-
公开(公告)号:CN101719204B
公开(公告)日:2011-07-27
申请号:CN200910242714.2
申请日:2009-12-15
Applicant: 北京大学
IPC: G06F21/00
Abstract: 本发明公开了一种基于中间指令动态插装的Heapspray检测方法,属于计算机安全技术领域。本方法为:1)将解释执行网页动态脚本的虚拟机置于单步运行状态;2)判断当前要执行的中间指令是否为赋值类中间指令;3)如果是,则判断该指令参数中的右值参数类型是否为字符串类型,如果是且其值小于设定阈值P,则检查是否存在shellcode;如果右值参数值大于阈值P,则计算其信息熵值;4)取下一中间指令,重复步骤2)和3),如果一赋值类中间指令的右值参数存在shellcode,另一赋值类中间指令的右值参数信息熵值小于设定阈值Q,则判定该脚本存在Heapspray行为。本发明可减小系统开销、提高检测的准确率。
-
公开(公告)号:CN101267353A
公开(公告)日:2008-09-17
申请号:CN200810104804.0
申请日:2008-04-24
Applicant: 北京大学
Abstract: 本发明公开了一种载荷无关的检测网络滥用行为的方法,属于计算机网络和数据通信技术领域。本发明的方法为:首先采集正常流量日志和有网络滥用行为的流量日志组成流量日志信息训练集;从流量日志信息训练集中提取出网络滥用行为的特征向量组成特征向量集;然后利用机器学习算法对特征向量集进行学习,得到滥用行为检测分类器;最后布置网络滥用行为检测分类器,对流量日志进行在线检测,检测网络滥用行为。与现有技术相比本发明具有计算量小、占用的计算资源少,不受数据加密的影响以及面临侵犯隐私的法律问题,同时可以及时和准确地发现网络滥用行为。
-
公开(公告)号:CN101202744A
公开(公告)日:2008-06-18
申请号:CN200610165290.0
申请日:2006-12-15
Applicant: 北京大学
Abstract: 本发明的目的在于提供一种检测蠕虫的装置,包括:侦听网络数据包并对其进行处理的步骤,该步骤对收集的数据包按照TCP/IP协议模型进行分层与分类,并建立记录各主机发送数据包情况的设备发包统计信息表;判定是否是ARP请求数据包的步骤,如果是则更新所述设备发包统计信息表,如果不是则判定是否是IP新建连接;判定是否是IP新建连接的步骤,如果不是则返回到侦听网络数据包并对其进行处理的步骤,如果是新建连接则更新所述设备发包统计信息表;判断发送该数据包的设备是否是可疑设备的步骤,根据所述设备发包统计信息表的内容判定是否是感染蠕虫的可疑设备,如果是感染蠕虫的设备对其进行标记,如果不是则返回到侦听网络数据包并对其进行处理的步骤。
-
公开(公告)号:CN101197809A
公开(公告)日:2008-06-11
申请号:CN200610140392.7
申请日:2006-12-08
Applicant: 北京大学
Abstract: 本发明的目的在于提供一种阻断蠕虫传播的方法,该方法包括:监听网络数据的步骤,在该步骤中监听二层网络冲突域所有数据包;判断目的MAC地址是否是蠕虫机的步骤,在该步骤中判定监听到的数据包的目的MAC地址是否是被标志为蠕虫的主机;判定是否是正常主机的ARP广播包的步骤,如果在判断目的MAC地址是否是蠕虫机的步骤中判定为非蠕虫机,则进一步判定该数据包是否是ARP广播包;向蠕虫机发送伪装ARP应答包的步骤,如果在判断目的MAC地址是否是蠕虫机的步骤中判定为蠕虫机,则向该蠕虫机发送伪装ARP应答包,如果在判定是否是正常主机的ARP广播包的步骤中判定为ARP广播包,则依次向已确认存在的所有蠕虫机发送伪装成该正常主机的ARP应答包。
-
公开(公告)号:CN101119369A
公开(公告)日:2008-02-06
申请号:CN200710120244.3
申请日:2007-08-14
Applicant: 北京大学
Abstract: 本发明涉及一种网络数据流的安全检测方法及其系统。网关根据其配置的规则检测网络数据流,将确定为危险的数据流重定向到蜜罐系统,阻断其到达目标主机,蜜罐系统接受该数据流,并模拟该数据流的目标主机与该数据流的源主机进行交互,蜜罐系统记录交互过程,对该数据流是否存在危险进行判断,并将判断结果返回网关,网关根据蜜罐系统的判断结果,按照设定的处理规则对该数据流进行处理。本发明能够进行完整的基于行为的检查,能够检测非法内容或者危险数据并进行阻断,能够发现未登记过的新型攻击。可广泛应用于计算机网络安全技术领域。
-
Patent Agency Ranking
公开(公告)号:CN103186740B
