公开(公告)号：CN106650446A

公开(公告)日：2017-05-10

申请号：CN201611221989.4

申请日：2016-12-26

Applicant: 北京邮电大学 ,  中国信息安全测评中心

Inventor： 崔宝江 ,  王崇 ,  董国伟 ,  邵帅

IPC: G06F21/56

CPC classification number: G06F21/566

Abstract: 本发明提供了基于系统调用的恶意程序行为识别方法和系统，涉及软件行为识别分析技术领域，包括获取特征样本，对特征样本进行预处理，得到系统调用信息；将系统调用信息进行分类，构建三元组模型；将三元组模型中的元素进行量化，根据量化的元素得到系统调用的相似度，并根据系统调用的相似度得到系统调用序列的相似度；将特征样本进行挖掘聚类，得到挖掘结果，将挖掘结果与检测结果进行比对，得到比对概率，根据比对概率确定特征样本的安全状态。本发明使用二进制工具分析程序行为，并从多个维度提取程序特征，提高系统的准确率和效率，大大降低系统的安全风险。

公开(公告)号：CN106599692A

公开(公告)日：2017-04-26

申请号：CN201611216720.7

申请日：2016-12-23

Applicant: 北京邮电大学

Inventor： 崔宝江 ,  王崇 ,  杨俊

IPC: G06F21/56

CPC classification number: G06F21/563

Abstract: 本发明提供了基于汇编指令序列相似度的程序行为识别方法和系统，涉及软件行为识别分析技术领域，包括：获取目标程序中的汇编指令序列；根据汇编指令序列中的汇编指令，建立六元组模型；根据六元组模型得到汇编指令序列的相似度；分别从时间复杂度和空间复杂度上对汇编指令序列的相似度进行优化，将优化的汇编指令序列的相似度和关键常量构建识别模型，并采用机器学习算法对目标程序进行识别。本发明从汇编指令级别出发，全面地获取底层的程序行为信息，在有效去除混淆干扰行为的基础上，提高软件行为识别的准确率。