CN104008329A - 一种基于虚拟化技术的软件隐私泄露行为检测方法及系统 - Google Patents
一种基于虚拟化技术的软件隐私泄露行为检测方法及系统 Download PDFInfo
- Publication number
- CN104008329A CN104008329A CN201410218719.2A CN201410218719A CN104008329A CN 104008329 A CN104008329 A CN 104008329A CN 201410218719 A CN201410218719 A CN 201410218719A CN 104008329 A CN104008329 A CN 104008329A
- Authority
- CN
- China
- Prior art keywords
- stain
- instruction
- level
- analysis
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及一种基于虚拟化技术的软件隐私泄露行为检测方法及系统。该方法将待分析的软件加载到修改后的虚拟机中运行;然后在软件执行过程中,监控每一条指令的执行,当应用程序访问敏感资源时,标记相关污点数据并制定相关污点传播规则,在此基础上,动态生成指令级污点依赖图,并根据系统重构翻译,动态生成系统进程级污点依赖图;通过细粒度污点依赖分析图,分析软件的隐私泄露行为。本发明采用指令级和进程级相结合的多级动态污点分析方法,获得细粒度的污点依赖分析图,从而可以获得系统污染的路径信息,以及信息泄露等高层次语义信息,实现软件隐私泄露行为的有效分析和检测。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种基于虚拟化技术的软件隐私泄露行为检测方法及系统。
背景技术
随着计算机和互联网技术的进步不断更新,恶意软件自身技术不断发展,成为目前信息系统安全的主要威胁之一,恶意软件导致的隐私泄露等行为的危害也日益严峻,恶意软件的行为分析检测成为保障计算机及互联网安全的一个重要方面。
恶意软件检测是国内外的研究的热点问题之一。随着虚拟化技术的发展,产生了新的恶意软件分析检测的研究方法。这些方法涉及多方面的理论方法和技术,主要包括基于虚拟化技术的静态软件分析检测方法和动态软件分析检测方法。静态分析检测方法可以通过利用虚拟化技术将安全工具隔离保护在独立的受保护空间中,对系统状态进行安全监控,然而静态检测分析方法不能对操作系统的行为,即事件操作进行监控。已有的动态分析检测方法中,可通过在操作系统中植入钩子进行事件行为监控,当触发钩子时,钩子中断系统执行,进行相关操作。但这些分析检测方法可以被一些攻击技术击败。一些方法采用了细粒度动态污点分析来检测软件行为。动态污点传播分析是近年来流行的一种分析方法,在动态污点分析方法中为了准确的定位虚拟机器之中的污点信息,例如定位内存中和硬盘上的值、文件信息,系统需要记录系统的运行活动来进行分析。现存的研究有的通过加入系统模块来监视所有的系统调用,有的通过虚拟机监控层来监视系统调用,然后进行整个系统的进程级依赖分析。尽管他们可以得到进程级的依赖分析结果,但是不能获得内核中数据的分析结果,也不能获得进程中污染数据的精确地位置。
发明内容
针对当前恶意代码动态污点分析中存在的局限于指令级数据、缺乏上层信息的问题,以及不能获得内核中数据的分析结果和进程中污染数据的精确地位置的问题,本发明的目的在于提供一种基于虚拟化技术的软件隐私泄露行为检测方法及系统,在虚拟机中加入指令级动态污点分析、系统信息重构、依赖图生成等模块,通过指令级和进程级相结合的多级动态污点分析方法,系统可以获得细粒度的污点依赖分析图,从而可以获得系统污染的路径信息,以及信息泄露等高层次语义信息。
本发明的主要内容是:将待分析的软件加载到修改后的虚拟机中运行;然后在软件执行过程中,监控每一条指令的执行,当应用程序访问敏感资源时,标记相关污点数据并制定相关污点传播规则,在此基础上,动态生成指令级污点依赖图,并根据系统重构翻译,动态生成系统进程级污点依赖图。通过细粒度污点依赖分析图,分析软件的隐私泄露行为。
具体来说,本发明采用的技术方案如下:
一种基于虚拟化技术的软件隐私泄露行为检测方法,其步骤包括:
1)在虚拟机中加载待检测的应用程序,并执行该应用程序;
2)当应用程序访问敏感资源时,在相应内存的存储位置添加污点标签,在虚拟机中对应用程序执行指令级污点追踪并动态生成指令级污点依赖图;
