CN101359351A - 针对恶意行为的多层语义标注及检测方法 - Google Patents
针对恶意行为的多层语义标注及检测方法 Download PDFInfo
- Publication number
- CN101359351A CN101359351A CNA2008101414545A CN200810141454A CN101359351A CN 101359351 A CN101359351 A CN 101359351A CN A2008101414545 A CNA2008101414545 A CN A2008101414545A CN 200810141454 A CN200810141454 A CN 200810141454A CN 101359351 A CN101359351 A CN 101359351A
- Authority
- CN
- China
- Prior art keywords
- layer
- semantic
- analysis
- detection
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明涉及一种在恶意行为检测中,应用多层语义标注技术记录分析中间结果,并在此基础上分层检测标注信息的方法。所述模型包括两个部分,标注子模块和检测子模块。其中标注子模块包括二进制语义层、线性指令语义层、控制流图语义层、过程调用图语义层和应用程序级语义层。每一层针对特定的分析目标对象进行标注。检测子模块基于相应的分析策略和算法对标注信息在多个层面对恶意行为进行检测。其优点在于:能够有效地将恶意行为检测的复杂性分解,充分利用各种不同检测机制具有的优点,避开不同机制固有的缺陷,从而提高恶意行为检测的适应性和准确性。
Description
一、技术领域:
本发明涉及一种针对计算机恶意行为代码的多层标注和检测方法,属于计算机安全技术领域,特别适用于二进制可执行代码中恶意行为代码的分析与识别技术。
二、背景技术:
长期以来,计算机病毒一直困扰着计算机专家和用户。计算机病毒的复制能力、传播能力和破坏能力使它严重威胁计算机的正常使用。最近几年,网络的飞速发展使计算机病毒的传布更加便捷,计算机病毒程序的数量成爆炸性增长方式,对计算机系统和信息安全造成了严重的威胁。简单的计算机病毒生成工具的出现使计算机病毒的编写成为普遍现象,这些都使计算机病毒防御的形势日益严峻。
代码混淆技术是一种能够有效抵抗代码逆向分析,从而保护软件自身知识产权的一项技术,但随着该技术应用于恶意软件的编写工作,对目标程序的分析以及对已知病毒的检测都造成了很大干扰。传统恶意代码分析的手段主要依赖计算机病毒专家的人工分析,尤其是针对二进制可执行代码的分析工作来说,工作繁杂冗长,不仅容易出错,而且耗时不菲,不能够满足社会应对计算机病毒的能力需求。当前恶意代码检测方面使用的技术主要为特征码扫描技术,即在目标二进制代码中搜寻或匹配特定的特征码序列或正则表达式,从而判定目标文件中是否包含特定特征码信息。这种方法具有扫描速度快、开销较小等优点,而且也积累了数量庞大的病毒特征码库。但另一方面,该方法无法有效应对各种多态和变形病毒产生的变体,也无法有效检测出经过混淆变形的病毒特征码,对于新的特征码提取工作需要由病毒专家来完成,造成查毒软件总是落后于病毒出现之后一段较长时间。因此需要推出新型恶意代码分析辅助工具和检测工具,从而帮助计算机安全专家提高工作效率,并且进一步提升计算机安全防护类软件的防护能力。
三、发明内容:
本发明针对二进制代码中恶意行为的检测问题,提出一种基于程序语义分析的多层软件恶意行为的标注方法,以及在此标注方法上的恶意行为监测系统,主要用于解决未知计算机病毒的分析效率问题和在更高层面上计算机恶意行为的检测问题。
技术方案:
本发明共分为两个部分:程序语义多层标注方法Multilayer Denotation onProgram Semantics(MDPS)和基于多层标注的恶意行为检测策略。
标注子模块在每一层针对特定的分析目标对象(分别为二进制代码、线性指令序列、过程控制流图、文件过程调用图和应用程序文件)进行标注;检测子模块基于适应不同分析目标对象的分析策略和算法对标注信息在各个层面对恶意行为进行检测;标注及检测的各层之间利用分析过程中产生的中间检测结果传递信息,不同层次的分析相对于其他层次来说是独立的。
