公开(公告)号：CN113641995A

公开(公告)日：2021-11-12

申请号：CN202110775693.1

申请日：2021-07-08

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 蔡瑞杰 ,  李鹏宇 ,  尹小康 ,  何杰 ,  郭世臣 ,  刘胜利

IPC: G06F21/56 ,  G06F21/52 ,  G06F21/57

Abstract: 本发明根据Cisco IOS指令特点，提出了一种面向Cisco IOS的ROP攻击定位与代码捕获方法，利用哈希表对函数返回地址的记录和验证，增加了返回地址内存指针的记录作为哈希查找的索引，提高了影子内存查找效率，并且能够防止返回地址副本的篡改。对本文的方法在虚拟仿真器上进行了实现，通过真实ROP攻击样例对方法进行了验证，可以在不依赖静态分析的前提下，对准确定位ROP攻击，并且具备一定的ROP攻击代码的捕获能力，运用该方法实现的系统CROPDS，通过模拟执行Cisco IOS生成的虚拟路由器，可作为蜜罐直接在互联网中进行部署，对Cisco IOS所遭受的ROP攻击执行流程进行捕获，便于对缓冲区溢出漏洞的发现和漏洞利用。

公开(公告)号：CN118839346A

公开(公告)日：2024-10-25

申请号：CN202411010105.5

申请日：2024-07-25

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 尹小康 ,  蔡瑞杰 ,  朱肖雅 ,  杨启超 ,  宋恩舟 ,  李路凯 ,  翟锦源 ,  邱戈 ,  刘胜利

IPC: G06F21/57 ,  G06F18/241

Abstract: 本发明提供一种基于污点汇聚点约束分析的污点型漏洞发现方法及系统。该方法首先通过字符串匹配识别污点关键词，并通过参数解析函数和隐式关键词识别发现更多污点关键词；对后端二进制文件进行sink点识别和参数分析，并通过回溯分析分析参数来评估sink点的风险性。然后，采用双标签标记策略对污点数据进行标记，并生成从关键词到风险sink点的路径，同时收集全局静态分析中的约束关系。最后，利用符号执行进行污点传播和检查，以发现嵌入式固件中的污点型漏洞。本发明可以降低漏洞发现的误报率和漏报率，并且能够在更短的时间内发现更多的污点型漏洞。

公开(公告)号：CN117176382A

公开(公告)日：2023-12-05

申请号：CN202310838565.6

申请日：2023-07-08

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 蔡瑞杰 ,  吴丰源 ,  刘明 ,  尹小康 ,  李路凯 ,  李龙飞 ,  刘胜利

IPC: H04L9/40

Abstract: 本发明公开了一种基于融合序列的远控木马流量检测方法，涉及网络安全技术领域，首先对采集到的原始网络流量数据集进行预处理，筛选出所需要的数据，并通过张量维度调整，将其转换成Transformer模型所需要的格式并输入至Transformer模型中，利用模型中线性嵌入层将输入数据映射到高维空间，再通过多头自注意力机制来使Transformer编码器捕捉数据中长距离依赖关系和复杂模型，最后通过多层迭代，将特征向量输入全连接层映射到目标空间，输出最终预测结果。本发明方法具有更高的准确率和更强的泛化能力，能够在木马入侵早期及时响应并发出预警，有助于有效防范安全隐患，从而提升对网络安全的保护。

公开(公告)号：CN115941245A

公开(公告)日：2023-04-07

申请号：CN202211245979.X

申请日：2022-10-12

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘胜利 ,  杨鹏飞 ,  蔡瑞杰 ,  吕思欧 ,  张一筝 ,  尹小康 ,  杨启超 ,  贾凡 ,  陈宏伟 ,  盖贤哲

