-
公开(公告)号:CN106648676A
公开(公告)日:2017-05-10
申请号:CN201611237195.7
申请日:2016-12-28
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提出一种利用运行时库识别编译器的方法及系统,提取已知不同类型及版本编译器编译的二进制文件的运行时库特征码,并构造成为编译器识别特征库;获取待识别的二进制可执行文件;检测待识别的二进制可执行文件入口点附近是否包含编译器识别特征库中的运行时库特征码,如果是,则所述待识别的二进制可执行文件编译器类型为可识别的,输出编译器信息;否则待识别的二进制可执行文件可能为压缩加密类型,如果是加密类型,则对待识别的二进制可执行文件解密处理后,再进行编译器识别;否则待识别的二进制可执行文件的编译器无法识别。本发明不需要对二进制可执行文件进行详细分析,只需查看程序入口点,即可确认详细的编译器类型及版本等信息。
-
公开(公告)号:CN105677558A
公开(公告)日:2016-06-15
申请号:CN201510380606.7
申请日:2015-07-02
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F11/36
Abstract: 一种基于形式归一化的脚本启发式检测方法及系统,包括:获取待检测脚本;对待检测脚本进行标准化处理,删除无作用的代码及字符;对待检测脚本的结构及语法分析,获得可变化名称;将所述可变化名称进行统一命名处理,并建立统一命名处理前后的可变化名称的对应关系;根据对应关系,依次替换待检测脚本中的可变化名称,输出新的待检测脚本;将新的待检测脚本提交给反病毒引擎进行检测。通过本发明的方法及系统,可以有效对抗通过变换名称来逃避反病毒引擎检测的恶意代码。
-
公开(公告)号:CN105654106A
公开(公告)日:2016-06-08
申请号:CN201510419436.9
申请日:2015-07-17
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06K9/62
CPC classification number: G06K9/6282
Abstract: 本发明提出了一种决策树生成方法及系统,所述方法包括:获取训练样本集及样本属性,统计每个样本属性在训练样本集中不同取值的种类数,根据其并分别计算每个样本属性的区分度,选择区分度最高的样本属性作为决策树分支划分的依据属性;将划分后的训练样本集继续按照上述方法递归计算划分,直到分支节点达到预设的阈值,决策树生成完成。本发明还给出了对应的系统,通过本发明的方法,能够合理进行决策树划分属性的选择,使得划分的结果更准确并具有实用价值。
-
公开(公告)号:CN103324888B
公开(公告)日:2016-04-27
申请号:CN201210072372.6
申请日:2012-03-19
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提供一种基于家族样本的病毒特征自动提取方法及系统,本发明对最长公共子序列算法进行改进,利用家族样本集中的样本,建立数列A、B,通过预设特征码长度,分别计算数列A、B中长度为预设值的子序列的哈希值,并通过红黑树方式对A、B数列中的子序列的哈希值匹配,若哈希值相同,则该哈希值所对应的子序列为数列A及数列B的公共子序列,则该公共子序列为家族样本特征码,当剩余样本分别作为数列B并在红黑树中查找后,得到的所有家族样本特征码组成家族样本特征集,根据建立的特征码质量评价加权模型,判断特征码质量,确定家族样本特征码。通过本发明的方法,简化了算法的时间复杂度,提高了特征码提取效率及准确度。
-
公开(公告)号:CN105488399A
公开(公告)日:2016-04-13
申请号:CN201410738723.1
申请日:2014-12-08
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种基于程序关键字调用序列的脚本病毒检测方法及系统,通过将待检测程序进行词法分析及语法语义分析,标记调用的脚本程序关键字信息及语义类型的助记符,并将所述关键字信息及助记符保存到待检测数据流中,将待检测数据流与预先从恶意脚本中提取的特征串匹配,如果匹配成功,则判定所述待检测程序为恶意。本发明方法抛弃了程序中的变量名称等,通过代码程序的关键字调用序列,进行模式匹配,可以有效对抗恶意脚本的多态变形,并且模式匹配的方式,有效的减少了特征库中的特征量,减少了磁盘占用。
