公开(公告)号：CN117439768A

公开(公告)日：2024-01-23

申请号：CN202311181867.7

申请日：2023-09-13

Applicant: 北京理工大学

Inventor： 韩伟杰 ,  薛静锋 ,  国文杰 ,  王勇 ,  刘振岩 ,  单纯 ,  朱玉芬

IPC: H04L9/40 ,  H04L67/1396 ,  G06F21/56

Abstract: 本发明涉及一种针对分阶段隐写式恶意代码的检测方法与系统，用于对抗网络攻击。具体的，分别检测客户端是否发生了从网上下载图片、从图片中解析出其它文件，以及程序隐蔽执行的行为，如果上述行为均存在，则发现分阶段隐写式恶意代码。本发明针对分阶段隐写式恶意代码各阶段功能模块的特点分别定义相关的行为特征，采用静态分析的方式分析该类型恶意代码在运行过程中所必需执行的关键函数，由此构建自动化的检测流程，最终实现对分阶段隐写式恶意代码的高效和准确检测，为构建网络安全防护体系提供支撑。

公开(公告)号：CN115017503B

公开(公告)日：2024-12-10

申请号：CN202210387152.6

申请日：2022-04-13

Applicant: 北京理工大学 ,  中国人民解放军战略支援部队航天工程大学

Inventor： 韩伟杰 ,  薛静锋 ,  王勇 ,  高献伟 ,  单纯 ,  牛泽群 ,  国文杰 ,  朱玉芬

IPC: G06F21/56

Abstract: 本发明提出了一种针对基于面向返回编程实现代码注入攻击的检测方法，能够实现对新型攻击手段高效和准确的自动化检测。本发明对关键环节进行监测分析，发现其隐藏的恶意攻击行为，关键环节为：恶意软件中实现恶意功能的代码片段可能分布在同一个进程地址空间的不同位置，或者分布在不同进程的地址空间中；这些程序片段之间通过地址调用方式实现执行流程的连接，由此形成一个完整的攻击过程；恶意软件会精心修改每一个程序片段的返回地址(即return地址)，实现对程序执行流程的控制；恶意软件为了隐蔽其初始程序片段，也会精心挑选一个可信进程，然后将其初始程序片段隐蔽存放到可信进程的共享地址空间中。

公开(公告)号：CN117009964A

公开(公告)日：2023-11-07

申请号：CN202310658149.8

申请日：2023-06-05

Applicant: 北京理工大学

Inventor： 薛静锋 ,  韩伟杰 ,  国文杰 ,  王勇 ,  牛泽群 ,  单纯 ,  熊达鹏 ,  朱玉芬

IPC: G06F21/56

Abstract: 本发明提出了一种基于自定义语义块识别恶意代码恶意意图并构建攻击链的方法与系统。本发明在系统分析攻击过程所包含各攻击阶段特点的基础上，自定义恶意代码恶意行为语义块来表征攻击过程中不同攻击阶段的主要行为，从恶意代码的API序列中提取行为语义块来分析恶意代码的真实恶意意图，并进一步地将恶意代码的恶意行为映射到网络攻击的不同攻击阶段，由此构建攻击行为背后的攻击链，复现攻击者的整个攻击过程，为总体研究攻击者和制定防护策略提供支撑。

公开(公告)号：CN115017503A

公开(公告)日：2022-09-06

申请号：CN202210387152.6

申请日：2022-04-13

Applicant: 北京理工大学 ,  中国人民解放军战略支援部队航天工程大学

Inventor： 韩伟杰 ,  薛静锋 ,  王勇 ,  高献伟 ,  单纯 ,  牛泽群 ,  国文杰 ,  朱玉芬

IPC: G06F21/56

Abstract: 本发明提出了一种针对基于面向返回编程实现代码注入攻击的检测方法，能够实现对新型攻击手段高效和准确的自动化检测。本发明对关键环节进行监测分析，发现其隐藏的恶意攻击行为，关键环节为：恶意软件中实现恶意功能的代码片段可能分布在同一个进程地址空间的不同位置，或者分布在不同进程的地址空间中；这些程序片段之间通过地址调用方式实现执行流程的连接，由此形成一个完整的攻击过程；恶意软件会精心修改每一个程序片段的返回地址(即return地址)，实现对程序执行流程的控制；恶意软件为了隐蔽其初始程序片段，也会精心挑选一个可信进程，然后将其初始程序片段隐蔽存放到可信进程的共享地址空间中。