3)通过系统信息重构,从虚拟机监控层得到关于虚拟机客户操作系统语义级的信息;
4)通过将指令级动态污点分析和系统信息重构结合,获得系统进程级的污点依赖图;
5)利用指令级污点依赖图和进程级的污点依赖图,得到细粒度的污点分析图,进而分析软件的隐私泄露行为并获得最终检测结果。
进一步地,步骤1)所述的虚拟机中执行应用程序的过程为:修改虚拟机,使得后续的指令级动态污点分析过程(指令级动态污点分析模块)可以在虚拟机指令执行时进行指令捕获和分析。
进一步地,步骤2)在指令级动态污点分析中分析数据污点传播流和控制污点传播流两种污点传播流,通过分析每一条指令的执行活动,生成一个指令级的污点依赖分析图。所述数据污点传播流的主要处理方法为:如果一条指令包含一个源操作数和一个目的操作数,源操作数中存储的数据是脏的,那么就要将目的操作数的存储的位置标记为脏;如果一条指令中用来寻找源操作数地址或者目的操作数地址的数值是脏的,那么就要将其目的操作数存储的位置标记为脏;如果一条指令本身存储的内存空间是脏的,那么也要将其目的操作数存储的位置标记为脏;如果前述的条件均不满足,而且此指令会更新系统的状态信息,那么要将相应的目标标记为干净。所述控制污点传播流的主要处理方法为:如果一条控制指令的条件标记是脏,那么此时需要使用静态分析方法遍历由于控制指令引起的两条不同的执行路径,找到两条执行路径的结合点,从而找到所有受此控制指令影响的指令,并将这些指令存储位置全部标记为脏;如果一条控制指令的目的地址的标记是脏,同样将相关指令存储位置全部标记为脏;如果一条控制指令本身存储的内存空间是脏的,同上处理。
进一步地,步骤3)中系统信息的重构实现模块将整个信息重构都放到虚拟机监控层实现,而不需要客户操作系统的参与,此模块解析内存和硬盘中的二进制信息,恢复系统语义信息。
进一步地,步骤4)在获得进程级污点依赖图的过程中,当一个指令执行时,可以通过进程级污点依赖图获得所有的恶意进程。进程级污点依赖图记录了内部进程交互的不同路径。
进一步地,步骤5)利用指令级污点依赖图和进程级的污点依赖图上污点元素的依赖关系进行前向和后向处理,得到所述细粒度的污点分析图。
一种基于虚拟化技术的软件隐私泄露行为检测系统,其包括:
虚拟机,用于数据段指令翻译;
应用程序加载模块,用于将应用程序加载到虚拟机中执行;
指令级动态污点分析模块,当应用程序访问敏感资源时,在相应内存的存储位置添加污点标签,在虚拟机中对应用程序执行指令级污点追踪并动态生成指令级污点依赖图;
系统重构翻译模块,通过系统信息重构从虚拟机的监控层得到关于虚拟机中客户操作系统的语义级的信息;
进程级污点依赖图生成模块,通过将指令级动态污点分析和系统信息重构结合,获得进程级的污点依赖图;
行为检测分析模块,根据指令级污点依赖图和进程级的污点依赖图得到细粒度的污点分析图,进而分析软件的隐私泄露行为,并输出最终检测结果。
本发明的优点和积极效果如下:
本发明在虚拟机中执行待分析的应用程序,然后在虚拟机中展开分析;在指令级和进程级展开多级动态污点分析,在保证指令级细粒度分析的同时,通过在虚拟机监控层实现了系统重构翻译模块,获得客户操作系统语义信息;并通过将指令级动态污点分析和系统信息重构结合,获得进程级的依赖图。通过对此依赖图上对污点元素的依赖关系的前向和后向处理,得到细粒度的污点分析图,通过污点分析图可以获得系统污染的路径信息,以及信息泄露等高层次语义信息,实现软件隐私泄露行为的有效分析和检测。
附图说明
图1是本发明的软件隐私泄露行为检测方法的步骤流程图。
图2是本发明的软件隐私泄露行为检测系统的模块组成图。
具体实施方式
下面通过具体实例和附图,对本发明做进一步说明。
本实施例采用linux软件,linux软件隐私泄露行为检测方法的步骤如图1所示,对应的系统模块组成如图2所示,具体说明如下:
1、向虚拟机导入待分析的应用程序并运行。
通过在虚拟机(比如QEMU虚拟机)中运行待检测应用程序,监控每一条执行的指令信息,在指令翻译之前各个模块按照所需进行相应的处理。
具体地,在虚拟机中通过对其硬件模拟程序的修改,可以为用户主机隐私敏感信息添加污点标签,定位污点数据所存放的内存单元,从而通过指令级动态污点分析得到感染过程的结果。
2、指令级动态污点分析。
为了准确的定位虚拟机器之中的污点信息,例如定位内存中和硬盘上的值、文件信息,系统需要记录系统的运行活动来进行分析。现有技术中,有的通过加入系统模块来监视所有的系统调用,有的通过虚拟机监控层来监视系统调用,然后进行整个系统的进程级依赖分析。尽管他们可以得到进程级的依赖分析结果,但是他们不能获得内核中数据的分析结果,也不能获得进程中污染数据的精确地位置。
