-
公开(公告)号:CN101719204A
公开(公告)日:2010-06-02
申请号:CN200910242714.2
申请日:2009-12-15
Applicant: 北京大学
IPC: G06F21/00
Abstract: 本发明公开了一种基于中间指令动态插装的Heapspray检测方法,属于计算机安全技术领域。本方法为:1)将解释执行网页动态脚本的虚拟机置于单步运行状态;2)判断当前要执行的中间指令是否为赋值类中间指令;3)如果是,则判断该指令参数中的右值参数类型是否为字符串类型,如果是且其值小于设定阈值P,则检查是否存在shellcode;如果右值参数值大于阈值P,则计算其信息熵值;4)取下一中间指令,重复步骤2)和3),如果一赋值类中间指令的右值参数存在shellcode,另一赋值类中间指令的右值参数信息熵值小于设定阈值Q,则判定该脚本存在Heapspray行为。本发明可减小系统开销、提高检测的准确率。
-
公开(公告)号:CN101719204B
公开(公告)日:2011-07-27
申请号:CN200910242714.2
申请日:2009-12-15
Applicant: 北京大学
IPC: G06F21/00
Abstract: 本发明公开了一种基于中间指令动态插装的Heapspray检测方法,属于计算机安全技术领域。本方法为:1)将解释执行网页动态脚本的虚拟机置于单步运行状态;2)判断当前要执行的中间指令是否为赋值类中间指令;3)如果是,则判断该指令参数中的右值参数类型是否为字符串类型,如果是且其值小于设定阈值P,则检查是否存在shellcode;如果右值参数值大于阈值P,则计算其信息熵值;4)取下一中间指令,重复步骤2)和3),如果一赋值类中间指令的右值参数存在shellcode,另一赋值类中间指令的右值参数信息熵值小于设定阈值Q,则判定该脚本存在Heapspray行为。本发明可减小系统开销、提高检测的准确率。
-
Patent Agency Ranking
公开(公告)号:CN101692267B
公开(公告)日:2011-09-07
申请号:CN200910092887.0
申请日:2009-09-15
Applicant: 北京大学
Abstract: 本发明公开了一种大规模恶意网页检测方法及系统,采用三层并行架构和分层控制保障方法:第一层,并行部署若干检测服务器通过网络互接,构建检测服务器机群,在某一检测服务器上设置待分析任务集;第二层,在各个检测服务器内并行部署多个分析节点,部署节点簇监控模块,监控分析节点的运行情况;第三层,在各个分析节点内部构建并行沙箱环境实现待分析任务并行化检测中。本发明的架构保证了各检测服务器之间以及各分析节点间的互相独立和自我维护,物理主机和节点数目的动态扩充不会影响系统的整体运行,单个分析节点的失效也不会影响系统整体的功能;在同一个节点内可同时多路并行检测多个任务,提高了系统分析效率。
-
公开(公告)号:CN101799855A
公开(公告)日:2010-08-11
申请号:CN201010124674.4
申请日:2010-03-12
Applicant: 北京大学
Abstract: 本发明公开了一种基于ActiveX组件模拟的网页木马检测方法,其步骤包括:1)构造一个ActiveX组件M,其对象实例m用于模拟目标网页中缺失的组件N;2)编写一个动态链接库钩挂WINDOWS系统中负责组件M创建的API,记录组件M的对象实例m的入口地址与组件N的组件名之间的对应关系;3)调用浏览器访问目标网页,当目标网页请求创建缺失的组件N时,由对象实例m将目标网页访问的组件名、组件中的函数以及参数信息记录到日志文件;4)解析日志文件,判定目标网页是否为网页木马。本发明的方法能够模拟可能存在漏洞的插件,可以触发网页木马更多的攻击行为;能够得到网页木马在ActiveX组件调用这一层的攻击行为。
-
公开(公告)号:CN101799855B
公开(公告)日:2012-08-22
申请号:CN201010124674.4
申请日:2010-03-12
Applicant: 北京大学
Abstract: 本发明公开了一种基于ActiveX组件模拟的网页木马检测方法,其步骤包括:1)构造一个ActiveX组件M,其对象实例m用于模拟目标网页中缺失的组件N;2)编写一个动态链接库钩挂WINDOWS系统中负责组件M创建的API,记录组件M的对象实例m的入口地址与组件N的组件名之间的对应关系;3)调用浏览器访问目标网页,当目标网页请求创建缺失的组件N时,由对象实例m将目标网页访问的组件名、组件中的函数以及参数信息记录到日志文件;4)解析日志文件,判定目标网页是否为网页木马。本发明的方法能够模拟可能存在漏洞的插件,可以触发网页木马更多的攻击行为;能够得到网页木马在ActiveX组件调用这一层的攻击行为。
-
公开(公告)号:CN101763432A
公开(公告)日:2010-06-30
申请号:CN201010033724.8
申请日:2010-01-05
Applicant: 北京大学
IPC: G06F17/30
Abstract: 本发明公开了一种轻量级网页动态视图快速构建方法,属于计算机应用技术领域。本方法为:1)提取待分析页面的本地脚本和静态内嵌链接;2)从静态内嵌链接中提取出静态内嵌脚本;3)利用脚本执行引擎动态执行本地脚本和静态内嵌脚本,识别出该页面的动态内嵌链接;4)将动态内嵌链接所指向的文档和静态内嵌链接所指向的文档构成一内嵌文档集合;5)提取该页面与内嵌文档集合中的文档的引用-被引用关系;6)将识别出的静态内嵌页面和动态内嵌页面分别作为待分析页面,重复步骤1)~5),根据每次得到的内嵌文档集合和引用-被引用关系,建立页面动态视图。本发明以较少的时间代价和较小的系统代价完成页面动态视图的构建。
-
公开(公告)号:CN101692267A
公开(公告)日:2010-04-07
申请号:CN200910092887.0
申请日:2009-09-15
Applicant: 北京大学
Abstract: 本发明公开了一种大规模恶意网页检测方法及系统,采用三层并行架构和分层控制保障方法:第一层,并行部署若干检测服务器通过网络互接,构建检测服务器机群,在某一检测服务器上设置待分析任务集;第二层,在各个检测服务器内并行部署多个分析节点,部署节点簇监控模块,监控分析节点的运行情况;第三层,在各个分析节点内部构建并行沙箱环境实现待分析任务并行化检测中。本发明的架构保证了各检测服务器之间以及各分析节点间的互相独立和自我维护,物理主机和节点数目的动态扩充不会影响系统的整体运行,单个分析节点的失效也不会影响系统整体的功能;在同一个节点内可同时多路并行检测多个任务,提高了系统分析效率。
-
-
-
-
-
-
Search Results
7
records
(took 0.014 seconds)
