CN108182364B - 一种基于调用依赖关系识别攻击同源的方法及*** - Google Patents

一种基于调用依赖关系识别攻击同源的方法及*** Download PDF

Info

Publication number
CN108182364B
CN108182364B CN201711479169.XA CN201711479169A CN108182364B CN 108182364 B CN108182364 B CN 108182364B CN 201711479169 A CN201711479169 A CN 201711479169A CN 108182364 B CN108182364 B CN 108182364B
Authority
CN
China
Prior art keywords
malicious code
dependency relationship
malicious
analyzing
call
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711479169.XA
Other languages
English (en)
Other versions
CN108182364A (zh
Inventor
童志明
黄磊
何公道
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Antiy Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Antiy Technology Group Co Ltd filed Critical Antiy Technology Group Co Ltd
Priority to CN201711479169.XA priority Critical patent/CN108182364B/zh
Publication of CN108182364A publication Critical patent/CN108182364A/zh
Application granted granted Critical
Publication of CN108182364B publication Critical patent/CN108182364B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出了一种基于调用依赖关系识别攻击同源的方法及***,所述方法包括:建立调用依赖关系特征库;分析未知攻击组织的恶意代码;提取未知攻击组织的恶意代码的调用依赖关系;将提取的调用依赖关系与调用依赖关系特征库进行关联分析;获取关联分析结果,并进行解析,获取与未知攻击组织的恶意代码具有依赖调用关系的已知攻击组织的恶意代码,则所述未知攻击组织的恶意代码与已知攻击组织的恶意代码同源。通过本发明的方法,能够通过恶意代码之间的调用关系进行同源分析,对于无网络行为的恶意代码同样具有识别能力。