为了解决这个问题,本发明进行了多级的动态污点分析。通过这种分析,系统可以获得细粒度的污点依赖分析图。这个细粒度的污点依赖分析图包含了指令级的信息和进程级的信息。指令级动态污点分析模块,在指令翻译执行之前,检查指令中源操作数是否涉及主机用户的敏感信息,若涉及敏感信息,则将源操作数的存储位置标记为脏,在虚拟机QEMU中执行指令级污点追踪并动态生成指令级污点依赖图。在指令级分析中共有两种污点传播流:数据污点传播流和控制污点传播流。
数据污点传播流处理的具体步骤是:
1)如果一条指令包含一个源操作数和一个目的操作数,源操作数中存储的数据是脏的,那么就要将目的操作数的存储的位置标记为脏;
2)如果一条指令中用来寻找源操作数地址或者目的操作数地址的数值是脏的,那么就要将其目的操作数存储的位置标记为脏;
3)如果一条指令本身存储的内存空间是脏的,那么也要将其目的操作数存储的位置标记为脏;
4)果前述的条件均不满足,而且此指令会更新系统的状态信息,那么要将相应的目标标记为干净。
控制污点传播流处理的具体步骤为:
1)如果一条控制指令的条件标记是脏,那么此时需要使用静态分析方法遍历由于控制指令引起的两条不同的执行路径,找到两条执行路径的结合点,从而找到所有受此控制指令影响的指令,并将这些指令存储位置全部标记为脏;
2)如果一条控制指令的目的地址的标记是脏,同样将相关指令存储位置全部标记为脏;
3)如果一条控制指令本身存储的内存空间是脏的,同上处理。
3、动态生成指令级依赖图。
通过分析每一条指令的执行活动,逐渐的生成一个指令级的污点依赖分析图。
4、系统重构翻译。
为了维护二进制数据到语义信息的映射,通过系统信息重构使得可以从虚拟机的监控层得到关于虚拟机中客户操作系统的语义级的信息。系统信息的重构实现的路径是将整个信息重构都放到虚拟机监控层实现,而不需要客户操作系统的参与。因为在此系统模型中,虚拟机是可信的,所以这种实现方式是安全可靠的。
虚拟机QEMU中定义了一个结构env来模拟虚拟机的CPU。也就是说,从env中就能够获得虚拟机的模拟CPU的所有的寄存器信息。当前运行进程的内核堆栈可以通过寄存器tr定位。在内核堆栈的底部,可以找到Thread info结构。Thread info结构是一个指向任务描述符的指针(在Linux中被定义为task struct)。通过任务描述符,可以获得关于一个进程的所有所需要的信息,例如描述虚拟内存结构,调度信息,文件和进程间通信的信息等等。进一步,通过任务描述符中的任务指针,可以定位所有客户操作系统的进程,从而得到所有进程的信息。
例如,Linux2.6客户操作系统,从任务描述符的指针组可以定位内核的运行队列结构(run-queue structure)rq,而从运行队列结构中可以定位客户操作系统的所有可运行的进程(runnable processes)。从运行队列结构rq可以找到两个阵列(Array):活动阵列(ActiveArray)和过期阵列(Expired Array),每一个阵列都由140个优先级队列(runlist)组成。每一个可运行的进程都要存在于两个阵列的一个队列当中,等待CPU的调度。除了可运行的进程,等待资源(文件,设备等等)的进程可以在等待队列(wait-queue list)中找到,这些进程的信息可以用类似的方法获得。同样通过任务描述符可以寻找到客户操作的管理信息,如进程调度信息和内存管理信息等等。该系统利用虚拟机模拟的CPU寄存器的语义信息动态构建操作系统内核数据结构。
5、动态生成系统进程依赖图。
因为系统信息重构可以提供语义级的信息。所以通过将指令级动态污点分析和系统信息重构结合,就可以获得进程级的依赖图。基于系统调用的方法有着无法解决的问题,如在系统内核中的中断80H的处理程序或Sysenter指令的处理程序被劫持的情况下将无法正确的获得系统进程级损害分析结果。因为指令级污点分析并不依赖于操作系统本身提供的信息,所以无论客户操作系统内核是否被破坏劫持,这种分析方法都可以完全的正常工作。例如在中断80H的处理程序或Sysenter指令的处理程序被劫持的情况下,指令级污点分析依然可以分析每一条指令,正常生成指令级的分析依赖图。在获得了细粒度的污点信息以后,通过系统重建翻译生成语义的污点分析信息。系统重构翻译模块依赖于客户操作系统初始状态的正确性。指令级动态污点分析模块,系统可以跟踪到污点影响到客户操作系统内核的操作,所以在进行系统重构翻译时,如果客户操作系统内核被劫持或破坏,系统重构翻译模块将依据最近的劫持破坏前的系统内核结构来做系统信息重构。用这种方法获得的进程级依赖分析图可以在客户操作系统内核被破坏和胁迫的情形下,保证依赖信息的正确性。
