发明名称 | 基于系统调用分析的软件行为评估方法和装置 | ||
摘要 | 本发明公开了一种基于系统调用分析的软件行为评估方法和装置,所述方法包括:在监控到待评估的软件一次软件行为后,获取该软件的监控日志中针对该次软件行为记录的信息,从中提取出系统调用序列、每个系统调用的入口地址和返回地址;根据系统调用序列与知识库中各系统调用子序列之间的比较结果确定系统调用序列的评估值;对于每个系统调用,根据该系统调用的入口地址和返回地址计算出该系统调用的内存相对偏移;根据该系统调用的内存相对偏移与知识库中该系统调用的常见内存偏移之间的比较结果确定该系统调用的评估结果;根据每个系统调用的评估结果、系统调用序列的评估值,对该次软件行为进行评估。应用本发明,可提高评估准确度。 | ||
申请公布号 | CN104035866A | 申请公布日期 | 2014.09.10 |
申请号 | CN201410240265.9 | 申请日期 | 2014.05.30 |
申请人 | 中国电子科技集团公司第十五研究所 | 发明人 | 李宁;薛静锋;董骁;向恒勇;肖飞;李清俊 |
分类号 | G06F11/36(2006.01)I | 主分类号 | G06F11/36(2006.01)I |
代理机构 | 北京市京大律师事务所 11321 | 代理人 | 张璐;方晓明 |
主权项 | 一种基于系统调用分析的软件行为评估方法,其特征在于,包括:在监控到待评估的软件的一次软件行为后,获取所述软件的监控日志中针对该次软件行为记录的信息,并从中提取出每个系统调用的入口地址和返回地址,以及系统调用序列;将提取出的系统调用序列与所述知识库中预先存储的所述软件的各系统调用子序列进行比较,根据比较结果确定提取出的系统调用序列的评估值;并对于获取的信息中涉及的每个系统调用,根据该系统调用的入口地址和返回地址计算出该系统调用的内存相对偏移后,将计算出的该系统调用的内存相对偏移与知识库中预先存储的该系统调用的常见内存偏移进行比较,根据比较结果确定该系统调用的评估结果;根据确定出的每个系统调用的评估结果,以及系统调用序列的评估值,对该次软件行为进行评估。 | ||
地址 | 100083 北京市海淀区北四环中路211号 |