-
公开(公告)号:CN102340428A
公开(公告)日:2012-02-01
申请号:CN201110298976.8
申请日:2011-09-29
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种基于网络丢包的URL检测与拦截方法,包括:监控网络数据包,判断所述网络数据包是发送数据包还是返回数据包;若所述网络数据包是发送数据包,判断所述发送数据包中是否包含URL并进行相应的处理;若所述网络数据包是返回数据包,判断所述返回数据包的信息是否记录在所述的URL和URL相关信息中,并进行相应的处理。本发明还提供了一种基于网络丢包的URL检测与拦截系统。本发明利用TCP协议的数据校验机制对URL进行异步检测。通过测试本方面的技术方案达到了URL在用户态检测的要求,能够拦截危险的URL访问网络。
-
公开(公告)号:CN108073809A
公开(公告)日:2018-05-25
申请号:CN201711420803.2
申请日:2017-12-25
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/55
CPC classification number: G06F21/55
Abstract: 本发明提出一种基于异常组件关联的APT启发式检测方法及系统,发明方法包括:监控系统中的全部启动进程;记录全部组件的调用关系及组件环境信息,并缓存到缓存知识库;对系统新获取的组件,记录其调用关系及组件环境信息;将新获取的组件的调用关系及组件环境信息与缓存知识库匹配,基于匹配规则,判断系统内的组件是否异常,如果是,则向用户告警,并提示风险,否则将所述新获取的组件的调用关系及组件环境信息存储到缓存知识库中。本发明还提出相应系统及存储介质。通过本发明的方法,可以有效检测组件化,模块化,工程化,高隐蔽性,复杂的APT攻击。
-
公开(公告)号:CN103532730B
公开(公告)日:2016-09-07
申请号:CN201210233283.5
申请日:2012-07-06
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了基于自解压技术的黑白名单自动化动态维护的方法及系统,首先通过查询服务端或者云端的黑白名单数据库,对目标程序进行查重判定,对于无记录的目标程序进行格式识别,对于包裹文件进行解压缩,计算非包裹文件或者包裹文件及其解包后得到的子文件的散列值,并生成散列表,将其更新到服务端或者云端的白名单列表中,随后将该散列表分发至客户端,用于客户端的白名单列表的更新。从而,避免了客户端将程序及其子文件发送至服务端或者云端进行查询,减轻了服务端或者云端的处理压力。
-
公开(公告)号:CN105677558A
公开(公告)日:2016-06-15
申请号:CN201510380606.7
申请日:2015-07-02
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F11/36
Abstract: 一种基于形式归一化的脚本启发式检测方法及系统,包括:获取待检测脚本;对待检测脚本进行标准化处理,删除无作用的代码及字符;对待检测脚本的结构及语法分析,获得可变化名称;将所述可变化名称进行统一命名处理,并建立统一命名处理前后的可变化名称的对应关系;根据对应关系,依次替换待检测脚本中的可变化名称,输出新的待检测脚本;将新的待检测脚本提交给反病毒引擎进行检测。通过本发明的方法及系统,可以有效对抗通过变换名称来逃避反病毒引擎检测的恶意代码。
-
公开(公告)号:CN104978525A
公开(公告)日:2015-10-14
申请号:CN201410657009.X
申请日:2014-11-18
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提供了一种基于结构化异常的启发式脚本检测方法及系统,所述方法包括:读取待检测脚本代码;对脚本代码进行结构化扫描,确定脚本代码的代码结构;根据结构化异常规则,对脚本代码的代码结构进行匹配,如果匹配成功,则确认所述待检测脚本代码结构异常,并进行告警;否则确认所述待检测脚本代码结构正常。本发明还提供了相应的检测系统。通过本发明提供的方法及系统,可以快速有效的发现那些结构化异常的脚本,并对用户进行告警。本方案可以有效弥补传统检测方法的不足,对恶意变形的脚本或者架构化异常的代码进行检测。
-
Patent Agency Ranking
公开(公告)号:CN103905269A
公开(公告)日:2014-07-02
