[发明专利]一种基于堆访问模式的恶意程序监控方法和系统有效
| 申请号: | 201410201515.8 | 申请日: | 2014-05-06 |
| 公开(公告)号: | CN104021343A | 公开(公告)日: | 2014-09-03 |
| 发明(设计)人: | 曾庆凯;周志胜 | 申请(专利权)人: | 南京大学 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 南京瑞弘专利商标事务所(普通合伙) 32249 | 代理人: | 陈建和 |
| 地址: | 210093 江*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 基于堆访问模式的恶意程序监控方法,步骤如下:(1)恶意程序的监控;请求程序监控服务,获取堆访问模式,并将被监控程序表现出的堆访问模式与恶意程序模型库中特征进行对比,判断是否为恶意程序行为,并进行处理;(2)恶意程序模型库的建立;收集所关注的恶意程序家族的样本集合;通过程序监控服务,获取各样本的堆访问模式,计算获得恶意程序家族堆访问模式的共同特征作为恶意程序家族的特征模型,建立恶意程序模型库;并求取各恶意程序家族的堆访问模型,构成恶意程序模型库,作为判断待监控程序行为是否恶意的参照依据;(3)程序监控服务;基于Ether的指令级监控功能,通过监控程序运行,提取程序执行过程中的堆访问特征序列;为恶意程序的监控和恶意程序模型库建立提供服务支持。 | ||
| 搜索关键词: | 一种 基于 访问 模式 恶意程序 监控 方法 系统 | ||
【主权项】:
基于堆访问模式的恶意程序监控方法,其特征是步骤如下:(1)恶意程序的监控;请求程序监控服务,获取堆访问模式,并将被监控程序表现出的堆访问模式与恶意程序模型库中特征进行对比,判断是否为恶意程序行为,并进行处理;(2)恶意程序模型库的建立;收集所关注的恶意程序家族的样本集合;通过程序监控服务,获取各样本的堆访问模式,计算获得恶意程序家族堆访问模式的共同特征作为恶意程序家族的特征模型,逐步建立恶意程序模型库;并求取各恶意程序家族的堆访问模型,构成恶意程序模型库,作为判断待监控程序行为是否恶意的参照依据;在建立恶意程序模型库时,提取恶意程序家族的堆访问模式作为恶意程序的模型;在提取得到恶意程序样本运行时的堆访问模式后,对同一家族的恶意程序样本的堆访问模式进行融合,获得恶意程序家族的堆访问模型;恶意程序样本的堆访问模式通过请求程序监控服务获得;(3)程序监控服务;基于Ether的指令级监控功能,通过监控程序运行,提取程序执行过程中的堆访问特征序列;为恶意程序的监控和恶意程序模型库建立提供服务支持。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南京大学,未经南京大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201410201515.8/,转载请声明来源钻瓜专利网。
- 上一篇:一种保险箱
- 下一篇:具有指纹识别的USB存储器及其识别方法
