-
公开(公告)号:CN106560831B
公开(公告)日:2019-07-02
申请号:CN201511015285.7
申请日:2015-12-31
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提出一种恶意代码绕过主动防御的发现方法及系统,包括:开启主动防御,并同时扫描系统关键位置;记录可疑代码运行前系统关键位置的内容及键值;运行可疑代码,得到主动防御的监控结果;再次扫描系统关键位置,记录可疑代码运行后系统关键位置的内容及键值;对比可疑代码运行前与运行后系统关键位置的内容及键值变化情况,得到新增威胁;比较主动防御的检测结果与新增威胁,判断两者是否相同,如果相同,则不存在新增的绕过主动防御的恶意代码,否则自动化发现新增的绕过主动防御的恶意代码。通过本发明的方法实现了将人工才能够发现的绕过主动防御的情况自动化检测。
-
公开(公告)号:CN108171778A
公开(公告)日:2018-06-15
申请号:CN201711250117.5
申请日:2017-12-01
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06T15/005 , G06T13/20
Abstract: 本发明实施例提供了一种可视化呈现数据的处理、回放方法、装置及存储介质,用以在回放时提高CPU的性能。该方法包括:获取已发生的事件的初始数据,所述已发生的事件的初始数据中包括时间戳,所述时间戳是在一个时间段内发生可呈现的事件时,根据可呈现的事件的起始时间节点创建的数据;根据获取的数据生成所有需要呈现的模型;将每个模型的动画效果、时间戳分别与该模型绑定;生成与获取的数据呈现时相匹配的时间轴;将各个模型的时间戳与时间轴上的时间点建立对应关系。
-
公开(公告)号:CN108171014A
公开(公告)日:2018-06-15
申请号:CN201711484553.9
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/10 , H04L63/1408
Abstract: 本发明提出一种RTF可疑文件的检测方法、系统及存储介质,所述方法包括:获取RTF文件中objdata数据段;搜索objdata数据段中是否同时存在16进制数据及非16进制数据;如果存在,则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值,如果是,则所述objdata数据段被混淆,即所述RTF文件可疑,否则所述objdata数据段未被混淆,即RTF文件正常。通过本发明的方法,能够有效识别在RTF中进行混淆的文件,解决现有依据特征进行检测的技术中,由于特征被混杂文件打乱而无法检测的问题。
-
公开(公告)号:CN105512555B
公开(公告)日:2018-05-25
申请号:CN201410762181.1
申请日:2014-12-12
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提出了一种基于文件字符串聚类的划分同源家族和变种的方法及系统,本发明通过获取目标文件的dump文件及API调用记录文件,并提取其字符串和API及参数信息,形成向量文件,计算器simhash值,与家族特征向量库中的已知家族及家族变种的中心距离相比较,如果小于预设值,则所述目标文件属于对应家族或家族变种,否则为新增的家族或家族变种。通过本发明,能够对大批量的未知目标文件进行家族归类,并能进一步对其变种进行划分,同时其形成的家族向量特征库可以用来对样本的家族及其变种进行判别。
-
公开(公告)号:CN105488389B
公开(公告)日:2018-05-08
申请号:CN201410738844.6
申请日:2014-12-08
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种蜜罐数据库的更新和还原方法及系统,首先,将真实业务数据处理后填充至蜜罐数据库中,并设置所述蜜罐数据库为低权限;复制蜜罐数据库中的元数据和处理后的真实业务数据形成备份数据库,并设置所述备份数据库为高权限;对外开放蜜罐数据库;定时将真实业务数据的增量数据处理后同时更新至蜜罐数据库和备份数据库中;若接收到还原请求,则删除原蜜罐数据库,将备份数据库复制形成新的蜜罐数据库。本发明所述的技术方案不仅解决了蜜罐数据库被入侵导致数据改变进而影响后续使用的问题,同时可以在攻击者入侵的过程中完成增量数据的导入,使得蜜罐数据库更加真实可信。
-
Patent Agency Ranking
公开(公告)号:CN105447385B
公开(公告)日:2018-04-24