Description

一种基于调用依赖关系识别攻击同源的方法及***
技术领域
本发明涉及网络安全技术领域,特别涉及一种基于调用依赖关系识别攻击同源的方法及***。
背景技术
当前网络攻击并非简单独立文件(如蠕虫、木马等),而是利用多部件组合、体系化的攻击。现有的攻击者同源判定的依据主要是根据不同恶意代码网络行为中所使用的基础设施是否为同一攻击者所有,如不同恶意代码的传播源IP、域名相同,则这两类恶意代码可能来自同一攻击者。但对于没有网络行为的恶意代码,通过现有的方法是无法对攻击者进行同源判定。
发明内容
基于上述问题,本发明提出一种基于调用依赖关系识别攻击同源的方法及***,能够识别无网络行为且无法确认网络行为的恶意代码的同源性,快速对离散的恶意代码进行攻击者同源判定。
本发明通过如下方法实现:
一种基于调用依赖关系识别攻击同源的方法,包括:
建立调用依赖关系特征库;
分析未知攻击组织的恶意代码;
提取未知攻击组织的恶意代码的调用依赖关系;
将提取的调用依赖关系与调用依赖关系特征库进行关联分析;
获取关联分析结果,并进行解析,获取与未知攻击组织的恶意代码具有依赖调用关系的已知攻击组织的恶意代码,若所述已知攻击组织的恶意代码调用了所述未知攻击组织的恶意代码,则所述未知攻击组织的恶意代码与已知攻击组织的恶意代码同源;
所述调用依赖关系包括:API调用依赖、下载调用依赖、进程调用依赖及加载调用依赖。
所述的方法中,所述建立调用依赖关系特征库具体为:
分析已知攻击组织的恶意代码;
提取恶意代码的调用依赖关系,包括:
提取API调用依赖关系:对恶意代码结构的导出导入表进行解析,提取非***API函数名称列表;
提取下载调用依赖关系:对恶意代码下载操作函数进行解析,提取恶意代码下载的文件名称列表;
提取进程调用依赖关系:对恶意代码的进程操作函数进行解析,提取恶意代码操作进程时调用的文件名称列表;
提取加载调用依赖关系:对恶意代码加载操作函数进行解析,提取恶意代码加载第三方模块的模块名称列表;
将上述提取的调用依赖关系存储在调用依赖关系特征库中;所述调用依赖关系特征库中还包括:攻击组织信息。因此所述调用依赖关系特征库中包括:攻击组织信息、恶意代码调用的导出、导入函数名列表、下载的文件名称列表、操作进程调用的文件名列表及加载的模块名称列表。
所述的方法中,所述分析已知攻击组织的恶意代码,具体为:
对已知攻击组织的恶意代码进行静态分析,按照恶意代码结构进行内容遍历,解析出恶意代码的所有可用结构或字段的信息。
所述的方法中,分析未知攻击组织的恶意代码,具体为:
对未知攻击组织的恶意代码进行静态分析,按照恶意代码结构进行内容遍历,解析出恶意代码的所有可用结构或字段的信息。
本发明还提出一种基于调用依赖关系识别攻击同源的***,包括:
特征库模块,建立调用依赖关系特征库;
分析模块,分析未知攻击组织的恶意代码;
提取模块,提取未知攻击组织的恶意代码的调用依赖关系;
关联分析模块,将提取的调用依赖关系与调用依赖关系特征库进行关联分析;
解析模块,获取关联分析结果,并进行解析,获取与未知攻击组织的恶意代码具有依赖调用关系的已知攻击组织的恶意代码,若所述已知攻击组织的恶意代码调用了所述未知攻击组织的恶意代码,则所述未知攻击组织的恶意代码与已知攻击组织的恶意代码同源;所述调用依赖关系包括:API调用依赖、下载调用依赖、进程调用依赖及加载调用依赖。
所述的***中,所述建立调用依赖关系特征库具体为:
分析已知攻击组织的恶意代码;
提取恶意代码的调用依赖关系,包括:
提取API调用依赖关系:对恶意代码结构的导出导入表进行解析,提取非***API函数名称列表;
提取下载调用依赖关系:对恶意代码下载操作函数进行解析,提取恶意代码下载的文件名称列表;
提取进程调用依赖关系:对恶意代码的进程操作函数进行解析,提取恶意代码操作进程时调用的文件名称列表;
提取加载调用依赖关系:对恶意代码加载操作函数进行解析,提取恶意代码加载第三方模块的模块名称列表;
将上述提取的调用依赖关系存储在调用依赖关系特征库中;所述调用依赖关系特征库中还包括:攻击组织信息。因此所述调用依赖关系特征库中包括:攻击组织信息、恶意代码调用的导出、导入函数名列表、下载的文件名称列表、操作进程调用的文件名列表及加载的模块名称列表。
