公开(公告)号：CN106845222A

公开(公告)日：2017-06-13

申请号：CN201611094356.1

申请日：2016-12-02

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 张慧云

IPC: G06F21/56

CPC classification number: G06F21/566 ,  G06F21/568 ,  G06F2221/033

Abstract: 本发明公开了一种勒索者病毒的检测方法及系统，包括：若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；若存在加密操作则收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串，若是则判定为疑似勒索者病毒。本发明所述技术方案不仅能够有效识别勒索者病毒，降低误报率而且不影响正常软件针对文件的操作。

公开(公告)号：CN105653941A

公开(公告)日：2016-06-08

申请号：CN201510458569.7

申请日：2015-07-31

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 张慧云 ,  李柏松

IPC: G06F21/55 ,  G06F17/30

CPC classification number: G06F21/554 ,  G06F17/30887 ,  G06F2221/2119

Abstract: 本发明公开了一种启发式检测钓鱼网站的方法，包括：爬取待检测网站的首页页面源码；提取待检测网站的所有超链接URL；判断是否存在重复的超链接URL，若不存在，则判定为安全网站，否则提取重复率最高的超链接URL对应的所有超链接文本标签；计算提取的超链接文本标签的内容重复率，并基于内容重复率给出可疑指数A，所述A的值与所述内容重复率成反比；基于A的值给出待检测网站为钓鱼网站的概率。本发明还公开了一种启发式检测钓鱼网站的系统。本发明所公开的技术方案从钓鱼网站本身的共性出发，快速准确地识别钓鱼网站。

公开(公告)号：CN103927481A

公开(公告)日：2014-07-16

申请号：CN201310690786.X

申请日：2013-12-17

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 张慧云 ,  李柏松

IPC: G06F21/56

CPC classification number: G06F21/566

Abstract: 本发明提供了一种基于字符串调整权值的恶意代码检测方法及系统，所述方法包括：建立字符串库，设定字符串权值；并利用字符串库对可疑程序进行匹配检测，如果可疑程序为恶意，则将可疑程序中的其他字符串添加到字符串库中；根据预设时间间隔，将字符串库中的字符串与黑、白名单匹配，如果所述字符串与白名单匹配，则将相应字符串权值减1，如果所述字符串与黑名单匹配，则将相应字符串权值加1。通过本发明的方法及系统，能够使字符串库进行自学习，并且根据黑白名单匹配，随时自动调整字符串权值，从而提高可疑程序的检测精度，降低误报率。

公开(公告)号：CN106611123A

公开(公告)日：2017-05-03

申请号：CN201611094328.X

申请日：2016-12-02

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 张慧云

IPC: G06F21/56

CPC classification number: G06F21/562

Abstract: 本发明公开了一种勒索者病毒的检测方法及系统，包括：若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；若存在加密操作则判断该进程在预设时间内针对文件的操作次数是否超过设定阈值，若是则判定为疑似勒索者病毒。本发明所述技术方案不仅能够有效识别勒索者病毒，降低误报率而且不影响正常软件操作文件。