-
Patent Agency Ranking
公开(公告)号:CN104978525A
公开(公告)日:2015-10-14
申请号:CN201410657009.X
申请日:2014-11-18
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提供了一种基于结构化异常的启发式脚本检测方法及系统,所述方法包括:读取待检测脚本代码;对脚本代码进行结构化扫描,确定脚本代码的代码结构;根据结构化异常规则,对脚本代码的代码结构进行匹配,如果匹配成功,则确认所述待检测脚本代码结构异常,并进行告警;否则确认所述待检测脚本代码结构正常。本发明还提供了相应的检测系统。通过本发明提供的方法及系统,可以快速有效的发现那些结构化异常的脚本,并对用户进行告警。本方案可以有效弥补传统检测方法的不足,对恶意变形的脚本或者架构化异常的代码进行检测。
-
公开(公告)号:CN104965749A
公开(公告)日:2015-10-07
申请号:CN201410544701.1
申请日:2014-10-15
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种kvm虚拟机快照恢复优化方法及系统,首先,查询判断是否存在空闲虚拟机,若不存在,则结束,否则进一步判断是否存在待处理任务,若存在,则调度空闲虚拟机执行所述待处理任务,否则进一步判断空闲虚拟机的使用时间是否达到预设阈值,若达到,则对所述空闲虚拟机重新制作快照,否则结束。本发明所述方法及系统,可以有效的提高虚拟机的恢复速度,提升虚拟机的使用效率。
-
公开(公告)号:CN102841990B
公开(公告)日:2015-07-22
申请号:CN201110357893.1
申请日:2011-11-14
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提供了一种基于统一资源定位符的恶意代码检测方法,包括:监控计算机操作系统,获取系统访问网络的URL;通过解析所述URL得到所述URL的Query域信息;将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配;如果匹配成功,则判断恶意代码存在,根据预设操作进行相应处理;否则继续监控。本发明还提供了一种基于统一资源定位符的恶意代码检测系统。本发明使用方式简单,不必使用庞大的病毒特征数据,针对盗号类恶意代码具有非常好的检出率。
-
公开(公告)号:CN103905269A
公开(公告)日:2014-07-02
申请号:CN201310619430.7
申请日:2013-11-29
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种基于格式识别技术的网络双向检测方法及系统,所述方法包括:监控双向网络数据流,并抓取和缓存网络数据流中的数据包;判断所述数据包的文件格式信息与所对应URL所指向文件后缀名是否相同,如果是,则使用检测引擎检测;否则通知用户发现高危后缀伪装行为,并进行详细深度检测。同时本发明还提供了相应的检测系统。通过本发明内容,可以根据文件格式与URL格式不符,检测出具有伪装行为的数据流,进而告知用户威胁,同时由于检测环境在网络中,无需考虑网络数据传输方向的问题,能够对双向网络数据进行检测。
-
公开(公告)号:CN103581162A
公开(公告)日:2014-02-12
申请号:CN201210578079.7
申请日:2012-12-27
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种基于云的持续更新事件结果与统计信息的系统及方法,包括:客户端循环获取URL事件;并判断所述URL是否能够与白名单或黑名单匹配,如果是,则根据黑名单或白名单进行处置,并记录检测结果,同时更新事件统计列表;否则将所述URL上传到云端分析系统;客户端按预设时间间隔,向云端分析系统查询所有检测结果为待确认的URL的云端分析结果;判断是否存在URL的云端分析结果,如果存在,则获取云端分析结果,并用所述云端分析结果更新对应URL的检测结果及事件统计列表。通过本发明的方法及系统,能够解决未知URL事件的判定,能及时到云端分析系统中获取之前未确定的结果并更新客户端记录,不依赖于检测时所产生的结果,便于及时发现威胁。
-
-
-
-
-
-
-
-
-
Search Results
95
records
(took 0.077 seconds)
