公开(公告)号：CN112291066B

公开(公告)日：2022-02-01

申请号：CN202011181333.0

申请日：2020-10-29

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  孟慧石 ,  贾晓启 ,  黄庆佳 ,  武希耀 ,  孙慧琪 ,  杜海超 ,  王睿怡 ,  谢静

IPC: H04L9/32 ,  H04W12/069

Abstract: 本申请实施例中提供了一种数据发送方法、接收方法、终端设备及电子设备，在发送数据时，首先封装生成IP数据包，然后基于预共享密钥以及所述IP数据包中的业务数据段运算生成第一认证码，以使接收到所述IP数据包的接收端基于所述第一认证码对所述IP数据包进行认证；再将所述第一认证码插入所述IP数据包，生成并发送IP报文；从而在预设群体用户范围内，通过设置相同的预共享密钥，实现信息安全认证，因此，本申请实施例技术方案具有提高信息传播安全性的技术效果。

公开(公告)号：CN108197473B

公开(公告)日：2021-12-28

申请号：CN201711420183.2

申请日：2017-12-25

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  黄庆佳 ,  台建玮 ,  周广哲 ,  杜海超 ,  唐静 ,  周梦婷 ,  解亚敏

IPC: G06F21/56

Abstract: 本发明涉及一种抗干扰的环境敏感型恶意软件行为相似性评测方法和装置。该方法包括以下步骤：1)将可疑软件放置于多种不同的执行环境中，记录可疑软件的行为序列；2)对可疑软件的行为序列进行规范化处理；3)对可疑软件的行为序列进行去干扰处理；4)计算并比较去干扰处理后的行为序列的相似性；5)基于行为序列的相似性，判断可疑软件是否为环境敏感型恶意软件。本发明能够有效的消除恶意软件的大量干扰行为，准确计算行为序列的相似性，使得对该类型恶意软件的检测更准确；同时该方法对恶意软件行为序列的规范化处理，消除了不同系统间的语义偏差，具有良好的可用性和普适性，降低了检测成本。

公开(公告)号：CN112506531A

公开(公告)日：2021-03-16

申请号：CN202011440013.2

申请日：2020-12-11

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  贾晓启 ,  黄庆佳 ,  台建玮 ,  武希耀 ,  孙慧琪 ,  赵崇名

IPC: G06F8/61 ,  G06F21/44

Abstract: 本申请实施例提供了一种软件安装方法、装置、电子设备和存储介质，该软件安装方法应用于软件安装系统中的电子设备，所述软件安装系统还包括可信监视系统，所述电子设备包括可信执行系统，所述可信执行系统包括可信执行内核，电子设备在安装软件包之前，通过所述可信执行内核对待安装的软件包的签名信息进行签名验证，其中，签名信息是由可信监视系统对待安装的软件包进行可信应用签名获得的。在签名验证通过之后，再通过所述可信执行内核对待安装的软件包进行安装，若签名验证不通过，则可信执行内核阻止软件安装，从而可以避免在电子设备上安装一些恶意的或不可信的应用软件，避免用户的个人隐私和财产安全受到威胁。

公开(公告)号：CN112134777A

公开(公告)日：2020-12-25

申请号：CN202010942922.X

申请日：2020-09-09

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  孟慧石 ,  贾晓启 ,  侯锐 ,  黄庆佳 ,  武希耀 ,  周梦婷 ,  杜海超 ,  白璐

IPC: H04L12/46 ,  H04L29/06

Abstract: 本申请实施例中提供了一种可信IPSec模组与VPN隧道构建方法。采用本申请中的方案，将终端设备中的IPSec模组设置为包括运行于REE驱动环境的REE功能组，及运行于TEE驱动环境的TEE功能组；所述REE功能组包括IPSec协议封装解析模组及TCP/IP协议栈，所述TEE功能组包括IPSec核心模块；同时还设置有分别与所述IPSec协议封装解析模组、所述IPSec核心模块连接的存储模块。在构建VPN隧道时，利用TEE驱动环境的硬件隔离、系统隔离等功能，将关键数据和处理过程置于TEE驱动环境中处理；同时，将通用的IPSec协议封装解析处理过程，以及对TCP/IP协议栈的数据调取处理过程置于REE驱动环境中处理，实现一方面减轻TEE系统负载，另一方面确保关键数据信息的安全稳定，保障通信安全及提高通信效率的技术效果。

公开(公告)号：CN111638936A

公开(公告)日：2020-09-08

申请号：CN202010299302.9

申请日：2020-04-16

Applicant: 中国科学院信息工程研究所

Inventor： 张伟娟 ,  贾晓启 ,  武希耀 ,  孙慧琪 ,  杜海超 ,  黄庆佳 ,  唐静 ,  白璐 ,  周梦婷 ,  赵崇明 ,  解亚敏 ,  孟丹

IPC: G06F9/455

Abstract: 本发明涉及一种基于内置安全体系结构的虚拟机静态度量方法和装置。该方法包括：在物理主机启动过程中，安全独立设备对宿主机系统和虚拟化软件进行安全度量，确保宿主机系统和虚拟化软件的可信；宿主机系统和虚拟化软件确定需要度量的虚拟机核心文件；解析虚拟机镜像文件，提取出需要度量的虚拟机核心文件内容，对其进行安全度量，生成度量值；如果判断虚拟机为初次启动，将度量值作为基准值存入到安全独立设备中，并启动虚拟机；如果判断为非初次启动，将度量值和安全独立设备中的基准值进行校验，校验失败则取消虚拟机的启动，校验成功则启动虚拟机。本发明能够实现虚拟机静态度量机制向虚拟机的延伸，增强虚拟机的安全性。

