-
公开(公告)号:CN115017503B
公开(公告)日:2024-12-10
申请号:CN202210387152.6
申请日:2022-04-13
Applicant: 北京理工大学 , 中国人民解放军战略支援部队航天工程大学
IPC: G06F21/56
Abstract: 本发明提出了一种针对基于面向返回编程实现代码注入攻击的检测方法,能够实现对新型攻击手段高效和准确的自动化检测。本发明对关键环节进行监测分析,发现其隐藏的恶意攻击行为,关键环节为:恶意软件中实现恶意功能的代码片段可能分布在同一个进程地址空间的不同位置,或者分布在不同进程的地址空间中;这些程序片段之间通过地址调用方式实现执行流程的连接,由此形成一个完整的攻击过程;恶意软件会精心修改每一个程序片段的返回地址(即return地址),实现对程序执行流程的控制;恶意软件为了隐蔽其初始程序片段,也会精心挑选一个可信进程,然后将其初始程序片段隐蔽存放到可信进程的共享地址空间中。
-
公开(公告)号:CN111552970B
公开(公告)日:2022-07-01
申请号:CN202010360371.6
申请日:2020-04-30
Applicant: 北京理工大学 , 中国人民解放军战略支援部队航天工程大学
IPC: G06F21/56
Abstract: 本发明公开了一种基于三位一体综合画像的恶意代码检测及恶意性定位方法。使用本发明能够实现恶意代码的恶意性评估,并对代码恶意性部位实现准确定位。本发明在融合静态分析和动态分析方法的基础上,综合提取恶意代码的多方面主要特征,引入系统画像的思想,从基本结构、底层行为和高层行为等三个方面构建起“三位一体”的综合画像,建立能够系统准确刻画恶意代码的特征空间,实现对恶意代码的准确检测和家族分类。在此基础上,基于检测结果对三个画像部位的恶意性进行评估,由此实现对代码恶意性部位的准确定位,辅助研究人员建立起关于恶意代码的系统认知。
-
公开(公告)号:CN109543410B
公开(公告)日:2021-05-07
申请号:CN201811385352.8
申请日:2018-11-20
Applicant: 北京理工大学 , 中国人民解放军战略支援部队航天工程大学
IPC: G06F21/56
Abstract: 本发明公开了一种基于语义映射关联融合的恶意代码检测方法,基于恶意代码的动态和静态API序列之间的语义映射关系,将恶意代码样本转化为基于API的特征向量样本,基于得到的恶意代码样本特征向量训练机器学习分类器,实现了恶意代码的检测。本发明通过定义代码行为类型,将代码的静态和动态API序列转换为由行为类型划分的语义块序列,通过语义块之间的映射实现静态和动态API序列的关联和融合,生成了更为丰富特征向量空间,实现了对恶意代码更为系统全面的描绘,有效提升了意代码检测准确率;通过将语义块之间的路径长度作为语义块的权重,可以准确地反映该语义路径的重要程度,从而提高特征向量空间的精确度。
-
公开(公告)号:CN112115465A
公开(公告)日:2020-12-22
申请号:CN202010826647.5
申请日:2020-08-17
Applicant: 北京理工大学 , 中国人民解放军战略支援部队航天工程大学
Abstract: 本发明公开了恶意代码典型攻击行为检测方法及系统,属于网络安全技术领域,能够实现对恶意代码典型恶意行为攻击过程的全面表征。本发明的技术方案为:在沙箱环境中运行恶意代码,从生成的动态分析报告中提取动态系统调用API序列以及原始本体知识序列。针对每个API均计算分类贡献度,并按照分类贡献度从大到小进行排序,得到恶意性排序序列。顺次选取API作为搜索起点,在原始本体知识序列中找到搜索起点所处的位置A,在原始本体知识序列中,从位置A开始,分别进行前向遍历搜索和后向遍历搜索,提取出与搜索起点同属于一个行为类型的API对应本体知识元组,组成本体知识串。以本体知识串所代表的恶意代码典型攻击行为作为检测结果。
-
公开(公告)号:CN106972968B
公开(公告)日:2020-04-24
申请号:CN201710197496.X
申请日:2017-03-29
Applicant: 北京理工大学
Abstract: 本发明公开了一种基于交叉熵结合马氏距离的网络异常流量检测方法,从交叉熵的角度来映射网络流量变化程度,并通过马氏距离计算将这种变化程度从多维度的属性空间转换到一维度上的单值空间中,实现网络异常流量检测。本发明定义网络会话七元组数据,通过采集{SIP,SPORT,DIP,DPORT,IN,OUT,VEL}数据,相对于传统网络五元组数据统计更加准确,实现可靠的网络流量异常检测。本发明通过将一组数据分为前后两部分,计算前半部分与后半部分的交叉熵,对网络会话多元组的分布变化描述更为准确,结合马氏距离后实现有效的网络流量异常检测。
