公开(公告)号：CN113138835B

公开(公告)日：2024-01-16

申请号：CN202110378538.6

申请日：2021-04-08

Applicant: 中国科学院信息工程研究所

Inventor： 丁振全 ,  郝志宇 ,  程丰 ,  屈天恒 ,  刘永继 ,  蒋建华

IPC: G06F9/455 ,  G06F11/30

Abstract: 本发明公开了一种基于IPT与虚拟机自省的API调用监控方法及系统。本方法为：当创建虚拟机时，KVM进入虚拟机模式，IPT开始进行追踪，执行a)～b)；当KVM退出虚拟机模式回到根模式的时候，IPT停止追踪；其中：a)获取虚拟机内部当前运行的进程，得到所监控API的虚拟地址；b)将所监控API与API虚拟地址的对应关系写入第一哈希表中，将进程CR3的值与对应进程间的映射关系写入第二哈希表中，并且监听进程CR3的值的变化；2)对IPT追踪数据进行解码，然后根据哈希表从解码数据中获取进程的API序列调用；3)将进程的API调用序列与设定高危进程的API序列匹配，根据匹配结果确定虚拟机的安全状态。

公开(公告)号：CN113138835A

公开(公告)日：2021-07-20

申请号：CN202110378538.6

申请日：2021-04-08

Applicant: 中国科学院信息工程研究所

Inventor： 丁振全 ,  郝志宇 ,  程丰 ,  屈天恒 ,  刘永继 ,  蒋建华

IPC: G06F9/455 ,  G06F11/30

Abstract: 本发明公开了一种基于IPT与虚拟机自省的API调用监控方法及系统。本方法为：当创建虚拟机时，KVM进入虚拟机模式，IPT开始进行追踪，执行a)～b)；当KVM退出虚拟机模式回到根模式的时候，IPT停止追踪；其中：a)获取虚拟机内部当前运行的进程，得到所监控API的虚拟地址；b)将所监控API与API虚拟地址的对应关系写入第一哈希表中，将进程CR3的值与对应进程间的映射关系写入第二哈希表中，并且监听进程CR3的值的变化；2)对IPT追踪数据进行解码，然后根据哈希表从解码数据中获取进程的API序列调用；3)将进程的API调用序列与设定高危进程的API序列匹配，根据匹配结果确定虚拟机的安全状态。

公开(公告)号：CN106843806B

公开(公告)日：2019-04-26

申请号：CN201611186222.2

申请日：2016-12-20

Applicant: 中国科学院信息工程研究所

Inventor： 彭亚琼 ,  郝志宇 ,  刘永继 ,  李大辉 ,  崔磊

IPC: G06F9/30 ,  G06F9/52

Abstract: 本发明公开了一种多核环境下基于数组结构的无等待栈操作方法。本方法为：1)主程序初始化代表栈的全局数组，即分配一个包含N个数组元素的段；2)启动m个线程，每个线程维护一存储自己运行状态的变量hi；该变量hi包含指针next、入栈伙伴指针和出栈伙伴指针；3)利用变量hi中的next指针，将该m个线程的运行状态链接为环状；4)该主程序等待接收线程对栈进行操作的请求；如果线程的操作请求为入栈请求，则执行无等待入栈操作；如果为出栈请求，则执行无等待出栈操作；如果销毁请求，则该主程序首先销毁栈，然后包括主程序在内的所有线程结束执行。本发明具有高并行度、低复杂度，为线程的操作提供无等待的进度保障。

公开(公告)号：CN108512811A

公开(公告)日：2018-09-07

申请号：CN201710107443.4

申请日：2017-02-27

Applicant: 中国科学院信息工程研究所

Inventor： 邓鑫 ,  郝志宇 ,  丁振全 ,  费海强 ,  刘永继 ,  李大辉

IPC: H04L29/06 ,  H04L12/46 ,  H04L12/24

Abstract: 本发明公开了一种基于SDN的虚拟网络隔离方法及SDN控制器，能够在多租户的数据中心网络中隔离各个租户的虚拟网络，使得每个租户都拥有完整得地址空间，保证服务质量的同时增加了虚拟网络的安全性。具有如下优点：1.通过覆盖网络技术实现网络之间隔离，无需对现有网络基础设施进行配置，减少人为干预，实现自动化隔离配置；2.支持租户网络数量大幅度增加；3.可以提供给用户整个ipv4地址空间，并且用户可以在自己租用的虚拟网络内部建立vlan；4.对于用户租用网络的带宽资源可以进行限制；5.给虚拟网络用户提供部分应用的服务质量保障功能，如音频视频等；6.提供管理员接口，管理员可以随时查看各个租户的网络状态。

公开(公告)号：CN109583056A

公开(公告)日：2019-04-05

申请号：CN201811366093.4

申请日：2018-11-16

Applicant: 中国科学院信息工程研究所

Inventor： 席荣荣 ,  郝志宇 ,  丁振全 ,  刘永继

IPC: G06F17/50 ,  H04L12/24

CPC classification number: G06F17/5009 ,  H04L41/145

Abstract: 本发明公开了一种基于仿真平台的网络攻防工具效能评估方法及系统。本方法为：1)构建网络攻击效能指标体系，其中，效能指标包括信息获取能力、权限提升能力、生存能力、对抗能力和破坏能力；2)基于仿真平台构建网络的仿真环境，并结合该网络攻击效能指标体系采集所需的数据信息，通过量化分析所得数据信息确定网络的信息获取能力、权限提升能力、生存能力、对抗能力和破坏能力；3)根据网络的信息获取能力、权限提升能力、生存能力、对抗能力和破坏能力计算得到网络攻击工具的效能评估结果。本发明能够实现对网络攻击效能客观而准确的综合评估。

