[发明专利]一种恶意程序识别方法有效
| 申请号: | 201611167528.3 | 申请日: | 2016-12-16 |
| 公开(公告)号: | CN106650445B | 公开(公告)日: | 2019-05-28 |
| 发明(设计)人: | 熊家文;史建琦;黄滟鸿;李昂;方徽星;何积丰 | 申请(专利权)人: | 华东师范大学 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京辰权知识产权代理有限公司 11619 | 代理人: | 郎志涛 |
| 地址: | 200062 上*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种恶意程序识别方法,基于时态性质检测,该包括如下步骤:训练步骤,通过对样本程序进行自动的时态性质挖掘,并通过对比正常程序样本与恶意程序样本的性质,筛选出恶意程序所特有的部分,从而建立恶意程序性质数据库;识别步骤,在训练步骤得出的恶意程序性质数据库的基础上,对待识别的目标程序进行性质验证,根据目标程序是否具备恶意程序性质来判断目标程序是否为恶意程序。继而,又可以将运行过程中识别出来的程序作为样本进行进一步的性质挖掘,以更新扩充恶意程序性质数据库,从而自动地逐步增强的恶意程序识别能力。 | ||
| 搜索关键词: | 一种 恶意程序 识别 方法 | ||
【主权项】:
1.一种恶意程序识别方法,其特征在于:所述方法包括以下步骤:训练步骤,根据样本程序构建恶意程序性质数据库;识别步骤,采用模型检测方法对待识别程序进行性质验证,判断是否为恶意程序;所述训练步骤包括如下子步骤:(1)、从样本程序库中读取一个已知恶意与否的样本程序,采用IDAPro使用递归下降法对该样本程序的目标代码进行反汇编、库函数调用识别以及控制流图的生成;(2)、将样本程序的控制流图转换为迁移系统模型;(3)、在迁移系统模型上运行时态性质挖掘算法,以常见时态性质为模板,挖掘指令路径中存在的时态性质;(4)、根据所述样本程序是否为恶意程序,将挖掘到的时态性质分别存入正常程序时态性质数据库或恶意程序时态性质数据库;(5)、判断样本程序库中是否还有程序样本;若样本程序库中不再具备程序样本,则跳到下一步骤(6),否则回到步骤(1);(6)、对比正常程序性质数据库与恶意程序性质数据库中的性质,筛选出仅属于恶意程序数据的性质,更新恶意程序性质数据库;所述识别步骤包括如下子步骤:(1)、读取待识别程序,对待识别程序的目标代码进行反汇编、库函数调用识别以及控制流图的生成;(2)、将待识别程序的控制流图转换为迁移系统模型;(3)、使用时态逻辑模型检查器检查迁移系统模型中是否具有恶意程序性质数据库中的时态性质;(4)、判断迁移系统模型是否具备某项恶意程序性质;如果迁移系统模型具备某项恶意程序性质,就输出结果表示其具备恶意特征,否则,则认定为正常程序。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于华东师范大学,未经华东师范大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201611167528.3/,转载请声明来源钻瓜专利网。
- 上一篇:桌凳站脚(HM‑998)
- 下一篇:基于系统调用的恶意程序行为识别方法和系统
