公开(公告)号：CN103440459B

公开(公告)日：2016-04-06

申请号：CN201310443172.1

申请日：2013-09-25

Applicant: 西安交通大学

Inventor： 陶敬 ,  胡文君 ,  周文瑜 ,  赵双 ,  马小博

IPC: G06F21/56

Abstract: 本发明提出一种Android恶意软件检测方法，旨在解决现有Android恶意代码检测技术无法细粒度构建Android程序行为特征的问题。首先对现有Android恶意代码进行基于权限的统计分析，提取使用率较高的权限作为敏感权限，继而以使用这些权限的API作为入口点，构建调用这些API的函数链，进行基于函数调用的Android恶意代码检测。本发明可以细粒度的构建Android程序的行为特征，由此较好地检测Android恶意代码。

公开(公告)号：CN103345605B

公开(公告)日：2016-01-06

申请号：CN201310224310.7

申请日：2013-06-06

Applicant: 西安交通大学

Inventor： 陶敬 ,  马小博 ,  李剑锋 ,  管晓宏 ,  周文瑜 ,  周天 ,  邹孙颖 ,  胡文君

IPC: G06F21/56

Abstract: 本发明公开了一种基于DNS缓存探测的指定恶意代码感染主机规模估计系统和方法。该系统包含特定区域DNS解析器搜索、DNS探测和恶意代码感染主机规模估计三个主要模块，通过对特定区域范围内DNS解析器进行探测，收集恶意域名在各个DNS解析器中的缓存信息，并基于该信息构建混合指数估计模型，估计恶意代码在相应网络域中感染主机的规模。该系统有效地规避了隐私保护、网络授权等传统监控方法面临的问题。

公开(公告)号：CN103327015A

公开(公告)日：2013-09-25

申请号：CN201310224336.1

申请日：2013-06-06

Applicant: 西安交通大学

Inventor： 陶敬 ,  李剑锋 ,  马小博 ,  管晓宏 ,  周文瑜 ,  周天 ,  邹孙颖 ,  胡文君

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种基于DNS缓存探测的恶意代码感染主机规模估计方法。该方法通过对特定区域范围内DNS解析器进行探测，收集恶意域名在各个DNS解析器中的缓存信息，并基于该信息构建贝叶斯预测滤波模型，估计恶意代码在相应网络域中感染主机的规模。该系统有效地规避了隐私保护、网络授权等传统监控方法面临的问题。

公开(公告)号：CN103269330A

公开(公告)日：2013-08-28

申请号：CN201310136661.2

申请日：2013-04-18

Applicant: 西安交通大学

Inventor： 陶敬 ,  马小博 ,  管晓宏 ,  李剑峰 ,  田决 ,  周文瑜 ,  胡文君 ,  邹孙颖

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明提出一种IRC僵尸网络检测方法，属于网络通信安全领域。以IRC僵尸网络为对象，选取其命令与控制过程中的NICK关键协议字段NICKNAME作为指标，将NICKNAME的国家、操作系统等不同字段进行分解，利用关联规则方法自动生成IRC僵尸主机的NICKNAME特征，通过对可疑NICKNAME的判定检测IRC僵尸网络。本方法对已知和新型但符合关联规则的IRC僵尸网络具有检测能力，适用于在安全检测精度要求高的中小型规模网络中实时检测IRC僵尸网络。另外，挖掘出的NICKNAME关联规则可为Snort、RealSecure等安全检测工具提供专用于IRC僵尸网络检测的特征库。