-
公开(公告)号:CN105490998A
公开(公告)日:2016-04-13
申请号:CN201410762259.X
申请日:2014-12-12
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明提出了一种基于数字证书认证的安全信用评估方法,包括:根据数字证书认证库判断所述文件的数字证书状态;将所述待检测文件与已知黑名单比对,判断所述文件是否在黑名单中,并进行标记;将所述待检测文件与已知白名单比对,判断所述文件是否在白名单中,并进行标记;最后根据待检测文件的上述判断结果及预设安全信用标准,输出待检测文件的安全信用度。通过本发明的方法,不需要与数字证书认证服务器相连,定期更新本地库,即可对数字证书进行判断,并结合数字证书的判断结果及黑白名单匹配结果,综合给出待检测文件的安全信用度。
-
公开(公告)号:CN105488410A
公开(公告)日:2016-04-13
申请号:CN201510254384.4
申请日:2015-05-19
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/562
Abstract: 本发明提供了一种excel宏表病毒的检测方法及系统,包括:提取待检测excel文档中macro sheet substream流数据;分析macro sheet substream流数据,得到宏表中所有单元格的信息,并提取每个单元格的公式命令数据;提取每个公式命令数据中的token和公式长度;计算所有token和公式长度的哈希值;遍历恶意excel宏表病毒特征库,与所述哈希值匹配,匹配成功则所述待检测excel文档为恶意,否则非恶意。通过本发明的方法,能够有效的检测宏表病毒,并提出了一种excel宏表病毒的归一化检测方法。能够快速判断excel的宏表中是否存在恶意代码,同时有效减少特征数量。
-
公开(公告)号:CN103905419A
公开(公告)日:2014-07-02
申请号:CN201310641203.4
申请日:2013-12-04
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L29/06
Abstract: 本发明提供了一种文件鉴定装置及方法,所述装置包括:静态检测模块,对网络设备发送来的文件进行静态检测,并根据检测结果及用户配置,判断是否需要进行动态检测,如果是则将所述文件发送到动态检测模块,否则执行统计模块;动态检测模块,用于对所述文件进行动态检测,记录并监控文件行为;统计模块,用于汇总检测结果,并反馈给用户。本发明还相应提供了文件鉴定方法,通过本发明的装置及方法,能够使网络设备在不需要将文件上传到反病毒厂商的情况下,进行文件鉴定,同时不占用网络设备自身资源,具有较高的工作及检测效率。
-
公开(公告)号:CN103580949A
公开(公告)日:2014-02-12
申请号:CN201210578030.1
申请日:2012-12-27
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种可切换的非完整流和完整流检测方法及系统,首先,获取网络数据流前部预设数量的数据包并进行还原,然后对还原出的部分数据进行病毒的检测;继续获取所述数据流的数据包,如果数据包接收失败或者所述数据流的数据包已经接收完成,则对所接收的所有数据包进行还原并进行病毒检测。从而,既可以在无法获取完整流时进行非完整流检测,又可以在非完整流检测失败或者需要时进行完整流检测,既减少了系统占用,提高了检测效率,也保证了检出率。
-
公开(公告)号:CN102340428A
公开(公告)日:2012-02-01
申请号:CN201110298976.8
申请日:2011-09-29
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种基于网络丢包的URL检测与拦截方法,包括:监控网络数据包,判断所述网络数据包是发送数据包还是返回数据包;若所述网络数据包是发送数据包,判断所述发送数据包中是否包含URL并进行相应的处理;若所述网络数据包是返回数据包,判断所述返回数据包的信息是否记录在所述的URL和URL相关信息中,并进行相应的处理。本发明还提供了一种基于网络丢包的URL检测与拦截系统。本发明利用TCP协议的数据校验机制对URL进行异步检测。通过测试本方面的技术方案达到了URL在用户态检测的要求,能够拦截危险的URL访问网络。
-
Patent Agency Ranking
公开(公告)号:CN110135153A
公开(公告)日:2019-08-16
