-
公开(公告)号:CN116305129A
公开(公告)日:2023-06-23
申请号:CN202310546721.1
申请日:2023-05-16
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提供了一种基于VSTO的文档检测方法及装置、设备及介质,该方法包括:获取待检测office文档中包含的目标文件;目标文件为待检测office文档中包含的文件名称为预设文件名的非隐藏子文件;若目标文件中包含具有第二预设字符串的文件下载链接,则确定在预设安全链接列表中,是否包含文件下载链接;若预设安全链接列表中,不包含文件下载链接,则输出报警信息和文件下载链接。本发明通过对待检测office文档的目标文件进行字段检测,来查看其是否存在远程执行VSTO文件的可能,避免攻击者通过远程VSTO链接引导用户执行恶意代码。
-
公开(公告)号:CN116304221A
公开(公告)日:2023-06-23
申请号:CN202211632127.6
申请日:2022-12-19
Applicant: 北京安天网络安全技术有限公司
IPC: G06F16/903 , G06F16/958
Abstract: 本发明提供了一种文档信息安全检测方法、装置、电子设备及存储介质,该方法包括:响应于接收到的待检测文档,获取待检测文档的文档属性信息;对待检测文档的文档属性信息进行格式合法验证,得到对应的格式合法验证结果;对待检测文档的文档属性信息进行编码校验处理,得到对应的编码校验结果;根据格式合法验证结果和编码校验结果,得到待检测文档的安全检测结果并输出。本发明得到的安全检测结果弥补了目前文档办公软件存在的不能检测文档中隐藏敏感信息的弊端,使得用户能更容易地判断文档的出处和合规性,有效的应对在文档属性中隐藏敏感信息的攻击形式,弥补了现有检测手段的不足。
-
公开(公告)号:CN109472141B
公开(公告)日:2022-01-04
申请号:CN201711468588.3
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种基于时间序列化差异检测恶意代码的方法及系统,其中,所述方法包括:获取人工从创建到执行一个文件所需时间的最小值tmin;获取待检测文件从创建到执行所使用的时间t文件;判断t文件是否大于等于tmin,若是则判定待检测文件为低可疑文件,否则判定待检测文件为高可疑文件。对于所述低可疑文件和所述高可疑文件还可以进行进一步检测,最终判定是白文件、灰文件还是黑文件。本发明避免了对所有的样本都进行恶意行为的检测,提高了检测效率。
-
公开(公告)号:CN109474485A
公开(公告)日:2019-03-15
申请号:CN201711393341.X
申请日:2017-12-21
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明公开了基于网络流量信息检测僵尸网络的方法、系统及存储介质,其中,所述方法包括:监控网关流量并抓取数据包;分析抓取的数据包并筛选出HTTP数据包;对获取的HTTP数据包进行解码;若HTTP数据包是请求包,则将HTTP数据包的控制信息与已知僵尸网络的控制信息进行匹配,若匹配成功则判定为疑似僵尸网络;若HTTP数据包是响应包,则将HTTP数据包的回传信息与已知僵尸网络的回传信息进行匹配,若匹配成功则判定为疑似僵尸网络。本发明解决了现有僵尸网络检出率低,并且检测干扰性较大的问题。
-
公开(公告)号:CN119094248B
公开(公告)日:2025-01-28
申请号:CN202411581001.X
申请日:2024-11-07
Applicant: 北京安天网络安全技术有限公司
IPC: H04L9/40
Abstract: 本发明公开了一种窃密木马回传数据流量的检测方法和装置,属于信息安全领域。方法包括:基于预设的配置文件,实时监控各进程对敏感文件的读取以及实时Hook各进程对加密API的调用,并记录各进程的加密API调用信息;其中,配置文件含有待Hook的加密API和待监控的敏感文件,加密API调用信息至少包括加密API的调用顺序、各加密API的名称、参数和返回值;当读取的敏感文件超出设定阈值时,拦截该进程对外发送的数据包;基于该进程的加密API调用信息,对拦截的数据包进行逆向解密,以识别窃密木马窃取的敏感信息。本方案可以迅速解密数据包,并且通过监控敏感文件的读取,能够及时发现和阻止潜在的敏感信息泄露。
-
Patent Agency Ranking
公开(公告)号:CN119002754B
公开(公告)日:2025-01-24
申请号:CN202411464869.1
申请日:2024-10-21
Applicant: 北京安天网络安全技术有限公司
