公开(公告)号：CN102831059A

公开(公告)日：2012-12-19

申请号：CN201210303587.4

申请日：2012-08-23

Applicant: 北京工业大学

Inventor： 赖英旭 ,  张文雯 ,  杨震 ,  刘静 ,  李健

IPC: G06F11/36

Abstract: 本发明是一种基于状态层的软件行为建模方法。首先，截获软件正常执行时的系统调用序列,利用隐马尔科夫模型（以下简称隐马模型）将系统调用序列转化为状态序列；然后，根据状态序列建立状态转移图；最后，根据软件自身功能，抽取出敏感功能的状态序列，建立局部敏感功能图。该模型从系统调用的基础上抽取出更高层的行为模式，并根据软件的实际执行过程和功能建图，因此对软件行为的描述更加准确完备，存储更加简单，并对图赋予了实际的语义。该模型对软件行为的描述更加准确，隐马判断状态的正确率高达95%以上。

公开(公告)号：CN102768638B

公开(公告)日：2015-04-29

申请号：CN201210157706.X

申请日：2012-05-18

Applicant: 北京工业大学

Inventor： 赖英旭 ,  张文雯 ,  杨震 ,  刘静 ,  李健

IPC: G06F11/36 ,  G06F9/44

Abstract: 本发明是一种基于图的软件行为可信性检测方法。检测系统分为五个模块：数据预处理模块负责前期数据处理；状态图训练模块用来训练正常行为库；行为检测模块负责根据已建立的图对行为进行检测，该检测分为两个层次，第一层是状态和路径的检测，第二层主要是权值的检测；实时监控模块以日志的形式动态存储检测结果；异常告警模块在检测模块发现异常后进行告警，并终止正在运行的软件。该检测模型可以实时监控软件行为，检测出不属于这个软件的行为，一些攻击行为和非法输入。

公开(公告)号：CN102768638A

公开(公告)日：2012-11-07

申请号：CN201210157706.X

申请日：2012-05-18

Applicant: 北京工业大学

Inventor： 赖英旭 ,  张文雯 ,  杨震 ,  刘静 ,  李健

IPC: G06F11/36 ,  G06F9/44

Abstract: 本发明是一种基于图的软件行为可信性检测方法。检测系统分为五个模块：数据预处理模块负责前期数据处理；状态图训练模块用来训练正常行为库；行为检测模块负责根据已建立的图对行为进行检测，该检测分为两个层次，第一层是状态和路径的检测，第二层主要是权值的检测；实时监控模块以日志的形式动态存储检测结果；异常告警模块在检测模块发现异常后进行告警，并终止正在运行的软件。该检测模型可以实时监控软件行为，检测出不属于这个软件的行为，一些攻击行为和非法输入。