系统维护指令级二进制信息到系统进程级语义信息的关系映射,这样就可以在虚拟机中获得所需要的信息。系统的所有模块均在虚拟机监控层实现,所以就算攻击破坏或劫持了客户操作系统内核,系统依然能够成功的获得系统的进程级语义信息。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求所述为准。
Claims (10)
1.一种基于虚拟化技术的软件隐私泄露行为检测方法,其步骤包括:
1)在虚拟机中加载待检测的应用程序,并执行该应用程序;
2)当应用程序访问敏感资源时,在相应内存的存储位置添加污点标签,在虚拟机中对应用程序执行指令级污点追踪并动态生成指令级污点依赖图;
3)通过系统信息重构,从虚拟机监控层得到关于虚拟机客户操作系统语义级的信息;
4)通过将指令级动态污点分析和系统信息重构结合,获得系统进程级的污点依赖图;
5)利用指令级污点依赖图和进程级的污点依赖图,得到细粒度的污点分析图,进而分析软件的隐私泄露行为并获得最终检测结果。
2.如权利要求1所述的方法,其特征在于,步骤1)在虚拟机中执行应用程序时,修改虚拟机使得后续指令级动态污点分析过程能够在虚拟机指令执行时进行指令捕获和分析。
3.如权利要求1所述的方法,其特征在于,步骤2)在指令级分析中处理两种污点传播流:数据污点传播流和控制污点传播流。
4.如权利要求3所述的方法,其特征在于,所述数据污点传播流的处理方法为:
2-1-1)如果一条指令包含一个源操作数和一个目的操作数,源操作数中存储的数据是脏的,那么将目的操作数的存储的位置标记为脏;
2-1-2)如果一条指令中用来寻找源操作数地址或者目的操作数地址的数值是脏的,那么将其目的操作数存储的位置标记为脏;
2-1-3)如果一条指令本身存储的内存空间是脏的,那么将其目的操作数存储的位置标记为脏;
2-1-4)如果前述的条件均不满足,而且此指令会更新系统的状态信息,那么将相应的目标标记为干净;
所述控制污点传播流的处理方法为:
2-2-1)如果一条控制指令的条件标记是脏,那么此时使用静态分析方法遍历由于控制指令引起的两条不同的执行路径,找到两条执行路径的结合点,从而找到所有受此控制指令影响的指令,并将这些指令存储位置全部标记为脏;
2-2-2)如果一条控制指令的目的地址的标记是脏,同样将相关指令存储位置全部标记为脏;
2-2-3)如果一条控制指令本身存储的内存空间是脏的,同上处理;通过分析每一条指令的执行活动,逐渐的生成一个指令级的污点依赖分析图。
5.如权利要求1所述的方法,其特征在于:步骤3)将整个信息重构都放到虚拟机监控层实现,不需要客户操作系统的参与。
6.如权利要求1所述的方法,其特征在于:步骤4)在获得进程级污点依赖图的过程中,当一个指令执行时,通过进程级污点依赖图获得所有的恶意进程,进程级污点依赖图记录了内部进程交互的不同路径。
7.如权利要求1所述的方法,其特征在于:步骤5)利用指令级污点依赖图和进程级的污点赖图上污点元素的依赖关系进行前向和后向处理,得到所述细粒度的污点分析图。
8.一种采用权利要求1所述方法的基于虚拟化技术的软件隐私泄露行为检测系统,其特征在于,包括:
虚拟机,用于数据段指令翻译;
应用程序加载模块,用于将应用程序加载到虚拟机中执行;
指令级动态污点分析模块,当应用程序访问敏感资源时,在相应内存的存储位置添加污点标签,在虚拟机中对应用程序执行指令级污点追踪并动态生成指令级污点依赖图。
系统重构翻译模块,通过系统信息重构从虚拟机的监控层得到关于虚拟机中客户操作系统的语义级的信息;
进程级污点依赖图生成模块,通过将指令级动态污点分析和系统信息重构结合,获得进程级的污点依赖图;
行为检测分析模块,根据指令级污点依赖图和进程级的污点依赖图得到细粒度的污点分析图,进而分析软件的隐私泄露行为,并输出最终检测结果。
9.如权利要求8所述的系统,其特征在于,所述指令级动态污点分析模块在指令级分析中处理两种污点传播流:数据污点传播流和控制污点传播流。
10.如权利要求8所述的系统,其特征在于,所述行为检测分析模块利用指令级污点依赖图和进程级的污点赖图上污点元素的依赖关系进行前向和后向处理,得到所述细粒度的污点分析图。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410218719.2A CN104008329B (zh) | 2014-05-22 | 2014-05-22 | 一种基于虚拟化技术的软件隐私泄露行为检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410218719.2A CN104008329B (zh) | 2014-05-22 | 2014-05-22 | 一种基于虚拟化技术的软件隐私泄露行为检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104008329A true CN104008329A (zh) | 2014-08-27 |
