-
公开(公告)号:CN109101422A
公开(公告)日:2018-12-28
申请号:CN201810820845.3
申请日:2018-07-24
Applicant: 北京理工大学
IPC: G06F11/36
Abstract: 本发明公开了一种基于AFL的模糊测试变异方法和装置,在AFL的确定性变异阶段确定测试用例的有效字节;在确定性变异阶段,根据所述有效字节的信息确定变异字节,不变异全无效字节;在破坏性变异阶段,根据所述有效字节的信息指导变异,如果当前随机选择的字节是有效字节,则一定变异;否则给予小概率变异。使用本发明能够提高AFL的效率,而且能够解决现有符号执行和污点分析技术带来的资源消耗增加的问题。
-
公开(公告)号:CN107368739A
公开(公告)日:2017-11-21
申请号:CN201710619371.1
申请日:2017-07-26
Applicant: 北京理工大学
Abstract: 本发明公开了内核驱动的监视方法和装置,该方法包括:获取迁移到虚拟机中的物理机的操作系统内核中的驱动的基础信息,利用驱动的基础信息对驱动的权限以及操作系统内核中需保护对象的内存权限进行设置;设置虚拟机控制结构VMCS,根据设置的所述目标驱动的权限,设置的所述需保护对象的内存权限以及设置的所述VMCS,当捕获到驱动的行为引起的预设异常时,触发虚拟机退出事件并输出监视信息完成对驱动的监视。本发明实施例的方案基于虚拟机监视器更高权限特性,解决了监视程序容易被恶意驱动绕过,监视效果差的问题。
-
公开(公告)号:CN118070281A
公开(公告)日:2024-05-24
申请号:CN202410189545.5
申请日:2024-02-20
Applicant: 北京理工大学
Abstract: 本发明提供了一种基于日志信息和图神经网络的恶意代码检测方法,解析每个审计日志数据样本的日志信息,获取对恶意代码检测所需的特征信息并生成进程事件;根据进程事件序列构建全局异构图,通过图卷积神经网络获取每个进程事件的向量表示;构建使用进程事件语义信息和进程调用信息的检测模型,并使用该检测模型对日志数据进行恶意代码检测。本发明构建以日志文档和进程事件为节点的全局异构图,借用图卷积神经网络进行进程事件语义嵌入,挖掘进程事件间的关联关系,利用事件语义嵌入以及进程树结构信息,为每个软件样本的日志文档构建事件关系图,使用基于注意力的门控图神经网络进行模型搭建,从而提高恶意代码的检测准确率并且降低误报率。
-
公开(公告)号:CN116069623A
公开(公告)日:2023-05-05
申请号:CN202211614384.7
申请日:2022-12-12
Applicant: 北京理工大学
IPC: G06F11/36
Abstract: 本发明公开了基于组件的有向双权软件级联故障传播建模方法及系统,考虑了组件内与组件间的传播概率,组件容错率的传播限制以及软件运行过程中的不确定性。包括如下步骤:针对软件进行分析,以软件中函数为节点,以函数之间的调用关系为边,构建软件网络;将每个函数节点视为一个组件。对故障组件i,如果指向故障组件有向边的起始组件是非故障组件j,计算非故障组件j的组件内传播概率、组件间传播概率,并进一步计算得出软件级联故障传播概率,获得组件j的故障感染概率,如果组件j的故障感染概率大于等于自身容错率则组件j被感染故障,作为新的故障组件,继续计算新的故障组件对应的非故障组件的被感染概率,直至无新的故障组件出现。
-
Patent Agency Ranking
公开(公告)号:CN115659330A
公开(公告)日:2023-01-31
申请号:CN202211113528.0
申请日:2022-09-14
IPC: G06F21/56 , G06F8/53 , G06V10/764 , G06F18/241 , G06V10/82 , G06N3/0464 , G06N3/08