IPC: H04L9/40 ,  H04L45/60

Abstract: 本发明提供了一种基于容器的IOS‑XE系统的入侵检测方法，在路由器上部署自建容器，利用自建容器承载入侵检测系统，入侵检测系统包括信息提取模块和入侵行为判定模块，信息提取模块提取信息，并将提取的信息储存在自建容器部署的数据库中，入侵判断模块从数据库中读取网络数据、状态信息和日志信息进行入侵行为判定，并将检测结果输出给Web服务器进行展示。本发明提供的基于容器的IOS‑XE系统的实时检测方法，结合当前针对Cisco路由器的攻击行为研究，能实现对口令破解、配置隐藏、后门植入等入侵行为的检测，弥补了IOS‑XE系统UTD服务只检测过境流量的不足，可以有效检测该系统广泛存在的Web注入类和CLI注入类攻击。

公开(公告)号：CN112068883B

公开(公告)日：2022-10-11

申请号：CN202010754449.2

申请日：2020-07-31

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 尹小康 ,  蔡瑞杰 ,  张中瑭 ,  肖睿卿 ,  何杰 ,  朱肖雅 ,  胡安详 ,  刘胜利

IPC: G06F8/74 ,  G06F8/41

Abstract: 本发明公开了一种精简指令集下大型二进制固件参数个数识别方法，该方法对整个大型二进制固件进行静态分析，首先提取函数的调用关系，依据函数的调用关系和参数传递规则设计基于投票的机制的函数参数个数识别方法，对函数的参数个数进行识别，方便后续的函数原型的恢复。本发明通过静态分析整个二进制固件的可执行代码，获取全局的函数调用关系，为每个函数调用进行解析获取子函数的参数个数，并依据投票机制获得最为准确的函数参数个数，避免了编译器优化的影响，提高了函数参数个数识别的准确率并且具有较好的适用性。

公开(公告)号：CN118886016A

公开(公告)日：2024-11-01

申请号：CN202410916122.9

申请日：2024-07-09

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 赵坤鹏 ,  尹小康 ,  蔡瑞杰 ,  刘胜利

IPC: G06F21/57 ,  G06F18/24 ,  G06F18/214 ,  G06F40/289 ,  G06N3/0455 ,  G06N3/08

Abstract: 本发明涉及互联网安全技术领域，特别涉及一种基于Transformer语言模型的源代码漏洞检测方法及系统，获取代码样本数据，并对代码样本数据中的漏洞类型标注类别标签，以构建漏洞检测样本数据集；构建多分类CodeBERT模型，并利用漏洞检测样本数据集对多分类CodeBERT模型进行训练，将训练后的多分类CodeBERT模型作为漏洞检测目标模型，其中，所述多分类CodeBERT模型基于RoBERTa分词器和Transformer语言模型构建；将待检测的源代码输入至漏洞检测目标模型中，利用漏洞检测目标模型识别并输出待检测源代码中的漏洞类别。本发明能够充分考虑源代码的深层语义、结构、语法特征，利用微调后的模型较好的标源代码漏洞挖掘检测，在软件安全领域具有较好的应用前景。

公开(公告)号：CN118643325A

公开(公告)日：2024-09-13

申请号：CN202410647734.2

申请日：2024-05-23

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘世昊 ,  刘胜利 ,  蔡瑞杰 ,  尹小康 ,  刘明 ,  杨启超

IPC: G06F18/214 ,  G06F18/2431 ,  G06F18/2415 ,  G06F18/25 ,  G06F18/15 ,  G06N3/0475 ,  G06N3/094 ,  G06N3/045 ,  G06N3/0464 ,  G06N3/084 ,  H04L41/16 ,  H04L47/2441 ,  H04L9/40 ,  G06N3/048

Abstract: 本发明涉及网络安全技术领域，特别涉及一种基于WSAGAN的类别不平衡加密流量数据增强方法及系统，使用真实加密流量样本数据对生成对抗网络进行迭代训练，获得生成对抗网络模型，其中，生成对抗网络中，在生成器和鉴别器中利用自注意力机制捕捉输入数据序列中的距离依赖关系并动态生成融合特征向量，生成器基于随机噪声向量和真实加密流量样本数据生成伪加密流量数据，鉴别器衡量真实加密流量数据和伪加密流量数据之间差异，基于差异并利用反向传播算法更新生成器参数，并通过迭代训练过程使鉴别器衡量的生成器重新生成的伪加密流量数据和真实加密流量数据差异满足预设条件；使用生成对抗网络模型生成扩充加密流量样本数据，基于扩充加密流量样本数据与真实加密流量样本数据组建增强加密流量样本数据集。本发明通过生成流量样本来弥补少数类的样本缺失，确保每个类样本数的均衡，以缓解数据集类别不平衡导致分类器过多关注多数类而忽略少数类的问题。

