【技术实现步骤摘要】
【国外来华专利技术】恶意程序检测相关申请本申请要求2018年3月20日提交的,申请号为No.15/926,596,题为“MaliciousProgramDetection”的美国非临时申请的优先权,其全部内容通过引用合并于此。
本申请通常涉及使用控制流图来检测恶意程序。
技术介绍
基于模式(例如,字符串、表达式)匹配的恶意程序检测可以很容易被绕开。使用启发式方法进行恶意程序检测可能会导致误报和/或漏报,因为检测本身通常是可疑而非恶意的指示。通过执行代码来执行解包可以逃脱恶意程序检测,例如,基于恶意程序使用用户参数作为函数名,或者仅在提供正确的解密密钥的情况下使用加密方法来解密恶意程序。需要一种用于检测恶意程序的更有弹性的工具。
技术实现思路
本申请的一个方面针对一种用于检测恶意程序的方法。所述方法可以包括:获取程序的程序信息;以及基于程序信息生成控制流图;基于控制流图的一个或多个部分,将程序识别为存在潜在恶意。本申请的另一方面针对一种用于检测恶意程序的系统。所述系统可以包括一个或多个处理器和存储指令的...
【技术保护点】
1.一种用于检测恶意程序的系统,所述系统包括:/n一个或多个处理器;和/n存储指令的存储器,当所述指令被所述一个或多个处理器执行时,所述指令使所述系统执行:/n获取程序的程序信息;/n基于所述程序信息生成抽象语法树;/n基于所述抽象语法树生成控制流图;/n在所述控制流图中识别敏感函数,所述敏感函数与一个或多个参数相关联;/n对所述敏感函数的所述一个或多个参数执行反向数据流跟踪;以及/n基于所述反向数据流跟踪将所述程序识别为存在潜在恶意。/n
【技术特征摘要】
【国外来华专利技术】20180320 US 15/926,5961.一种用于检测恶意程序的系统,所述系统包括:
一个或多个处理器;和
存储指令的存储器,当所述指令被所述一个或多个处理器执行时,所述指令使所述系统执行:
获取程序的程序信息;
基于所述程序信息生成抽象语法树;
基于所述抽象语法树生成控制流图;
在所述控制流图中识别敏感函数,所述敏感函数与一个或多个参数相关联;
对所述敏感函数的所述一个或多个参数执行反向数据流跟踪;以及
基于所述反向数据流跟踪将所述程序识别为存在潜在恶意。
2.根据权利要求1所述的系统,其中,所述程序基于所述反向数据流跟踪,被识别为存在潜在恶意,所述反向数据流跟踪识别:
所述一个或多个参数的一个或多个源,或所述一个或多个参数的一个或多个运算符;
从post参数到所述敏感函数的参数的数据流;或者
混淆所述敏感函数的变量的操作。
3.一种用于检测恶意程序的系统,该系统包括:
一个或多个处理器;和
存储指令的存储器,当所述指令被所述一个或多个处理器执行时,所述指令使系统执行:
获取程序的程序信息;
基于所述程序信息生成控制流图;以及
基于所述控制流图的一个或多个部分,将所述程序识别为存在潜在恶意。
4.根据权利要求3所述的系统,其中,基于所述程序信息生成所述控制流图包括:
基于所述程序信息生成抽象语法树;以及
基于所述抽象语法树生成所述控制流图。
5.根据权利要求3所述的系统,其中,基于所述控制流图的一个或多个部分,将所述程序识别为存在潜在恶意包括:
在所述控制流图中识别敏感函数,所述敏感函数与一个或多个参数相关联;
对所述敏感函数的所述一个或多个参数执行反向数据流跟踪;以及
基于所述反向数据流跟踪将所述程序识别为存在潜在恶意。
6.根据权利要求5所述的系统,其中,基于所述反向数据流跟踪,将所述程序识别为存在潜在恶意,所述反向数据流跟踪识别所述一个或多个参数的一个或多个源,或所述一个或多个参数的一个或多个运算符。
7.根据权利要求5所述的系统,其中,基于所述反向数据流跟踪,将所述程序识别为存在潜在恶意,所述反向数据流跟踪识别从post参数到所述敏感函数的参数的数据流。
8.根据权利要求5所述的系统,其中,基于所述反向数据流跟踪,将所述程序识别为存在潜在恶意,所...
【专利技术属性】
技术研发人员:张胤弘,
申请(专利权)人:北京嘀嘀无限科技发展有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。