-
公开(公告)号:CN105743876A
公开(公告)日:2016-07-06
申请号:CN201510538511.3
申请日:2015-08-28
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种基于邮件源数据发现针对性攻击的方法,包括:解析捕获的邮件并提取源数据;基于源数据收集基本信息;将所述收件人地址与敏感地址库进行匹配,筛选出匹配成功的邮件;分析筛选出的邮件的收件人地址确定收件人所在国家;解析标题和正文内容所使用的语言,并判断所述语言是否为收件人所在国家的第一语言或者常用第二语言,若是,则为可疑邮件,否则丢弃;扫描所述可疑邮件的附件数据,若检出率大于预设阈值,并且不属于常见病毒类型,则认定存在针对性攻击。本发明所述技术方案可以有效发现邮件形式的针对性攻击。
-
公开(公告)号:CN103905422A
公开(公告)日:2014-07-02
申请号:CN201310691213.9
申请日:2013-12-17
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种本地模拟请求辅助查找webshell的方法及系统,首先,读取web服务器配置文件,获取web服务器相关信息;所述相关信息包括:站点个数、路径、域名或者端口号;依次遍历站点下所有文件,筛选出网页文件,并保存所述网页文件的路径信息;根据所述路径信息,本地模拟请求,依次访问所述网页文件,获取返回数据;对返回数据进行特征扫描,并根据扫描结果生成检测报告。本发明所述的方法对于加密的webshell也能有效检测。
-
公开(公告)号:CN105743876B
公开(公告)日:2019-09-13
申请号:CN201510538511.3
申请日:2015-08-28
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种基于邮件源数据发现针对性攻击的方法,包括:解析捕获的邮件并提取源数据;基于源数据收集基本信息;将所述收件人地址与敏感地址库进行匹配,筛选出匹配成功的邮件;分析筛选出的邮件的收件人地址确定收件人所在国家;解析标题和正文内容所使用的语言,并判断所述语言是否为收件人所在国家的第一语言或者常用第二语言,若是,则为可疑邮件,否则丢弃;扫描所述可疑邮件的附件数据,若检出率大于预设阈值,并且不属于常见病毒类型,则认定存在针对性攻击。本发明所述技术方案可以有效发现邮件形式的针对性攻击。
-
Patent Agency Ranking
公开(公告)号:CN108090358A
公开(公告)日:2018-05-29
申请号:CN201711461021.3
申请日:2017-12-28
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/564 , G06F2221/033
Abstract: 本发明公开了一种防御哈希碰撞躲避反病毒检测的方法及系统,其中,所述方法包括:选定修改白名单文件和待检测样本的预处理策略;基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库;基于选定的预处理策略修改待检测样本并计算哈希值;将待检测样本的哈希值与白名单库匹配,若匹配成功,则待检测样本为白名单文件,否则进行后续检测。本发明通过破坏哈希碰撞样本的原本结构,进而有效防御利用哈希碰撞躲避反病毒检测的情况出现。
-
公开(公告)号:CN103905422B
公开(公告)日:2017-04-26
申请号:CN201310691213.9
申请日:2013-12-17
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种本地模拟请求辅助查找webshell的方法及系统,首先,读取web服务器配置文件,获取web服务器相关信息;所述相关信息包括:站点个数、路径、域名或者端口号;依次遍历站点下所有文件,筛选出网页文件,并保存所述网页文件的路径信息;根据所述路径信息,本地模拟请求,依次访问所述网页文件,获取返回数据;对返回数据进行特征扫描,并根据扫描结果生成检测报告。本发明所述的方法对于加密的webshell也能有效检测。
-
公开(公告)号:CN105653940B
公开(公告)日:2019-02-26
申请号:CN201510409741.X
申请日:2015-07-14
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/55
Abstract: 本发明公开了一种基于PE文件分析攻击者来源的方法,包括:提取待分析样本中的PE文件;获取所述PE文件的时间戳数据并确定攻击者所在的时区范围;获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型;基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。本发明还公开了一种基于PE文件分析攻击者来源的系统。本发明所述技术方案能够根据已知攻击事件的PE文件,进而确定攻击者所在的国家或者地区,从而为进一步分析攻击事件提供线索。
-
公开(公告)号:CN105653940A
公开(公告)日:2016-06-08
申请号:CN201510409741.X
申请日:2015-07-14
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/55
CPC classification number: G06F21/554
Abstract: 本发明公开了一种基于PE文件分析攻击者来源的方法,包括:提取待分析样本中的PE文件;获取所述PE文件的时间戳数据并确定攻击者所在的时区范围;获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型;基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。本发明还公开了一种基于PE文件分析攻击者来源的系统。本发明所述技术方案能够根据已知攻击事件的PE文件,进而确定攻击者所在的国家或者地区,从而为进一步分析攻击事件提供线索。
-
公开(公告)号:CN103902902A
公开(公告)日:2014-07-02
申请号:CN201310505165.X
申请日:2013-10-24
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/56
Abstract: 本发明公开了一种基于嵌入式系统的Rootkit检测方法及系统,选取具有PCI插口规范的嵌入式设备,所述嵌入式设备中集成有独立操作系统;将所述嵌入式设备安装至待检测计算机主板的PCI插槽中;待检测计算机利用原有操作系统遍历待检测计算机磁盘,获取待检测计算机的文件名列表A;所述嵌入式设备利用独立操作系统遍历待检测计算机磁盘,获取待检测计算机的文件名列表B;所述嵌入式设备对比文件名列表A和文件名列表B,当文件名列表B中出现新增文件名且所述新增文件名出现次数超过预警值,则判定待检测计算机中存在Rootkit。本发明所提供的技术方案可以克服传统检测方法的不足,更加有效地检测未知Rootkit。
-
-
-
-
-
-
-
Search Results
8
records
(took 0.023 seconds)