所述的***中,所述分析已知攻击组织的恶意代码,具体为:
对已知攻击组织的恶意代码进行静态分析,按照恶意代码结构进行内容遍历,解析出恶意代码的所有可用结构或字段的信息。
所述的***中,分析未知攻击组织的恶意代码,具体为:
对未知攻击组织的恶意代码进行静态分析,按照恶意代码结构进行内容遍历,解析出恶意代码的所有可用结构或字段的信息。
一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的任一基于调用依赖关系识别攻击同源的方法。
对于没有网络行为、且无法确认网络行为的恶意代码是无法通过网络行为中所使用的基础设施(IP、域名等)是否为同一攻击者所有来判定攻击者同源性。但这些恶意代码在代码结构层面存在依赖调用关系。本发明方法通过对恶意代码之间的调用依赖关系进行分析判定。通过构建攻击者所使用的恶意代码的调用依赖关系建立特征库,来快速对攻击者未知的离散的恶意代码进行调用依赖关系分析,自动关联离散恶意代码的攻击者。利用恶意代码之间的依赖调用关系来判别攻击者的同源性。如某个攻击者未知的恶意代码的导出函数被某个已确认组织的恶意代码所调用,则可判定二者具有攻击组织同源性。
本发明优势在于:无需动态虚拟执行恶意代码,仅通过静态深入分析恶意代码,提取调用依赖关系即可进行攻击组织同源判定;通过建立海量调用依赖关系特征库,可自动化关联离散样本,快速准确判定攻击组织,为人工分析节省劳力和时间成本。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于调用依赖关系识别攻击同源的方法实施例流程图;
图2为本发明一种基于调用依赖关系识别攻击同源的方法中调用依赖关系特征库建立方法流程图;
图3为本发明一种基于调用依赖关系识别攻击同源的***结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
一种基于调用依赖关系识别攻击同源的方法,如图1所示,包括:
S101:建立调用依赖关系特征库;
S102:分析未知攻击组织的恶意代码;
S103:提取未知攻击组织的恶意代码的调用依赖关系,包括但不限于API调用依赖、下载调用依赖、进程调用依赖及加载调用依赖;
S104:将提取的调用依赖关系与调用依赖关系特征库进行关联分析;
S105:获取关联分析结果,并进行解析:获取与未知攻击组织的恶意代码具有依赖调用关系的已知攻击组织的恶意代码,则所述未知攻击组织的恶意代码与已知攻击组织的恶意代码同源。如两个程序之间存在相互调用依赖关系,比如程序A调用程序B,则A和B具有调用依赖关系,即可判定A与B来自于同一个攻击组织,具有攻击组织同源性。
所述的方法中,所述调用依赖关系包括:API调用依赖,即调用的导出导入函数名列表;下载调用依赖,即下载的文件名称;进程调用依赖,即操作进程对应的文件名称;加载调用依赖,及加载的模块名称。
所述的方法中,所述建立调用依赖关系特征库,如图2所示,具体为:
S201:分析已知攻击组织的恶意代码;
S202:提取恶意代码的调用依赖关系,包括:
S203:提取API调用依赖关系:对恶意代码结构的导出导入表进行解析,提取非***API函数名称列表;
S204:提取下载调用依赖关系:对恶意代码下载操作函数进行解析,提取恶意代码下载的文件名称列表;
S205:提取进程调用依赖关系:对恶意代码的进程操作函数进行解析,提取恶意代码操作进程时调用的文件名称列表;
S206:提取加载调用依赖关系:对恶意代码加载操作函数进行解析,提取恶意代码加载第三方模块的模块名称列表;
S207:将上述提取的调用依赖关系存储在调用依赖关系特征库中;所述调用依赖关系特征库中还包括:攻击组织信息。
因此所述调用依赖关系特征库中包括:攻击组织信息、恶意代码调用的导出、导入函数名列表、下载的文件名称列表、操作进程调用的文件名列表及加载的模块名称列表等一切调用依赖关系的列表。
所述的方法中,所述分析已知攻击组织的恶意代码,具体为:
