公开(公告)号：CN104333862B

公开(公告)日：2018-03-16

申请号：CN201310308447.0

申请日：2013-07-22

Applicant: 中国科学院信息工程研究所

Inventor： 朱大立 ,  冯维淼 ,  祁峰 ,  朱海涛 ,  范伟 ,  张超 ,  闫国星

IPC: H04W12/06 ,  H04W48/16

Abstract: 本发明公开了一种无线局域网细粒度管控方法，本方法为：1）采用一无线拓扑透视扫描模块扫描待管控无线局域网的无线拓扑结构；2）阻断帧发射模块根据无线拓扑结构建立一阻断接入点列表和一阻断终端列表；3）阻断帧发射模块根据所需阻断方式向所设定待阻断的接入点和终端循环发送相应的阻断帧。如果所需阻断方式为去关联的阻断方式，设置帧前同步，将待阻断AP和STA的MAC地址填充到帧头信息中，生成管理帧；如果是去认证的阻断方式，则设置帧前同步，设置指定的AP和STA的MAC地址，将待阻断的AP和STA的MAC地址填充到帧头信息中，生成管理帧。本发明能够针对指定的非授权接入点或终端发送阻断帧，有效地进行细粒度的管控。

公开(公告)号：CN107562616A

公开(公告)日：2018-01-09

申请号：CN201710601966.4

申请日：2017-07-21

Applicant: 中国科学院信息工程研究所

Inventor： 马璐萍 ,  冯维淼 ,  李莹 ,  朱大立 ,  邱峰

IPC: G06F11/36 ,  G06F21/57

Abstract: 本发明提供一种UAF漏洞利用判断方法及装置，其中，所述方法包括：分析移动终端操作系统的内存分配方式、系统中存在UAF漏洞的函数、所述函数的参数以及所述函数的使用场景，构造用于覆盖已被异常释放的内存区域的第一函数序列运行样本；运行所述第一函数序列运行样本，确认所述内存区域被成功覆盖；分析所述第一函数序列运行样本在运行过程中所产生的可控对象的内容，构造用于控制系统进程的执行流程的第二函数序列运行样本；运行所述第二函数序列运行样本，确认UAF漏洞能够被利用。本发明提出的UAF漏洞利用判断方法及装置，可以有效评估UAF漏洞的可利用性，促使安全研究人员及时采取保护措施对系统进行安全加固。

公开(公告)号：CN104166862B

公开(公告)日：2017-07-18

申请号：CN201310182410.8

申请日：2013-05-16

Applicant: 中国科学院信息工程研究所

Inventor： 张艳芳 ,  王思叶 ,  冯维淼 ,  祁峰 ,  苗春卫

IPC: G06K17/00

Abstract: 本发明公开了一种基于有源和无源的RFID数据采集和监控的方法。本方法为：1)在监控场所内布设若干读写器；数据采集端设有一接口库，包括统一接口函数格式编写的读写器接口；2)数据采集端调用读写器打开接口，驱动读写器采集标签数据；3)数据采集端对采集的标签数据检查是否已录入到标签列表中，如果未录入则将其录入到该标签列表中；如果已录入，则查看该标签数据在设定时间阈值内是否已经出现，如果出现，则放弃添加该标签且将该标签数据的时间改为当前时间，否则继续将该标签录入到该标签列表中；4)数据采集端将该标签列表中的标签数据进行数据格式一致化处理后发送给服务器端。本方法对数据采集和监控效率高，且有源标签寿命长。

公开(公告)号：CN106022130A

公开(公告)日：2016-10-12

申请号：CN201610340040.X

申请日：2016-05-20

Applicant: 中国科学院信息工程研究所

Inventor： 朱大立 ,  李莹 ,  冯维淼 ,  邓习海 ,  郭辰阳

IPC: G06F21/56

CPC classification number: G06F21/566 ,  G06F2221/033

Abstract: 本发明公开了一种加固应用程序的脱壳方法及装置，本发明首先安装并运行加固应用程序，触发启动关键进程，并获取关键进程的进程标识号，暂停关键进程，之后利用进程标识号监控关键进程，定位关键函数，获取每个关键函数所在的内存段；再根据可执行文件的头部特征，对每个关键函数所在的内存段进行特征匹配，筛选出目的内存段；其中目的内存段对应于加固应用程序可执行文件所在的内存段；最后对目的内存段进行脱壳还原，得到加固前的原始应用程序的可执行文件。本发明适用于新的Android运行时环境，不需要考虑运行时动态修改可执行文件的情况，不需要修改Android系统源码，并且不依赖于不同加固服务厂商的加固特征，实现对加固应用程序的有效脱壳。

公开(公告)号：CN104333862A

公开(公告)日：2015-02-04

申请号：CN201310308447.0

申请日：2013-07-22

Applicant: 中国科学院信息工程研究所

Inventor： 朱大立 ,  冯维淼 ,  祁峰 ,  朱海涛 ,  范伟 ,  张超 ,  闫国星

IPC: H04W12/06 ,  H04W48/16

CPC classification number: H04W12/08 ,  H04W12/12 ,  H04W48/10 ,  H04W48/16 ,  H04W84/12