| CN104008329B CN104008329B (zh) | 2017-02-15 |
Family
ID=51368979
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410218719.2A Active CN104008329B (zh) | 2014-05-22 | 2014-05-22 | 一种基于虚拟化技术的软件隐私泄露行为检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104008329B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104462973A (zh) * | 2014-12-18 | 2015-03-25 | 上海斐讯数据通信技术有限公司 | 移动终端中应用程序的动态恶意行为检测系统及方法 |
| CN105827644A (zh) * | 2016-05-17 | 2016-08-03 | 努比亚技术有限公司 | 一种实现密码信息处理的方法及终端 |
| CN106127040A (zh) * | 2016-06-23 | 2016-11-16 | 国家计算机网络与信息安全管理中心 | 一种软件隐私泄露行为的定量分析方法及装置 |
| CN106203081A (zh) * | 2015-04-29 | 2016-12-07 | 北京壹人壹本信息科技有限公司 | 一种安全防护方法及装置 |
| CN106384050A (zh) * | 2016-09-13 | 2017-02-08 | 哈尔滨工程大学 | 一种基于最大频繁子图挖掘的动态污点分析方法 |
| CN106503560A (zh) * | 2016-11-23 | 2017-03-15 | 中国人民解放军信息工程大学 | 一种敏感信息跟踪方法及系统 |
| CN106778328A (zh) * | 2016-11-23 | 2017-05-31 | 中国人民解放军信息工程大学 | 一种敏感信息安全保护方法及系统 |
| CN106778254A (zh) * | 2016-11-24 | 2017-05-31 | 四川无声信息技术有限公司 | 隐私泄露检测方法及系统 |
| CN108830100A (zh) * | 2018-05-30 | 2018-11-16 | 山东大学 | 基于多任务学习的用户隐私泄漏检测方法、服务器及系统 |
| CN108932199A (zh) * | 2018-07-09 | 2018-12-04 | 南京网觉软件有限公司 | 一种基于用户界面分析的自动化污点分析系统 |
| CN109214212A (zh) * | 2018-10-25 | 2019-01-15 | 国家电网有限公司 | 信息防泄露方法及装置 |
| CN109714314A (zh) * | 2018-11-21 | 2019-05-03 | 中国电子科技网络信息安全有限公司 | 一种重现漏洞全生命周期的全息漏洞库的构建方法 |
| CN113746760A (zh) * | 2020-05-27 | 2021-12-03 | 瞻博网络公司 | 通信方法、网络控制器和计算机可读存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616151B (zh) * | 2009-07-31 | 2012-11-07 | 中国科学院软件研究所 | 一种自动化的网络攻击特征生成方法 |
| CN102054149B (zh) * | 2009-11-06 | 2013-02-13 | 中国科学院研究生院 | 一种恶意代码行为特征提取方法 |
| CN102306098A (zh) * | 2011-08-18 | 2012-01-04 | 电子科技大学 | 一种隐式污点传播系统及其方案 |
| CN103166942B (zh) * | 2011-12-19 | 2016-08-03 | 中国科学院软件研究所 | 一种恶意代码的网络协议解析方法 |
