-
公开(公告)号:CN105743876B
公开(公告)日:2019-09-13
申请号:CN201510538511.3
申请日:2015-08-28
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种基于邮件源数据发现针对性攻击的方法,包括:解析捕获的邮件并提取源数据;基于源数据收集基本信息;将所述收件人地址与敏感地址库进行匹配,筛选出匹配成功的邮件;分析筛选出的邮件的收件人地址确定收件人所在国家;解析标题和正文内容所使用的语言,并判断所述语言是否为收件人所在国家的第一语言或者常用第二语言,若是,则为可疑邮件,否则丢弃;扫描所述可疑邮件的附件数据,若检出率大于预设阈值,并且不属于常见病毒类型,则认定存在针对性攻击。本发明所述技术方案可以有效发现邮件形式的针对性攻击。
-
公开(公告)号:CN105721416B
公开(公告)日:2019-09-13
申请号:CN201510783399.X
申请日:2015-11-16
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种apt事件攻击组织同源性分析方法及装置,包括:获取待分析邮件并提取元数据,包括:发件人信息、收件人信息、主题、正文或者附件;分析各项元数据并获取相关行为特征信息;将各项行为特征信息与预设条件对比,并基于对比结果设定权值;计算权值和,当所述权值和高于预设阈值,则认为该事件为疑似apt事件,并存入apt事件行为库;利用聚类算法分析apt事件行为库中的各apt事件,判定相似度高于预设值的apt事件为同源攻击组织所为。本发明所述技术方案能有效识别apt事件,并且能够对apt事件的攻击组织进行分类划分。
-
公开(公告)号:CN104980300B
公开(公告)日:2019-02-01
申请号:CN201410551576.7
申请日:2014-10-17
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种基于网络环境对设备连网进行管控的系统及方法,包括,特制网卡,用于连接网络,并配置有唯一ID标识;特制网卡驱动模块包括驱动单元1、驱动单元2和/或驱动单元3,并利用网卡管理中心对驱动单元1发送来的设备信息进行匹配,若不匹配则启动驱动单元2和/或驱动单元3进行禁止使用硬件设备或者设置BIOS密码、开机密码等操作。本发明能够根据目前的设备信息判断是否在设定的安全网络环境中,或者是否是新增设备,从而对其是否可以连网进行控制,可以有效阻止离开预设安全网络环境的设备或者新增设备连接网络,从而有效保护企业或者部门的信息安全。
-
公开(公告)号:CN105512025B
公开(公告)日:2019-01-15
申请号:CN201410850078.2
申请日:2014-12-31
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F11/36
Abstract: 本发明属于软件漏洞挖掘技术领域,具体涉及一种基于模拟消息的Fuzz引擎优化方法与系统;它包括路径收集模块:控制器收集生成器生成的畸形测试数据的路径;被测试软件进程启动模块:控制器使用启动进程API启动被测试软件进程;畸形数据读取接收模块:控制器控制被测试软件读取或者接收畸形数据;以及被测试软件进程监控模块:监控器监控被测试软件进程是否抛出异常或进程崩溃;本发明不仅回避了命令行调用方式,使Fuzz测试在被测试软件不支持命令行调用的情况下同样可以进行,而且只需对进程启动并关闭一次,因此具有节省了大量计算机资源,节约测试时间的技术优势。
-
公开(公告)号:CN108804917A
公开(公告)日:2018-11-13
申请号:CN201711414895.3
申请日:2017-12-22
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/562
Abstract: 本发明实施例公开一种文件检测方法、装置、电子设备及存储介质,能够对未知文件的安全性进行较为准确和高效的检测。所述方法包括:将待检测文件的文件属性按照预设维度进行维度特征统计;检测统计出的所述待检测文件的维度特征与文件画像库中安全性已知的文件的维度特征的总相关度;根据所述总相关度确定所述待检测文件的威胁程度。本发明可用于网络安全应用中。
-
Patent Agency Ranking
公开(公告)号:CN108182363A
公开(公告)日:2018-06-19
申请号:CN201711417945.3
申请日:2017-12-25
