-
公开(公告)号:CN110737888B
公开(公告)日:2022-09-20
申请号:CN201910864463.5
申请日:2019-09-12
Applicant: 北京理工大学
IPC: G06F21/55
Abstract: 本发明涉及操作系统内核数据攻击行为的检测方法,属于计算机与信息科学技术领域。本发明目的是解决现有操作系统内核数据攻击行为检测方法存在的检测全面性不足、无法拦截攻击行为、依赖内核源代码等问题。本发明首先利用同步检测机制和语义重构技术定位并劫持特定内核函数,从而准确获取内核运行状态,计算当前内核进程的合法数据访问范围;然后利用虚拟化影子页表权限管理机制设置内存页的读写访问权限,将合法访问范围外的内核数据设置为只读或不可读写,对内核进程的数据访问范围进行强约束;最后使用“内存页异常”机制实现对攻击行为的同步检测从而对抗瞬态攻击,并利用虚拟机监视器拦截检测到的内核数据攻击行为。
-
公开(公告)号:CN110737888A
公开(公告)日:2020-01-31
申请号:CN201910864463.5
申请日:2019-09-12
Applicant: 北京理工大学
IPC: G06F21/55
Abstract: 本发明涉及操作系统内核数据攻击行为的检测方法,属于计算机与信息科学技术领域。本发明目的是解决现有操作系统内核数据攻击行为检测方法存在的检测全面性不足、无法拦截攻击行为、依赖内核源代码等问题。本发明首先利用同步检测机制和语义重构技术定位并劫持特定内核函数,从而准确获取内核运行状态,计算当前内核进程的合法数据访问范围;然后利用虚拟化影子页表权限管理机制设置内存页的读写访问权限,将合法访问范围外的内核数据设置为只读或不可读写,对内核进程的数据访问范围进行强约束;最后使用“内存页异常”机制实现对攻击行为的同步检测从而对抗瞬态攻击,并利用虚拟机监视器拦截检测到的内核数据攻击行为。
-
公开(公告)号:CN115062301A
公开(公告)日:2022-09-16
申请号:CN202210536061.4
申请日:2022-05-17
Applicant: 北京理工大学
Abstract: 本发明涉及一种指令与系统调用序列关联重构的可进化恶意软件识别方法,属于计算机与信息科学技术领域。本发明在虚拟机环境中同时获取目标程序运行时产生的系统调用和指令序列,根据时间戳关联两种序列,并按照执行时间顺序重构为混合序列;通过嵌入模型将重构序列转换为表征矩阵;利用卷积神经网络处理表征矩阵生成特征向量;计算该特征向量与已构建应用程序聚类簇质心之间的相似度,判定特征向量对应目标程序的类别;最后,将该特征向量加入所属聚类簇,更新该聚类簇质心。本发明能够同时关注指令和系统调用行为,提取和利用它们之间的交叉关联特征,避免忽视指令级操作,同时无需高成本模型重训练过程即可实现对未知类型恶意软件的识别。
-
-
Search Results
3
records
(took 0.015 seconds)
