公开(公告)号：CN118278002A

公开(公告)日：2024-07-02

申请号：CN202410286080.5

申请日：2024-03-13

Applicant: 中国科学院信息工程研究所

Inventor： 李红 ,  冯战胜 ,  王勇攀 ,  刘明东 ,  文辉 ,  任一墨

IPC: G06F21/56 ,  G06F21/53 ,  G06N3/0442 ,  G06N3/0455 ,  G06F18/213 ,  G06F18/25 ,  G06N3/084

Abstract: 本发明公开了一种基于API调用序列特征挖掘的软件后门检测方法及装置，涉及网络安全技术领域，通过BLTF‑Net模型分析获取API序列并进行嵌入编码，通过BiLSTM生成API调用的时间依赖特征，通过Transformer生成API调用的生成全局上下文信息特征；将生成的API调用的时间依赖特征和全局上下文信息特征进行融合，根据融合后的全面特征表示进行是否存在后门行为检测，输出检测结果。本发明兼顾了API调用的双向时间依赖关系和全局的长距离依赖关系，能够识别潜在的软件后门活动，具有更强的检测能力。

公开(公告)号：CN119046938A

公开(公告)日：2024-11-29

申请号：CN202410286095.1

申请日：2024-03-13

Applicant: 中国科学院信息工程研究所

Inventor： 李红 ,  冯战胜 ,  王勇攀 ,  刘明东 ,  文辉 ,  任一墨

IPC: G06F21/56 ,  G06F18/22 ,  G06F8/40 ,  G06F8/53

Abstract: 本发明公开了一种基于多粒度特征匹配的软件后门候选区定位方法及系统，涉及网络安全技术领域。创建可信工业软件特征数据库；将待检测软件的二进制文件转换为统一的中间语言并提取软件结构化特征；将待检测软件与可信工业软件特征数据库的软件结构化特征文件基于函数调用图CG进行函数初始映射，得到两文件相似函数映射集合；根据相似函数映射集合，对每个函数对应的控制流图CFG进行结构匹配，找出差异代码块并作为软件后门候选区。本发明基于工业软件特征数据库解决定位类型单一问题，转换为中间语言表示可以兼容不同架构设计的软件，基于多粒度特征匹配能够提高定位准确度和精度。