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/562
Abstract: 本发明提出了一种嵌入式office文档的检测方法、系统及存储介质,所述方法包括:获取进程列表,判断是否存在office相关进程,如果存在,则监控%TEMP%目录;监控%TEMP%目录是否有新增文件,如果是,则挂起office相关进程,并对新增文件进行检测,否则,所述进程文件为正常文件。本发明还给出实现该方法的相应系统。通过发明利用office文档的自解析操作,对所释放出的文件进行检测,不需要对office文档格式进行解析,能有效避免office文档混淆对检测的影响,同时解决了由于文档格式的复杂而导致检出率不高的问题。
-
公开(公告)号:CN108090358A
公开(公告)日:2018-05-29
申请号:CN201711461021.3
申请日:2017-12-28
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/564 , G06F2221/033
Abstract: 本发明公开了一种防御哈希碰撞躲避反病毒检测的方法及系统,其中,所述方法包括:选定修改白名单文件和待检测样本的预处理策略;基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库;基于选定的预处理策略修改待检测样本并计算哈希值;将待检测样本的哈希值与白名单库匹配,若匹配成功,则待检测样本为白名单文件,否则进行后续检测。本发明通过破坏哈希碰撞样本的原本结构,进而有效防御利用哈希碰撞躲避反病毒检测的情况出现。
-
公开(公告)号:CN105488391B
公开(公告)日:2018-05-25
申请号:CN201410761756.8
申请日:2014-12-13
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/55
Abstract: 本发明公开了一种用于防御APT攻击的系统及方法,包括:云操作系统端,预装各种类型操作系统,每种类型操作系统内根据需要安装常用软件,并内置还原点,用于每次启动时进行系统还原,并定时进行补丁升级;可疑文件服务器,用于收集云操作系统端所产生的文件,将收集的文件与用户机的用户名或者ID一一对应,并对收集的文件进行是否恶意的检测或者提供给专业分析人员;用户机,用于在开机时利用bios中的网络启动形式连接至云操作系统端,根据需要选择欲启动的操作系统类型;所述用户机内部无操作系统,允许搭建硬盘存储重要文件。本发明所述方案避免了很多重复的操作,并且可以有效防御APT攻击和其他攻击事件。
-
公开(公告)号:CN105488409B
公开(公告)日:2018-04-24
申请号:CN201410845278.9
申请日:2014-12-31
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种检测恶意代码家族变种及新家族的方法及系统,首先通过现有的已知恶意代码家族及其样本作为训练数据,提取其中的API函数名和API函数传入的参数,在检测过程中,将待检测恶意代码的API函数名与训练数据的函数名进行对比,初步判断其是否属于已知恶意代码家族,然后将待检测恶意代码API函数传入的参数与训练数据的API函数传入的参数进行对比,判断其属于现有家族的变种还是属于新增家族的样本,最终返回检测结果。本发明弥补了现有恶意代码检测都为单一目标样本的检测,并没有对家族样本进行分类,无法直观的发现目前正在活跃的家族并根据其新的变种做针对性的防御的不足,且检测结果精确,可靠性高。
-
公开(公告)号:CN103905422B
公开(公告)日:2017-04-26
申请号:CN201310691213.9
申请日:2013-12-17
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种本地模拟请求辅助查找webshell的方法及系统,首先,读取web服务器配置文件,获取web服务器相关信息;所述相关信息包括:站点个数、路径、域名或者端口号;依次遍历站点下所有文件,筛选出网页文件,并保存所述网页文件的路径信息;根据所述路径信息,本地模拟请求,依次访问所述网页文件,获取返回数据;对返回数据进行特征扫描,并根据扫描结果生成检测报告。本发明所述的方法对于加密的webshell也能有效检测。
-
-
-
-
-
-
-
-
-
Search Results
69
records
(took 0.056 seconds)