对已知攻击组织的恶意代码进行静态分析,按照恶意代码结构进行内容遍历,解析出恶意代码的所有可用结构或字段的信息。
所述的方法中,分析未知攻击组织的恶意代码,具体为:
对未知攻击组织的恶意代码进行静态分析,按照恶意代码结构进行内容遍历,解析出恶意代码的所有可用结构或字段的信息。
以API调用依赖关系判定攻击者同源性为例:假设已知恶意代码1,2都使用了文件4导出的函数d009,而未知恶意代码3也是使用了文件4的导出函数d009,所以文件1,2,3与4具有相互依赖调用关系,说明1,2,3来自同一攻击者,具有攻击者同源性。以上只是列举了利用API调用依赖判定攻击者同源性的示例,对于下载调用依赖、进程调用依赖、加载调用依赖均可以用来判定攻击者同源性。
本发明通过对已知攻击者的恶意代码进行深度分析,建立海量的恶意代码调用依赖关系特征库,对攻击者未知的离散样本提取调用依赖关系列表,然后在恶意代码调用依赖关系特征库进行关联分析,最后确定离散恶意代码的攻击者。
本发明还提出一种基于调用依赖关系识别攻击同源的***,如图3所示,包括:
特征库模块301,建立调用依赖关系特征库;
分析模块302,分析未知攻击组织的恶意代码;
提取模块303,提取未知攻击组织的恶意代码的调用依赖关系;
关联分析模块304,将提取的调用依赖关系与调用依赖关系特征库进行关联分析;
解析模块305,获取关联分析结果,并进行解析,获取与未知攻击组织的恶意代码具有依赖调用关系的已知攻击组织的恶意代码,则所述未知攻击组织的恶意代码与已知攻击组织的恶意代码同源。
所述的***中,所述调用依赖关系包括:API调用依赖、下载调用依赖、进程调用依赖及加载调用依赖。
所述的***中,所述建立调用依赖关系特征库具体为:
分析已知攻击组织的恶意代码;
提取恶意代码的调用依赖关系,包括:
提取API调用依赖关系:对恶意代码结构的导出导入表进行解析,提取非***API函数名称列表;
提取下载调用依赖关系:对恶意代码下载操作函数进行解析,提取恶意代码下载的文件名称列表;
提取进程调用依赖关系:对恶意代码的进程操作函数进行解析,提取恶意代码操作进程时调用的文件名称列表;
提取加载调用依赖关系:对恶意代码加载操作函数进行解析,提取恶意代码加载第三方模块的模块名称列表;
将上述提取的调用依赖关系存储在调用依赖关系特征库中;所述调用依赖关系特征库中还包括:攻击组织信息。因此所述的***中,所述调用依赖关系特征库中包括:攻击组织信息、恶意代码调用的导出、导入函数名列表、下载的文件名称列表、操作进程调用的文件名列表及加载的模块名称列表。
所述的***中,所述分析已知攻击组织的恶意代码,具体为:
对已知攻击组织的恶意代码进行静态分析,按照恶意代码结构进行内容遍历,解析出恶意代码的所有可用结构或字段的信息。
所述的***中,分析未知攻击组织的恶意代码,具体为:
对未知攻击组织的恶意代码进行静态分析,按照恶意代码结构进行内容遍历,解析出恶意代码的所有可用结构或字段的信息。
一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的任一基于调用依赖关系识别攻击同源的方法。
对于没有网络行为、且无法确认网络行为的恶意代码是无法通过网络行为中所使用的基础设施(IP、域名等)是否为同一攻击者所有来判定攻击者同源性。但这些恶意代码在代码结构层面存在依赖调用关系。本发明方法通过对恶意代码之间的调用依赖关系进行分析判定。通过构建攻击者所使用的恶意代码的调用依赖关系建立特征库,来快速对攻击者未知的离散的恶意代码进行调用依赖关系分析,自动关联离散恶意代码的攻击者。利用恶意代码之间的依赖调用关系来判别攻击者的同源性。如某个攻击者未知的恶意代码的导出函数被某个已确认组织的恶意代码所调用,则可判定二者具有攻击组织同源性。
本发明优势在于:无需动态虚拟执行恶意代码,仅通过静态深入分析恶意代码,提取调用依赖关系即可进行攻击组织同源判定;通过建立海量调用依赖关系特征库,可自动化关联离散样本,快速准确判定攻击组织,为人工分析节省劳力和时间成本。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (9)

