目,并将所述hash值作为新的统计项目加入缓冲区;若缓冲区中存在单位时间计数值超过设定阈值的统计项目,则认为存在CC攻击,并报警。本发明克服了CC攻击被大型网站的正常访问淹没的可能性,利用高频数据统计的思想来有效识别CC攻击。
-
公开(公告)号:CN103902903A
公开(公告)日:2014-07-02
申请号:CN201310557502.X
申请日:2013-11-12
Applicant: 国家计算机网络与信息安全管理中心 , 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/561 , G06F21/53
Abstract: 本发明提供了一种基于动态沙箱环境的恶意代码分析方法及系统,包括:将恶意代码投放到带有监控的虚拟机中;运行并监控所述恶意代码,获得与系统核心资源相关的进程调用和字符串信息;判断系统核心资源规则库中是否包含所述进程调用和字符串信息,如果是,则模拟对应系统核心资源,否则丢弃所述进程调用和字符串信息;判断恶意代码是否执行完毕,如果是,则捕获动态模拟后的恶意代码信息记录,否则继续监控所述恶意代码。通过本发明的方法,能够根据恶意代码运行需要,动态模拟满足恶意代码分析需求,并减少资源耗费,达到高性价比获取恶意代码行为信息。
-
公开(公告)号:CN102819697A
公开(公告)日:2012-12-12
申请号:CN201110440633.0
申请日:2011-12-26
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/00
Abstract: 本发明公开了一种基于线程反编译的多平台恶意代码检测方法包括:通过特征提取获取恶意指令序列;依次检测系统中的线程信息,识别线程起始数据的指令集,并根据不同指令集对每个线程起始数据进行反编译得到线程的执行指令序列;将所述线程的执行指令序列与所述恶意指令序列进行完全匹配,如果匹配成功则该所述线程为恶意线程。还公开了一种基于线程反编译的多平台恶意代码检测系统。本发明技术方案可以检测多种平台的恶意代码。同时可以检测恶意代码的线程并对线程进行处置。
-
公开(公告)号:CN102394859A
公开(公告)日:2012-03-28
申请号:CN201110211059.1
申请日:2011-07-27
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种基于线程行为的木马窃取文件检测方法,包括:监视线程的文件操作和网络操作;将监视的线程和线程所属的进程以及截获的文件操作及文件读取数据和网络操作及网络发送数据形成行为序列缓冲队列;根据缓冲队列中的行为序列判断线程读取的文件是否为网络发送的文件;如果线程读取的文件为网络发送的文件,并且检查该线程及线程所属的进程具有隐蔽性,则有木马窃取文件行为。本发明还提供了一种基于线程行为的木马窃取文件检测系统。本方法和系统极大减少对正常文件传输的误报,提高对木马窃取文件的检测。
-
-
-
-
Search Results
35
records
(took 0.028 seconds)
