-
公开(公告)号:CN105512555B
公开(公告)日:2018-05-25
申请号:CN201410762181.1
申请日:2014-12-12
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提出了一种基于文件字符串聚类的划分同源家族和变种的方法及系统,本发明通过获取目标文件的dump文件及API调用记录文件,并提取其字符串和API及参数信息,形成向量文件,计算器simhash值,与家族特征向量库中的已知家族及家族变种的中心距离相比较,如果小于预设值,则所述目标文件属于对应家族或家族变种,否则为新增的家族或家族变种。通过本发明,能够对大批量的未知目标文件进行家族归类,并能进一步对其变种进行划分,同时其形成的家族向量特征库可以用来对样本的家族及其变种进行判别。
-
公开(公告)号:CN105718795B
公开(公告)日:2019-05-07
申请号:CN201510540091.2
申请日:2015-08-28
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种Linux下基于特征码的恶意代码取证方法及系统,本方法主要通过已知恶意文件及非恶意文件,提取精确的特征码,将linux系统下的文件的特征进行白名单检测后,将未知文件与WM特征规则库进行多模匹配,检测出更详细精确的结果,并给出检测取证报告。本发明同样利用了linux中注册表和启动项等信息是以文件形式保存的特点,提取启动项信息、内存信息、进程信息等,能够对其进行检测,来检出系统中存在的恶意文件。
-
Patent Agency Ranking
公开(公告)号:CN105512555A
公开(公告)日:2016-04-20
申请号:CN201410762181.1
申请日:2014-12-12
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提出了一种基于文件字符串聚类的划分同源家族和变种的方法及系统,本发明通过获取目标文件的dump文件及API调用记录文件,并提取其字符串和API及参数信息,形成向量文件,计算器simhash值,与家族特征向量库中的已知家族及家族变种的中心距离相比较,如果小于预设值,则所述目标文件属于对应家族或家族变种,否则为新增的家族或家族变种。通过本发明,能够对大批量的未知目标文件进行家族归类,并能进一步对其变种进行划分,同时其形成的家族向量特征库可以用来对样本的家族及其变种进行判别。
-
公开(公告)号:CN105656872A
公开(公告)日:2016-06-08
申请号:CN201510421096.3
申请日:2015-07-17
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
CPC classification number: H04L63/1408 , H04L63/145
Abstract: 本发明提供了一种基于骨干网的攻击者追踪方法及系统,包括:通过骨干网监控设备,监控恶意网络通信行为,并获取恶意代码样本;分析恶意代码样本,提取命令与控制服务器信息;在骨干网监控命令与控制服务器及对应端口的IP通信,获取当前控制与命令服务器的控制者IP及对应信息;判断控制者IP是否为最终控制者,如果是,则定位最终控制者IP;否则返回继续监控,直到追踪到控制者IP。本发明解决了对网络通信中追踪攻击者黑客位置困难的问题,能够通过骨干网对黑客或控制端IP进行追踪定位,打击网络恶意行为。
-
公开(公告)号:CN103916379B
公开(公告)日:2017-07-18
申请号:CN201310640806.2
申请日:2013-12-04
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明公开了基于高频统计的CC攻击识别方法及系统,首先,识别骨干网流量中的HTTP GET请求,并获取源IP、目的IP和URI,计算hash值;若缓冲区中存在与所述hash值相同的统计项目,则计数值加1,否则判断缓冲区是否已满,若否,将所述hash值作为新的统计项目加入缓冲区,并设定计数值为1,否则将缓冲区所有统计项目的计数值减1,并判断缓冲区中是否存在计数值为0的统计项目,若存在,则清除所述统计项目,并将所述hash值作为新的统计项目加入缓冲区;若缓冲区中存在单位时间计数值超过设定阈值的统计项目,则认为存在CC攻击,并报警。本发明克服了CC攻击被大型网站的正常访问淹没的可能性,利用高频数据统计的思想来有效识别CC攻击。
-
公开(公告)号:CN105718795A
公开(公告)日:2016-06-29
申请号:CN201510540091.2
申请日:2015-08-28
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/552 , G06F21/563
Abstract: 本发明提供了一种Linux下基于特征码的恶意代码取证方法及系统,本方法主要通过已知恶意文件及非恶意文件,提取精确的特征码,将linux系统下的文件的特征进行白名单检测后,将未知文件与WM特征规则库进行多模匹配,检测出更详细精确的结果,并给出检测取证报告。本发明同样利用了linux中注册表和启动项等信息是以文件形式保存的特点,提取启动项信息、内存信息、进程信息等,能够对其进行检测,来检出系统中存在的恶意文件。
-
公开(公告)号:CN103916379A
公开(公告)日:2014-07-09
申请号:CN201310640806.2
申请日:2013-12-04
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明公开了基于高频统计的CC攻击识别方法及系统,首先,识别骨干网流量中的HTTPGET请求,并获取源IP、目的IP和URI,计算hash值;若缓冲区中存在与所述hash值相同的统计项目,则计数值加1,否则判断缓冲区是否已满,若否,将所述hash值作为新的统计项目加入缓冲区,并设定计数值为1,否则将缓冲区所有统计项目的计数值减1,并判断缓冲区中是否存在计数值为0的统计项目,若存在,则清除所述统计项目,并将所述hash值作为新的统计项目加入缓冲区;若缓冲区中存在单位时间计数值超过设定阈值的统计项目,则认为存在CC攻击,并报警。本发明克服了CC攻击被大型网站的正常访问淹没的可能性,利用高频数据统计的思想来有效识别CC攻击。
-
-
-
-
-
-
Search Results
7
records
(took 0.031 seconds)