申请号:CN201410738613.5
申请日:2014-12-08
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/55
Abstract: 本发明提供了一种多层次检测的应用型数据库蜜罐实现系统及方法,包括前置分流模块、预处理模块及数据库蜜罐,通过前置分流模块,将收到的数据流量进行分流,对于预处理模块能够处理的数据则定向到预处理模块中,对于预处理模块无法处理的数据流,则直接抛弃;预处理模块将收到的数据流进行初步判断,对于能够模拟的漏洞,并且不对数据库蜜罐造成未知威胁,则进行漏洞模拟执行,如果对数据库蜜罐造成威胁,则断开双相连接,返回未知错误;通过本发明方法及系统,对现有的应用型蜜罐进一步改进,使其能够具备完成已知的,但对于当前数据库蜜罐已无效的漏洞的模拟检测能力。
-
公开(公告)号:CN106612178A
公开(公告)日:2017-05-03
申请号:CN201510684510.X
申请日:2015-10-22
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种保护Android adb数据传输安全的方法及装置,首先,在Android设备端预先配置授权用户名和密码,并在adbd程序中添加用户登录功能;若存在来自PC端的adb命令请求,则弹出登录对话框;提取用户输入的用户名和密码与预先配置的授权用户名和密码进行匹配,若匹配成功,则生成会话ID并存储在本地数据库中,同时将生成的会话ID反馈给PC端程序;若匹配失败,则拒绝所述adb命令请求。随后的adb命令请求若携带生成的会话ID,则Android设备端允许其执行操作,并且不会再弹出登录对话框。本发明所述技术方案可以有效拦截来自PC端的恶意程序,提高Android系统的安全性。
-
公开(公告)号:CN106603541A
公开(公告)日:2017-04-26
申请号:CN201611194377.0
申请日:2016-12-21
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种基于差异化流量处理机制的蜜网系统,主要包括:存储与控制服务器,用于对来自传统防御系统和蜜网网关输出的数据进行格式化处理并存储,并根据所述本地分析端指令对存储的数据进行动态标记;二级网关蜜罐,用于部署于一级网关后,识别所述存储与控制服务器中的数据,并基于标记级别将数据重定向至高交互蜜罐或者初级蜜罐中;本地分析端,用于配置系统内各部分对所述存储与控制服务器的访问权限,并对所述存储与控制服务器内存储的数据进行动态标记。本发明所述技术方案弥补了传统蜜网系统无法针对威胁等级将相关数据选择重定向至高交互蜜罐或者初级蜜罐中的问题。
-
公开(公告)号:CN106557693A
公开(公告)日:2017-04-05
申请号:CN201610299611.X
申请日:2016-05-09
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/55
CPC classification number: G06F21/554
Abstract: 本发明提出一种恶意Hook行为检测方法及系统,首先按规定创建系统函数的替代函数,其次监控系统中可执行程序的运行动态,判断是否有敏感Hook函数调用行为,若没有则放行,否则将相应可执行程序跳转到替代函数中进行处理。本发明对系统中可执行文件进行动态监控,有效检测恶意Hook行为,并通过替代函数的方式有效阻拦恶意行为的释放,保护系统数据安全;本发明通过替代函数的方式拦截恶意Hook行为,而不是直接将恶意Hook进程杀掉,该方式不影响系统中其他程序运行,能够充分维护系统稳定性。
-
公开(公告)号:CN103532730B
公开(公告)日:2016-09-07
申请号:CN201210233283.5
申请日:2012-07-06
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了基于自解压技术的黑白名单自动化动态维护的方法及系统,首先通过查询服务端或者云端的黑白名单数据库,对目标程序进行查重判定,对于无记录的目标程序进行格式识别,对于包裹文件进行解压缩,计算非包裹文件或者包裹文件及其解包后得到的子文件的散列值,并生成散列表,将其更新到服务端或者云端的白名单列表中,随后将该散列表分发至客户端,用于客户端的白名单列表的更新。从而,避免了客户端将程序及其子文件发送至服务端或者云端进行查询,减轻了服务端或者云端的处理压力。
-
-
-
-
-
-
-
-
-
Search Results
211
records
(took 0.099 seconds)