-
Patent Agency Ranking
公开(公告)号:CN108021810A
公开(公告)日:2018-05-11
申请号:CN201711279055.0
申请日:2017-12-06
Applicant: 北京理工大学 , 中国人民解放军战略支援部队航天工程大学
IPC: G06F21/56
Abstract: 本发明公开了一种海量恶意代码高效检测方法,能够实现对海量恶意代码的高效率的检测。该检测方法针对汇编程序样本进行恶意代码检测,该方法采用多核计算资源并行执行汇编程序样本识别步骤,汇编程序样本识别步骤具体为:提取汇编程序切片,汇编程序切片为汇编程序样本中对指定变量产生影响的语句或表达式。基于预设的汇编程序切片类型,统计汇编程序样本中所提取的每种类型汇编程序切片出现的次数,作为汇编程序样本的特征向量。针对汇编程序样本的特征向量,预先训练获得分类器,采用分类器进行恶意代码识别。
-
公开(公告)号:CN106972968A
公开(公告)日:2017-07-21
申请号:CN201710197496.X
申请日:2017-03-29
Applicant: 北京理工大学
Abstract: 本发明公开了一种基于交叉熵结合马氏距离的网络异常流量检测方法,从交叉熵的角度来映射网络流量变化程度,并通过马氏距离计算将这种变化程度从多维度的属性空间转换到一维度上的单值空间中,实现网络异常流量检测。本发明定义网络会话七元组数据,通过采集{SIP,SPORT,DIP,DPORT,IN,OUT,VEL}数据,相对于传统网络五元组数据统计更加准确,实现可靠的网络流量异常检测。本发明通过将一组数据分为前后两部分,计算前半部分与后半部分的交叉熵,对网络会话多元组的分布变化描述更为准确,结合马氏距离后实现有效的网络流量异常检测。
-
公开(公告)号:CN117009964A
公开(公告)日:2023-11-07
申请号:CN202310658149.8
申请日:2023-06-05
Applicant: 北京理工大学
IPC: G06F21/56
Abstract: 本发明提出了一种基于自定义语义块识别恶意代码恶意意图并构建攻击链的方法与系统。本发明在系统分析攻击过程所包含各攻击阶段特点的基础上,自定义恶意代码恶意行为语义块来表征攻击过程中不同攻击阶段的主要行为,从恶意代码的API序列中提取行为语义块来分析恶意代码的真实恶意意图,并进一步地将恶意代码的恶意行为映射到网络攻击的不同攻击阶段,由此构建攻击行为背后的攻击链,复现攻击者的整个攻击过程,为总体研究攻击者和制定防护策略提供支撑。
-
公开(公告)号:CN112598366B
公开(公告)日:2023-02-28
申请号:CN202011359678.0
申请日:2020-11-27
Applicant: 北京理工大学 , 中国人民解放军战略支援部队航天工程大学
IPC: G06F17/00
Abstract: 本发明提供一种资产管理审批流程自动化规划方法及装置,所述方法包括:提取资产管理审批流程的过程属性信息,确定审批流类型集合以及审批流状态集合;计算各个类型的审批流的复杂度;从数据库中获取机关业务员承担的审批任务负载情况,并对机关业务员承担的审批任务负载情况进行动态监测;基于对机关业务员承担的审批任务负载情况的动态监测结果,对机关业务员的负载情况进行排序;动态分配新的审批任务;分配新的审批任务后,获取该新的审批任务的执行结果,更新与该新的审批任务对应的审批流类型的审批流的复杂度。根据本发明的方案,能够合理分配任务,总体掌握当前所有审批流程的状态,无法提高资产审批效率的问题。
-
公开(公告)号:CN115017503A
公开(公告)日:2022-09-06
申请号:CN202210387152.6
申请日:2022-04-13
Applicant: 北京理工大学 , 中国人民解放军战略支援部队航天工程大学
IPC: G06F21/56
Abstract: 本发明提出了一种针对基于面向返回编程实现代码注入攻击的检测方法,能够实现对新型攻击手段高效和准确的自动化检测。本发明对关键环节进行监测分析,发现其隐藏的恶意攻击行为,关键环节为:恶意软件中实现恶意功能的代码片段可能分布在同一个进程地址空间的不同位置,或者分布在不同进程的地址空间中;这些程序片段之间通过地址调用方式实现执行流程的连接,由此形成一个完整的攻击过程;恶意软件会精心修改每一个程序片段的返回地址(即return地址),实现对程序执行流程的控制;恶意软件为了隐蔽其初始程序片段,也会精心挑选一个可信进程,然后将其初始程序片段隐蔽存放到可信进程的共享地址空间中。
-
-
-
-
-
-
-
-
-
Search Results
16
records
(took 0.019 seconds)