MDPS在逆向分析并提升的过程中,从五个不同层面对未知二进制程序进行标注,这五个层面分别为:二进制语义层L0、线性指令语义层L1、控制流图语义层L2、过程调用图语义层L3和应用程序级语义层L4。其中二进制语义层面L0的分析用于获取二进制文件的文件字段、恶意代码特征码、文件属性等信息,并进行标注;线性指令语义层面L1对那些指令间存在线性执行顺序关系的指令序列进行标注,通常为基本块内部的指令序列;控制流图语义层面L2在控制流图的基础上,重点考虑对过程内基本块之间的联系和特征进行标注;过程调用图语义层面L3分析当前文件内部存在的调用图信息,其标注的主要对象为函数过程;应用程序级语义层面L4结合L0层获取的动态链接文件彼此之间的关联信息,对当前整个应用程序进行全面分析和标注。
在多层标注信息的基础上,基于各个层分别对程序行为进行定义,并结合该定义构造恶意行为分析库。程序行为Program Behavior(PB)是指一系列有效语句的序列列表,PB中语句之间的关系运算定义如下:
PB→ε
|α
|PB·α
|PB‖PB
|PB:PB
|PB~PB
|(PB)+
其中的关系符号解释如下
ε表示空序列行为;
α表示单个语句;
·表示线性顺序,即不可互换位置,满足左结合规则;满足传递性质;
‖表示两端的子项可以整体互换位置,满足左结合规则;满足交换和传递性质;
:表示两端的子项中选取其中一项,满足左结合规则;满足交换和传递性质;
~表示两端的子项相容,即将两个PB进行混合,在新的PB中保持原子项中的既有顺序;满足左结合规则;满足交换和传递性质;
另外,以上运算之间满足一定的优先级关系,即( )+>~>:>‖>·,与此同时,还可以使用( )来表示运算优先级。因此,可以将PB表示为一颗树结构,其中中间节点表示上述关系运算符,叶子节点为程序语句。如对于PB=α~β·(γ)+·δ‖ζ来说,可以将其表示为如附图2所示。
定义:头子行为:
给定一个行为序列PB,α1,α2,…,αn为包含的所有语句,对于i∈[1,n],定义α1,α2,…,αi,及[α1,αi]之间满足的行为关联规则一起构成行为序列PB的头子行为。
在此之外,还需要定义三个函数来帮助操作,如下:
head:PB×PB→{T,F}
tail:PB×PB→PB
match:PB×PB→{T,F}
其中head函数接收两个PB,一旦第二个PB是第一个PB的头子行为,则返回T,否则返回F;
tail函数也接收两个PB,如果第二个PB是第一个PB的头子行为,则返回剩下的部分,否则返回第一个PB;match函数则匹配两个PB,一旦两个PB相同,则返回T,否则返回F。
在恶意行为检测过程中,在不同层面结合相关恶意行为库检测目标软件中是否存在库中定义的内容。整个检测过程依据反编译逆向分析技术为驱动,将目标二进制文件逆向提升为不同层面的表示形式,从而进一步进行行为分析和检测。MDPS的优点在于能够充分利用现有的恶意代码检测机制,并且根据不同层面的特点,简化程序分析任务需求,在各个层面中积累相关分析的结果信息,最终完成对于整个程序的分析。
针对一段未知代码来说,可以通过分析得出该代码段中是否包含有行为库中的完整行为或部分行为。为简化操作,仅分析出现头匹配的情况,因此需要结合程序的控制流走向进行分析。当匹配出一个完整PB时,则在相应的节点上标注出该PB对应的说明信息;当完成了head匹配,即未知代码中包含行为库中某行为的头子行为,则将相关的行为tail部分加入临时行为库,以有助于进行进一步分析,直到匹配出整个行为,或者匹配失败。
在数据流分析结果的基础上,通过切片算法简化程序分析目标代码描述。
结合基本块内数据流分析结果,针对部分匹配的程序行为进行简化,并将简化后程序行为加入临时行为匹配模板库。
结合过程内部分析结果,利用过程调用参数及返回值分析,连接跨过程的数据传输链,针对部分匹配的程序行为进行化简,并将简化后的程序行为加入临时行为匹配模板库。
本发明的有益效果:
1、本发明的针对恶意行为的多层语义标注及检测方法,能够有效地将恶意行为检测的复杂性分解,充分利用各种不同检测机制具有的优点,避开不同机制固有的缺陷,从而提高恶意行为检测的适应性和准确性。
2、本发明的针对恶意行为的多层语义标注及检测方法,提供新型恶意代码分析辅助工具和检测工具,能帮助计算机安全专家提高工作效率,并且进一步提升计算机安全防护类软件的防护能力。
四、附图说明:
图1为恶意行为代码的多层标注和检测系统实现框架图;
