[发明专利]一种提取函数调用序列特征识别恶意软件自主传播的方法无效
| 申请号: | 201110436950.5 | 申请日: | 2011-12-23 |
| 公开(公告)号: | CN102592078A | 公开(公告)日: | 2012-07-18 |
| 发明(设计)人: | 张博锋;吴逸伦;赖志权;乔林波;王勇军;唐勇 | 申请(专利权)人: | 中国人民解放军国防科学技术大学 |
| 主分类号: | G06F21/00 | 分类号: | G06F21/00;G06F11/30 |
| 代理公司: | 湖南省国防科技工业局专利中心 43102 | 代理人: | 冯青 |
| 地址: | 410073 湖南省长*** | 国省代码: | 湖南;43 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种提取函数调用序列特征识别恶意软件自主传播的方法。其步骤包括1)隔离环境及网络环境的设置;2)恶意软件及其副本的识别;3)利用动态污点分析对恶意软件及其副本进行污点分析,识别自主传播。本发明通过动态分析对恶意软件的执行过程进行监控,利用恶意软件的函数调用行为明确恶意软件的自我复制行为。在动态分析中,对发送缓冲区中的数据进行动态污点分析,通过动态污点分析,明确恶意软件是否存在自主传播的过程。 | ||
| 搜索关键词: | 一种 提取 函数 调用 序列 特征 识别 恶意 软件 自主 传播 方法 | ||
【主权项】:
一种提取函数调用序列特征识别恶意软件自主传播的方法,其特征在于,该方法包括以下步骤:第一步,设置隔离分析环境;(1)选择安全、可靠的虚拟环境作为隔离环境,保证恶意软件不会对分析环境造成破坏;同时,利用基于硬件层模拟的虚拟环境,使得恶意软件无法识别自身所处环境,从而诱导恶意软件的具体行为;(2)在隔离环境中搭载虚拟操作系统,利用虚拟机监视器对虚拟操作系统中执行的恶意软件的行为进行提取;(3)建立同虚拟操作系统进行数据交互的网络环境,保证交互双方的网络通信正常,根据恶意软件的基础类型,在隔离环境和网络环境中进行配置用于触发恶意软件的网络行为,确保恶意软件能够通过该网络叫自身传播出去;第二步,对恶意软件及其副本进行识别;(1)利用动态分析,对虚拟操作系统中的恶意软件进行监控,对其函数调用行为进行提取和分析;(2)利用提取的恶意软件函数调用行为序列,分析恶意软件的自我复制行为,明确自我复制的识别机制;(3)通过识别过程获取恶意软件的副本文件,并将所有的副本文件存储起来,用于动态污点分析;第三步,利用动态污点分析对恶意软件及其副本进行污点分析;(1)污点源设置:将所有恶意软件及其副本的可执行文件所在内存区域设置为污点源,利用动态污点分析观察这些污点数据在内存中的流向;(2)检查发送缓冲区:恶意软件调用send()函数将消息发送至指定地址,当恶意软件调用该函数时,利用动态监控机制可以发现恶意软件这一行为,对发送缓冲区的每一个字节进行污点检查,若有字节被污染,则根据污点标识发现对应的污点源,判断污点源就是恶意软件的可执行文件,通过判断污点源,可以得到发送缓冲区的字节是否来源于恶意软件的可执行文件。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国人民解放军国防科学技术大学,未经中国人民解放军国防科学技术大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201110436950.5/,转载请声明来源钻瓜专利网。
- 上一篇:钢球大小检测装置
- 下一篇:一种高压富氧环境中的自燃点测试装置
