公开(公告)号：CN117439777A

公开(公告)日：2024-01-23

申请号：CN202311323057.0

申请日：2023-10-12

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 蔡瑞杰 ,  李帅 ,  吴丰源 ,  蒋思康 ,  赵方方 ,  杨启超 ,  刘胜利

IPC: H04L9/40

Abstract: 本发明公开了一种基于网络行为特征的“失联木马”检测技术，涉及网络安全技术领域，本发明通过澄清“失联木马”通信行为过程，总结归纳出“失联木马”网络行为的4个典型规律，基于“失联木马”的通信规律，从数据包层及数据组层两个方面提取出了“失联木马”的网络行为特征，并基于上述特征提出了基于网络行为特征统计规律的检测算法，通过该检测算法对“失联木马”进行检测判定，并采用5种常规机器学习分类算法对采集到的网络流量数据进行了分类实验对比，实验结果表明本发明基于网络行为特征的“失联木马”检测技术检测效果更加简洁高效，精确率更高。

公开(公告)号：CN116991475A

公开(公告)日：2023-11-03

申请号：CN202310803011.2

申请日：2023-06-30

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 蔡瑞杰 ,  贾凡 ,  尹小康 ,  杨启超 ,  盖贤哲 ,  陈宏伟 ,  李秉政 ,  贾志鹏 ,  蒋思康 ,  刘胜利

IPC: G06F9/30

Abstract: 本发明公开了一种基于函数调用指令特征分析的固件指令集架构识别方法，涉及嵌入式设备固件指令集架构识别技术领域，通过多架构函数调用指令识别和认证模块对输入进行分析，获取目标文件中包含的所有受支持指令集架构的函数调用指令数量，并依据该结果计算出所有受支持架构的函数调用指令数量积分值，经由投票辅助判别模块分析和最终结果有效性判定后，将最终识别结果输出。本发明方法具有更高的识别正确率、更低的误报率并具备更强的抗干扰能力。

公开(公告)号：CN116974909A

公开(公告)日：2023-10-31

申请号：CN202310701573.6

申请日：2023-06-13

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 尹小康 ,  李龙飞 ,  蔡瑞杰 ,  朱肖雅 ,  刘胜利

IPC: G06F11/36

Abstract: 本发明公开了一种基于ReFuncEm的二进制函数嵌入优化设计方法，涉及网络安全技术领域，包括以下步骤：首先针对给定的二进制函数构建关于调用者‑被调用者的函数关系，再实现函数嵌入的预生成，之后将被调用者的嵌入和调用者的嵌入连接起来构建一个嵌入矩阵，并对该嵌入矩阵进行归一化处理生成灰度图像；最后将生成的灰度图像送至T‑DPCNN处理后生成一个更精细的函数嵌入。本发明方法不改变现有方法，具有高度的通用性，能够即插即用，能够应用于更多生产函数嵌入但未融合子函数信息的模型；并将更多的子函数信息并入函数嵌入，进一步的提高函数嵌入的准确性。

公开(公告)号：CN116595532A

公开(公告)日：2023-08-15

申请号：CN202310213709.9

申请日：2023-03-07

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 蔡瑞杰 ,  刘雅静 ,  尹小康 ,  朱肖雅 ,  蒋蜜 ,  刘胜利

IPC: G06F21/57

Abstract: 本发明属于漏洞攻击检测技术领域，具体涉及一种基于反弹shell行为分析的漏洞攻击检测方法。该方法基于漏洞攻击与反弹shell行为的关联性，首先根据融合信息特征向量检测反弹shell流量；然后根据两阶段会话关系特征回溯漏洞攻击流量。另外，本发明还提出了一种基于二分K‑means算法的流量分层方法，可将漏洞利用不同阶段流量进行可视化，从而有效提升该方法的可解释性。在十次漏洞攻击反弹shell实验中，该方法检测出其中九次漏洞攻击，与使用循环神经网络检测早期漏洞攻击流量的方法Blatta相比，检测率提升50%，且检测效果不受漏洞具体类型和流量加密方式影响。

公开(公告)号：CN113641995B

公开(公告)日：2022-12-09

申请号：CN202110775693.1

申请日：2021-07-08

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 蔡瑞杰 ,  李鹏宇 ,  尹小康 ,  何杰 ,  郭世臣 ,  刘胜利

IPC: G06F21/56 ,  G06F21/52 ,  G06F21/57

Abstract: 本发明根据Cisco IOS指令特点，提出了一种面向Cisco IOS的ROP攻击定位与代码捕获方法，利用哈希表对函数返回地址的记录和验证，增加了返回地址内存指针的记录作为哈希查找的索引，提高了影子内存查找效率，并且能够防止返回地址副本的篡改。对本文的方法在虚拟仿真器上进行了实现，通过真实ROP攻击样例对方法进行了验证，可以在不依赖静态分析的前提下，对准确定位ROP攻击，并且具备一定的ROP攻击代码的捕获能力，运用该方法实现的系统CROPDS，通过模拟执行Cisco IOS生成的虚拟路由器，可作为蜜罐直接在互联网中进行部署，对Cisco IOS所遭受的ROP攻击执行流程进行捕获，便于对缓冲区溢出漏洞的发现和漏洞利用。

公开(公告)号：CN115167916A

公开(公告)日：2022-10-11

申请号：CN202210508164.X

申请日：2022-04-27

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘胜利 ,  朱肖雅 ,  蔡瑞杰 ,  杨启超 ,  赵方方 ,  郭世臣 ,  郭茜茜