IPC: G06F3/04812 , G06F18/23 , G06F21/53 , G06F21/56
Abstract: 本申请提供了一种沙箱内的光标移动模拟方法、装置、介质及设备,涉及信息安全领域,该方法包括:获取至少一个光标移动模拟程序;响应于接收到待检测文件,若上述待检测文件对应的预估风险等级为预设风险等级,则根据每一上述光标移动模拟程序以及预设模拟程序拼接规则得到待检测文件对应的目标光标移动模拟程序。本申请使得恶意代码被“欺骗”,即使其无法检测到自身处于沙箱内,从而正常执行对应的恶意行为。能够被沙箱记录其恶意行为。
-
公开(公告)号:CN118965353B
公开(公告)日:2025-01-24
申请号:CN202411430563.4
申请日:2024-10-14
Applicant: 北京安天网络安全技术有限公司
IPC: G06F21/56 , G06F18/22 , G06F18/23 , G06F18/2413
Abstract: 本申请提供了一种基于行为动态管理程序权限的方法、装置、介质及设备,涉及信息安全领域,该方法包括:每到达预设的检测时间点,获取待检测程序对应的行为特征向量;将行为特征向量输入至预设的分类模型,得到每一预设恶意行为类型对应的匹配率;若最大匹配率大于对应的第一匹配率阈值且小于对应的第二匹配率阈值,则确定待检测程序是否为非恶意程序;若不为,则根据对应的预设恶意行为类型的限制行为列表限制待检测程序对应的行为。本申请在对应的匹配度阈值未达到第二匹配度阈值时,通过限制部分关键行为的方式来保护系统以及相关文件、程序等的安全,同时避免具有类似行为的非恶意程序被误判为恶意程序,从而导致中断非恶意程序的工作进程。
-
公开(公告)号:CN119046943A
公开(公告)日:2024-11-29
申请号:CN202411527118.X
申请日:2024-10-30
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明实施例公开的基于模拟伪装调试环境的恶意代码防御方法、系统、电子设备及存储介质,涉及恶意代码防护技术领域。能够实现对恶意代码的检测与防御。所述方法包括:获取系统中与调试相关的函数调用,修改所述函数调用的返回值;修改系统注册表中与调试器配置相关的注册表项;所述注册表项包括:调调试器名称;在所述系统中启动至少一个调试器进程模拟伪装正在运行的调试环境,以迷惑恶意代码执行时误判当前处于正在运行的调试环境中;监控用于测量恶意代码执行时间的指令执行情况;当监控到所述指令执行时间异常时,控制该指令的执行行为,以防止恶意代码判断出当前模拟伪装的调试环境。适用于恶意代码检测场景中。
-
公开(公告)号:CN119002754A
公开(公告)日:2024-11-22
申请号:CN202411464869.1
申请日:2024-10-21
Applicant: 北京安天网络安全技术有限公司
IPC: G06F3/04812 , G06F18/23 , G06F21/53 , G06F21/56
Abstract: 本申请提供了一种沙箱内的光标移动模拟方法、装置、介质及设备,涉及信息安全领域,该方法包括:获取至少一个光标移动模拟程序;响应于接收到待检测文件,若上述待检测文件对应的预估风险等级为预设风险等级,则根据每一上述光标移动模拟程序以及预设模拟程序拼接规则得到待检测文件对应的目标光标移动模拟程序。本申请使得恶意代码被“欺骗”,即使其无法检测到自身处于沙箱内,从而正常执行对应的恶意行为。能够被沙箱记录其恶意行为。
-
公开(公告)号:CN118965353A
公开(公告)日:2024-11-15
申请号:CN202411430563.4
申请日:2024-10-14
Applicant: 北京安天网络安全技术有限公司
IPC: G06F21/56 , G06F18/22 , G06F18/23 , G06F18/2413
Abstract: 本申请提供了一种基于行为动态管理程序权限的方法、装置、介质及设备,涉及信息安全领域,该方法包括:每到达预设的检测时间点,获取待检测程序对应的行为特征向量;将行为特征向量输入至预设的分类模型,得到每一预设恶意行为类型对应的匹配率;若最大匹配率大于对应的第一匹配率阈值且小于对应的第二匹配率阈值,则确定待检测程序是否为非恶意程序;若不为,则根据对应的预设恶意行为类型的限制行为列表限制待检测程序对应的行为。本申请在对应的匹配度阈值未达到第二匹配度阈值时,通过限制部分关键行为的方式来保护系统以及相关文件、程序等的安全,同时避免具有类似行为的非恶意程序被误判为恶意程序,从而导致中断非恶意程序的工作进程。
-
-
-
-
-
-
-
-
-
Search Results
46
records
(took 0.034 seconds)
