-
公开(公告)号:CN102546298B
公开(公告)日:2015-03-04
申请号:CN201210003559.0
申请日:2012-01-06
Applicant: 北京大学
IPC: H04L12/26
Abstract: 本发明涉及一种基于主动探测的僵尸网络家族检测方法,控制中心通过网络通道与僵尸主机端口连接进行通信包传递,包括步骤如下:1)扫描僵尸网络,提取得到疑似控制中心和若干活跃端口信息;2)根据僵尸网络中僵尸程序样本和其控制中心端的通信特征通过所述活跃端口与所述疑似控制中心进行协议交互;3)将所述协议交互后的反馈包与该疑似控制中心进行特征匹配;4)根据设定阀值判定僵尸网络控制中心,并对该控制中心通信进行监控;5)根据监测结果,查找出所述僵尸网络家族中所有僵尸主机。本发明是一种协议无关的方法:根据已分析出的僵尸程序样本和其控制端的通讯特征,采用本发明方法,即可对整个僵尸网络家族进行检测和监控。
-
公开(公告)号:CN103530221A
公开(公告)日:2014-01-22
申请号:CN201210228718.7
申请日:2012-07-02
Applicant: 北京大学
IPC: G06F11/36
Abstract: 本发明涉及一种Android系统中程序行为与界面操作映射方法,其步骤包括:1)程序UI动态探测;2)程序行为静态探测;3)根据Activity调用图和触发Activity组件,找出主Activity到所述触发Activity结点的路径,输出该路径的界面操作信息,完成映射。本发明用动态探测的方法获取所有可能的界面跳转关系及所需要的界面操作信息,然后用静态分析的方法分析出与程序行为相关联的界面,因此,就可以从动态探测出的界面跳转关系中知道触发行为所需要经过的界面执行路径,以及执行这些路径所需要的界面操作信息,实现程序行为与界面操作的映射。
-
公开(公告)号:CN102546298A
公开(公告)日:2012-07-04
申请号:CN201210003559.0
申请日:2012-01-06
Applicant: 北京大学
IPC: H04L12/26
Abstract: 本发明涉及一种基于主动探测的僵尸网络家族检测方法,控制中心通过网络通道与僵尸主机端口连接进行通信包传递,包括步骤如下:1)扫描僵尸网络,提取得到疑似控制中心和若干活跃端口信息;2)根据僵尸网络中僵尸程序样本和其控制中心端的通信特征通过所述活跃端口与所述疑似控制中心进行协议交互;3)将所述协议交互后的反馈包与该疑似控制中心进行特征匹配;4)根据设定阀值判定僵尸网络控制中心,并对该控制中心通信进行监控;5)根据监测结果,查找出所述僵尸网络家族中所有僵尸主机。本发明是一种协议无关的方法:根据已分析出的僵尸程序样本和其控制端的通讯特征,采用本发明方法,即可对整个僵尸网络家族进行检测和监控。
-
公开(公告)号:CN101119373B
公开(公告)日:2010-09-08
申请号:CN200710121322.1
申请日:2007-09-04
Applicant: 北京大学
Abstract: 本发明公开了一种网关级流式病毒扫描方法及其系统,其方法为首先对会话数据包组织成数据单元队列,然后分析数据单元内的数据类型是否支持流式扫描,根据数据类型对数据进行文件式扫描或流式扫描;其系统包括数据流获取装置、预处理装置、病毒扫描装置、存储上下文信息的表装置;本发明所提出的网关级流式病毒扫描方法和系统,在保证了对数据进行有效准确的病毒检测的同时,提高网关对于客户端的响应速度,并节省了网关的存储资源。
-
公开(公告)号:CN101719204A
公开(公告)日:2010-06-02
申请号:CN200910242714.2
申请日:2009-12-15
Applicant: 北京大学
IPC: G06F21/00
Abstract: 本发明公开了一种基于中间指令动态插装的Heapspray检测方法,属于计算机安全技术领域。本方法为:1)将解释执行网页动态脚本的虚拟机置于单步运行状态;2)判断当前要执行的中间指令是否为赋值类中间指令;3)如果是,则判断该指令参数中的右值参数类型是否为字符串类型,如果是且其值小于设定阈值P,则检查是否存在shellcode;如果右值参数值大于阈值P,则计算其信息熵值;4)取下一中间指令,重复步骤2)和3),如果一赋值类中间指令的右值参数存在shellcode,另一赋值类中间指令的右值参数信息熵值小于设定阈值Q,则判定该脚本存在Heapspray行为。本发明可减小系统开销、提高检测的准确率。
-
Patent Agency Ranking
公开(公告)号:CN103530221B
公开(公告)日:2016-11-09