图2为PB的树形表示形式示例图;
图3为线性语句检测层实现框架图;
图4为控制结构流图层实现框架图;
图5为过程调用图层实现框架图。
五、具体实施方式:
参见图1、图2、图3、图4、图5,一种在恶意行为检测中,应多层语义标注技术记录分析中间结果,并在此基础上分层检测标注信息的方法,即针对恶意行为的多层语义标注及检测方法。包括标注子模块和检测子模块,其中标注子模块和检测子模块包括对二进制语义层L0、对线性指令语义层L1、控制流图语义层L2、过程调用图语义层L3和应用程序级语义层L4分别标注和检测;标注子模块在每一层针对特定的分析目标对象进行标注;检测子模块基于相应的分析策略和算法对标注信息在各个层面对恶意行为进行检测;标注及检测的各层之间利用分析中间结果传递信息,不同层次的分析相对于其他层次来说是独立的。其中二进制语义层面L0的分析用于获取二进制文件的文件字段、恶意代码特征码、文件属性等信息,并进行标注;线性指令语义层面L1对那些指令间存在线性执行顺序关系的指令序列进行标注,通常为基本块内部的指令序列;控制流图语义层面L2在控制流图的基础上,重点考虑对过程内基本块之间的联系和特征进行标注;过程调用图语义层面L3分析当前文件内部存在的调用图信息,其标注的主要对象为函数过程,在调用图基础上针对跨过程恶意行为形式进行标注,结合过程内部分析结果,利用过程调用参数及返回值分析,连接跨过程的数据传输链,针对部分匹配的程序行为进行化简,并将简化后的程序行为加入临时行为匹配模板库;应用程序级语义层面L4结合L0层获取的动态链接文件彼此之间的关联信息,对当前整个应用程序进行全面分析和标注。
本发明基于反编译逆向分析技术驱动,并且将分析信息转变为更加便于阅读、理解和检测的标注形式。
L0层面结合目标二进制文件格式进行分析,获取目标文件相关基本信息,包括文件名、文件大小、主入口点地址、文件段名、段属性信息值、文件导入表和文件导出表等。
L1层主要是针对程序中间表示基本块进行分析的,这是因为在基本块内能够保证语句之间维持线性关系。L1层面立足与对二进制文件进行正确装载并解码的基础之上,将原二进制指令流等价替换为由中间表示形式构成的程序语句流,并且对文件进行正确的基本块划分。通过分析获得每个基本块的定值变量集合和外部引用变量集合,可以针对该基本块的定值变量集合进行切片操作。可知,由于基本块内语句之间是线性关系的,因此获得切片的语句也是线性关系。基本块内分析主要有三种情况:完全匹配、不匹配和头匹配,需要涉及的相关函数为head和match。结合分析内容,需要标注当前基本块完全匹配和头匹配的行为序列集合,对于头匹配来说,还需要标注出已经检测出的头子行为序列。
L2层针对过程内控制流图进行分析。当控制流图中的一个基本块BB来说,如果出现头匹配,则取出相关头子行为和原匹配行为,并使用tail函数在BB后继的基本块中作L1层检测。当分析完整个过程后,即可在过程中标注出当前过程内完全匹配和头匹配的行为序列集合,并且标注已经匹配的头子行为序列。
L3层则针对文件内调用图进行分析。根据L0层分析获取的文件导入表获取文件入口。一个文件可能存在一个或多个调用入口,因此该文件的调用图则表现为一个拥有一个或多个起点有向图结构。结合L2层匹配的信息,若出现头匹配节点,则在该节点后续节点过程中针对相关PB的tail子行为进行L2或L1层检测。L3层基本完成PB分析。
L4层分析则针对包含有多个动态载入文件的应用程序系统。通过各个文件的导入表和导出表信息,建立应用程序文件之间的关联情况,从而载入各个相关的动态链接文件,以执行L0~L3层的分析操作,并标注分析结果。
如图1所示,整个检测过程表现为一个循环载入相关文件,并按照不同阶段进行分析的过程。每一层的分析针对不同的分析对象,001模块装载目标二进制文件,并且执行L0层分析标注策略。然后将分析结果提交至006模块,结合L0层特征库中的内容,最终完成L0层检测,并给出检测结果。经过001模块的分析,可以将二进制文件进行分解,并提取其中的二进制指令流入口点信息,从而在002模块即可获得以该入口点为起点的二进制指令流。002模块需要完成指令解码操作,将二进制指令提升为语义等价的中间表示语句,并且完成基本块划分与控制流图构建的工作。在002模块结果的基础上,可以在基本块内部完成相关分析和切片操作,从而将基本块细化为一个个关联语句的序列,并在此基础上执行L1层行为检测和标注。003模块的输入为各个过程的控制流图,在模块内部需要对过程控制流图进行分析和简化,识别其中隐含的条件分支结构和循环结构信息。在此基础上可以执行L2层行为检测和标注。004模块则需要构建整个程序的调用图,并且分析过程间参数/返回值信息。在004模块的分析结果之上执行L3层行为检测和标注操作,进一步完成对整个文件的PB分析和检测过程。005模块的任务是构建整个应用程序的系统级视图,执行该模块之前,需要提前装载所有主应用程序可执行文件相关的动态链接文件。对于某些已经经过分析的文件来说,则可以直接读取分析标注信息执行下一步分析。
