| 发明名称 | 僵尸网络控制协议挖掘方法和装置 | ||
| 摘要 | 本发明涉及一种僵尸网络控制协议的挖掘方法和装置。所述方法包括以下步骤:捕捉僵尸程序的执行轨迹;对所述执行轨迹进行代码块划分;统计所述执行轨迹对每个代码块的覆盖次数,计算得到每个代码块的覆盖率;对所述代码块的覆盖次数及覆盖率分析得到第一类代码块和第二类代码块;根据所述第一类代码块和第二类代码块在执行轨迹中定位可疑区域;对所述可疑区域进行分析提取出恶意控制命令及其对应的特定程序指令;引导所述恶意控制命令所对应的程序覆盖僵尸程序,得到僵尸网络的控制协议。上述僵尸网络控制协议的挖掘方法和装置,提高了分析的准确率,分析的更全面。此外,简化执行轨迹中的指令数目,大幅减小分析所需的时间复杂度和空间复杂度。 | ||
| 申请公布号 | CN103902895A | 申请公布日期 | 2014.07.02 |
| 申请号 | CN201210568194.6 | 申请日期 | 2012.12.24 |
| 申请人 | 腾讯科技(深圳)有限公司;南开大学 | 发明人 | 王志;邹赞;张晓康;贾春福;蔡亚运 |
| 分类号 | G06F21/56(2013.01)I | 主分类号 | G06F21/56(2013.01)I |
| 代理机构 | 广州华进联合专利商标代理有限公司 44224 | 代理人 | 何平 |
| 主权项 | 一种僵尸网络控制协议的挖掘方法,包括以下步骤:捕捉僵尸程序的执行轨迹;对所述执行轨迹进行代码块划分;统计所述执行轨迹对每个代码块的覆盖次数,计算得到每个代码块的覆盖率;对所述代码块的覆盖次数及覆盖率分析得到第一类代码块和第二类代码块,所述第一类代码块为仅被预设数量的执行轨迹中的一个覆盖的代码块,第二类代码块为代码块的覆盖率为百分百、每个执行轨迹对该代码块的覆盖次数均不同且都小于指定阈值的代码块;根据所述第一类代码块和第二类代码块在执行轨迹中定位可疑区域;对所述可疑区域进行分析提取出恶意控制命令及其对应的特定程序指令;引导所述恶意控制命令所对应的程序覆盖僵尸程序,得到僵尸网络的控制协议。 | ||
| 地址 | 518044 广东省深圳市福田区振兴路赛格科技园2栋东403室 | ||