-
公开(公告)号:CN106557535A
公开(公告)日:2017-04-05
申请号:CN201610461833.7
申请日:2016-06-23
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F17/30
Abstract: 本发明提出一种大数据级Pcap文件的处理方法及系统,首先计算系统内存,并在顺序读取Pcap文件的过程中动态计算系统内存使用率,当内存使用率达到规定数值时停止读取,并标记标志位,对一次读取的数据进行分析后释放内存,返回标志位继续对Pcap文件进行读取,直至Pcap文件被完整处理。本发明结合系统内存情况对大数据级Pcap文件进行分批读取,有效保证了系统处理数据的速度,提高数据分析效率;进一步地,根据本发明可对处理的Pcap文件的完整性进行校验,保证了数据的完整性和处理结果的准确性。
-
公开(公告)号:CN105740705A
公开(公告)日:2016-07-06
申请号:CN201510999175.2
申请日:2015-12-28
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/55
CPC classification number: G06F21/554
Abstract: 本发明提出一种基于LXC容器的主机防御方法及系统,通过创建LXC容器作为虚拟堡垒机环境,并替代主机环境,可以保障使用者在每次使用过程中运行数据的准确,并确保主机下次执行时没有感染用户数据或威胁数据。本发明弥补了现有技术不能有效解决主机环境在运行应用程序或被恶意攻击后,清理信息残留、恢复文件篡改的不足,本发明可有效清除用户使用主机环境过程中对主机环境造成的数据残留和感染,并有效防止恶意程序、命令、文件等寄存在主机中。
-
公开(公告)号:CN105718825A
公开(公告)日:2016-06-29
申请号:CN201510783527.0
申请日:2015-11-16
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种恶意USB设备的检测方法及装置,包括:对主设备的USB端口进行白名单配置,所述白名单包括:允许接入的设备类型和各设备类型允许执行的操作;分析已知存在安全威胁的硬件和固件,并提取特征信息存入黑名单;当监控发现USB设备接入主设备,则识别设备类型并记录其操作行为;将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作;获取所述USB设备的硬件信息,包括:主控芯片信息、固件版本信息或者存储芯片信息;将所述硬件信息与所述黑名单匹配,并基于匹配结果进行处置操作。本发明所述技术方案能够有效识别利用已知硬件漏洞和固件漏洞实现攻击的USB设备。
-
公开(公告)号:CN105718793A
公开(公告)日:2016-06-29
申请号:CN201510619191.4
申请日:2015-09-25
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/53 , G06F21/566 , G06F2221/033
Abstract: 本发明提出了基于修改沙箱环境防止恶意代码识别沙箱的方法及系统,通过获取用于检测沙箱环境的关键识别点,所述关键识别点包括系统信息、硬件信息及应用信息;并根据已知实体计算机的信息,修改或删除所述关键识别点后,再运行恶意代码样本,触发恶意代码。该方法能有效防止恶意代码探测识别出所在环境为沙箱,不进行代码的触发,无法进行代码的检测和监控的问题。通过在恶意代码样本运行前修改沙箱的环境,使恶意代码无法识别到沙箱,进行正常的运行,便于监测。
-
公开(公告)号:CN105515818A
公开(公告)日:2016-04-20
申请号:CN201510318294.7
申请日:2015-06-11
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种网络拓扑布局中拆分环状结构的方法及系统,包括:获取节点信息并分组记录节点组别序号,再进行权值设置,分别计算两组中每个节点相对应的节点簇权值和及其所有的和值;选取待移动点进行移动,并重新计算移动后两组中每个节点相对应的节点簇权值和及和值,判断移动后两组中每个节点相对应的节点簇权值和是否全为负数,如果是,则移动点,否则判断移动后的和值是否变小,如果是,则继续选取移动点并进行移动,并重新计算和值,否则判断各个组别中的节点个数是否小于期望值,如果是,则拆分完毕,否则重新继续拆分。本发明可以使环状结构连接紧密有规律排列直观,且不会耗费过多的时间和占用过多的CPU资源,节省了计算机性能。