图3为L2层具体实现框架图,指令编码库用来记录目标机器指令的编码方式和策略,相关信息可以从该目标机器文档中获取。在解码模块201中,结合编码库信息对照二进制指令流,对二进制指令进行逐条识别,并且转变为相应的中间表示语句流。在本发明专利中使用SSA语句作为程序分析所需中间表示形式。在解码过程中,202模块还要对指令语义进行初步分析。通过分析指令流中存在的过程调用指令、返回指令、跳转指令和其它改变控制流走向的指令,划分程序基本块结构,构建整个文件的过程调用图和控制流图,并按照跳转指令的目标地址开始进一步解码操作。该方法被称为行进递归解码方法。203模块负责对一个给定基本块中的语句执行数据流分析操作,获得该基本块内部语句定值或外部引用的变量集合,之后在204模块中针对该基本块定值变量集合进行程序切片操作。由于基本块内部语句之间的关系是线性的,因此切片内部语句也保持线性关系。205模块负责对切片内部语句进行数据依赖分析,并将基本块内部语句转化为PB表示形式,在206模块结合PB行为库中定义的已知恶意行为模板进行匹配操作,并于207模块中将匹配分析信息标注于表示基本块信息的数据结构对象。
图4表示L3层分析的具体实现框架图。该模块接受L2层的分析结果,在控制流图的基础上,301模块识别流图中存在的分支结构和循环结构信息,将使用跳转语句表示的控制流信息转变为使用高级控制结构(如IF...ELSE、DO...UNTIL和WHILE...DO结构)表示的控制流信息。在302模块中,遍历流图信息中存在的路径,303模块在不同路径下,利用基本块间的数据依赖关系将线性PB拼接为内容更加丰富的PB描述。与此同时,303模块还需要提取基本块内部标注的部分行为匹配信息,利用tail函数获取后续相关行为,加PB描述库。304模块利用改变后的行为库信息进行行为匹配,并在305模块将匹配分析结果标注于表示程序过程的数据结构对象之上。
图5为L4层分析的具体实现框图。其中401模块负责分析过程之间的调用关系,尤其是针对递归调用信息进行分析,这主要是因为递归调用往往在调用图中构成环状结构,因此可以通过分析简化调用图的分析难度。402模块则进行过程间数据流分析,依据数据流分析结果确定过程间传递的参数和返回值变量。因此,403模块在入口点到出口点的每一条执行路径之上,便可以利用参数及返回值信息,对PB进行拼接,并且在404模块中结合PB行为信息库进行匹配检测分析,在405模块中将分析结果标注于表示整个文件的调用图结构之上。
Claims (10)
1、一种针对恶意行为的多层语义标注及检测方法,包括标注子模块和检测子模块,其中标注子模块和检测子模块包括对二进制语义层的标注和检测,其特征在于:
(1)标注子模块和检测子模块还包括对线性指令语义层、控制流图语义层、过程调用图语义层和应用程序级语义层分别标注和检测;
(2)标注子模块在每一层针对特定的分析目标对象进行标注,所述分析目标分别为二进制代码、线性指令序列、过程控制流图、文件过程调用图和应用程序文件;
(3)检测子模块基于适应不同分析目标对象的分析策略和算法对标注信息在各个层面对恶意行为进行检测;
(4)标注及检测的各层之间利用分析过程中产生的中间检测结果传递信息,不同层次的分析相对于其他层次来说是独立的。
2、根据权利要求1所述的多层语义标注及检测方法,其特征在于:在五个层面对代码语义进行分析,分别为:
(1)在二进制层面,对二进制目标文件中恶意行为代码进行分析和标注,然后将分析结果结合该层特征库中的内容比较,最终完成对该层的检测,并给出检测结果;
(2)在线性指令层面,对二进制文件分解,提取其中的二进制指令流入口点信息;对二进制指令流进行解码和语义分析,在机器指令解码块内部执行针对线性恶意行为进行标注、分析,然后将分析结果结合该层序列库内容进行对该层的检测,并给出检测结果;