申请号:CN201210228718.7
申请日:2012-07-02
Applicant: 北京大学
IPC: G06F11/36
Abstract: 本发明涉及一种Android系统中程序行为与界面操作映射方法,其步骤包括:1)程序UI动态探测;2)程序行为静态探测;3)根据Activity调用图和触发Activity组件,找出主Activity到所述触发Activity结点的路径,输出该路径的界面操作信息,完成映射。本发明用动态探测的方法获取所有可能的界面跳转关系及所需要的界面操作信息,然后用静态分析的方法分析出与程序行为相关联的界面,因此,就可以从动态探测出的界面跳转关系中知道触发行为所需要经过的界面执行路径,以及执行这些路径所需要的界面操作信息,实现程序行为与界面操作的映射。
-
公开(公告)号:CN103186740A
公开(公告)日:2013-07-03
申请号:CN201110445091.6
申请日:2011-12-27
Applicant: 北京大学
IPC: G06F21/56
Abstract: 本发明公开了一种Android恶意软件的自动化检测方法,属于系统安全技术领域。本方法为:1)将若干API函数设为敏感API,将待检测软件反汇编并解析出反汇编代码中的所有敏感API和函数调用路径;2)判断每一敏感API的触发方式,若为用户触发方式,则解析出触发该敏感API的控件信息,并将其输入到动态检测沙箱中,执行该控件自动触发恶意行为;若为系统消息触发方式,则向动态检测沙箱中发送系统消息触发恶意行为;3)动态检测沙箱监测并记录该软件调用敏感API的情况及操作的数据,如果确实有敏感API的调用及该调用所操作的数据,则将该软件判定为恶意软件。本发明无需人工参与,为大规模恶意软件检测提供了有力支持。
-
公开(公告)号:CN102789417A
公开(公告)日:2012-11-21
申请号:CN201210200544.3
申请日:2012-06-14
Applicant: 北京大学
IPC: G06F11/36
Abstract: 本发明提出一种移动智能终端上定向符号执行程序检测系统及方法,在符号化处理模块、系统API模拟模块、定向控制模块、过滤执行模块组成的环境中,1)载入待检测程序路径,由符号化处理模块对待检测程序路径中指令进行符号化处理,将处理结果存储到符号表SymbolicTable;2)根据待检测路径,确定被检测代码空间;3)根据执行过程记录所述变量执行约束条件,SymbolicTable更新记录;4)根据符号表SymbolicTable中约束条件找到对应的结果表达式或符号数值,判断程序中是否有可执行路径,5)反复1)—4),遍历程序中所有可达路径,完成软件中嫌疑操作检测。本发明的定向符号执行方法,与静态分析技术结合,解决程序分析中路径漏报和误报,提取出路径约束能够覆盖到所有可能的路径。
-
公开(公告)号:CN101630325B
公开(公告)日:2012-05-30
申请号:CN200910091334.3
申请日:2009-08-18
Applicant: 北京大学
Abstract: 本发明公开了一种基于脚本特征的网页聚类方法,属于计算机安全技术领域。本发明方法以多个网页作为聚类对象,包括:a)获得网页中的脚本片段及其各级内嵌链接页面中的脚本片段;b)对脚本片段作规格化处理后计算其特征值作为脚本片段标识;c)将各个脚本片段标识排序后计算该序列的特征值作为网页标识;d)将网页标识相同的网页聚为一类。本发明方法可用于挂马网页检测分析的预处理过程,用于将同一网站页面分类,对于同一集合的网页,只需选择一部分抽样进行检测,从而可以节省大量检测资源。
-
公开(公告)号:CN101267353B
公开(公告)日:2011-12-21
申请号:CN200810104804.0
申请日:2008-04-24
Applicant: 北京大学
Abstract: 本发明公开了一种载荷无关的检测网络滥用行为的方法,属于计算机网络和数据通信技术领域。本发明的方法为:首先采集正常流量日志和有网络滥用行为的流量日志组成流量日志信息训练集;从流量日志信息训练集中提取出网络滥用行为的特征向量组成特征向量集;然后利用机器学习算法对特征向量集进行学习,得到滥用行为检测分类器;最后布置网络滥用行为检测分类器,对流量日志进行在线检测,检测网络滥用行为。与现有技术相比本发明具有计算量小、占用的计算资源少,不受数据加密的影响以及面临侵犯隐私的法律问题,同时可以及时和准确地发现网络滥用行为。
-
-
-
-
-
-
-
-
-
Search Results
32
records
(took 0.018 seconds)