公开(公告)号：CN118200015A

公开(公告)日：2024-06-14

申请号：CN202410440529.9

申请日：2024-04-12

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 蔡瑞杰 ,  朱肖雅 ,  王俊峰 ,  李晓慧 ,  尹小康 ,  刘胜利

IPC: H04L9/40

Abstract: 本发明提供一种基于IPD的自适应网络流水印嵌入、检测、通信方法和相关设备。其中，该水印嵌入方法包括：生成一个长度为m的原始水印；收集目标网络流，将所述目标网络流按照时间顺序划分为m个大组，每个大组包含2*r个数据包；将每个大组分为pa和pb两个子组，子组pa包含前r个数据包，子组pb包含后r个数据包；将所述原始水印中的一个水印位对应一个大组，改变每个所述大组内两个子组的IPD的相对大小以将所述原始水印嵌入至所述目标网络流中。本发明不需要指定固定参数，可以应用于具有不同时间特征的数据流中，增大了流水印方案的适应能力。

公开(公告)号：CN117118664A

公开(公告)日：2023-11-24

申请号：CN202310882211.1

申请日：2023-07-18

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘胜利 ,  陈宏伟 ,  蔡瑞杰 ,  蒋思康 ,  贾凡 ,  盖贤哲 ,  尹小康 ,  杨启超 ,  赵方方

IPC: H04L9/40 ,  H04L69/164

Abstract: 本发明提供一种基于主被动结合的新型UDP反射放大协议识别方法，将主动探测与流量分析相结合，通过构建指纹库对公网已知的UDP反射放大特征进行收集，通过构造反射放大请求报文获取大量样本，经过预处理之后对样本数据进行BAF加PAF双重阈值检测验证，并运用该检测方法对实网流量进行挖掘，通过Port加Payload多元特征匹配方法筛选出符合条件的新型反射放大协议和触发方式流量，通过重放验证之后，将新发现的指纹加入指纹库。本发明所提的基于主被动结合的新型UDP反射放大协议识别方法，提出双重阈值判定和多元特征匹配的方法对数据集和实网流量进行检测，本发明所提的方法实时性和通用性较好，并且发现了QUIC协议潜在的反射放大能力，检测效果明显。

公开(公告)号：CN115941248A

公开(公告)日：2023-04-07

申请号：CN202211259272.4

申请日：2022-10-14

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 蔡瑞杰 ,  吕思欧 ,  刘胜利 ,  杨鹏飞 ,  赵宇浩 ,  尹小康 ,  杨启超 ,  盖贤哲 ,  陈宏伟 ,  贾凡

IPC: H04L9/40

Abstract: 本发明公开了一种面向Linux系统的双向数据包篡改方法，利用Netfilter在网络数据到达主机后设置五个HOOK点，将Iptables和Netfilter一起使用，在数据包进入主机后到达应用程序前对其进行篡改，根据所选择的HOOK点，设置Iptables规则，添加Hook INPUT点的的规则，将数据送到Netfilter_queue中等待处理，分别对流入本机的数据包的篡改，对从本机发出的数据包的篡改。本发明利用Netfilter和Iptables结合的方法，使用Python中的NetfilterQueue模块，能够对进入本机的数据包和从本机发出的数据包进行篡改，并且这种篡改的操作对上层用户是透明的。通过实验验证了这种篡改方式的可行性。实验表明，利用该方法可以篡改即将发出和刚到达本机的数据，从而避免威胁到网络用户主机的安全。