(3)在控制流图层面,结合程序控制流关系,将指令语义层的线性行为分析结果进行提升与拼接,在线性代码的分析基础上,分析带有分支和循环结构的恶意行为,并对其进行标注,结合该层序列库内容进行对该层的检测,并给出检测结果;
(4)在过程调用图层面,从文件整体角度出发,对过程间数据流进行分析,依据过程内部行为分析结果,在调用图基础上针对跨过程恶意行为形式进行标注,结合该层行为库内容进行对该层的检测,并给出检测结果;
(5)在应用程序级层面,从整个应用程序角度出发,构建应用程序级文件视图,依据文件内部行为分析结果,分析并标注出整个目标软件系统中可能存在的恶意行为,结合该层行为库内容进行对该层的检测,并给出检测结果。
3、根据权利要求1所述的多层语义标注及检测方法,其特征在于:所述分析策略为基于对反编译逆向分析的目标程序行为进行分析。
4、根据权利要求1所述的多层语义标注及检测方法,其特征在于:所述程序行为被定义为Backus-Naul范式,并且利用五种语句间的关系运算来刻画程序行为,以及应用于恶意代码检测的基于Backus-Naul范式的恶意行为信息描述库。
5、根据权利要求2所述的多层语义标注及检测方法,其特征在于:在线性指令层面的分析包括获取二进制文件的文件字段、恶意代码特征码、文件属性信息,并进行标注。
6、根据权利要求2所述的多层语义标注及检测方法,其特征在于:在控制流图语义层面在控制流图的基础上,重点考虑对过程内基本块之间的联系和特征进行标注。
7、根据权利要求2所述的多层语义标注及检测方法,其特征在于:过程调用图语义层面分析当前文件内部存在的调用图信息,其标注的主要对象为函数过程,在调用图基础上针对跨过程恶意行为形式进行标注;结合过程内部分析结果,利用过程调用参数及返回值分析,连接跨过程的数据传输链,针对部分匹配的程序行为进行化简,并将简化后的程序行为加入临时行为匹配模板库。
8、根据权利要求2所述的多层语义标注及检测方法,其特征在于:从应用程序角度出发,依据文件内部行为分析结果,应用程序级语义层面结合二进制语义层面层获取的动态链接文件彼此之间的关联信息,对当前整个目标软件系统中可能存在的恶意行为进行全面分析和标注。
9、根据权利要求6所述的多层语义标注及检测方法,其特征在于:在数据流分析结果的基础上,通过切片算法简化程序分析目标代码描述。
10、根据权利要求9所述的多层语义标注及检测方法,其特征在于:结合基本块内数据流分析结果,针对部分匹配的程序行为进行简化,并将简化后程序行为加入临时行为匹配模板库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101414545A CN101359351B (zh) | 2008-09-25 | 2008-09-25 | 针对恶意行为的多层语义标注及检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101414545A CN101359351B (zh) | 2008-09-25 | 2008-09-25 | 针对恶意行为的多层语义标注及检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101359351A true CN101359351A (zh) | 2009-02-04 |
CN101359351B CN101359351B (zh) | 2010-11-10 |
Family
ID=40331798
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008101414545A Expired - Fee Related CN101359351B (zh) | 2008-09-25 | 2008-09-25 | 针对恶意行为的多层语义标注及检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101359351B (zh) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101976319A (zh) * | 2010-11-22 | 2011-02-16 | 张平 | 基于行为特征的BIOS固件Rootkit检测方法 |
CN102012988A (zh) * | 2010-12-02 | 2011-04-13 | 张平 | 自动二进制恶意代码行为分析方法 |
