[发明专利]一种嵌入式处理器的未知恶意代码检测方法有效
| 申请号: | 201610134408.7 | 申请日: | 2016-03-10 |
| 公开(公告)号: | CN105760762B | 公开(公告)日: | 2018-05-22 |
| 发明(设计)人: | 刘政林;裴根;鲁赵骏;刘文超;童乔凌;邹雪城 | 申请(专利权)人: | 华中科技大学 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 华中科技大学专利中心 42201 | 代理人: | 赵伟 |
| 地址: | 430074 湖北*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种嵌入式处理器的未知恶意代码检测方法,包括创建嵌入式系统自体集、生成检测器集、检测未知恶意代码的步骤;在处理器指令级对系统内正常程序的指令序列信息进行采集编码生成二进制串集合作为自体集,随机生成二进制串作为候选检测器,并将其与自体集中的元素进行否定选择生成检测器集;利用检测器集里的二进制串与从指令级收集到的待检测代码的行为信息二进制串进行匹配;采用双阈值的海民规则进行自体集的二进制串、检测器二进制串以及待检测二进制串之间的模糊匹配,以提高对未知恶意代码的检测率,降低检测系统的资源消耗;本发明中的自体集与检测器集均采用CAM字内存可寻址存储器存储,以提高查找匹配效率,提高检测器的生成效率。 | ||
| 搜索关键词: | 一种 嵌入式 处理器 未知 恶意代码 检测 方法 | ||
【主权项】:
1.一种嵌入式处理器的未知恶意代码检测方法,其特征在于,包括如下步骤:(1)从嵌入式系统正常程序的运行过程中提取指令序列二进制串,存储在自体集存储器里,作为自体集;(2)随机生成二进制串作为候选检测器,利用双阈值的海民匹配规则将候选检测器与所述自体集进行否定选择,获得检测器集;(3)利用检测器集里的二进制串与从指令级收集到的待检测代码的行为信息二进制串进行匹配;若发生匹配则表明运行中的代码为恶意代码;所述双阈值的海民匹配规则具体为:对于两个L位的字符串,设定双阈值为r1和r2;若L位二进制串中有至少r1位是相同的,而在相同位中,又有r2位是连续的,则表明这两个二进制串是匹配的,反之则不匹配;其中,L为正整数。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于华中科技大学,未经华中科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201610134408.7/,转载请声明来源钻瓜专利网。
- 上一篇:亲水消浪格型结构防波堤
- 下一篇:一种保温加热踏板
