公开(公告)号：CN104966019B

公开(公告)日：2017-12-22

申请号：CN201410267588.7

申请日：2014-06-16

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 童志明 ,  沈长伟 ,  张栗伟 ,  何公道

IPC: G06F21/56

Abstract: 本发明公开了一种启发式文档威胁检测方法及系统，对于文档类文件，包括：office系列或者PDF，通过对待检测文档进行结构解析，获取静态信息，利用所述静态信息判断待检测文档是否夹带敏感数据，若夹带敏感数据，则对敏感数据进行格式解析，进一步判定敏感数据的格式是否是安全文档可夹带数据格式，若是，则待检测文档为低风险文档，否则判定是高风险文档。本发明给出的方法和系统，可以对文档类的未知威胁进行检测，并克服了传统检测方法复杂，效率低下等问题。

公开(公告)号：CN106657100A

公开(公告)日：2017-05-10

申请号：CN201611249289.6

申请日：2016-12-29

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 许梦磊 ,  童志明 ,  何公道

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1408 ,  H04L67/025

Abstract: 本发明提出基于数据包过滤的远程控制恶意程序检测方法及系统，该方法利用监测网络，获取预设时间段内的网络数据包，按照条件进行两次筛选出数据包大小在预设值范围内且通信IP固定的网络数据包，判断数据包的发包频率是否固定，若是则为可疑数据包，则可初步判定系统感染了远程控制恶意程序，然后对可疑数据包进行解析，获取其通信IP和内容，可对通信IP进行长期监测，并结合注册表查看工具，进程查看工具及系统日志判定系统是否被远程控制恶意程序感染。该方法可有效检测系统环境，检测是否有可疑数据包进而判断是否可能感染远程控制恶意软件，以便及时切断用户与服务器间的联系，有效的阻止重要信息的丢失。

公开(公告)号：CN106612183A

公开(公告)日：2017-05-03

申请号：CN201611228655.X

申请日：2016-12-27

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 王辛宇 ,  童志明 ,  何公道

IPC: H04L9/32

Abstract: 本发明提出了一种国产操作系统下应用软件的交叉数字签名方法及系统，包括：软件开发者将待发布软件拷贝至签名专用设备；签名专用设备对待发布软件进行签名；将生成的签名软件及签名证书发布到管理专用设备；管理专用设备对签名软件进行二次交叉签名，并生成交叉签名软件及交叉签名证书，并将所述交叉签名软件及交叉签名证书发布到应用商店。本发明同时还提出了对应的交叉数字签名系统，通过本发明，使用专用的签名设备进行交叉签名，加强了待发布软件的可信度，防止非法盗用证书产生的不良后果；同时能够实现对软件开发者身份的管理。

公开(公告)号：CN105718795A

公开(公告)日：2016-06-29

申请号：CN201510540091.2

申请日：2015-08-28

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 康学斌 ,  董建武 ,  何公道

IPC: G06F21/55 ,  G06F21/56

CPC classification number: G06F21/552 ,  G06F21/563

Abstract: 本发明提供了一种Linux下基于特征码的恶意代码取证方法及系统，本方法主要通过已知恶意文件及非恶意文件，提取精确的特征码，将linux系统下的文件的特征进行白名单检测后，将未知文件与WM特征规则库进行多模匹配，检测出更详细精确的结果，并给出检测取证报告。本发明同样利用了linux中注册表和启动项等信息是以文件形式保存的特点，提取启动项信息、内存信息、进程信息等，能够对其进行检测，来检出系统中存在的恶意文件。

公开(公告)号：CN105488410A

公开(公告)日：2016-04-13

申请号：CN201510254384.4

申请日：2015-05-19

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 童志明 ,  苏培旺 ,  何公道

IPC: G06F21/56

CPC classification number: G06F21/562

Abstract: 本发明提供了一种excel宏表病毒的检测方法及系统，包括：提取待检测excel文档中macro sheet substream流数据；分析macro sheet substream流数据，得到宏表中所有单元格的信息，并提取每个单元格的公式命令数据；提取每个公式命令数据中的token和公式长度；计算所有token和公式长度的哈希值；遍历恶意excel宏表病毒特征库，与所述哈希值匹配，匹配成功则所述待检测excel文档为恶意，否则非恶意。通过本发明的方法，能够有效的检测宏表病毒，并提出了一种excel宏表病毒的归一化检测方法。能够快速判断excel的宏表中是否存在恶意代码，同时有效减少特征数量。

公开(公告)号：CN108171060A

公开(公告)日：2018-06-15

申请号：CN201711479172.1

申请日：2017-12-29

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 黄磊 ,  邢继晨 ,  童志明 ,  何公道 ,  肖新光

