公开(公告)号：CN105760762B

公开(公告)日：2018-05-22

申请号：CN201610134408.7

申请日：2016-03-10

Applicant: 华中科技大学

Inventor： 刘政林 ,  裴根 ,  鲁赵骏 ,  刘文超 ,  童乔凌 ,  邹雪城

IPC: G06F21/56

Abstract: 本发明公开了一种嵌入式处理器的未知恶意代码检测方法，包括创建嵌入式系统自体集、生成检测器集、检测未知恶意代码的步骤；在处理器指令级对系统内正常程序的指令序列信息进行采集编码生成二进制串集合作为自体集，随机生成二进制串作为候选检测器，并将其与自体集中的元素进行否定选择生成检测器集；利用检测器集里的二进制串与从指令级收集到的待检测代码的行为信息二进制串进行匹配；采用双阈值的海民规则进行自体集的二进制串、检测器二进制串以及待检测二进制串之间的模糊匹配，以提高对未知恶意代码的检测率，降低检测系统的资源消耗；本发明中的自体集与检测器集均采用CAM字内存可寻址存储器存储，以提高查找匹配效率，提高检测器的生成效率。

公开(公告)号：CN105760762A

公开(公告)日：2016-07-13

申请号：CN201610134408.7

申请日：2016-03-10

Applicant: 华中科技大学

Inventor： 刘政林 ,  裴根 ,  鲁赵骏 ,  刘文超 ,  童乔凌 ,  邹雪城

IPC: G06F21/56

Abstract: 本发明公开了一种嵌入式处理器的未知恶意代码检测方法，包括创建嵌入式系统自体集、生成检测器集、检测未知恶意代码的步骤；在处理器指令级对系统内正常程序的指令序列信息进行采集编码生成二进制串集合作为自体集，随机生成二进制串作为候选检测器，并将其与自体集中的元素进行否定选择生成检测器集；利用检测器集里的二进制串与从指令级收集到的待检测代码的行为信息二进制串进行匹配；采用双阈值的海民规则进行自体集的二进制串、检测器二进制串以及待检测二进制串之间的模糊匹配，以提高对未知恶意代码的检测率，降低检测系统的资源消耗；本发明中的自体集与检测器集均采用CAM字内存可寻址存储器存储，以提高查找匹配效率，提高检测器的生成效率。