-
公开(公告)号:CN103679030A
公开(公告)日:2014-03-26
申请号:CN201310682922.0
申请日:2013-12-12
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56
CPC classification number: G06F21/566
Abstract: 本发明涉及一种基于动态语义特征的恶意代码分析检测方法,其步骤包括:1)将恶意样本库中待分析检测的代码动态运行于虚拟环境之中,监测其运行过程并提取出原始特征;2)筛选出代表该代码语义特征的API名称信息;3)建立代表该代码语义特征的API序列语义特征集合;4)选取具有代表性的语义特征建立语义特征库;5)将待检测代码的语义特征集合与语义特征库进行相似性检测,得出检测结果,即待检测代码是良性代码或恶意代码。本发明根据不同的样本可以建立不同的语义特征,具有很好的普适性,并提出了选取具有代表性特征的方法,能够较准确地表示代码的语义特征,对恶意代码的分析检测更加准确、检测成本更低。
-
公开(公告)号:CN103679030B
公开(公告)日:2017-01-11
申请号:CN201310682922.0
申请日:2013-12-12
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56
Abstract: 本发明涉及一种基于动态语义特征的恶意代码分析检测方法,其步骤包括:1)将恶意样本库中待分析检测的代码动态运行于虚拟环境之中,监测其运行过程并提取出原始特征;2)筛选出代表该代码语义特征的API名称信息;3)建立代表该代码语义特征的API序列语义特征集合;4)选取具有代表性的语义特征建立语义特征库;5)将待检测代码的语义特征集合与语义特征库进行相似性检测,得出检测结果,即待检测代码是良性代码或恶意代码。本发明根据不同的样本可以建立不同的语义特征,具有很好的普适性,并提出了选取具有代表性特征的方法,能够较准确地表示代码的语义特征,对恶意代码的分析检测更加准确、检测成本更低。
-
公开(公告)号:CN104850781A
公开(公告)日:2015-08-19
申请号:CN201410053457.9
申请日:2014-02-17
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56
Abstract: 本发明涉及一种动态多级恶意代码行为分析方法及系统。该方法包括:在硬件模拟器中运行恶意代码,在运行过程中提取恶意代码执行的指令信息;在恶意代码运行过程中,在硬件模拟器的模拟内存中截获恶意代码执行的关键函数;根据获取的恶意代码指令信息和关键函数信息,构建多级恶意代码行为图;利用多级恶意代码行为图,根据分析需要,从任一节点开始,进行正向或逆向行为分析。该系统包括:硬件模拟器,指令信息提取模块,函数信息提取模块,行为图构建模块,以及行为分析模块。本发明提高了恶意代码的行为机理的分析能力,能够为恶意代码的检测及防范提供充分支撑。
-
-
Search Results
3
records
(took 0.028 seconds)
