买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：中国人民解放军61660部队

摘要：本发明涉及一种基于规范化语法树的软件后门检测方法，属于软件安全领域。为了弥补传统软件成分分析方法在检测代码变种方面的不足，提升对于软件后门的检测能力，发现更多潜在的问题，本发明通过生成规范化语法树模型的方式提取软件源代码特征，构建恶意代码特征库和并建立对应的检索机制，计算被测软件代码和恶意代码的相似性，从而实现软件后门检测的功能。本发明通过规范化语法树模型，能够有效处理增减空白符、修改注释、替换名称、条件转换和语序调整等多种形式的代码变种，弥补传统软件成分分析方法在检测代码变种方面的不足，提升对于软件后门的检测能力，发现更多潜在的问题。

主权项：1.一种基于规范化语法树的软件后门检测方法，其特征在于，包括以下步骤：第一步：收集开源社区中的软件后门的相关项目，经筛选后作为初始数据集；第二步：标记初始数据集中与后门相关的代码片段，获取对应的代码文件，构建恶意代码库；第三步：对于恶意代码库中的代码，通过词法和语法分析，生成对应的语法树；第四步：对于语法树进行规范化，通过节点过滤、名称替换、调换分支和指令排序操作，生成规范化语法树；第五步：获取规范化语法树的根节点对应的代码，并生成对应的哈希特征码；第六步：将特征码存储到数据库中并建立索引，生成恶意代码特征库；第七步：对于被测代码，同样使用步骤三～步骤五的方式生成哈希特征码；第八步：使用生成的哈希特征码在恶意代码特征库中进行检索查询；第九步：当检索到匹配的后门特征时，判定存在疑似的软件后门，并给出具体的代码定位；第一步中，从开源社区收集软件后门的相关项目，筛选关键词包括{backdoor,shell,malicious}的项目，然后通过人工检查的方式进行确认，去除其中检测工具类和其他无关项目，将保留下来的项目作为初始数据集；第四步中对语法树进行规范化时，依次进行以下处理：1语法树中，注释由单独的叶子节点表示，在语法树中剪除与注释相关的叶子节点，只保留与代码相关的内容；2语法树中，变量名和函数名均由单独的叶子节点表示，本步骤将代表变量名的叶子节点统一替换成variable，函数名统一替换成method，常量统一替换成const，类型名称统一替换成type；3检查所有判断条件节点，这些判断条件节点中的表达式用于表示分支语句的判定条件，若条件为真，程序将继续执行左分支，若条件为假，程序将继续执行右分支，对分支节点中的判定条件进行统一的处理，去掉前置的“非”运算符，并调换条件节点的左右分支，保持语义不变；4在语法树中，从根节点开始，递归向下处理所有的程序语句，将具有完整的程序指令的节点表示为statement节点，将具有同一父节点的statement节点，按照对应代码字符串的字典顺序进行排序，并按照排序的结果调整各子节点的顺序，从根节点到叶子节点逐层进行；在语法树中，父节点为子节点的拼接，对于子节点的删除、修改和排序操作将被同步到父节点中，并最终影响根节点的内容；经过处理得到语法树的规范化形式，即规范化语法树。

全文数据：

权利要求：

百度查询： 中国人民解放军61660部队 一种基于规范化语法树的软件后门检测方法