1.一种基于调用依赖关系识别攻击同源的方法,其特征在于,包括:
建立调用依赖关系特征库;
分析未知攻击组织的恶意代码;
提取未知攻击组织的恶意代码的调用依赖关系;
将提取的调用依赖关系与调用依赖关系特征库进行关联分析;
获取关联分析结果,并进行解析,获取与未知攻击组织的恶意代码具有依赖调用关系的已知攻击组织的恶意代码,若所述已知攻击组织的恶意代码调用了所述未知攻击组织的恶意代码,则所述未知攻击组织的恶意代码与已知攻击组织的恶意代码同源;
所述调用依赖关系包括:API调用依赖、下载调用依赖、进程调用依赖及加载调用依赖。
2.如权利要求1所述的方法,其特征在于,所述建立调用依赖关系特征库具体为:
分析已知攻击组织的恶意代码;
提取恶意代码的调用依赖关系,包括:
提取API调用依赖关系:对恶意代码结构的导出导入表进行解析,提取非***API函数名称列表;
提取下载调用依赖关系:对恶意代码下载操作函数进行解析,提取恶意代码下载的文件名称列表;
提取进程调用依赖关系:对恶意代码的进程操作函数进行解析,提取恶意代码操作进程时调用的文件名称列表;
提取加载调用依赖关系:对恶意代码加载操作函数进行解析,提取恶意代码加载第三方模块的模块名称列表;
将上述提取的调用依赖关系存储在调用依赖关系特征库中;所述调用依赖关系特征库中还包括:攻击组织信息。
3.如权利要求2所述的方法,其特征在于,所述分析已知攻击组织的恶意代码,具体为:
对已知攻击组织的恶意代码进行静态分析,按照恶意代码结构进行内容遍历,解析出恶意代码的所有可用结构或字段的信息。
4.如权利要求1所述的方法,其特征在于,分析未知攻击组织的恶意代码,具体为:
对未知攻击组织的恶意代码进行静态分析,按照恶意代码结构进行内容遍历,解析出恶意代码的所有可用结构或字段的信息。
5.一种基于调用依赖关系识别攻击同源的***,其特征在于,包括:
特征库模块,建立调用依赖关系特征库;
分析模块,分析未知攻击组织的恶意代码;
提取模块,提取未知攻击组织的恶意代码的调用依赖关系;
关联分析模块,将提取的调用依赖关系与调用依赖关系特征库进行关联分析;
解析模块,获取关联分析结果,并进行解析,获取与未知攻击组织的恶意代码具有依赖调用关系的已知攻击组织的恶意代码,若所述已知攻击组织的恶意代码调用了所述未知攻击组织的恶意代码,则所述未知攻击组织的恶意代码与已知攻击组织的恶意代码同源;
所述调用依赖关系包括:API调用依赖、下载调用依赖、进程调用依赖及加载调用依赖。
6.如权利要求5所述的***,其特征在于,所述建立调用依赖关系特征库具体为:
分析已知攻击组织的恶意代码;
提取恶意代码的调用依赖关系,包括:
提取API调用依赖关系:对恶意代码结构的导出导入表进行解析,提取非***API函数名称列表;
提取下载调用依赖关系:对恶意代码下载操作函数进行解析,提取恶意代码下载的文件名称列表;
提取进程调用依赖关系:对恶意代码的进程操作函数进行解析,提取恶意代码操作进程时调用的文件名称列表;
提取加载调用依赖关系:对恶意代码加载操作函数进行解析,提取恶意代码加载第三方模块的模块名称列表;
将上述提取的调用依赖关系存储在调用依赖关系特征库中;所述调用依赖关系特征库中还包括:攻击组织信息。
7.如权利要求6所述的***,其特征在于,所述分析已知攻击组织的恶意代码,具体为:
对已知攻击组织的恶意代码进行静态分析,按照恶意代码结构进行内容遍历,解析出恶意代码的所有可用结构或字段的信息。
8.如权利要求5所述的***,其特征在于,分析未知攻击组织的恶意代码,具体为:
对未知攻击组织的恶意代码进行静态分析,按照恶意代码结构进行内容遍历,解析出恶意代码的所有可用结构或字段的信息。
9.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4所述的任一基于调用依赖关系识别攻击同源的方法。
CN201711479169.XA 2017-12-29 2017-12-29 一种基于调用依赖关系识别攻击同源的方法及*** Active CN108182364B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711479169.XA CN108182364B (zh) 2017-12-29 2017-12-29 一种基于调用依赖关系识别攻击同源的方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711479169.XA CN108182364B (zh) 2017-12-29 2017-12-29 一种基于调用依赖关系识别攻击同源的方法及***

