-
公开(公告)号:CN106650450A
公开(公告)日:2017-05-10
申请号:CN201611249315.5
申请日:2016-12-29
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/563
Abstract: 本发明提出一种基于代码指纹识别的恶意脚本启发式检测方法及系统,所述方法包括:提取待检测脚本文件中的代码指纹属性;将代码指纹属性生成代码指纹;将所述代码指纹与代码指纹库匹配,若匹配成功,则待检测脚本文件为恶意,并确定待检测脚本文件来源;否则对待检测脚本文件进行分析;分析待检测脚本文件,若所述待检测脚本分析结果为恶意,则将提取到的代码指纹及代码来源添加到代码指纹库;若所述待检测脚本分析结果为非恶意,则放行所述待检测脚本文件。通过发明的方法,不需要进行复杂的逻辑分析或虚拟环境执行脚本,即可有效的进行未知脚本的检测。
-
公开(公告)号:CN106650449A
公开(公告)日:2017-05-10
申请号:CN201611245850.3
申请日:2016-12-29
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提出一种基于变量名混淆程度的脚本启发式检测方法及系统,通过收集英文单词语料库;并使用监督类型的机器学习方法对收集到的语料库进行分类模型训练;将待检测脚本中提取出的变量名输入分类模型,对输出结果进行统计,如果统计结果中有一项或多项大于预设值,则待检测脚本为恶意。通过本发明的方法解决了现有脚本检测维护复杂,资源占用高、运行速度慢的问题。
-
公开(公告)号:CN106650426A
公开(公告)日:2017-05-10
申请号:CN201611127815.1
申请日:2016-12-09
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/53 , G06F21/566
Abstract: 本发明提出一种动态提取可执行文件内存映像的方法及系统,包括:利用虚拟机加载目标可执行文件;根据预设间隔频率定时提取目标可执行文件的内存映像;对提取出来的内存映像进行消重;将消重后的所有内存映像保存并提交检测程序检测。通过本发明的方法,不会遗漏可执行文件的内存映像,解决了恶意代码按需释放真实恶意代码躲避查杀的问题。
-
公开(公告)号:CN103902905B
公开(公告)日:2017-02-15
申请号:CN201310691228.5
申请日:2013-12-17
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提供了一种软件结构聚类的恶意代码生成器识别方法及系统。本发明的方法通过找到相同时间戳的样本,并提取相同时间戳样本的软件结构信息构造向量,通过计算Simhash值,找到Simhash距离小于指定值的样本,则能够判断该类样本具有相似的文件结构,为恶意代码生成器生成的代码。同样本发明还给出了相应的系统结构。通过本发明的方法,能够利用生成器与编译产生的软件结构的差异,发现生成器,并利用大规模相似性找到软件结构相似的样本。
-
公开(公告)号:CN105488403A
公开(公告)日:2016-04-13
申请号:CN201410807630.X
申请日:2014-12-23
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及系统,包括:加载特征码库;获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;提取所述待检测PE文件的全部未使用字段;将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。本发明通过对PE文件的格式进行解析,获取一些特定的字段进行检测,加快了检测的速度,减小了内存使用,并且对于利用这些字段进行反抗检测软件的行为能够有效检出。
-
Patent Agency Ranking
公开(公告)号:CN105488084A
公开(公告)日:2016-04-13
申请号:CN201410813440.9
申请日:2014-12-24
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提出了一种基于树同构的软件安装包分类方法及系统,主要通过获取PE格式安装包的资源节信息,并将其形成树形结构,将所述的树形结构与树形结构库中的树结构进行依次对比,如果相似度超过预设值,则所述安装包与树形结构库中的树结构对应的软件属于同一分类。通过本发明的方法,能够实现对没有特征信息的安装包进行分类,使得分类更加合理。
-
公开(公告)号:CN104991893A
公开(公告)日:2015-10-21
申请号:CN201410618832.X
申请日:2014-11-06
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种启发式自解压包和安装包检测方法及系统,首先,收集已知自解压包和/或安装包,并获取基本信息;解析已知自解压包和/或安装包的PE文件结构,获取图标相关信息,并进一步提取匹配特征;获取待检测PE文件,遍历待检测PE文件资源节,获取待检测PE文件的图标相关信息;基于待检测PE文件的图标相关信息提取特征;将所述特征与匹配特征进行相似性匹配,若存在相似度达到指定阈值的匹配特征,则反馈与所述匹配特征相应的基本信息。本发明所述的方法及系统,能够有效检测自解压包和安装包,并克服了传统方法中对于未知的或者更新过的自解压包和安装包无法有效识别的问题。
-
公开(公告)号:CN104966019A
公开(公告)日:2015-10-07
申请号:CN201410267588.7
申请日:2014-06-16
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种启发式文档威胁检测方法及系统,对于文档类文件,包括:office系列或者PDF,通过对待检测文档进行结构解析,获取静态信息,利用所述静态信息判断待检测文档是否夹带敏感数据,若夹带敏感数据,则对敏感数据进行格式解析,进一步判定敏感数据的格式是否是安全文档可夹带数据格式,若是,则待检测文档为低风险文档,否则判定是高风险文档。本发明给出的方法和系统,可以对文档类的未知威胁进行检测,并克服了传统检测方法复杂,效率低下等问题。
-
公开(公告)号:CN103902905A
公开(公告)日:2014-07-02
申请号:CN201310691228.5
申请日:2013-12-17
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/563 , G06F2221/033 , G06F2221/2151
Abstract: 本发明提供了一种软件结构聚类的恶意代码生成器识别方法及系统。本发明的方法通过找到相同时间戳的样本,并提取相同时间戳样本的软件结构信息构造向量,通过计算Simhash值,找到Simhash距离小于指定值的样本,则能够判断该类样本具有相似的文件结构,为恶意代码生成器生成的代码。同样本发明还给出了相应的系统结构。通过本发明的方法,能够利用生成器与编译产生的软件结构的差异,发现生成器,并利用大规模相似性找到软件结构相似的样本。
-
公开(公告)号:CN102340428B
公开(公告)日:2014-01-15
申请号:CN201110298976.8
申请日:2011-09-29
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种基于网络丢包的URL检测与拦截方法,包括:监控网络数据包,判断所述网络数据包是发送数据包还是返回数据包;若所述网络数据包是发送数据包,判断所述发送数据包中是否包含URL并进行相应的处理;若所述网络数据包是返回数据包,判断所述返回数据包的信息是否记录在所述的URL和URL相关信息中,并进行相应的处理。本发明还提供了一种基于网络丢包的URL检测与拦截系统。本发明利用TCP协议的数据校验机制对URL进行异步检测。通过测试本方面的技术方案达到了URL在用户态检测的要求,能够拦截危险的URL访问网络。
-
-
-
-
-
-
-
-
-
Search Results
95
records
(took 0.107 seconds)