Abstract: 本发明公开了一种基于内存取证和图神经网络的恶意代码检测方法,涉及软件安全技术领域,本发明利用内存取证和图神经网络相结合的方式,减少了检测方法对于专家知识的依赖,同时提高了针对加壳恶意代码的检测效率以及对于未知样本的泛化能力。该方法包括如下步骤:获取目标程序的内存镜像。从内存镜像中提取目标程序中的函数以及函数之间的调用关系。利用自然语言处理NLP(Natural Language Processing)方法获取内存镜像中每个函数的语义表示,获得每个函数的语义向量。利用函数的语义向量构建目标程序的语义嵌入的函数调用图FCG(FunctionCall Graph),利用图神经网络GNN(Graph Neural Network)模型来分析语义嵌入的FCG以进行恶意代码识别,获得检测结果。
-
公开(公告)号:CN111898129B
公开(公告)日:2022-10-14
申请号:CN202010790742.4
申请日:2020-08-07
Applicant: 北京理工大学
Abstract: 本发明公开了基于Two‑Head异常检测模型的恶意代码样本筛选器及方法,筛选器包括特征提取器、第一分类层、第二分类层、softmax函数模块以及不确定性度量模块。特征提取器包括恶意代码检测模型中的特征提取部分。第一分类层和第二分类层采用恶意代码检测模型中的分类层结构,第一分类层和第二分类层并行连接在特征提取器输出端。第一分类层和第二分类层的输出分别经softmax函数模块输出第一分类概率值和第二分类概率值。第一分类概率值和第二分类概率值输入至一个不确定性度量模块中;不确定性度量模块的输出为分类结果标签。并使用训练好的Two‑Head异常检测模型对待输入至恶意代码检测模型的恶意代码检测样本进行筛选。
-
公开(公告)号:CN111767546B
公开(公告)日:2022-09-16
申请号:CN202010554794.1
申请日:2020-06-17
Applicant: 北京理工大学
Abstract: 本发明公开了一种基于深度学习的输入结构推断方法和装置,采用深度学习模型自动学习输入用例与程序执行状态之间的关系;利用显著性映射技术获得输入用例中每个字节对程序执行状态的影响,即深度学习模型的输出对输入字节的梯度;基于所述梯度,利用梯度相似相邻划分策略和/或中心‑前后向搜索策略获得输入结构单元集合;对所述输入结构单元集合进行结构推断优化,包括模糊边界处理和/或关键结构单元处理,得到准确的输入结构。本发明基于显著性映射技术推断输入结构单元集合,并进行模糊边界处理、关键结构单元处理,能够在保证模糊测试效率的基础上,提升输入结构推断准确率。
-
公开(公告)号:CN111898129A
公开(公告)日:2020-11-06
申请号:CN202010790742.4
申请日:2020-08-07
Applicant: 北京理工大学
Abstract: 本发明公开了基于Two-Head异常检测模型的恶意代码样本筛选器及方法,筛选器包括特征提取器、第一分类层、第二分类层、softmax函数模块以及不确定性度量模块。特征提取器包括恶意代码检测模型中的特征提取部分。第一分类层和第二分类层采用恶意代码检测模型中的分类层结构,第一分类层和第二分类层并行连接在特征提取器输出端。第一分类层和第二分类层的输出分别经softmax函数模块输出第一分类概率值和第二分类概率值。第一分类概率值和第二分类概率值输入至一个不确定性度量模块中;不确定性度量模块的输出为分类结果标签。并使用训练好的Two-Head异常检测模型对待输入至恶意代码检测模型的恶意代码检测样本进行筛选。
-
公开(公告)号:CN110647748A
公开(公告)日:2020-01-03
申请号:CN201910850422.0
申请日:2019-09-10
Applicant: 北京理工大学
IPC: G06F21/56
Abstract: 本发明属于计算机软件技术领域,公开了一种基于硬件特性的代码复用攻击检测系统及方法;包括内核模块、插桩模块、路径分析模块、断点选择器模块。内核模块具有系统调用拦截器、断点设置功能、断点拦截器的功能,插桩模块用于辅助拦截库函数调用功能,路径分析模块具有路径分析与验证的功能,断点选择器模块通过插装工具的二进制程序动态分析功能来实现。传统动态检测的方法性能开销较大、能够被新型的代码复用攻击所绕过。本发明结合程序分析技术和相关硬件特性提出一种新的高效检测程序控制流异常的方法,不需要修改目标程序源代码(或二进制代码),能够有效检测较为复杂的代码复用攻击,其性能开销较小,易于在实际环境中部署。
-
-
-
-
-
-
-
-
Search Results
29
records
(took 0.048 seconds)