申请号:CN201310619430.7
申请日:2013-11-29
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种基于格式识别技术的网络双向检测方法及系统,所述方法包括:监控双向网络数据流,并抓取和缓存网络数据流中的数据包;判断所述数据包的文件格式信息与所对应URL所指向文件后缀名是否相同,如果是,则使用检测引擎检测;否则通知用户发现高危后缀伪装行为,并进行详细深度检测。同时本发明还提供了相应的检测系统。通过本发明内容,可以根据文件格式与URL格式不符,检测出具有伪装行为的数据流,进而告知用户威胁,同时由于检测环境在网络中,无需考虑网络数据传输方向的问题,能够对双向网络数据进行检测。
-
公开(公告)号:CN103581162A
公开(公告)日:2014-02-12
申请号:CN201210578079.7
申请日:2012-12-27
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种基于云的持续更新事件结果与统计信息的系统及方法,包括:客户端循环获取URL事件;并判断所述URL是否能够与白名单或黑名单匹配,如果是,则根据黑名单或白名单进行处置,并记录检测结果,同时更新事件统计列表;否则将所述URL上传到云端分析系统;客户端按预设时间间隔,向云端分析系统查询所有检测结果为待确认的URL的云端分析结果;判断是否存在URL的云端分析结果,如果存在,则获取云端分析结果,并用所述云端分析结果更新对应URL的检测结果及事件统计列表。通过本发明的方法及系统,能够解决未知URL事件的判定,能及时到云端分析系统中获取之前未确定的结果并更新客户端记录,不依赖于检测时所产生的结果,便于及时发现威胁。
-
公开(公告)号:CN102843270A
公开(公告)日:2012-12-26
申请号:CN201110257457.7
申请日:2011-09-02
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种基于URL与本地文件关联的可疑URL检测方法,包括:获取系统访问的URL;判断获取的URL是否进行文件下载;如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件,根据判断结果对所述URL做进一步处理。本发明还公开了一种基于URL与本地文件关联的可疑URL检测装置。本发明将传统的启发式检测和URL关联一起,每个恶意代码都能查到下载它的URL,不仅能将可疑文件甄别出来,而且能够提供下载这个可疑文件的URL,对进一步分析和阻止恶意代码传播提供有力条件。
-
公开(公告)号:CN102760218A
公开(公告)日:2012-10-31
申请号:CN201110421910.3
申请日:2011-12-16
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供一种基于动态链接库的病毒特征库共享方法及装置,所述方法包括:将病毒特征库编译为病毒特征库动态链接库;反病毒引擎请求加载病毒特征库;加载病毒特征库对应的病毒特征库动态链接库;获得操作系统反馈的内存中的病毒特征库地址。本发明运用操作系统在内存中只保留一份动态链接库特性,实现了病毒特征库的共享,节省内存,以及动态链接库写时拷贝(WriteOnCopy)的特性,将病毒特征库储存在动态链接库中,当反病毒软件需要加载病毒特征库时,只需要加载动态链接库就可以得到病毒特征库。
-
公开(公告)号:CN105024989B
公开(公告)日:2018-09-07
申请号:CN201410688920.7
申请日:2014-11-26
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明提出了一种基于异常端口的恶意URL启发式检测方法,在特征提取阶段利用已知恶意URL作为训练数据,获取恶意URL端口数据,过滤满足规定的常规端口数据,将保留的非常规端口数据作为特征标识,并形成特征库,在URL检测阶段,先获取待检测URL端口数据,然后将获取的端口数据与特征库中的特征标识进行匹配,最后返回检测结果,本发明还提出了一种基于异常端口的恶意URL启发式检测系统。本发明以端口数据作为匹配特征,利用启发式思想对URL进行检测,弥补了现有URL检测技术中,病毒特征库数据量过大、占用系统资源过多、不能很好的保证检测效率的不足。
-
-
-
-
-
-
-
-
-
Search Results
34
records
(took 0.058 seconds)
