-
公开(公告)号:CN104021343A
公开(公告)日:2014-09-03
申请号:CN201410201515.8
申请日:2014-05-06
申请人: 南京大学
IPC分类号: G06F21/56
CPC分类号: G06F21/566
摘要: 基于堆访问模式的恶意程序监控方法,步骤如下:(1)恶意程序的监控;请求程序监控服务,获取堆访问模式,并将被监控程序表现出的堆访问模式与恶意程序模型库中特征进行对比,判断是否为恶意程序行为,并进行处理;(2)恶意程序模型库的建立;收集所关注的恶意程序家族的样本集合;通过程序监控服务,获取各样本的堆访问模式,计算获得恶意程序家族堆访问模式的共同特征作为恶意程序家族的特征模型,建立恶意程序模型库;并求取各恶意程序家族的堆访问模型,构成恶意程序模型库,作为判断待监控程序行为是否恶意的参照依据;(3)程序监控服务;基于Ether的指令级监控功能,通过监控程序运行,提取程序执行过程中的堆访问特征序列;为恶意程序的监控和恶意程序模型库建立提供服务支持。
-
公开(公告)号:CN101930401A
公开(公告)日:2010-12-29
申请号:CN201010286664.0
申请日:2010-09-20
申请人: 南京大学
发明人: 曾庆凯
IPC分类号: G06F11/36
摘要: 一种基于检测对象的软件漏洞模型检测方法,步骤包括:1)漏洞载入流程,建立漏洞模型的数据结构;漏洞模型由漏洞状态机的状态的集合和操作的集合构成,状态表示状态机的状态,2)漏洞模型检测处理流程,3)函数程序操作序列分析流程,表示针对检测对象进行函数程序序列分析的过程,4)操作的状态转换处理过程,计算操作后的转换状态。本发明提供一种基于漏洞模型的软件漏洞模型检测方法。基于软件漏洞的状态机模型,以重点检测对象为中心,对软件代码进行抽象建模,只对与漏洞状态相关的程序操作序列进行漏洞静态检测,判断漏洞模型在代码中的存在性。克服现有技术需要大量重复工作、影响检测速度、准确性不高的问题。
-
公开(公告)号:CN101388055B
公开(公告)日:2010-12-22
申请号:CN200810155449.X
申请日:2008-10-22
申请人: 南京大学
IPC分类号: G06F21/00
摘要: 用于软件漏洞模型检测的程序特征提取方法,如下步骤:1)漏洞模型从数据库中载入内存,在分析程序时,作为参考依据,建立漏洞模型的数据结构;2)程序载入特征分析提取流程,对经过gcc编译的软件代码进行抽象,根据漏洞模型相关操作的信息抽取需要的操作,得到程序特征序列,即构造用于漏洞模型检测的程序特征序列。所述漏洞模型载入流程:漏洞模型由漏洞状态的状态结点、有向边的集合所构成;程序载入和特征提取流程:把程序控制流图中与漏洞状态相关的信息;进行提取与漏洞模型相关的操作序列的流程:每个函数程序特征对应一个操作序列链表,程序特征链表以函数为单位进行组织,操作序列链表的结点为一个与漏洞状态相关的操作或函数。
-
公开(公告)号:CN101373506A
公开(公告)日:2009-02-25
申请号:CN200810155450.2
申请日:2008-10-22
申请人: 南京大学
IPC分类号: G06F21/22
摘要: 基于漏洞模型的软件漏洞模型检测方法,步骤如下:1)将漏洞模型从数据库中载入流程即装入内存、建立漏洞模型的数据结构,在分析程序时作为参考依据;2)模型检测前段步骤,以函数为单位根据漏洞相关操作进行模型检测工作;3)模型检测后段步骤对主函数进行模型检测,根据漏洞相关操作以及前段对函数的模型检测结果,进行状态检测并报告漏洞的存在性;所述漏洞模型载入流程:漏洞模型由漏洞状态的状态结点、有向边的集合所构成;在内存中建立由有向边类型进行检索的操作转换表的流程;通过对程序抽象提取处理,过滤去除无关的操作,进行提取与漏洞模型相关的操作序列的流程;每个函数程序特征对应一个操作序列链表。