| CN102651062B (zh) * | 2012-04-09 | 2014-06-18 | 华中科技大学 | 基于虚拟机架构的恶意行为跟踪系统和方法 |
-
2014
- 2014-05-22 CN CN201410218719.2A patent/CN104008329B/zh active Active
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104462973B (zh) * | 2014-12-18 | 2017-11-14 | 上海斐讯数据通信技术有限公司 | 移动终端中应用程序的动态恶意行为检测系统及方法 |
| CN104462973A (zh) * | 2014-12-18 | 2015-03-25 | 上海斐讯数据通信技术有限公司 | 移动终端中应用程序的动态恶意行为检测系统及方法 |
| CN106203081A (zh) * | 2015-04-29 | 2016-12-07 | 北京壹人壹本信息科技有限公司 | 一种安全防护方法及装置 |
| CN105827644A (zh) * | 2016-05-17 | 2016-08-03 | 努比亚技术有限公司 | 一种实现密码信息处理的方法及终端 |
| CN106127040A (zh) * | 2016-06-23 | 2016-11-16 | 国家计算机网络与信息安全管理中心 | 一种软件隐私泄露行为的定量分析方法及装置 |
| CN106384050A (zh) * | 2016-09-13 | 2017-02-08 | 哈尔滨工程大学 | 一种基于最大频繁子图挖掘的动态污点分析方法 |
| CN106384050B (zh) * | 2016-09-13 | 2019-01-15 | 哈尔滨工程大学 | 一种基于最大频繁子图挖掘的动态污点分析方法 |
| CN106778328A (zh) * | 2016-11-23 | 2017-05-31 | 中国人民解放军信息工程大学 | 一种敏感信息安全保护方法及系统 |
| CN106503560A (zh) * | 2016-11-23 | 2017-03-15 | 中国人民解放军信息工程大学 | 一种敏感信息跟踪方法及系统 |
| CN106778328B (zh) * | 2016-11-23 | 2019-12-10 | 中国人民解放军信息工程大学 | 一种敏感信息安全保护方法及系统 |
| CN106778254B (zh) * | 2016-11-24 | 2020-05-01 | 四川无声信息技术有限公司 | 隐私泄露检测方法及系统 |
| CN106778254A (zh) * | 2016-11-24 | 2017-05-31 | 四川无声信息技术有限公司 | 隐私泄露检测方法及系统 |
| CN108830100A (zh) * | 2018-05-30 | 2018-11-16 | 山东大学 | 基于多任务学习的用户隐私泄漏检测方法、服务器及系统 |
| CN108830100B (zh) * | 2018-05-30 | 2021-11-30 | 山东大学 | 基于多任务学习的用户隐私泄漏检测方法、服务器及系统 |
| CN108932199A (zh) * | 2018-07-09 | 2018-12-04 | 南京网觉软件有限公司 | 一种基于用户界面分析的自动化污点分析系统 |
| CN108932199B (zh) * | 2018-07-09 | 2020-11-17 | 南京网觉软件有限公司 | 一种基于用户界面分析的自动化污点分析系统 |
| CN109214212A (zh) * | 2018-10-25 | 2019-01-15 | 国家电网有限公司 | 信息防泄露方法及装置 |
| CN109714314A (zh) * | 2018-11-21 | 2019-05-03 | 中国电子科技网络信息安全有限公司 | 一种重现漏洞全生命周期的全息漏洞库的构建方法 |
| CN113746760A (zh) * | 2020-05-27 | 2021-12-03 | 瞻博网络公司 | 通信方法、网络控制器和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104008329B (zh) | 2017-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104008329A (zh) | 一种基于虚拟化技术的软件隐私泄露行为检测方法及系统 | |
