公开(公告)号：CN104361141A

公开(公告)日：2015-02-18

申请号：CN201410759349.3

申请日：2014-12-11

Applicant: 北京邮电大学

Inventor： 董枫 ,  郭燕慧 ,  李承泽 ,  张程鹏 ,  胡阳雨

IPC: G06F17/30 ,  G06F21/56

CPC classification number: G06F17/30294 ,  G06F17/30725 ,  G06F21/565

Abstract: 本申请公开了一种软件标识库的建立方法，包括：对于当前待提取标识的应用软件，根据本软件对各应用程序编程接口API的调用次数，确定该应用软件的API特征向量；根据所述应用软件的所述API特征向量以及当前软件标识库中的各类应用软件的API特征向量和类别信息，按照朴素贝叶斯分类算法，确定所述应用软件所属类别；将所述应用软件的所述API特征向量和所述类别，作为所述应用软件的标识信息添加到所述软件标识库中。采用本发明，可以对软件进行客观性标识且效率高、能满足大量应用软件的分类检测需求。

公开(公告)号：CN103793650A

公开(公告)日：2014-05-14

申请号：CN201310634856.X

申请日：2013-12-02

Applicant: 北京邮电大学 ,  国家计算机网络应急技术处理协调中心

Inventor： 郭燕慧 ,  李静 ,  董航 ,  李承泽 ,  张程鹏 ,  费会 ,  董枫 ,  胡阳雨 ,  杨昕雨 ,  胡鸽

IPC: G06F21/56

CPC classification number: G06F21/563

Abstract: 本发明提供一种Android应用程序静态分析方法及装置，涉及安全检测技术领域。该方法包含：S1、解压待测应用程序，得到Smali文件；S2、遍历所述Smali文件，获取源码信息，并构建所述源码信息的控制流图和数据流图；S3、根据所述恶意行为判断引擎遍历所述控制流图及所述数据流图，将应用程序的API与预定义恶意行为库中的API分别进行匹配，将匹配成功的应用程序的API标记为恶意行为API；S4、求取所述待测应用程序的恶意度量值；S5、将所述恶意程序度量值与预设的恶意程度指标进行匹配，得到所述待测应用程序的风险等级。本发明通过对行为进行分析及组合规则综合判断，能够减少对Android应用程序的进行病毒检测的误判率。

公开(公告)号：CN107665304A

公开(公告)日：2018-02-06

申请号：CN201610619425.X

申请日：2016-07-29

Applicant: 北京邮电大学

Inventor： 张淼 ,  刘思佩 ,  董枫 ,  徐国爱 ,  郭艳慧 ,  魏仿 ,  刘天铭

IPC: G06F21/56

CPC classification number: G06F21/562 ,  G06F2221/033

Abstract: 本发明提供一种软件升级的监管方法和装置。本发明提供的软件升级的监管方法，包括：获取待监管软件的URL特征向量；其中，上述URL特征向量包括多个URL地址；从上述多个URL地址中确定指向安装包的第一URL地址，并通过访问上述第一URL地址获取上述安装包；判断上述安装包是否为上述待监管软件的升级包；若是，则对上述安装包进行安全性检测，得到第一检测结果，并根据上述第一检测结果确定是否替换上述安装包。本发明提供的软件升级的监管方法和装置，能够保证服务器中的安装包的安全性，避免软件升级时因服务器中的升级包不安全导致的浪费流量、泄露数据等恶意行为的问题。

公开(公告)号：CN104407872B

公开(公告)日：2018-01-16

申请号：CN201410730368.3

申请日：2014-12-04

Applicant: 北京邮电大学

Inventor： 张程鹏 ,  李祺 ,  李承泽 ,  董枫 ,  杨昕雨

IPC: G06F9/44

Abstract: 本申请公开了一种代码克隆的检测方法，包括：对待检测的两组程序代码，分别提取各自调用的应用程序编程接口(API)集合；确定每组程序代码的API集合中各API的调用频率；对于每组程序代码k，根据其对应的所述API的调用频率，生成该组程序代码的n维标记向量，所述n维标记向量中的各维度值vk,i与集合N中的各API一一对应，集合N为两组程序代码的API集合的并集，所述vk,i根据第k组程序代码对所对应的APIi的调用频率pk,i得到；根据每组程序代码的所述n维标记向量，计算所述两组程序代码的相似度；根据所述相似度和预设相似阈值，确定所述两组程序代码是否存在克隆关系。采用本发明，可以提高检测的抗混淆性，准确度高且易于实现。

公开(公告)号：CN104573426A

公开(公告)日：2015-04-29

申请号：CN201510005059.4

申请日：2015-01-06

Applicant: 北京邮电大学

Inventor： 李承泽 ,  李祺 ,  张程鹏 ,  董枫 ,  胡阳雨

IPC: G06F21/14

CPC classification number: G06F21/14

Abstract: 本发明提供了一种可执行应用的混淆方法和装置，其中的方法包括：A、对需混淆的可执行代码进行逆向分析，得到逆向分析后的指令序列；B、对所述逆向分析后的指令序列进行指令抽象和统计分析，根据统计分析结果进行编码，生成LZW编码表；C、将需混淆的可执行代码的二进制流根据所述LZW编码表进行重新编码，生成混淆后的指令序列；D、将所述混淆后的指令序列进行封装，并打包生成混淆后的可执行应用。应用本发明可以降低自动化工具对混淆方法的识别能力，增加攻击者阅读代码和破解应用的难度。

公开(公告)号：CN104407872A

公开(公告)日：2015-03-11

申请号：CN201410730368.3

申请日：2014-12-04

Applicant: 北京邮电大学

Inventor： 张程鹏 ,  李祺 ,  李承泽 ,  董枫 ,  杨昕雨

IPC: G06F9/44

Abstract: 本申请公开了一种代码克隆的检测方法，包括：对待检测的两组程序代码，分别提取各自调用的应用程序编程接口(API)集合；确定每组程序代码的API集合中各API的调用频率；对于每组程序代码k，根据其对应的所述API的调用频率，生成该组程序代码的n维标记向量，所述n维标记向量中的各维度值vk,i与集合N中的各API一一对应，集合N为两组程序代码的API集合的并集，所述vk,i根据第k组程序代码对所对应的APIi的调用频率pk,i得到；根据每组程序代码的所述n维标记向量，计算所述两组程序代码的相似度；根据所述相似度和预设相似阈值，确定所述两组程序代码是否存在克隆关系。采用本发明，可以提高检测的抗混淆性，准确度高且易于实现。