公开(公告)号：CN116170186A

公开(公告)日：2023-05-26

申请号：CN202211723016.6

申请日：2022-12-30

Applicant: 中国科学院信息工程研究所

Inventor： 陈恺 ,  梁瑞刚 ,  李澍非

IPC: H04L9/40

Abstract: 本发明涉及一种基于网络流量分析的攻击代码在线检测方法和装置。该方法包括：利用漏洞数据集分析漏洞执行路径；根据漏洞执行路径，结合对已知漏洞信息的语义分析，在漏洞复现过程中提取多种信息元素，构建漏洞执行特征；基于漏洞执行特征进行自动化局部动态微执行，获取攻击代码生成的相关网络数据包，并对无关数据和共性数据进行过滤，形成攻击代码特征库；利用攻击代码特征库对待测程序进行同源性在线检测，并定位攻击代码片段的具体位置。本发明在不依赖于大量人工分析的前提下，能够通过分析网络流量进行高效、准确的自动化漏洞攻击代码实时检测。

公开(公告)号：CN116150751A

公开(公告)日：2023-05-23

申请号：CN202211723014.7

申请日：2022-12-30

Applicant: 中国科学院信息工程研究所

Inventor： 梁瑞刚 ,  陈恺 ,  李澍非

IPC: G06F21/56 ,  G06F21/53 ,  G06F18/23 ,  G06F18/22

Abstract: 本发明涉及一种基于动静态分析的恶意软件家族谱系分析方法和装置。该方法包括：通过计算不同样本间相似性距离进行聚类，同时借助部分带标签样本进行投票得到合并簇，并对聚类异常点进行标签传播；在每个合并簇内使用反汇编获取其中的全体函数，获取每个函数的质心位置；筛除每个合并簇内的标准库函数，保留非公共函数，通过质心距离将剩余函数聚类为相似函数集合，并提取每个合并簇的核心函数群；计算不同家族间每对核心函数的质心距离，通过距离分级将函数个体间相似程度抽象为家族整体间相似程度，并结合家族规模对谱系关系进行推断。本发明能够对现实世界大量恶意软件家族进行自动化谱系分析，能够快速发现和处理未知的恶意软件及其家族。