Publications (2)

Publication Number Publication Date
CN108182364A CN108182364A (zh) 2018-06-19
CN108182364B true CN108182364B (zh) 2022-07-15

Family

ID=62549029

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711479169.XA Active CN108182364B (zh) 2017-12-29 2017-12-29 一种基于调用依赖关系识别攻击同源的方法及***

Country Status (1)

Country Link
CN (1) CN108182364B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109241742B (zh) * 2018-10-23 2021-03-30 北斗智谷(北京)安全技术有限公司 一种恶意程序的识别方法及电子设备
CN110765457A (zh) * 2018-12-24 2020-02-07 哈尔滨安天科技集团股份有限公司 一种基于程序逻辑识别同源攻击的方法、装置及存储设备
CN111753330B (zh) * 2020-06-18 2023-08-29 百度在线网络技术(北京)有限公司 数据泄露主体的确定方法、装置、设备和可读存储介质
CN112333196B (zh) * 2020-11-10 2023-04-04 恒安嘉新(北京)科技股份公司 一种攻击事件溯源方法、装置、电子设备和存储介质
CN114662111B (zh) * 2022-05-18 2022-08-09 成都数默科技有限公司 一种恶意代码软件基因同源性分析方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101140611A (zh) * 2007-09-18 2008-03-12 北京大学 一种恶意代码自动识别方法
CN104866765A (zh) * 2015-06-03 2015-08-26 康绯 基于行为特征相似性的恶意代码同源性分析方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9367680B2 (en) * 2008-10-21 2016-06-14 Lookout, Inc. System and method for mobile communication device application advisement

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101140611A (zh) * 2007-09-18 2008-03-12 北京大学 一种恶意代码自动识别方法
CN104866765A (zh) * 2015-06-03 2015-08-26 康绯 基于行为特征相似性的恶意代码同源性分析方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种基于语义的恶意行为分析方法;李佳静等;《北京大学学报(自然科学版)》;20080731;第44卷(第4期);第537-542页 *

Also Published As

Publication number Publication date
CN108182364A (zh) 2018-06-19

Similar Documents

Publication Publication Date Title
CN108182364B (zh) 一种基于调用依赖关系识别攻击同源的方法及***
US9614863B2 (en) System and method for analyzing mobile cyber incident
US10102372B2 (en) Behavior profiling for malware detection
KR101402057B1 (ko) 위험도 계산을 통한 리패키지 애플리케이션의 분석시스템 및 분석방법
RU2573265C2 (ru) Способ выявления ложных положительных результатов сканирования файлов на вредоносное по
JP5654944B2 (ja) アプリケーション解析装置およびプログラム
EP2595423A1 (en) Application security evaluation system and method
CN111447215A (zh) 数据检测方法、装置和存储介质
US12026256B2 (en) Context-based analysis of applications
US20100146590A1 (en) System and method for security using one-time execution code
CN108182363B (zh) 嵌入式office文档的检测方法、***及存储介质
CN103793649A (zh) 通过云安全扫描文件的方法和装置
CN108268773B (zh) Android应用升级包本地存储安全性检测方法
US10691798B2 (en) Analysis device, analysis method, and analysis program
CN112231697A (zh) 第三方sdk行为的检测方法、装置、介质及电子设备
CN108229168B (zh) 一种嵌套类文件的启发式检测方法、***及存储介质
CN112580041B (zh) 恶意程序检测方法及装置、存储介质、计算机设备
CN113127868A (zh) 脚本识别方法、装置、设备及存储介质
Wang et al. Droidcontext: identifying malicious mobile privacy leak using context
CN112395603A (zh) 基于指令执行序列特征的漏洞攻击识别方法、装置及计算机设备
CN109800580B (zh) ***进程的权限控制方法及装置、存储介质、计算机设备
US11481307B2 (en) Call stack acquisition device, call stack acquisition method and call stack acquisition program
CN109472138B (zh) 一种检测snort规则冲突的方法、装置和存储介质
CN107122667B (zh) 一种应用漏洞检测方法及***
KR20100113802A (ko) 유해 트래픽 제어 및 해킹을 차단하는 장치 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Applicant after: Harbin Antian Science and Technology Group Co.,Ltd.

Address before: 150090 Room 506, No. 162 Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang Province

Applicant before: HARBIN ANTIY TECHNOLOGY Co.,Ltd.

CB02 Change of applicant information
CB02 Change of applicant information

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Applicant after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Applicant before: Harbin Antian Science and Technology Group Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant