The invention relates to a drive path of the executable program security detection method and system based on the path of the executable program; driving safety detection method based on the normal function of the system: first, according to the normal behavior to define the target analysis program constraints, then using static program analysis and dynamic execution method combining to analysis program the system is required to perform the normal function of target maximum closed-loop and redundant path, finally, the semantic interpretation of program behavior redundant path, according to the normal behavior of the system to determine whether there is a redundant path constraint for the malicious behavior of the system; according to the detection method of the invention can design a path driven executable security the detection system based on; the invention can greatly reduce the workload of staff safety analysis code analysis. ?
【技术实现步骤摘要】
本专利技术涉及一种可执行程序的安全性检测方法及系统,特别是涉及一 种基于路径驱动的可执行程序安全性检测方法及系统。
技术介绍
恶意代码已经成为对互联计算机系统的一种严重威胁,每年都 会造成巨大的经济损失,更为严重的是恶意代码撰写已经形成了一种特有的经济利益链。 安全分析人员每天都会发现大量的恶意代码,以及变异进化后的恶意代码,使得更加难以 被检测或者是逃避分析。目前常用的检测机制仍然是基于特征匹配的传统检测手段,这种 方法的致命弱点是检测效果的滞后性和单一性。一种新型的病毒出现以后,只有在其发作 一段时间后才能提取特征,实施检测防控。另外,一个过时的恶意代码进行深度变异后也很 难被有效地检测出来。采用基于行为的恶意代码分析检测技术目前还不是很成熟,程序的 某个操作行为究竟是否带有恶意很难判断,大多数情况下某个操作是否允许都是交给用户 自行判断处理,容易造成较多的漏判和误判。因此,就很有必要探寻更加实用有效的恶意代 码行为分析检测技术,辅助研究分析人员有效进行恶意代码的检测。
技术实现思路
本专利技术要解决的技术问题是克服现有技术的缺陷,提供一种基于路径驱动的可执行 ...
【技术保护点】
一种基于路径驱动的可执行程序安全性检测方法,其特征是:首先根据系统的正常功能定义目标待分析程序的正常行为约束,然后采用静态程序分析和动态程序执行相结合的方法获得目标待分析程序完成系统正常功能所需要的最大工作闭环和冗余路径,最后,对冗余路径上的程序行为进行语义解释,根据系统正常行为约束判断冗余路径中是否存在针对该系统的恶意攻击行为。
【技术特征摘要】
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。