IPC: G06F21/56

CPC classification number: G06F21/563

Abstract: 本发明提出了一种基于信息熵识别加密变形脚本的方法、系统及存储介质，所述方法包括：对待识别脚本进行代码过滤；计算过滤处理后脚本的信息熵；判断计算得到的信息熵是否大于预设阈值，如果是，则所述待识别脚本经过加密变形处理，否则，所述待识别脚本未经过加密变形处理。本发明还给出相应系统及存储介质。本发明实现了一种通用的方法，能够对加密变形脚本进行识别，为加密变形脚本的识别增加了普适性，不需要通过字符串的加密方式分别进行特征识别。

公开(公告)号：CN108170515A

公开(公告)日：2018-06-15

申请号：CN201711489507.8

申请日：2017-12-29

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 黄磊 ,  郑凯 ,  童志明 ,  何公道

IPC: G06F9/455 ,  G06F21/56 ,  H04L29/06

CPC classification number: G06F9/45558 ,  G06F21/566 ,  G06F2009/45587 ,  H04L63/145

Abstract: 本发明提出一种基于硬件资源的多引擎对照扫描动态调整方法及系统，所述方法通过采用多实体机，在每个实体机上利用虚拟化技术分别安装多个虚拟机，并在各虚拟机中安装检测引擎来进行对照扫描；获取待检测样本，并分发到各检测引擎的任务队列；对各检测引擎任务队列实时监控，判断是否存在待扫描任务为零的检测引擎，如果存在，则同时获取任务队列中待扫描任务数量最多的检测引擎；确认待扫描任务为零的检测引擎的虚拟机是否处于空闲状态，如果是，则关闭所述虚拟机，并增加待扫描任务数量最多的检测引擎的虚拟机。通过本发明能够对系统资源动态调整，提高整体扫描速度，同时采用统一队列管理，系统各检测引擎耦合度低，易于集群化分布式部署。

公开(公告)号：CN108108619A

公开(公告)日：2018-06-01

申请号：CN201711483876.6

申请日：2017-12-29

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 肖新光 ,  童志明 ,  叶佳旭 ,  何公道

IPC: G06F21/56 ,  G06F21/64 ,  H04L9/32

CPC classification number: G06F21/562 ,  G06F21/64 ,  G06F2221/033 ,  H04L9/3247 ,  H04L9/3263

Abstract: 本发明提出一种基于模式匹配对应关系的文件检测方法、系统及存储介质，本发明通过收集常用软件的文件属性与数字签名，及文件属性与网络链接所在网站数字证书间的对应关系，生成模式匹配库；判断待检测对象是否为文件或网络链接，如果是，则将所述待检测对象与模式匹配库匹配，否则跳过；若所述待检测对象与模式匹配库匹配成功，则所述待检测对象可信，否则所述待检测对象为恶意。本发明还给出相应系统及存储介质的技术方案。通过本发明方法，能够快速准确识别具有伪装及欺骗行为的文件及连接，节省了人工提取所付出的劳动力，并且快速响应。

公开(公告)号：CN105740706A

公开(公告)日：2016-07-06

申请号：CN201510985230.2

申请日：2015-12-25

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 童志明 ,  刘爽 ,  何公道

IPC: G06F21/56

CPC classification number: G06F21/566

Abstract: 本发明提出一种基于API名称和立即数的启发式样本检测方法及系统，包括：获取系统文件的全部导出函数名称，并计算各导出函数名称的散列值；将所有导出函数名称的散列值形成散列匹配库；遍历待检测样本的全部指令中所包含的立即数；将所述立即数与散列匹配库中的散列值匹配，并计算匹配成功的立即数个数；判断所述匹配成功的立即数个数是否超过阈值，如果是，则所述待检测样本为恶意文件，否则所述待检测样本为普通文件。本发明通过对API名称进行散列计算与待检测样本的立即数匹配，能够快速发现存在隐藏自身API调用的恶意代码样本。

公开(公告)号：CN105656872A

公开(公告)日：2016-06-08

申请号：CN201510421096.3

申请日：2015-07-17

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 康学斌 ,  董建武 ,  何公道

IPC: H04L29/06

CPC classification number: H04L63/1408 ,  H04L63/145

Abstract: 本发明提供了一种基于骨干网的攻击者追踪方法及系统，包括：通过骨干网监控设备，监控恶意网络通信行为，并获取恶意代码样本；分析恶意代码样本，提取命令与控制服务器信息；在骨干网监控命令与控制服务器及对应端口的IP通信，获取当前控制与命令服务器的控制者IP及对应信息；判断控制者IP是否为最终控制者，如果是，则定位最终控制者IP；否则返回继续监控，直到追踪到控制者IP。本发明解决了对网络通信中追踪攻击者黑客位置困难的问题，能够通过骨干网对黑客或控制端IP进行追踪定位，打击网络恶意行为。