公开(公告)号：CN106998264A

公开(公告)日：2017-08-01

申请号：CN201710092867.8

申请日：2017-02-21

Applicant: 中国科学院信息工程研究所

Inventor： 席荣荣 ,  郝志宇 ,  崔磊 ,  刘永继

IPC: H04L12/24 ,  G06F17/30 ,  G06F17/50

Abstract: 本发明提出一种基于动态信任模型的IP定位数据库可信度评估方法，包括以下步骤：(1)基于地理位置属性值对IP定位数据库的一致性进行分析；(2)基于IP定位数据库的当前行为和历史行为的一致性确定其直接可信度；(3)基于第三方实体的推荐信任度确定IP定位数据库的间接可信度；(4)基于IP定位数据库的直接可信度和间接可信度确定其综合可信度。本发明通过将IP定位数据库的可信度评估量化为动态信任模型实现了对于目前国内主流IP定位数据库在省级粒度上相对客观的可信度评估。

公开(公告)号：CN106843806A

公开(公告)日：2017-06-13

申请号：CN201611186222.2

申请日：2016-12-20

Applicant: 中国科学院信息工程研究所

Inventor： 彭亚琼 ,  郝志宇 ,  刘永继 ,  李大辉 ,  崔磊

IPC: G06F9/30 ,  G06F9/52

CPC classification number: G06F9/3004 ,  G06F9/526

Abstract: 本发明公开了一种多核环境下基于数组结构的无等待栈操作方法。本方法为：1)主程序初始化代表栈的全局数组，即分配一个包含N个数组元素的段；2)启动m个线程，每个线程维护一存储自己运行状态的变量hi；该变量hi包含指针next、入栈伙伴指针和出栈伙伴指针；3)利用变量hi中的next指针，将该m个线程的运行状态链接为环状；4)该主程序等待接收线程对栈进行操作的请求；如果线程的操作请求为入栈请求，则执行无等待入栈操作；如果为出栈请求，则执行无等待出栈操作；如果销毁请求，则该主程序首先销毁栈，然后包括主程序在内的所有线程结束执行。本发明具有高并行度、低复杂度，为线程的操作提供无等待的进度保障。

公开(公告)号：CN105607945A

公开(公告)日：2016-05-25

申请号：CN201510971407.3

申请日：2015-12-22

Applicant: 中国科学院信息工程研究所

Inventor： 丁振全 ,  郝志宇 ,  刘永继 ,  邓鑫

IPC: G06F9/455 ,  G06F21/53

CPC classification number: G06F9/45545 ,  G06F21/53

Abstract: 本发明涉及一种基于虚拟化的主机行为异步侦听截获系统和方法。该系统中，事件接收模块负责截获系统指令、拦截系统调用，并将收集的数据转送至数据异步缓冲模块，同时通知数据访问控制模块有新数据生成；数据异步缓冲模块负责异步接收存储系统指令、系统调用信息及虚拟机的基本信息；数据访问控制模块负责接收、分析数据生成指令，并将数据从数据异步缓冲模块中取出，发送至行为分析控制模块；动态更新模块负责动态更新行为检测策略；行为分析控制模块负责管理分析线程，根据动态更新模块生成的行为检测策略进行行为分析。本发明实现了细粒度的主机行为截获分析，能够减少对虚拟机性能的影响，提高行为分析的准确性与可靠性。

公开(公告)号：CN105550095A

公开(公告)日：2016-05-04

申请号：CN201510970176.4

申请日：2015-12-22

Applicant: 中国科学院信息工程研究所

Inventor： 丁振全 ,  郝志宇 ,  邓鑫 ,  刘永继

IPC: G06F11/30

CPC classification number: G06F11/301

Abstract: 本发明涉及一种基于虚拟化的主机行为主被动结合检测系统和方法。该系统包括主动监控获取数据模块、被动监控获取数据模块、数据转发模块和行为分析模块，其中主动监控获取数据模块采用主动监控方式主动获取虚拟机内部当前时刻的静态数据；被动监控获取数据模块采用异步侦听方式截获虚拟机内部的系统调用和系统指令数据；数据转发模块负责将本地获取的数据远程转发至行为分析服务器进行；行为分析模块接收数据转发模块发送的行为数据，并根据数据来源，动态控制分析线程对行为数据进行分析。本发明采用主动监控与被动监控相结合的方式，实现了具有透明性、实时性、灵活性等特点的集中式虚拟机监控机制。

公开(公告)号：CN105376101A

公开(公告)日：2016-03-02

申请号：CN201510917359.X

申请日：2015-12-10

Applicant: 中国科学院信息工程研究所

Inventor： 邓鑫 ,  郝志宇 ,  刘永继 ,  李大辉

IPC: H04L12/24 ,  H04L12/46

CPC classification number: H04L41/0803 ,  H04L12/4641 ,  H04L41/0813

Abstract: 本发明公开了一种实物设备接入虚拟网络的方法及系统。本方法：1)管理服务器对系统中的所有交换机设备基础信息和虚拟化服务器信息进行采集，构建系统的网络拓扑；2)管理服务器从收到的远程配置信息中得到新接入的实物设备、虚拟网络的接入点以及接入点对应的交换机，然后配置接入该实物设备的交换机的虚拟局域网VLAN，使得该实物设备与虚拟网络接入点处于同一虚拟局域网VLAN；然后对接入的该实物设备进行配置：如果该实物设备为终端设备，则将其IP地址配置为与虚拟网络接入点的IP地址在同一网段中；如果该实物设备为网络设备，则首先获取该实物设备的控制权之后改变该网络设备的配置信息，实现该网络设备能够与虚拟网络连通。