公开(公告)号：CN104573426B

公开(公告)日：2017-06-06

申请号：CN201510005059.4

申请日：2015-01-06

Applicant: 北京邮电大学

Inventor： 李承泽 ,  李祺 ,  张程鹏 ,  董枫 ,  胡阳雨

IPC: G06F21/14

Abstract: 本发明提供了一种可执行应用的混淆方法和装置，其中的方法包括：A、对需混淆的可执行代码进行逆向分析，得到逆向分析后的指令序列；B、对所述逆向分析后的指令序列进行指令抽象和统计分析，根据统计分析结果进行编码，生成LZW编码表；C、将需混淆的可执行代码的二进制流根据所述LZW编码表进行重新编码，生成混淆后的指令序列；D、将所述混淆后的指令序列进行封装，并打包生成混淆后的可执行应用。应用本发明可以降低自动化工具对混淆方法的识别能力，增加攻击者阅读代码和破解应用的难度。

公开(公告)号：CN104391798B

公开(公告)日：2017-05-10

申请号：CN201410748932.4

申请日：2014-12-09

Applicant: 北京邮电大学

Inventor： 董枫 ,  李祺 ,  李承泽 ,  张程鹏 ,  胡阳雨

IPC: G06F11/36

Abstract: 本申请公开了一种软件特征信息的提取方法，包括：预先在操作系统所支持的所有应用程序编程接口API中选择出用于提取特征信息的API，得到特征API集合；b、对于应用软件库中每个软件i的程序代码，统计该软件的程序代码对所述特征API集合中的每个API的调用次数ani，得到该软件i的API信息；根据所有软件的所述API信息，对每个软件i的所述API信息进行比率化处理，得到每个软件i的形式化描述信息；对每个软件i的形式化描述信息进行归一化和二进制处理，得到每个软件i的二进制特征信息。本发明易于实现、效率高，并且所提取的特征信息能准确反映软件的语义特征、有利于软件的准确分类和检测。

公开(公告)号：CN104573427A

公开(公告)日：2015-04-29

申请号：CN201510005064.5

申请日：2015-01-06

Applicant: 北京邮电大学

Inventor： 李承泽 ,  张淼 ,  张程鹏 ,  董枫 ,  胡阳雨

IPC: G06F21/14

Abstract: 本发明提供了一种可执行应用的混淆方法和装置，其中的方法包括：A、对需混淆的可执行代码进行逆向分析，得到逆向分析后的指令序列；B、对所述逆向分析后的指令序列进行指令抽象和统计分析，根据统计分析结果进行编码，生成Huffman编码树；C、将需混淆的可执行代码的二进制流根据所述Huffman编码树进行重新编码，生成混淆后的指令序列；D、将所述混淆后的指令序列进行封装，并打包生成混淆后的可执行应用。应用本发明可以降低自动化工具对混淆方法的识别能力，增加攻击者阅读代码和破解应用的难度。

公开(公告)号：CN104391798A

公开(公告)日：2015-03-04

申请号：CN201410748932.4

申请日：2014-12-09

Applicant: 北京邮电大学

Inventor： 董枫 ,  李祺 ,  李承泽 ,  张程鹏 ,  胡阳雨

IPC: G06F11/36

Abstract: 本申请公开了一种软件特征信息的提取方法，包括：预先在操作系统所支持的所有应用程序编程接口API中选择出用于提取特征信息的API，得到特征API集合；b、对于应用软件库中每个软件i的程序代码，统计该软件的程序代码对所述特征API集合中的每个API的调用次数ani，得到该软件i的API信息；根据所有软件的所述API信息，对每个软件i的所述API信息进行比率化处理，得到每个软件i的形式化描述信息；对每个软件i的形式化描述信息进行归一化和二进制处理，得到每个软件i的二进制特征信息。本发明易于实现、效率高，并且所提取的特征信息能准确反映软件的语义特征、有利于软件的准确分类和检测。

公开(公告)号：CN104361141A

公开(公告)日：2015-02-18

申请号：CN201410759349.3

申请日：2014-12-11

Applicant: 北京邮电大学

Inventor： 董枫 ,  郭燕慧 ,  李承泽 ,  张程鹏 ,  胡阳雨

IPC: G06F17/30 ,  G06F21/56

CPC classification number: G06F17/30294 ,  G06F17/30725 ,  G06F21/565

Abstract: 本申请公开了一种软件标识库的建立方法，包括：对于当前待提取标识的应用软件，根据本软件对各应用程序编程接口API的调用次数，确定该应用软件的API特征向量；根据所述应用软件的所述API特征向量以及当前软件标识库中的各类应用软件的API特征向量和类别信息，按照朴素贝叶斯分类算法，确定所述应用软件所属类别；将所述应用软件的所述API特征向量和所述类别，作为所述应用软件的标识信息添加到所述软件标识库中。采用本发明，可以对软件进行客观性标识且效率高、能满足大量应用软件的分类检测需求。

公开(公告)号：CN103793650A

公开(公告)日：2014-05-14

申请号：CN201310634856.X

申请日：2013-12-02

Applicant: 北京邮电大学 ,  国家计算机网络应急技术处理协调中心

Inventor： 郭燕慧 ,  李静 ,  董航 ,  李承泽 ,  张程鹏 ,  费会 ,  董枫 ,  胡阳雨 ,  杨昕雨 ,  胡鸽

IPC: G06F21/56

CPC classification number: G06F21/563

Abstract: 本发明提供一种Android应用程序静态分析方法及装置，涉及安全检测技术领域。该方法包含：S1、解压待测应用程序，得到Smali文件；S2、遍历所述Smali文件，获取源码信息，并构建所述源码信息的控制流图和数据流图；S3、根据所述恶意行为判断引擎遍历所述控制流图及所述数据流图，将应用程序的API与预定义恶意行为库中的API分别进行匹配，将匹配成功的应用程序的API标记为恶意行为API；S4、求取所述待测应用程序的恶意度量值；S5、将所述恶意程序度量值与预设的恶意程度指标进行匹配，得到所述待测应用程序的风险等级。本发明通过对行为进行分析及组合规则综合判断，能够减少对Android应用程序的进行病毒检测的误判率。