-
公开(公告)号:CN101364203A
公开(公告)日:2009-02-11
申请号:CN200810156069.8
申请日:2008-09-19
申请人: 南京大学
IPC分类号: G06F11/36
摘要: 面向隐蔽通道分析的系统分析和划分方法,步骤10:初始化动作;步骤11:判断函数调用图是否为空,如果为空转步骤12,表示分析划分算法结束,否则转步骤13;步骤12:输出分析的结果;步骤13:判断函数调用图是否连通;步骤14:找出函数调用图所有不连通的分支;步骤15:循环分析函数调用图的每个连通分支;步骤16:判断函数调用图中是否存在不依赖其他节点的节点;步骤18:把出度为0的节点从函数调用图中删除,并且把该节点加入结果链表的末尾;步骤19:判断函数调用图中是否存在极大强连通子图;如存在转步骤1a,否则转步骤11;步骤1a:找到函数调用图中极大强连通子图;步骤1b:删除此极大强连通子图,步骤1c:结束。
-
公开(公告)号:CN100423494C
公开(公告)日:2008-10-01
申请号:CN200610085387.0
申请日:2006-06-13
申请人: 南京大学
发明人: 曾庆凯
摘要: 基于依赖关系的信息技术产品安全保证评估流程生成方法,(1)信息技术产品安全目标的安全保证组件输入;进行被评估产品安全目标的安全保证组件的输入;评估产品安全目标的安全保证组件数据将存入数据库中,数据组织成为数据库中的表:安全组件流程数据表;数据表的结构包括组件标识、说明、处理状态、评估序号、依赖层级、依赖数、被依赖数、被依赖组件标识等字段,并以组件标识为索引;(2)对产品安全保证组件进行存储;(3)对安全保证组件的排序处理;(4)对安全保证组件设置依赖关系;(5)形成安全保证组件评估流程。
-
公开(公告)号:CN100401294C
公开(公告)日:2008-07-09
申请号:CN200510094622.6
申请日:2005-09-30
申请人: 南京大学
发明人: 曾庆凯
IPC分类号: G06F17/30
摘要: 基于关系数据库信息技术产品的保护轮廓完整性检查方法,包括以下步骤:(1)进行待评估保护轮廓的输入步骤:保护轮廓包括保护轮廓标识、描述、环境、安全目的、安全需求以及原理部分;与检查验证相关的包括环境中的威胁、策略,安全目的和安全需求;(2)对保护轮廓进行规格化结构化处理;按照内容分别将内存中数据项集合存入各自的数据库表;(3)对安全目的进行完整性检查;通过比照威胁策略映射表,验证保护轮廓中的安全目的是否完全;(4)对安全需求验证处理;通过比照安全目的映射表,验证保护轮廓中的安全需求是否完全;(5)形成验证检查报告;(6)结束。本发明提高了安全评估设备的评估效率,规范评估过程。
-
公开(公告)号:CN1866878A
公开(公告)日:2006-11-22
申请号:CN200610085387.0
申请日:2006-06-13
申请人: 南京大学
发明人: 曾庆凯
摘要: 基于依赖关系的信息技术产品安全保证评估流程生成方法,(1)信息技术产品安全目标的安全保证组件输入;进行被评估产品安全目标的安全保证组件的输入;评估产品安全目标的安全保证组件数据将存入数据库中,数据组织成为数据库中的表:安全组件流程数据表;数据表的结构包括组件标识、说明、处理状态、评估序号、依赖层级、依赖数、被依赖数、被依赖组件标识等字段,并以组件标识为索引;(2)对产品安全保证组件进行存储;(3)对安全保证组件的排序处理;(4)对安全保证组件设置依赖关系(5)形成安全保证组件评估流程。
-
-
-
-
-
-
-
搜索结果
78 条记录 (耗时 0.025 秒)
