公开(公告)号：CN101266550B

公开(公告)日：2011-02-16

申请号：CN200810089576.4

申请日：2008-04-08

Applicant: 北京大学

Inventor： 李佳静 ,  张超 ,  韦韬 ,  王铁磊 ,  邹维 ,  毛剑 ,  戴帅夫 ,  赵新建

IPC: G06F9/45 ,  G06F21/00 ,  H04L29/06

Abstract: 本发明公开了一种基于语义的恶意代码检测方法，可以完整地刻画基于函数调用的攻击行为，并有效地识别二进制可疑程序中的恶意行为，属于互联网安全技术领域。本发明方法包含a)获得已知恶意代码的有穷状态自动机；b)获得待检测的二进制可疑程序的下推自动机；c)使用模型检验方法检测所述的下推自动机和所述有穷状态自动机之间是否存在可以同时被两者接收的输入字符串，若是，则判定上述待检测的可疑程序为恶意程序。本发明利用有穷状态自动机来描述恶意行为，结合现有的工具和方法把可疑程序转换为下推自动机，然后利用已有的模型检验方法来检测可疑程序中是否包含恶意代码。可有效地用于互联网安全技术领域的恶意代码检测。

公开(公告)号：CN101477611B

公开(公告)日：2010-07-28

申请号：CN200910076769.0

申请日：2009-01-20

Applicant: 北京大学

Inventor： 王铁磊 ,  韦韬 ,  邹维 ,  毛剑 ,  李佳静 ,  赵新建 ,  张超 ,  戴帅夫

IPC: G06F21/22

Abstract: 本发明公开了一种程序分解方法，属于软件工程、信息安全技术领域。本发明方法包括：a)设定始函数和终函数；b)以始函数和直接或间接调用始函数的函数组成的集合为Source；类似地，设定Sinks；c)分别对仅属于Source和Sinks的函数，以及两者交集中的函数分解其控制流图；d)依次连接各控制流图，输出对应的程序。当本方法用于漏洞挖掘时，始函数选自污染数据引入函数，比如文件读入函数，网络数据读入函数和格式化输入函数；终函数选自污染数据敏感函数，比如内存操作函数，内存分配函数，字符串操作函数和进程启动函数。本发明方法可将大规模程序分解为较小的代码片段，可有效地应用域漏洞挖掘等技术领域。

公开(公告)号：CN101482957A

公开(公告)日：2009-07-15

申请号：CN200810167891.4

申请日：2008-10-15

Applicant: 北京大学

Inventor： 毛剑 ,  韦韬 ,  戴帅夫 ,  邹维 ,  王铁磊 ,  张超 ,  赵新建 ,  李佳静

IPC: G06Q30/00 ,  H04L29/06

Abstract: 本发明公开了一种可信电子交易方法及其交易系统，属于信息安全技术领域。本发明交易方法包括：用户通过信息传输媒介登录交易服务器；可信交易服务终端和交易服务器之间通过信息传输媒介进行初始化，建立安全连接；用户进行电子交易；可信交易服务终端以用户可以理解的方式向用户显示所述电子交易的交易信息，若用户认定所述交易信息正确，则通过可信交易服务终端确认所述交易信息；可信交易服务终端通过信息传输媒介授权所述交易服务器执行交易。本发明交易系统包括个人计算机和交易服务器和可信交易服务终端。和现有技术相比，本发明通过可信交易服务终端与相关认证、加密协议解决了电子支付、网络交易中存在网络钓鱼、授权劫持等安全问题。

公开(公告)号：CN101266550A

公开(公告)日：2008-09-17

申请号：CN200810089576.4

申请日：2008-04-08

Applicant: 北京大学

Inventor： 毛剑 ,  韦韬 ,  戴帅夫 ,  邹维 ,  王铁磊 ,  张超 ,  赵新建 ,  李佳静

IPC: G06F9/45 ,  G06F21/00 ,  H04L29/06

Abstract: 本发明公开了一种基于语义的恶意代码检测方法，可以完整地刻画基于函数调用的攻击行为，并有效地识别二进制可疑程序中的恶意行为，属于互联网安全技术领域。本发明方法包含a)获得已知恶意代码的有穷状态自动机；b)获得待检测的二进制可疑程序的下推自动机；c)使用模型检验方法检测所述的下推自动机和所述有穷状态自动机之间是否存在可以同时被两者接收的输入字符串，若是，则判定上述待检测的可疑程序为恶意程序。本发明利用有穷状态自动机来描述恶意行为，结合现有的工具和方法把可疑程序转换为下推自动机，然后利用已有的模型检验方法来检测可疑程序中是否包含恶意代码。可有效地用于互联网安全技术领域的恶意代码检测。

公开(公告)号：CN101477611A

公开(公告)日：2009-07-08

申请号：CN200910076769.0

申请日：2009-01-20

Applicant: 北京大学

Inventor： 王铁磊 ,  韦韬 ,  邹维 ,  毛剑 ,  李佳静 ,  赵新建 ,  张超 ,  戴帅夫

IPC: G06F21/22

Abstract: 本发明公开了一种程序分解方法，属于软件工程、信息安全技术领域。本发明方法包括：a)设定始函数和终函数；b)以始函数和直接或间接调用始函数的函数组成的集合为Source；类似地，设定Sinks；c)分别对仅属于Source和Sinks的函数，以及两者交集中的函数分解其控制流图；d)依次连接各控制流图，输出对应的程序。当本方法用于漏洞挖掘时，始函数选自污染数据引入函数，比如文件读入函数，网络数据读入函数和格式化输入函数；终函数选自污染数据敏感函数，比如内存操作函数，内存分配函数，字符串操作函数和进程启动函数。本发明方法可将大规模程序分解为较小的代码片段，可有效地应用域漏洞挖掘等技术领域。