-
公开(公告)号:CN102843270B
公开(公告)日:2016-01-27
申请号:CN201110257457.7
申请日:2011-09-02
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种基于URL与本地文件关联的可疑URL检测方法,包括:获取系统访问的URL;判断获取的URL是否进行文件下载;如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件,根据判断结果对所述URL做进一步处理。本发明还公开了一种基于URL与本地文件关联的可疑URL检测装置。本发明将传统的启发式检测和URL关联一起,每个恶意代码都能查到下载它的URL,不仅能将可疑文件甄别出来,而且能够提供下载这个可疑文件的URL,对进一步分析和阻止恶意代码传播提供有力条件。
-
公开(公告)号:CN103580950A
公开(公告)日:2014-02-12
申请号:CN201210578211.4
申请日:2012-12-27
Applicant: 哈尔滨安天科技股份有限公司
IPC: H04L12/26 , H04L12/861
Abstract: 本发明公开了一种实时检测和异步检测相结合的检测方法及系统,首先从网络中获取待检测数据并保存至临时缓存区;将临时缓存区的数据交给实时检测机制进行快速检测,并将检测结果反馈给用户;判断是否需要进行深度检测,若是,则通过异步传输方式将待检测数据从临时缓存区保存至数据对象缓冲区;将数据对象缓冲区的数据交给异步检测机制进行深度检测,并将检测结果反馈给用户。从而,既能满足网络上大数据吞吐量的要求,又能够满足深度检测提高检测精度的要求。
-
公开(公告)号:CN110119618A
公开(公告)日:2019-08-13
申请号:CN201811291818.8
申请日:2018-10-31
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种恶意脚本的检测方法及装置,其中,方法包括以下步骤:获取待测脚本,并通过词法语法分析获取待测脚本的多个逻辑分块;对多个逻辑分块的每个逻辑分块进行动态处理,并获取每个逻辑块的处理结果;根据每个逻辑块的处理结果获取待测脚本的恶意检测结果。该方法能够使得恶意代码能够在动态检测中无条件执行,快速准确的检测出恶意脚本真正的恶意行为,实现恶意脚本的有效检测,从而有效提高检测的准确性和可靠性,进而使得用户可以避免遭受恶意脚本的攻击,提升用户的使用体验。
-
公开(公告)号:CN103532730A
公开(公告)日:2014-01-22
申请号:CN201210233283.5
申请日:2012-07-06
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了基于自解压技术的黑白名单自动化动态维护的方法及系统,首先通过查询服务端或者云端的黑白名单数据库,对目标程序进行查重判定,对于无记录的目标程序进行格式识别,对于包裹文件进行解压缩,计算非包裹文件或者包裹文件及其解包后得到的子文件的散列值,并生成散列表,将其更新到服务端或者云端的白名单列表中,随后将该散列表分发至客户端,用于客户端的白名单列表的更新。从而,避免了客户端将程序及其子文件发送至服务端或者云端进行查询,减轻了服务端或者云端的处理压力。
-
公开(公告)号:CN103580949A
公开(公告)日:2014-02-12
申请号:CN201210578030.1
申请日:2012-12-27
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种可切换的非完整流和完整流检测方法及系统,首先,获取网络数据流前部预设数量的数据包并进行还原,然后对还原出的部分数据进行病毒的检测;继续获取所述数据流的数据包,如果数据包接收失败或者所述数据流的数据包已经接收完成,则对所接收的所有数据包进行还原并进行病毒检测。从而,既可以在无法获取完整流时进行非完整流检测,又可以在非完整流检测失败或者需要时进行完整流检测,既减少了系统占用,提高了检测效率,也保证了检出率。
-
Patent Agency Ranking
公开(公告)号:CN102340428A
公开(公告)日:2012-02-01
申请号:CN201110298976.8
申请日:2011-09-29
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种基于网络丢包的URL检测与拦截方法,包括:监控网络数据包,判断所述网络数据包是发送数据包还是返回数据包;若所述网络数据包是发送数据包,判断所述发送数据包中是否包含URL并进行相应的处理;若所述网络数据包是返回数据包,判断所述返回数据包的信息是否记录在所述的URL和URL相关信息中,并进行相应的处理。本发明还提供了一种基于网络丢包的URL检测与拦截系统。本发明利用TCP协议的数据校验机制对URL进行异步检测。通过测试本方面的技术方案达到了URL在用户态检测的要求,能够拦截危险的URL访问网络。
-
公开(公告)号:CN108073812A
公开(公告)日:2018-05-25
申请号:CN201710669523.9
申请日:2017-08-08
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/563 , G06F2221/033
Abstract: 本发明提出了一种基于反汇编的PE程序入口点归一化方法及系统,所述方法通过对可执行文件的入口点进行预设条数的反汇编操作,并判断是否是跳转指令或者隐式跳转指令,如果是跳转指令或隐式跳转指令,则将可执行文件的入口点指向目标跳转地址,然后让反病毒软件重新进行扫描识别。通过本发明的方法及系统,能够对修改可执行文件入口点位置的恶意代码进行有效的分析及对抗,最大程度保证基于入口点分析恶意代码的程序可以正确工作。
-
公开(公告)号:CN106650426A
公开(公告)日:2017-05-10
申请号:CN201611127815.1
申请日:2016-12-09
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/53 , G06F21/566
Abstract: 本发明提出一种动态提取可执行文件内存映像的方法及系统,包括:利用虚拟机加载目标可执行文件;根据预设间隔频率定时提取目标可执行文件的内存映像;对提取出来的内存映像进行消重;将消重后的所有内存映像保存并提交检测程序检测。通过本发明的方法,不会遗漏可执行文件的内存映像,解决了恶意代码按需释放真实恶意代码躲避查杀的问题。
-
公开(公告)号:CN102843271B
公开(公告)日:2015-11-18
申请号:CN201110358011.3
申请日:2011-11-14
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种恶意URL的形式化检测方法,包括:根据RFC规范,按照URL语法结构将待检测URL拆分为语法元素字符串;从拆分得到的字符串中提取指定的字符串;补全处理不存在的字符串;将补全处理后得到的字符串重新排序得到新URL,计算新URL的哈希值;遍历恶意URL特征库,用恶意URL特征库中的特征数据与待检测URL的哈希值进行对比检测。本发明还公开了一种恶意URL的形式化检测系统。本发明提出的技术方案可以有效对抗URL格式的多变性,相对传统的URL检测方法可以对经常变化格式的恶意URL有更高的检出率,也可以采用单条特征对应多条恶意URL的格式变体,所以该检测方法所需要的病毒特征库体积更小,更加节省内存和磁盘空间。
-
公开(公告)号:CN104991893A
公开(公告)日:2015-10-21
申请号:CN201410618832.X
申请日:2014-11-06
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种启发式自解压包和安装包检测方法及系统,首先,收集已知自解压包和/或安装包,并获取基本信息;解析已知自解压包和/或安装包的PE文件结构,获取图标相关信息,并进一步提取匹配特征;获取待检测PE文件,遍历待检测PE文件资源节,获取待检测PE文件的图标相关信息;基于待检测PE文件的图标相关信息提取特征;将所述特征与匹配特征进行相似性匹配,若存在相似度达到指定阈值的匹配特征,则反馈与所述匹配特征相应的基本信息。本发明所述的方法及系统,能够有效检测自解压包和安装包,并克服了传统方法中对于未知的或者更新过的自解压包和安装包无法有效识别的问题。
-
-
-
-
-
-
-
-
-
Search Results
15
records
(took 0.029 seconds)