-
Patent Agency Ranking
公开(公告)号:CN105512555A
公开(公告)日:2016-04-20
申请号:CN201410762181.1
申请日:2014-12-12
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提出了一种基于文件字符串聚类的划分同源家族和变种的方法及系统,本发明通过获取目标文件的dump文件及API调用记录文件,并提取其字符串和API及参数信息,形成向量文件,计算器simhash值,与家族特征向量库中的已知家族及家族变种的中心距离相比较,如果小于预设值,则所述目标文件属于对应家族或家族变种,否则为新增的家族或家族变种。通过本发明,能够对大批量的未知目标文件进行家族归类,并能进一步对其变种进行划分,同时其形成的家族向量特征库可以用来对样本的家族及其变种进行判别。
-
公开(公告)号:CN105488417A
公开(公告)日:2016-04-13
申请号:CN201410816356.2
申请日:2014-12-25
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/57
Abstract: 本发明公开了一种实现系统安全等级划分的方法及系统,该方法包含开放计算机、审计计算机、受限计算机和重要计算机四个系统等级,根据用户的使用环境设置系统等级,为满足用户的需求,可以增设自定义系统等级,在不同的系统等级下,根据不同的策略场景和策略条件设置处置动作,并根据不同的系统等级设置记录日志或不记录日志操作。通过本方法解决了传统方法一概而论,不能灵活应对用户实际需求的问题。
-
公开(公告)号:CN105488405A
公开(公告)日:2016-04-13
申请号:CN201410815171.X
申请日:2014-12-25
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种基于PDB调试信息的恶意代码分析方法,包括:提取恶意样本的PDB信息;拆分所述PDB信息,获取相关的统计信息;提取常用操作系统和常用软件的PDB信息,并拆分后生成白样本库;利用白样本库对所述统计信息进行过滤后生成黑样本库;输出白样本库和黑样本库用于恶意代码分析。本发明还公开了一种基于PDB调试信息的恶意代码分析系统。本发明所述技术方案通过获取恶意样本的PDB信息,对PDB信息进行拆分过滤后生成黑白样本库,从而辅助恶意代码分析。
-
公开(公告)号:CN105049273A
公开(公告)日:2015-11-11
申请号:CN201410731336.5
申请日:2014-12-05
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种模拟网络活动检测木马的方法及系统,包括:在不同系统环境下运行已知木马程序,并根据其网络连接行为,模拟返回相应连接成功的信息,激发木马程序发出网络数据包;利用网络抓包工具,抓取所述木马程序在各系统环境下的网络通讯数据包,并对比得到各系统环境下相同的数据,作为所述已知木马程序的网络通讯协议特征;监控网络中的网络数据包,并与特征匹配,如果匹配,则判定为木马,报警并进行拦截;否则继续监控。通过本发明的方法,模拟控制端反馈的信息,解决了木马控制端不存活的情况,并能够解决通过普通网络特征监测对非活动的木马监测无效的问题。
-
公开(公告)号:CN104965837A
公开(公告)日:2015-10-07
申请号:CN201410450799.4
申请日:2014-09-05
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F17/30
Abstract: 本发明提供了一种基于分块迭代的网络破损文件还原方法及系统,所述方法为,多次获取网络中来源于同一网络的样本集合,根据确定的初始分块数量,确定平均分块大小,并对样本集中的各文件进行分块,并计算各文件分块对应字节码序列的HASH值,循环逐层对比文件样本集中各文件同一层文件分块的HASH值,并确定当前层的还原文件块,根据各层确定的还原文件块,计算还原文件的破损率,如果破损率未超出预设值,则根据还原文件块对应的字节码序列还原文件。相应的本发明还提供了文件还原系统。通过本发明的方法及系统,能够对在网络传输过程中因传输问题导致破损的文件进行还原,最大程度的保证文件的完整性。
-
-
-
-
-
-
-
-
-
Search Results
211
records
(took 0.082 seconds)
