公开(公告)号：CN105488410A

公开(公告)日：2016-04-13

申请号：CN201510254384.4

申请日：2015-05-19

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 童志明 ,  苏培旺 ,  何公道

IPC: G06F21/56

CPC classification number: G06F21/562

Abstract: 本发明提供了一种excel宏表病毒的检测方法及系统，包括：提取待检测excel文档中macro sheet substream流数据；分析macro sheet substream流数据，得到宏表中所有单元格的信息，并提取每个单元格的公式命令数据；提取每个公式命令数据中的token和公式长度；计算所有token和公式长度的哈希值；遍历恶意excel宏表病毒特征库，与所述哈希值匹配，匹配成功则所述待检测excel文档为恶意，否则非恶意。通过本发明的方法，能够有效的检测宏表病毒，并提出了一种excel宏表病毒的归一化检测方法。能够快速判断excel的宏表中是否存在恶意代码，同时有效减少特征数量。

公开(公告)号：CN102843271B

公开(公告)日：2015-11-18

申请号：CN201110358011.3

申请日：2011-11-14

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 苏培旺 ,  李石磊 ,  张栗伟

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明公开了一种恶意URL的形式化检测方法，包括：根据RFC规范，按照URL语法结构将待检测URL拆分为语法元素字符串；从拆分得到的字符串中提取指定的字符串；补全处理不存在的字符串；将补全处理后得到的字符串重新排序得到新URL，计算新URL的哈希值；遍历恶意URL特征库，用恶意URL特征库中的特征数据与待检测URL的哈希值进行对比检测。本发明还公开了一种恶意URL的形式化检测系统。本发明提出的技术方案可以有效对抗URL格式的多变性，相对传统的URL检测方法可以对经常变化格式的恶意URL有更高的检出率，也可以采用单条特征对应多条恶意URL的格式变体，所以该检测方法所需要的病毒特征库体积更小，更加节省内存和磁盘空间。

公开(公告)号：CN105488399A

公开(公告)日：2016-04-13

申请号：CN201410738723.1

申请日：2014-12-08

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 苏培旺 ,  童志明 ,  张栗伟 ,  何公道

IPC: G06F21/56 ,  G06F17/27 ,  G06F17/30

Abstract: 本发明提供了一种基于程序关键字调用序列的脚本病毒检测方法及系统，通过将待检测程序进行词法分析及语法语义分析，标记调用的脚本程序关键字信息及语义类型的助记符，并将所述关键字信息及助记符保存到待检测数据流中，将待检测数据流与预先从恶意脚本中提取的特征串匹配，如果匹配成功，则判定所述待检测程序为恶意。本发明方法抛弃了程序中的变量名称等，通过代码程序的关键字调用序列，进行模式匹配，可以有效对抗恶意脚本的多态变形，并且模式匹配的方式，有效的减少了特征库中的特征量，减少了磁盘占用。

公开(公告)号：CN102841990B

公开(公告)日：2015-07-22

申请号：CN201110357893.1

申请日：2011-11-14

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 刘佳男 ,  苏培旺 ,  胡星儒 ,  李柏松 ,  童志明 ,  张栗伟

IPC: G06F21/56

Abstract: 本发明提供了一种基于统一资源定位符的恶意代码检测方法，包括：监控计算机操作系统，获取系统访问网络的URL；通过解析所述URL得到所述URL的Query域信息；将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配；如果匹配成功，则判断恶意代码存在，根据预设操作进行相应处理；否则继续监控。本发明还提供了一种基于统一资源定位符的恶意代码检测系统。本发明使用方式简单，不必使用庞大的病毒特征数据，针对盗号类恶意代码具有非常好的检出率。

公开(公告)号：CN102843271A

公开(公告)日：2012-12-26

申请号：CN201110358011.3

申请日：2011-11-14

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 苏培旺 ,  李石磊 ,  张栗伟

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明公开了一种恶意URL的形式化检测方法，包括：根据RFC规范，按照URL语法结构将待检测URL拆分为语法元素字符串；从拆分得到的字符串中提取指定的字符串；补全处理不存在的字符串；将补全处理后得到的字符串重新排序得到新URL，计算新URL的哈希值；遍历恶意URL特征库，用恶意URL特征库中的特征数据与待检测URL的哈希值进行对比检测。本发明还公开了一种恶意URL的形式化检测系统。本发明提出的技术方案可以有效对抗URL格式的多变性，相对传统的URL检测方法可以对经常变化格式的恶意URL有更高的检出率，也可以采用单条特征对应多条恶意URL的格式变体，所以该检测方法所需要的病毒特征库体积更小，更加节省内存和磁盘空间。

公开(公告)号：CN102841990A

公开(公告)日：2012-12-26

申请号：CN201110357893.1

申请日：2011-11-14

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 刘佳男 ,  苏培旺 ,  胡星儒 ,  李柏松 ,  童志明 ,  张栗伟

IPC: G06F21/00

Abstract: 本发明提供了一种基于统一资源定位符的恶意代码检测方法，包括：监控计算机操作系统，获取系统访问网络的URL；通过解析所述URL得到所述URL的Query域信息；将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配；如果匹配成功，则判断恶意代码存在，根据预设操作进行相应处理；否则继续监控。本发明还提供了一种基于统一资源定位符的恶意代码检测系统。本发明使用方式简单，不必使用庞大的病毒特征数据，针对盗号类恶意代码具有非常好的检出率。