| Abbasi et al. | ECFI: Asynchronous control flow integrity for programmable logic controllers | |
| CN103399812A (zh) | 基于Xen硬件虚拟化的磁盘文件操作监控系统及监控方法 | |
| CN102651062B (zh) | 基于虚拟机架构的恶意行为跟踪系统和方法 | |
| Chen et al. | Safestack: Automatically patching stack-based buffer overflow vulnerabilities | |
| CN105184166A (zh) | 基于内核的安卓程序实时行为分析方法及系统 | |
| CN103064784B (zh) | 面向Xen环境的运行时内存泄漏检测方法及其实现系统 | |
| CN109002721A (zh) | 一种信息安全漏洞的挖掘分析方法 | |
| Keromytis et al. | The meerkats cloud security architecture | |
| CN102096786A (zh) | 基于硬件虚拟化的跨平台安全保护系统 | |
| CN103886259B (zh) | 基于Xen虚拟化环境的内核级rootkit检测和处理方法 | |
| CN101853200A (zh) | 一种高效动态软件漏洞挖掘方法 | |
| Rajput et al. | Remote non-intrusive malware detection for plcs based on chain of trust rooted in hardware | |
| Zegzhda et al. | Detecting Android application malicious behaviors based on the analysis of control flows and data flows | |
| Lee et al. | Kernel-level rootkits features to train learning models against namespace attacks on containers | |
| Di Pietro et al. | CloRExPa: Cloud resilience via execution path analysis | |
| Schmieders et al. | Runtime model-based privacy checks of big data cloud services | |
| CN108228319B (zh) | 一种基于多桥的语义重构方法 | |
| Peng et al. | Micro-architectural features for malware detection | |
| Zhan et al. | Checking virtual machine kernel control-flow integrity using a page-level dynamic tracing approach | |
| Yuan et al. | CloudTaint: an elastic taint tracking framework for malware detection in the cloud | |
| Zhan et al. | SAVM: A practical secure external approach for automated in‐VM management | |
| Zhan et al. | A low-overhead kernel object monitoring approach for virtual machine introspection | |
| Abdullah et al. | Towards a dynamic file integrity monitor through a security classification | |
| Xu et al. | Research on semantic gap problem of virtual machine |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |