公开(公告)号：CN108229168A

公开(公告)日：2018-06-29

申请号：CN201711489577.3

申请日：2017-12-29

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 李增光 ,  童志明 ,  何公道 ,  肖新光

IPC: G06F21/56 ,  G06F17/30

CPC classification number: G06F21/562 ,  G06F16/2462

Abstract: 本发明提出一种嵌套类文件的启发式检测方法、系统及存储介质，所述方法包括：对获取的嵌套类文件进行文件拆分；获取拆分出的文件类型，并对文件类型进行规则化处理，整理为知识数据；将所述知识数据与知识库进行匹配；若匹配成功，则所述嵌套类文件存在恶意，输出检测结果，结束检测；否则对未匹配成功的嵌套类文件进行恶意性分析。本发明不需要进行复杂的逻辑分析，也不需要虚拟环境来动态执行脚本，而是基于嵌套类文件基于异常环境下将会产生威胁行为这一性质来进行启发式检测，可以有效的提高检测的速度、准确度等。

公开(公告)号：CN106650450A

公开(公告)日：2017-05-10

申请号：CN201611249315.5

申请日：2016-12-29

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 李增光 ,  童志明 ,  肖新光

IPC: G06F21/56

CPC classification number: G06F21/563

Abstract: 本发明提出一种基于代码指纹识别的恶意脚本启发式检测方法及系统，所述方法包括：提取待检测脚本文件中的代码指纹属性；将代码指纹属性生成代码指纹；将所述代码指纹与代码指纹库匹配，若匹配成功，则待检测脚本文件为恶意，并确定待检测脚本文件来源；否则对待检测脚本文件进行分析；分析待检测脚本文件，若所述待检测脚本分析结果为恶意，则将提取到的代码指纹及代码来源添加到代码指纹库；若所述待检测脚本分析结果为非恶意，则放行所述待检测脚本文件。通过发明的方法，不需要进行复杂的逻辑分析或虚拟环境执行脚本，即可有效的进行未知脚本的检测。