公开(公告)号：CN103914657A

公开(公告)日：2014-07-09

申请号：CN201410153802.6

申请日：2014-04-16

申请人： 南京大学

发明人： 曾庆凯 ,  董殿靖

IPC分类号： G06F21/56

CPC分类号： G06F21/562

摘要： 一种基于函数特征的恶意程序检测方法，步骤如下：（1）恶意程序的功能函数选择：通过对恶意程序样本的选取，经反汇编和人工分析，指定与恶意行为紧密关联的函数为功能函数；（2）函数特征的提取：对与恶意行为紧密关联函数的函数体代码进行处理，去除干扰指令，识别条件判断语句、循环语句，转换为其等价的表示形式，作为函数特征；（3）恶意程序特征库的建立：利用恶意程序样本库，将提取到的各恶意程序样本的功能函数的函数特征，建立一个作为恶意程序模型的恶意程序特征库；（4）恶意程序检测：依据恶意程序特征库，对待测程序分析其所有函数的函数特征集合，判断是否与恶意程序特征库中特征模型相一致，以识别待测程序是否恶意程序。

公开(公告)号：CN103914657B

公开(公告)日：2016-10-19

申请号：CN201410153802.6

申请日：2014-04-16

申请人： 南京大学

发明人： 曾庆凯 ,  董殿靖

IPC分类号： G06F21/56

摘要： 一种基于函数特征的恶意程序检测方法，步骤如下：（1）恶意程序的功能函数选择：通过对恶意程序样本的选取，经反汇编和人工分析，指定与恶意行为紧密关联的函数为功能函数；（2）函数特征的提取：对与恶意行为紧密关联函数的函数体代码进行处理，去除干扰指令，识别条件判断语句、循环语句，转换为其等价的表示形式，作为函数特征；（3）恶意程序特征库的建立：利用恶意程序样本库，将提取到的各恶意程序样本的功能函数的函数特征，建立一个作为恶意程序模型的恶意程序特征库；（4）恶意程序检测：依据恶意程序特征库，对待测程序分析其所有函数的函数特征集合，判断是否与恶意程序特征库中特征模型相一致，以识别待测程序是否恶意程序。