公开(公告)号：CN107239696B

公开(公告)日：2019-07-19

申请号：CN201710233167.6

申请日：2017-04-11

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  郑小妹 ,  白璐 ,  杜海超 ,  唐静 ,  武希耀 ,  黄庆佳

IPC: G06F21/53 ,  G06F21/57

Abstract: 本发明涉及一种针对虚拟化超级调用函数的漏洞热修复方法。该方法包括：1)根据Xen系统的e820表计算Xen物理内存起始地址；2)根据计算出的Xen物理内存起始地址及Xen内存分布，计算超级调用表的虚拟地址所映射到的物理地址；3)通过特权域Domain0获取补丁机器码，并将补丁写入内存，记录补丁函数的物理地址；4)根据待修复的超级调用处理函数对应的超级调用号，计算待修复的超级调用处理函数在超级调用表中对应的物理地址；5)通过特权域Domain0更新超级调用表，从而实现对超级调用处理函数的漏洞热修复。本发明能够准确地修复虚拟化平台漏洞，无需重启机器，保证了虚拟化平台上虚拟机的正常运行。

公开(公告)号：CN108197473A

公开(公告)日：2018-06-22

申请号：CN201711420183.2

申请日：2017-12-25

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  黄庆佳 ,  台建玮 ,  周广哲 ,  杜海超 ,  唐静 ,  周梦婷 ,  解亚敏

IPC: G06F21/56

Abstract: 本发明涉及一种抗干扰的环境敏感型恶意软件行为相似性评测方法和装置。该方法包括以下步骤：1)将可疑软件放置于多种不同的执行环境中，记录可疑软件的行为序列；2)对可疑软件的行为序列进行规范化处理；3)对可疑软件的行为序列进行去干扰处理；4)计算并比较去干扰处理后的行为序列的相似性；5)基于行为序列的相似性，判断可疑软件是否为环境敏感型恶意软件。本发明能够有效的消除恶意软件的大量干扰行为，准确计算行为序列的相似性，使得对该类型恶意软件的检测更准确；同时该方法对恶意软件行为序列的规范化处理，消除了不同系统间的语义偏差，具有良好的可用性和普适性，降低了检测成本。

公开(公告)号：CN111796911B

公开(公告)日：2024-07-30

申请号：CN202010652391.0

申请日：2020-07-08

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  黄庆佳 ,  贾紫倩 ,  张伟娟 ,  解亚敏 ,  白璐 ,  孙慧琪

IPC: G06F9/455 ,  G06F11/36 ,  G06F21/57

Abstract: 本发明提供一种面向云平台中虚拟设备的攻击检测方法及电子装置，包括：在一虚拟设备上运行一I/O指令，使用Intel PT技术收集控制流相关的信息并对产生的数据包解码，得到条件跳转信息和间接跳转信息；依据条件跳转信息、间接跳转信息与所述虚拟设备的基线模型，检测所述I/O指令的合法性。本发明使用硬件技术Intel PT高效收集程序执行时控制流相关的信息，从而降低收集操作带来的性能开销；使用模糊测试技术构建虚拟设备的基线模型，可以在避免繁重的人工分析的基础上有效检测未知攻击；基于与虚拟设备执行过程合法性相关的影响因素设计了阈值公式，并进一步构建了判断方法，有效地提升了检测率。

公开(公告)号：CN115495731A

公开(公告)日：2022-12-20

申请号：CN202211046240.6

申请日：2022-08-30

Applicant: 中国科学院信息工程研究所

Inventor： 宋振宇 ,  徐少文 ,  郭璇 ,  刘歌 ,  贾晓启 ,  黄庆佳 ,  杜海超 ,  周梦婷 ,  王睿怡 ,  唐静

IPC: G06F21/55

Abstract: 本发明公开了一种面向容器主机平台的轻量级攻击检测方法及装置。所述方法包括获取被监控函数和需要监控的漏洞信息；根据所述漏洞信息的名称，通过创建vulner_info结构体，以使相应的private结构体中存储需要检查的系统调用参数；当内核在即将执行所述被监控函数时，调用回调函数，以使所述回调函数获取所述被监控函数在执行过程中产生的系统调用参数值；将private结构体的地址传递给回调函数，以使回调函数访问所述private结构体；将所述系统调用参数值与所述需要检查的系统调用参数进行比对，得到所述被监控函数的攻击检测结果。本发明实现了较小的性能开销的基础上，完成逃逸攻击的检测。

公开(公告)号：CN115473688A

公开(公告)日：2022-12-13

申请号：CN202210975910.6

申请日：2022-08-15

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  宋振宇 ,  黄庆佳 ,  杜海超 ,  周梦婷 ,  刘歌 ,  郭璇 ,  王明慧 ,  侯恩泽 ,  宋超然

IPC: H04L9/40 ,  H04L45/02 ,  H04L45/12 ,  H04L45/645 ,  H04L45/76 ,  H04L47/125

Abstract: 本发明提出了一种面向软件定义网络的异常检测方法、装置及设备，应用于互联网技术领域。所述方法包括：获取软件定义网络的网络拓扑；将各节点所存储的链路属性转换为表示网络流量情况的时间序列数据，并使用固定的滑动窗口大小对时间序列数据进行切分，通过比较时序片段的预测值和真实观测值之间的相对误差，判断软件定义网络中所有节点间的链路状态是否存在异常；计算网络拓扑中的中心节点，并根据链路状态异常情况以及节点之间的连接关系，得到所述网络拓扑中的异常节点；基于中心节点和异常节点的流表信息，识别软件定义网络中的异常行为。本发明实现了平衡网络负载和异常检测的精度。