公开(公告)日:2015-09-23
申请号:CN201110445091.6
申请日:2011-12-27
Applicant: 北京大学
IPC: G06F21/56
Abstract: 本发明公开了一种Android恶意软件的自动化检测方法,属于系统安全技术领域。本方法为:1)将若干API函数设为敏感API,将待检测软件反汇编并解析出反汇编代码中的所有敏感API和函数调用路径;2)判断每一敏感API的触发方式,若为用户触发方式,则解析出触发该敏感API的控件信息,并将其输入到动态检测沙箱中,执行该控件自动触发恶意行为;若为系统消息触发方式,则向动态检测沙箱中发送系统消息触发恶意行为;3)动态检测沙箱监测并记录该软件调用敏感API的情况及操作的数据,如果确实有敏感API的调用及该调用所操作的数据,则将该软件判定为恶意软件。本发明无需人工参与,为大规模恶意软件检测提供了有力支持。
-
公开(公告)号:CN102420830A
公开(公告)日:2012-04-18
申请号:CN201110421888.2
申请日:2011-12-15
Applicant: 北京大学
Abstract: 本发明公开了一种P2P协议类型识别方法,属于计算机网络技术领域。本方法采用监督机器学习的思路,具体分为线下(学习)和线上(检测)两个部分,其中线下学习是对事先标定应用协议种类的网络包,通过自动学习和人工修正相结合,生成标定协议的指纹;而线上检测是利用线下学习得到的指纹,实时判定当前网络环境中的主机是否运行上述协议,从而得到目标宿主机运行的协议。与现有技术相比,本发明识别效率更高,而且更符合P2P流量的特性。
-
公开(公告)号:CN101692267B
公开(公告)日:2011-09-07
申请号:CN200910092887.0
申请日:2009-09-15
Applicant: 北京大学
Abstract: 本发明公开了一种大规模恶意网页检测方法及系统,采用三层并行架构和分层控制保障方法:第一层,并行部署若干检测服务器通过网络互接,构建检测服务器机群,在某一检测服务器上设置待分析任务集;第二层,在各个检测服务器内并行部署多个分析节点,部署节点簇监控模块,监控分析节点的运行情况;第三层,在各个分析节点内部构建并行沙箱环境实现待分析任务并行化检测中。本发明的架构保证了各检测服务器之间以及各分析节点间的互相独立和自我维护,物理主机和节点数目的动态扩充不会影响系统的整体运行,单个分析节点的失效也不会影响系统整体的功能;在同一个节点内可同时多路并行检测多个任务,提高了系统分析效率。
-
公开(公告)号:CN101986272A
公开(公告)日:2011-03-16
申请号:CN201010537793.2
申请日:2010-11-05
Applicant: 北京大学
IPC: G06F9/46
Abstract: 本发明公开了一种云计算环境下的任务调度方法,属于计算机应用技术领域。本发明方法包括:计算节点向数据中心节点注册节点信息;计算节点通过健康状态报告机制向任务调度器发送其健康状态;任务调度器根据节点信息将任务分配给计算节点,在分配时不考虑计算节点之间的区别;计算节点在每项任务完成后向数据中心节点汇报该任务完成;任务调度器根据各个计算节点的任务完成情况分配新任务,平衡计算节点之间的任务负载;数据中心节点在发现异常计算节点时,删除其节点信息,并将该节点未完成的任务作为新任务重新分配;任务调度器收回在指定的时间阈值内未完成的任务,将其作为新任务重新分配。本发明可提高云计算环境下任务分配的安全性,有效提升任务调度的吞吐量。
-
公开(公告)号:CN101799855A
公开(公告)日:2010-08-11
申请号:CN201010124674.4
申请日:2010-03-12
Applicant: 北京大学
Abstract: 本发明公开了一种基于ActiveX组件模拟的网页木马检测方法,其步骤包括:1)构造一个ActiveX组件M,其对象实例m用于模拟目标网页中缺失的组件N;2)编写一个动态链接库钩挂WINDOWS系统中负责组件M创建的API,记录组件M的对象实例m的入口地址与组件N的组件名之间的对应关系;3)调用浏览器访问目标网页,当目标网页请求创建缺失的组件N时,由对象实例m将目标网页访问的组件名、组件中的函数以及参数信息记录到日志文件;4)解析日志文件,判定目标网页是否为网页木马。本发明的方法能够模拟可能存在漏洞的插件,可以触发网页木马更多的攻击行为;能够得到网页木马在ActiveX组件调用这一层的攻击行为。
-
-
-
-
-
-
-
-
-
Search Results
32
records
(took 0.019 seconds)