申请号:CN201811295818.5
申请日:2018-11-01
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种软件的可信检测方法及装置,其中,方法包括以下步骤:检测待测可信软件是否可信;如果待测软件可信,则提取待测可信软件的PE文件中多个信标;检测多个信标是否均属于可信信标库,并在多个信标中任意一个信标不属于可信信标库时,判定待测可信软件被仿冒或篡改。该方法可以有效检测对可信软件的仿冒或篡改,尤其是可以准确检测内嵌恶意信标而实现恶意目的的行为,提高检测的准确性和可靠性,有效避免用户遭受恶意代码攻击,提高用户使用体验。
-
公开(公告)号:CN105740706B
公开(公告)日:2019-05-07
申请号:CN201510985230.2
申请日:2015-12-25
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提出一种基于API名称和立即数的启发式样本检测方法及系统,包括:获取系统文件的全部导出函数名称,并计算各导出函数名称的散列值;将所有导出函数名称的散列值形成散列匹配库;遍历待检测样本的全部指令中所包含的立即数;将所述立即数与散列匹配库中的散列值匹配,并计算匹配成功的立即数个数;判断所述匹配成功的立即数个数是否超过阈值,如果是,则所述待检测样本为恶意文件,否则所述待检测样本为普通文件。本发明通过对API名称进行散列计算与待检测样本的立即数匹配,能够快速发现存在隐藏自身API调用的恶意代码样本。
-
公开(公告)号:CN108171014A
公开(公告)日:2018-06-15
申请号:CN201711484553.9
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/10 , H04L63/1408
Abstract: 本发明提出一种RTF可疑文件的检测方法、系统及存储介质,所述方法包括:获取RTF文件中objdata数据段;搜索objdata数据段中是否同时存在16进制数据及非16进制数据;如果存在,则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值,如果是,则所述objdata数据段被混淆,即所述RTF文件可疑,否则所述objdata数据段未被混淆,即RTF文件正常。通过本发明的方法,能够有效识别在RTF中进行混淆的文件,解决现有依据特征进行检测的技术中,由于特征被混杂文件打乱而无法检测的问题。
-
公开(公告)号:CN108073815A
公开(公告)日:2018-05-25
申请号:CN201711482612.9
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/563 , G06F2221/033
Abstract: 本发明提出一种基于代码切片的家族判定方法、系统及存储介质,所述方法包括,获取待检测文件,并判断文件格式;根据文件格式,按照最小功能的结构化数据块对待检测文件进行文件切片;分别计算各切片的模糊哈希;利用相似度计算方法,将各切片的模糊哈希与恶意代码切片特征库进行关联分析,得到与待检测文件相似的已知样本;确定关联分析后相似度最高的已知样本;则所述待检测文件与所述相似度最高的已知样本为同一恶意代码家族。本发明不需要了解恶意代码特性及特征码额提取,仅通过了解文件结构,即可利用相似度判定恶意代码的家族。
-
公开(公告)号:CN108073809A
公开(公告)日:2018-05-25
申请号:CN201711420803.2
申请日:2017-12-25
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/55
CPC classification number: G06F21/55
Abstract: 本发明提出一种基于异常组件关联的APT启发式检测方法及系统,发明方法包括:监控系统中的全部启动进程;记录全部组件的调用关系及组件环境信息,并缓存到缓存知识库;对系统新获取的组件,记录其调用关系及组件环境信息;将新获取的组件的调用关系及组件环境信息与缓存知识库匹配,基于匹配规则,判断系统内的组件是否异常,如果是,则向用户告警,并提示风险,否则将所述新获取的组件的调用关系及组件环境信息存储到缓存知识库中。本发明还提出相应系统及存储介质。通过本发明的方法,可以有效检测组件化,模块化,工程化,高隐蔽性,复杂的APT攻击。
-
-
-
-
-
-
-
-
-
Search Results
95
records
(took 0.075 seconds)