CN102298681A (zh) * | 2011-06-22 | 2011-12-28 | 西北大学 | 一种基于数据流切片的软件识别方法 |
CN103177215A (zh) * | 2013-03-05 | 2013-06-26 | 四川电力科学研究院 | 基于软件控制流特征的计算机恶意软件检测新方法 |
CN103200203A (zh) * | 2013-04-24 | 2013-07-10 | 中国人民解放军理工大学 | 基于执行轨迹的语义级协议格式推断方法 |
CN103377341A (zh) * | 2012-04-28 | 2013-10-30 | 北京网秦天下科技有限公司 | 一种安全检测的方法和系统 |
CN103902910A (zh) * | 2013-12-30 | 2014-07-02 | 北京奇虎科技有限公司 | 检测智能终端中恶意代码的方法及装置 |
CN105138916A (zh) * | 2015-08-21 | 2015-12-09 | 中国人民解放军信息工程大学 | 基于数据挖掘的多轨迹恶意程序特征检测方法 |
US9213839B2 (en) | 2013-03-14 | 2015-12-15 | Huawei Technologies Co., Ltd. | Malicious code detection technologies |
CN105589904A (zh) * | 2014-12-11 | 2016-05-18 | 中国银联股份有限公司 | 基于字节码比对的影响性回溯分析方法以及回溯分析装置 |
US9792433B2 (en) | 2013-12-30 | 2017-10-17 | Beijing Qihoo Technology Company Limited | Method and device for detecting malicious code in an intelligent terminal |
CN107944278A (zh) * | 2017-12-11 | 2018-04-20 | 北京奇虎科技有限公司 | 一种内核漏洞检测方法及装置 |
CN109829313A (zh) * | 2019-02-28 | 2019-05-31 | 中国人民解放军战略支援部队信息工程大学 | 一种基于代码复用编程防御sgx侧信道攻击的方法及装置 |
CN110532771A (zh) * | 2018-05-23 | 2019-12-03 | 深信服科技股份有限公司 | 恶意文件检测方法、装置、设备及计算机可读存储介质 |
CN113298112A (zh) * | 2021-04-01 | 2021-08-24 | 安徽继远软件有限公司 | 一种一体化数据智能标注方法及系统 |
CN113852602A (zh) * | 2021-08-11 | 2021-12-28 | 奇安信科技集团股份有限公司 | 文件重建方法、装置、传输设备、电子、程序产品及介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1300982C (zh) * | 2003-12-05 | 2007-02-14 | 中国科学技术大学 | 一种分层协同的网络病毒和恶意代码识别方法 |
CN100596336C (zh) * | 2006-03-29 | 2010-03-31 | 联想(北京)有限公司 | 一种清除rootkit的系统及方法 |
-
2008
- 2008-09-25 CN CN2008101414545A patent/CN101359351B/zh not_active Expired - Fee Related
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101976319B (zh) * | 2010-11-22 | 2012-07-04 | 张平 | 基于行为特征的BIOS固件Rootkit检测方法 |
CN101976319A (zh) * | 2010-11-22 | 2011-02-16 | 张平 | 基于行为特征的BIOS固件Rootkit检测方法 |
CN102012988A (zh) * | 2010-12-02 | 2011-04-13 | 张平 | 自动二进制恶意代码行为分析方法 |
