公开(公告)号：CN106657100A

公开(公告)日：2017-05-10

申请号：CN201611249289.6

申请日：2016-12-29

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 许梦磊 ,  童志明 ,  何公道

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1408 ,  H04L67/025

Abstract: 本发明提出基于数据包过滤的远程控制恶意程序检测方法及系统，该方法利用监测网络，获取预设时间段内的网络数据包，按照条件进行两次筛选出数据包大小在预设值范围内且通信IP固定的网络数据包，判断数据包的发包频率是否固定，若是则为可疑数据包，则可初步判定系统感染了远程控制恶意程序，然后对可疑数据包进行解析，获取其通信IP和内容，可对通信IP进行长期监测，并结合注册表查看工具，进程查看工具及系统日志判定系统是否被远程控制恶意程序感染。该方法可有效检测系统环境，检测是否有可疑数据包进而判断是否可能感染远程控制恶意软件，以便及时切断用户与服务器间的联系，有效的阻止重要信息的丢失。

公开(公告)号：CN108090353A

公开(公告)日：2018-05-29

申请号：CN201711067476.7

申请日：2017-11-03

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 许梦磊 ,  童志明 ,  何公道

IPC: G06F21/56

CPC classification number: G06F21/562

Abstract: 本发明提出一种基于知识驱动的加壳代码回归检测方法及系统，所述方法包括：建立特征综合数据库，获取待检测加壳样本；将待检测加壳样本的解压代码放入样本解释器中进行短特征匹配，如果匹配成功，则根据短特征在推理机中对应的解密算法，对待检测加壳样本进行解密，并将解密后的数据提取短特征，录入明文知识库；否则，通过推理机直接对待检测加壳样本提取特征，录入密文知识库。本发明还相应给出该方法的系统、存储介质及程序产品。本发明的方法通过明文知识库和密文知识库组成的综合数据库，对加壳码进行协同检测，并且采用回归方式不断更新知识库，能够适应检测代码和检测方式的不断变化。