公开(公告)号：CN101719204B

公开(公告)日：2011-07-27

申请号：CN200910242714.2

申请日：2009-12-15

Applicant: 北京大学

Inventor： 诸葛建伟 ,  陈志杰 ,  韩心慧 ,  龚晓锐 ,  宋程昱

IPC: G06F21/00

Abstract: 本发明公开了一种基于中间指令动态插装的Heapspray检测方法，属于计算机安全技术领域。本方法为：1)将解释执行网页动态脚本的虚拟机置于单步运行状态；2)判断当前要执行的中间指令是否为赋值类中间指令；3)如果是，则判断该指令参数中的右值参数类型是否为字符串类型，如果是且其值小于设定阈值P，则检查是否存在shellcode；如果右值参数值大于阈值P，则计算其信息熵值；4)取下一中间指令，重复步骤2)和3)，如果一赋值类中间指令的右值参数存在shellcode，另一赋值类中间指令的右值参数信息熵值小于设定阈值Q，则判定该脚本存在Heapspray行为。本发明可减小系统开销、提高检测的准确率。

公开(公告)号：CN101719204A

公开(公告)日：2010-06-02

申请号：CN200910242714.2

申请日：2009-12-15

Applicant: 北京大学

Inventor： 诸葛建伟 ,  陈志杰 ,  韩心慧 ,  龚晓锐 ,  宋程昱

IPC: G06F21/00

Abstract: 本发明公开了一种基于中间指令动态插装的Heapspray检测方法，属于计算机安全技术领域。本方法为：1)将解释执行网页动态脚本的虚拟机置于单步运行状态；2)判断当前要执行的中间指令是否为赋值类中间指令；3)如果是，则判断该指令参数中的右值参数类型是否为字符串类型，如果是且其值小于设定阈值P，则检查是否存在shellcode；如果右值参数值大于阈值P，则计算其信息熵值；4)取下一中间指令，重复步骤2)和3)，如果一赋值类中间指令的右值参数存在shellcode，另一赋值类中间指令的右值参数信息熵值小于设定阈值Q，则判定该脚本存在Heapspray行为。本发明可减小系统开销、提高检测的准确率。