-
公开(公告)号:CN101359351A
公开(公告)日:2009-02-04
申请号:CN200810141454.5
申请日:2008-09-25
Applicant: 中国人民解放军信息工程大学
IPC: G06F21/00
Abstract: 本发明涉及一种在恶意行为检测中,应用多层语义标注技术记录分析中间结果,并在此基础上分层检测标注信息的方法。所述模型包括两个部分,标注子模块和检测子模块。其中标注子模块包括二进制语义层、线性指令语义层、控制流图语义层、过程调用图语义层和应用程序级语义层。每一层针对特定的分析目标对象进行标注。检测子模块基于相应的分析策略和算法对标注信息在多个层面对恶意行为进行检测。其优点在于:能够有效地将恶意行为检测的复杂性分解,充分利用各种不同检测机制具有的优点,避开不同机制固有的缺陷,从而提高恶意行为检测的适应性和准确性。
-
公开(公告)号:CN101359352B
公开(公告)日:2010-08-25
申请号:CN200810141455.X
申请日:2008-09-25
Applicant: 中国人民解放军信息工程大学
Abstract: 本发明涉及一种分层协同的混淆后API调用行为发现及其恶意性判定方法;该判定方法含有三个步骤:首先,对待分析的二进制代码进行反汇编,构建程序的控制流图CFG,根据数据库DB1中存储的已知具有调用API函数能力的非常规指令或数据序列来识别API函数的非常规调用行为;其次,完成目标程序所调用的API序列的生成工作,从直接调用和间接调用两方面对API函数进行识别和恢复;最后,完成API序列的提取及恶意性判定工作,序列的提取基于程序的控制流图CFG完成,然后将得到的序列按照可疑API序列库中存储的格式进行规范化;本发明提供了一种识别范围广、识别准确、效率高的分层协同的混淆后API调用行为发现及其恶意性判定方法。
-
公开(公告)号:CN101359351B
公开(公告)日:2010-11-10
申请号:CN200810141454.5
申请日:2008-09-25
Applicant: 中国人民解放军信息工程大学
IPC: G06F21/00
Abstract: 本发明涉及一种在恶意行为检测中,应用多层语义标注技术记录分析中间结果,并在此基础上分层检测标注信息的方法。所述模型包括两个部分,标注子模块和检测子模块。其中标注子模块包括二进制语义层、线性指令语义层、控制流图语义层、过程调用图语义层和应用程序级语义层。每一层针对特定的分析目标对象进行标注。检测子模块基于相应的分析策略和算法对标注信息在多个层面对恶意行为进行检测。其优点在于:能够有效地将恶意行为检测的复杂性分解,充分利用各种不同检测机制具有的优点,避开不同机制固有的缺陷,从而提高恶意行为检测的适应性和准确性。
-
公开(公告)号:CN101359352A
公开(公告)日:2009-02-04
申请号:CN200810141455.X
申请日:2008-09-25
Applicant: 中国人民解放军信息工程大学
Abstract: 本发明涉及一种分层协同的混淆后API调用行为发现及其恶意性判定方法;该判定方法含有三个步骤:首先,对待分析的二进制代码进行反汇编,构建程序的控制流图CFG,根据数据库DB1中存储的已知具有调用API函数能力的非常规指令或数据序列来识别API函数的非常规调用行为;其次,完成目标程序所调用的API序列的生成工作,从直接调用和间接调用两方面对API函数进行识别和恢复;最后,完成API序列的提取及恶意性判定工作,序列的提取基于程序的控制流图CFG完成,然后将得到的序列按照可疑API序列库中存储的格式进行规范化;本发明提供了一种识别范围广、识别准确、效率高的分层协同的混淆后API调用行为发现及其恶意性判定方法。
-
-
-
Search Results
4
records
(took 0.028 seconds)
