公开(公告)号：CN102222035A

公开(公告)日：2011-10-19

申请号：CN201110209514.4

申请日：2011-07-25

Applicant: 公安部第三研究所

Inventor： 姚伟 ,  丁保贞 ,  宋铮 ,  杭强伟 ,  林九川 ,  赵帅

IPC: G06F11/34 ,  G06F11/36

Abstract: 本发明公开了基于符号执行技术的软件行为检测系统及检测方法，该检测系统由约束生成模块、约束取反/优化模块、约束求解模块、二进制代码插桩模块、行为监测模块组成，具体方法是：在程序的实际执行过程中，对软件的行为进行监测，收集与行为相关的信息，为行为分析提供一些基础数据；与此同时，收集当前路径的约束条件。程序执行完后，按照路径选择算法，对收集到的路径约束条件集中的某个约束条件取反，得到一个新的路径约束集，并用求解器对新生成的路径约束集进行求解，以确定该路径是否可达。如果遍历该路径的前置条件可满足，则通过遍历该路径以触发新的软件行为。本发明能够有效的提高行为检测的准确率和全面性。

公开(公告)号：CN102223384A

公开(公告)日：2011-10-19

申请号：CN201110209570.8

申请日：2011-07-25

Applicant: 公安部第三研究所

Inventor： 林九川 ,  杭强伟 ,  赵帅 ,  宋铮 ,  姚伟

IPC: H04L29/06 ,  G06F21/00

Abstract: 本发明公开了基于虚拟执行的攻击代码检测方法，该检测方法将网络字节流放到虚拟机中受控执行，监测其执行过程，根据执行过程中出现的特征判断是否存在攻击代码。本发明对于使用了多态技术的Shellcode，用户使用该系统可以取得良好的检测效果，保证用户的信息安全。