公开(公告)号：CN108062478A

公开(公告)日：2018-05-22

申请号：CN201810008763.9

申请日：2018-01-04

Applicant: 北京理工大学 ,  中国信息安全测评中心

Inventor： 薛静锋 ,  傅建文 ,  王勇 ,  单纯 ,  梁杰

IPC: G06F21/56 ,  G06K9/46 ,  G06K9/62

Abstract: 本发明公开了一种全局特征可视化与局部特征相结合的恶意代码分类方法，针对恶意代码二进制文件的分块计算三个特征值，每个特征值对应填充一个彩色通道，从而将恶意代码二进制文件可视化成RGB彩色图像；然后提取RGB彩色图像的全局特征，并从恶意代码二进制文件核心区域中提取局部特征，结合全局和局部特征进行恶意代码家族分类。使用本发明增加了恶意代码图像表示的信息量，提高了图像稳定性和分类模型的容错率，而且从恶意代码核心区域提取局部特征，弥补了全局特征在恶意代码变种变化较大时分类能力不足的缺陷，进一步地，全局特征和局部特征的结合在面对变化多端的恶意代码变种时具有更强的鲁棒性，很大程度上提高了恶意代码分类的准确率。

公开(公告)号：CN111090858B

公开(公告)日：2022-02-11

申请号：CN201911164905.1

申请日：2019-11-25

Applicant: 北京理工大学

Inventor： 张继 ,  梁杰 ,  王勇 ,  王晏楚 ,  刘振岩 ,  谭守东

IPC: G06F21/56 ,  H04L9/40

Abstract: 本发明针对现有技术中特征表达不足、漏报率和误报率高、攻击树节点权重设置不合理等问题，提出一种基于拓展攻击树模型的木马检测方法。该方法包括：通过对木马程序进行静态特征分析，获取操作码OPCode序列，从所述操作码OPCode序列中提取木马特征OPCode短序列；通过对木马程序进行动态特征分析，获取API调用序列，从所述API调用序列中提取木马特征API短序列；根据所述OPCode短序列和API短序列构建原始拓展攻击树，并将所述原始拓展攻击树的节点的权重参数初始化，作为第一个攻击树基本学习器；动态更新所述权重参数得到若干个攻击树基本学习器，通过集成学习构建强学习器，进行木马检测。

公开(公告)号：CN108062478B

公开(公告)日：2021-04-02

申请号：CN201810008763.9

申请日：2018-01-04

Applicant: 北京理工大学 ,  中国信息安全测评中心

Inventor： 薛静锋 ,  傅建文 ,  王勇 ,  单纯 ,  梁杰

IPC: G06F21/56 ,  G06K9/46 ,  G06K9/62

Abstract: 本发明公开了一种全局特征可视化与局部特征相结合的恶意代码分类方法，针对恶意代码二进制文件的分块计算三个特征值，每个特征值对应填充一个彩色通道，从而将恶意代码二进制文件可视化成RGB彩色图像；然后提取RGB彩色图像的全局特征，并从恶意代码二进制文件核心区域中提取局部特征，结合全局和局部特征进行恶意代码家族分类。使用本发明增加了恶意代码图像表示的信息量，提高了图像稳定性和分类模型的容错率，而且从恶意代码核心区域提取局部特征，弥补了全局特征在恶意代码变种变化较大时分类能力不足的缺陷，进一步地，全局特征和局部特征的结合在面对变化多端的恶意代码变种时具有更强的鲁棒性，很大程度上提高了恶意代码分类的准确率。

公开(公告)号：CN109101816A

公开(公告)日：2018-12-28

申请号：CN201810912373.4

申请日：2018-08-10

Applicant: 北京理工大学 ,  中国信息安全测评中心

Inventor： 王勇 ,  史小东 ,  梁杰 ,  孙青煜 ,  张继 ,  刘振岩 ,  薛静锋

IPC: G06F21/56

Abstract: 本发明公开了一种基于系统调用控制流图的恶意代码同源性分析方法，首先构造待分析程序的系统调用控制流图；所述系统调用控制流图是由系统调用节点构成的有向无权图，边的方向表示系统调用执行的先后关系；比较不同待分析程序的系统调用控制流图，以根据图相似度作为同源性分析的相似性度量，实现同源性分析。本发明利用系统调用控制流图进行同源性分析，系统调用控制流图完全忽略了软件代码的细节，只关注所调用的系统调用函数，因此简化了需要处理的数据量，所以基于系统调用的控制流图对程序行为的抽象程度最好。而且，由于只考虑系统调用从而在很大程度上规避了指令层的混淆，起到了抗混淆作用。

公开(公告)号：CN109101816B

公开(公告)日：2022-02-08

申请号：CN201810912373.4

申请日：2018-08-10

Applicant: 北京理工大学 ,  中国信息安全测评中心

Inventor： 王勇 ,  史小东 ,  梁杰 ,  孙青煜 ,  张继 ,  刘振岩 ,  薛静锋

IPC: G06F21/56

Abstract: 本发明公开了一种基于系统调用控制流图的恶意代码同源性分析方法，首先构造待分析程序的系统调用控制流图；所述系统调用控制流图是由系统调用节点构成的有向无权图，边的方向表示系统调用执行的先后关系；比较不同待分析程序的系统调用控制流图，以根据图相似度作为同源性分析的相似性度量，实现同源性分析。本发明利用系统调用控制流图进行同源性分析，系统调用控制流图完全忽略了软件代码的细节，只关注所调用的系统调用函数，因此简化了需要处理的数据量，所以基于系统调用的控制流图对程序行为的抽象程度最好。而且，由于只考虑系统调用从而在很大程度上规避了指令层的混淆，起到了抗混淆作用。

公开(公告)号：CN111090858A

公开(公告)日：2020-05-01

申请号：CN201911164905.1

申请日：2019-11-25

Applicant: 北京理工大学

Inventor： 张继 ,  梁杰 ,  王勇 ,  王晏楚 ,  刘振岩 ,  谭守东

IPC: G06F21/56 ,  H04L29/06

Abstract: 本发明针对现有技术中特征表达不足、漏报率和误报率高、攻击树节点权重设置不合理等问题，提出一种基于拓展攻击树模型的木马检测方法。该方法包括：通过对木马程序进行静态特征分析，获取操作码OPCode序列，从所述操作码OPCode序列中提取木马特征OPCode短序列；通过对木马程序进行动态特征分析，获取API调用序列，从所述API调用序列中提取木马特征API短序列；根据所述OPCode短序列和API短序列构建原始拓展攻击树，并将所述原始拓展攻击树的节点的权重参数初始化，作为第一个攻击树基本学习器；动态更新所述权重参数得到若干个攻击树基本学习器，通过集成学习构建强学习器，进行木马检测。