IPC: G06F8/75 ,  G06F8/53 ,  G06F8/41 ,  G06K9/62

Abstract: 本发明属于模块化分析技术领域，具体涉及一种面向二进制程序的模块化方法。本发明借用社团检测思想进行二进制程序模块化，设计二进制程序模块化模型BinMod，通过对二进制程序函数的分析，提取了四种函数依赖关系：直接调用依赖、共引关系依赖、数据引用依赖以及代码局部依赖，并根据函数依赖关系构建函数依赖图，以更好地恢复程序中的模块。并借用社团检测的思想对函数依赖图进行模块化，分别按照相似邻居移动、基于模块度增益的局部移动以及模块组合完成二进制程序的模块化。结果表明本发明方法在模块划分效果以及时间效率方面，明显优于FCA模块化方法以及BCD模块化方法。

公开(公告)号：CN114490328A

公开(公告)日：2022-05-13

申请号：CN202111606858.9

申请日：2021-12-27

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘胜利 ,  胡安祥 ,  陆炫廷 ,  何杰 ,  蔡瑞杰 ,  杨启超 ,  尹小康 ,  朱肖雅

IPC: G06F11/36

Abstract: 本发明属于后门检测技术领域，具体涉及一种基于语义冲突的硬编码后门检测方法。该方法从常用的字符串比较函数出发，结合MIPS和ARM指令集的特点，利用函数的调用关系、控制流图和分支选择依赖的字符串，识别固件中的口令后门。采用本发明方法对收集的1191个设备固件进行了测试，结果表明，本发明方法具有更好的检测效果，能够从数据集中成功检测出8个固件后门口令，召回率达到88.89%，远远优于其他后门检测方法。本发明方法既可以自动化大规模检测固件，又降低了误报率。

公开(公告)号：CN113641995A

公开(公告)日：2021-11-12

申请号：CN202110775693.1

申请日：2021-07-08

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 蔡瑞杰 ,  李鹏宇 ,  尹小康 ,  何杰 ,  郭世臣 ,  刘胜利

IPC: G06F21/56 ,  G06F21/52 ,  G06F21/57

Abstract: 本发明根据Cisco IOS指令特点，提出了一种面向Cisco IOS的ROP攻击定位与代码捕获方法，利用哈希表对函数返回地址的记录和验证，增加了返回地址内存指针的记录作为哈希查找的索引，提高了影子内存查找效率，并且能够防止返回地址副本的篡改。对本文的方法在虚拟仿真器上进行了实现，通过真实ROP攻击样例对方法进行了验证，可以在不依赖静态分析的前提下，对准确定位ROP攻击，并且具备一定的ROP攻击代码的捕获能力，运用该方法实现的系统CROPDS，通过模拟执行Cisco IOS生成的虚拟路由器，可作为蜜罐直接在互联网中进行部署，对Cisco IOS所遭受的ROP攻击执行流程进行捕获，便于对缓冲区溢出漏洞的发现和漏洞利用。

公开(公告)号：CN118886016A

公开(公告)日：2024-11-01

申请号：CN202410916122.9

申请日：2024-07-09

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 赵坤鹏 ,  尹小康 ,  蔡瑞杰 ,  刘胜利

IPC: G06F21/57 ,  G06F18/24 ,  G06F18/214 ,  G06F40/289 ,  G06N3/0455 ,  G06N3/08

Abstract: 本发明涉及互联网安全技术领域，特别涉及一种基于Transformer语言模型的源代码漏洞检测方法及系统，获取代码样本数据，并对代码样本数据中的漏洞类型标注类别标签，以构建漏洞检测样本数据集；构建多分类CodeBERT模型，并利用漏洞检测样本数据集对多分类CodeBERT模型进行训练，将训练后的多分类CodeBERT模型作为漏洞检测目标模型，其中，所述多分类CodeBERT模型基于RoBERTa分词器和Transformer语言模型构建；将待检测的源代码输入至漏洞检测目标模型中，利用漏洞检测目标模型识别并输出待检测源代码中的漏洞类别。本发明能够充分考虑源代码的深层语义、结构、语法特征，利用微调后的模型较好的标源代码漏洞挖掘检测，在软件安全领域具有较好的应用前景。

公开(公告)号：CN118643325A

公开(公告)日：2024-09-13

申请号：CN202410647734.2

申请日：2024-05-23

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘世昊 ,  刘胜利 ,  蔡瑞杰 ,  尹小康 ,  刘明 ,  杨启超

IPC: G06F18/214 ,  G06F18/2431 ,  G06F18/2415 ,  G06F18/25 ,  G06F18/15 ,  G06N3/0475 ,  G06N3/094 ,  G06N3/045 ,  G06N3/0464 ,  G06N3/084 ,  H04L41/16 ,  H04L47/2441 ,  H04L9/40 ,  G06N3/048

Abstract: 本发明涉及网络安全技术领域，特别涉及一种基于WSAGAN的类别不平衡加密流量数据增强方法及系统，使用真实加密流量样本数据对生成对抗网络进行迭代训练，获得生成对抗网络模型，其中，生成对抗网络中，在生成器和鉴别器中利用自注意力机制捕捉输入数据序列中的距离依赖关系并动态生成融合特征向量，生成器基于随机噪声向量和真实加密流量样本数据生成伪加密流量数据，鉴别器衡量真实加密流量数据和伪加密流量数据之间差异，基于差异并利用反向传播算法更新生成器参数，并通过迭代训练过程使鉴别器衡量的生成器重新生成的伪加密流量数据和真实加密流量数据差异满足预设条件；使用生成对抗网络模型生成扩充加密流量样本数据，基于扩充加密流量样本数据与真实加密流量样本数据组建增强加密流量样本数据集。本发明通过生成流量样本来弥补少数类的样本缺失，确保每个类样本数的均衡，以缓解数据集类别不平衡导致分类器过多关注多数类而忽略少数类的问题。