CN102012988B (zh) * | 2010-12-02 | 2012-09-26 | 张平 | 自动二进制恶意代码行为分析方法 |
CN102298681A (zh) * | 2011-06-22 | 2011-12-28 | 西北大学 | 一种基于数据流切片的软件识别方法 |
CN102298681B (zh) * | 2011-06-22 | 2013-07-31 | 西北大学 | 一种基于数据流切片的软件识别方法 |
CN103377341A (zh) * | 2012-04-28 | 2013-10-30 | 北京网秦天下科技有限公司 | 一种安全检测的方法和系统 |
WO2013159607A1 (zh) * | 2012-04-28 | 2013-10-31 | 北京网秦天下科技有限公司 | 一种安全检测的方法和系统 |
CN103177215A (zh) * | 2013-03-05 | 2013-06-26 | 四川电力科学研究院 | 基于软件控制流特征的计算机恶意软件检测新方法 |
CN103177215B (zh) * | 2013-03-05 | 2016-01-20 | 四川电力科学研究院 | 基于软件控制流特征的计算机恶意软件检测新方法 |
US9213839B2 (en) | 2013-03-14 | 2015-12-15 | Huawei Technologies Co., Ltd. | Malicious code detection technologies |
CN103200203A (zh) * | 2013-04-24 | 2013-07-10 | 中国人民解放军理工大学 | 基于执行轨迹的语义级协议格式推断方法 |
CN103200203B (zh) * | 2013-04-24 | 2016-03-30 | 中国人民解放军理工大学 | 基于执行轨迹的语义级协议格式推断方法 |
CN103902910A (zh) * | 2013-12-30 | 2014-07-02 | 北京奇虎科技有限公司 | 检测智能终端中恶意代码的方法及装置 |
CN103902910B (zh) * | 2013-12-30 | 2016-07-13 | 北京奇虎科技有限公司 | 检测智能终端中恶意代码的方法及装置 |
US9792433B2 (en) | 2013-12-30 | 2017-10-17 | Beijing Qihoo Technology Company Limited | Method and device for detecting malicious code in an intelligent terminal |
CN105589904B (zh) * | 2014-12-11 | 2018-11-27 | 中国银联股份有限公司 | 基于字节码比对的影响性回溯分析方法以及回溯分析装置 |
CN105589904A (zh) * | 2014-12-11 | 2016-05-18 | 中国银联股份有限公司 | 基于字节码比对的影响性回溯分析方法以及回溯分析装置 |
CN105138916B (zh) * | 2015-08-21 | 2018-02-02 | 中国人民解放军信息工程大学 | 基于数据挖掘的多轨迹恶意程序特征检测方法 |
CN105138916A (zh) * | 2015-08-21 | 2015-12-09 | 中国人民解放军信息工程大学 | 基于数据挖掘的多轨迹恶意程序特征检测方法 |
CN107944278A (zh) * | 2017-12-11 | 2018-04-20 | 北京奇虎科技有限公司 | 一种内核漏洞检测方法及装置 |
CN110532771A (zh) * | 2018-05-23 | 2019-12-03 | 深信服科技股份有限公司 | 恶意文件检测方法、装置、设备及计算机可读存储介质 |
CN109829313A (zh) * | 2019-02-28 | 2019-05-31 | 中国人民解放军战略支援部队信息工程大学 | 一种基于代码复用编程防御sgx侧信道攻击的方法及装置 |
CN109829313B (zh) * | 2019-02-28 | 2020-11-24 | 中国人民解放军战略支援部队信息工程大学 | 一种基于代码复用编程防御sgx侧信道攻击的方法及装置 |
