[发明专利]一种基于相似性匹配恶意shellcode快速检测方法在审
| 申请号: | 201510534727.2 | 申请日: | 2015-08-27 |
| 公开(公告)号: | CN105245495A | 公开(公告)日: | 2016-01-13 |
| 发明(设计)人: | 张国印;徐锋;王东宇;檀凯;孙建国 | 申请(专利权)人: | 哈尔滨工程大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 150001 黑龙江省哈尔滨市南岗区*** | 国省代码: | 黑龙江;23 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种结合了传统的动态检测技术和静态检测技术优点的基于相似性匹配恶意shellcode快速检测方法。本发明包括:对待测数据进行判断;调用解码器进行模拟执行检测;使用Shingle算法对待测数据和样本库进行模拟检测;相似度系数大于阈值40%,即可判定待测数据中存在恶意Shellcode攻击行为,提出预警。本发明不需要模拟器进行深度模拟执行和系统函数Hook。从而进一步降低动态模拟检测技术的检测处理消耗,提高检测数据的吞吐率,提高对于多态恶意代码的检测速率,降低对网络速率的影响。 | ||
| 搜索关键词: | 一种 基于 相似性 匹配 恶意 shellcode 快速 检测 方法 | ||
【主权项】:
一种基于相似性匹配恶意shellcode快速检测方法,其特征在于:步骤1:当对待测数据进行检测时,对待测数据进行判断,确定是否存在可疑的GetPC以及call、jmp、fnstenv浮点操作指令;根据判定结果,如果存在可疑的指令,则使用编码处理,并确定使用解码器的开始模拟执行检测位置,进入步骤2;步骤2:在步骤1确定的起始检测位置,调用解码器进行模拟执行检测,查找待测数据中是否存在循环解码指令序列和内存多次访问操作;使用开源Shellcode检测库libemu来模拟执行待测数据,作为检测方法的解码器构成部分;根据检测结果进行判断,如果不存在解码指令,则进入步骤3,如果存在解码指令直接进入步骤4;步骤3:使用Shingle算法对待测数据和样本库进行模拟检测,将检测结果生成Jaccard相似度系数R;根据此系数来决定是否执行下一步操作,如果R大于阈值40%,直接进入步骤4;否则结束检测流程;步骤4:相似度系数大于阈值40%,即可判定待测数据中存在恶意Shellcode攻击行为,提出预警。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于哈尔滨工程大学,未经哈尔滨工程大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510534727.2/,转载请声明来源钻瓜专利网。
- 上一篇:电力设备综合带电检测方法及系统
- 下一篇:MOSFET及其制造方法