CN113298112A (zh) * | 2021-04-01 | 2021-08-24 | 安徽继远软件有限公司 | 一种一体化数据智能标注方法及系统 |
CN113852602A (zh) * | 2021-08-11 | 2021-12-28 | 奇安信科技集团股份有限公司 | 文件重建方法、装置、传输设备、电子、程序产品及介质 |
CN113852602B (zh) * | 2021-08-11 | 2023-12-08 | 奇安信科技集团股份有限公司 | 文件重建方法、装置,传输设备,电子设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101359351B (zh) | 2010-11-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101359351B (zh) | 针对恶意行为的多层语义标注及检测方法 | |
CN108614960B (zh) | 一种基于前端字节码技术的JavaScript虚拟化保护方法 | |
CN100483434C (zh) | 病毒识别方法及装置 | |
CN108491228B (zh) | 一种二进制漏洞代码克隆检测方法及系统 | |
CN1979478B (zh) | 文档处理系统和文档处理方法 | |
CN105550594A (zh) | 安卓应用文件的安全性检测方法 | |
US8677149B2 (en) | Method and system for protecting intellectual property in software | |
Yang et al. | DeepMal: maliciousness-Preserving adversarial instruction learning against static malware detection | |
CN112115427A (zh) | 代码混淆方法、装置、电子设备及存储介质 | |
Fu et al. | Simple linear string constraints | |
JP6699200B2 (ja) | シンプルデータタイプに対するグラマー生成 | |
US8327452B2 (en) | Program obfuscation apparatus, program obfuscation method and computer readable medium | |
CN117195233A (zh) | 面向开源软件供应链的物料清单sbom+分析方法及装置 | |
CN117272982A (zh) | 基于大型语言模型的协议文本检测方法及装置 | |
CN102193789A (zh) | 一种实现可配置跳转链接的方法和设备 | |
Yang et al. | Towards code watermarking with dual-channel transformations | |
CN111611788A (zh) | 一种数据处理的方法及装置、电子设备、存储介质 | |
Bento et al. | Full characterization of a class of graphs tailored for software watermarking | |
CN111026604A (zh) | 一种日志文件解析方法及装置 | |
CN102737203B (zh) | 一种基于程序父子基因关系的病毒防御方法及系统 | |
CN100507913C (zh) | 一种文档处理方法及系统 | |
CN107463690B (zh) | 一种实现快速链接的方法及系统 | |
Cavadini | Secure slices of insecure programs | |
Raihan et al. | Asmlsec: An extension of abstract state machine language for attack scenario specification | |
CN1979479B (zh) | 文档处理系统和文档处理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101110 Termination date: 20110925 |