Abstract: 本发明公开了一种无线局域网细粒度管控方法，本方法为：1）采用一无线拓扑透视扫描模块扫描待管控无线局域网的无线拓扑结构；2）阻断帧发射模块根据无线拓扑结构建立一阻断接入点列表和一阻断终端列表；3）阻断帧发射模块根据所需阻断方式向所设定待阻断的接入点和终端循环发送相应的阻断帧。如果所需阻断方式为去关联的阻断方式，设置帧前同步，将待阻断AP和STA的MAC地址填充到帧头信息中，生成管理帧；如果是去认证的阻断方式，则设置帧前同步，设置指定的AP和STA的MAC地址，将待阻断的AP和STA的MAC地址填充到帧头信息中，生成管理帧。本发明能够针对指定的非授权接入点或终端发送阻断帧，有效地进行细粒度的管控。

公开(公告)号：CN104333858A

公开(公告)日：2015-02-04

申请号：CN201310308473.3

申请日：2013-07-22

Applicant: 中国科学院信息工程研究所

Inventor： 朱大立 ,  朱海涛 ,  祁峰 ,  冯维淼 ,  范伟

IPC: H04W12/00 ,  H04W74/08

CPC classification number: H04W12/00 ,  H04L63/0876 ,  H04W48/16 ,  H04W72/0406 ,  H04W74/002 ,  H04W74/0808

Abstract: 本发明公开了一种基于去关联/去认证帧的信道资源控制方法。本方法为：1）修改阻断设备的网卡驱动，使阻断设备能够以不大于短帧间间隔SIFS发送关联/去认证帧；2）阻断设备扫描周围的无线局域网环境，获取在待阻断信道工作的接入点AP和终端STA的MAC地址；3）阻断设备针对每一信道建立一包含该信道所有待阻断接入点AP和终端STA的MAC地址的信道MAC地址列表；4）对于每一待阻断信道，阻断设备将该信道的信道MAC地址列表中的MAC地址按照成帧规则填充至去关联/去认证帧后发送到对应的待阻断信道。本发明大大提高了涉密单位或地区的信息安全性，且对周围电磁环境的影响小。

公开(公告)号：CN103391216A

公开(公告)日：2013-11-13

申请号：CN201310295825.6

申请日：2013-07-15

Applicant: 中国科学院信息工程研究所

Inventor： 张珠君 ,  冯维淼 ,  张萌 ,  黄伟庆 ,  刘浩

IPC: H04L12/24 ,  H04L29/06

Abstract: 本发明涉及一种违规外联实时报警及阻断方法，其步骤为：1）内网主机客户端根据多种外联方式实时监控内网计算机的联网行为；2）内网主机客户端采用libnet函数库向外网报警监控端主动发送加密报警数据包，探测内网计算机是否发生外联行为，并对违规外联行为进行报警；3）内网主机客户端对收到报警的内网主机进行底层抓包得到所有流经每个主机上网卡的数据包，判断违规外联行为；4）对已判断为违规外联行为的主机网卡实施阻断。在违规外联监控方面，本发明实时性更高，监控性能好。提高了系统中报警数据包的安全性和传输效率，有效避免了报警信息被窃取带来的泄密风险。同时提高了软件自身安全性能，软件具有防屏蔽和防卸载能力。

公开(公告)号：CN107122667B

公开(公告)日：2020-02-14

申请号：CN201710136475.7

申请日：2017-03-08

Applicant: 中国科学院信息工程研究所

Inventor： 孙德刚 ,  郭辰阳 ,  朱大立 ,  冯维淼 ,  荆鹏飞

IPC: G06F21/57

Abstract: 本发明提供一种应用漏洞检测方法及系统，该方法包括：基于预设的混合应用分析规则，分析待检测混合应用的开发框架，得到所述待检测混合应用所使用的目标开发框架类型；基于所述目标开发框架类型对应的各个预设数据输入源，确定所述待检测混合应用中含有的各目标数据输入源；基于预设的调用路径分析工具，对所述各目标数据输入源进行分析，得到所述各目标数据输入源的各个调用路径；基于预设的漏洞检测规则，检测所述各目标数据输入源的各个调用路径上存在的漏洞。本发明通过判定混合应用所使用的开发框架类型，对所述开发框架类型对应的数据输入源的调用路径上存在的漏洞进行检测，使漏洞检测过程可以调整模式并且提高漏洞检测的准确性。

公开(公告)号：CN106295354B

公开(公告)日：2019-09-27

申请号：CN201610645266.0

申请日：2016-08-08

Applicant: 中国科学院信息工程研究所

Inventor： 朱大立 ,  李莹 ,  冯维淼 ,  郭辰阳 ,  邓习海

IPC: G06F21/57

Abstract: 本发明提供一种Android系统的堆溢出漏洞验证装置和方法，包括：漏洞检测模块，用于向堆缓冲区填写第一输入样本，检测是否发生堆溢出，以确定堆溢出漏洞的存在性；利用判定模块，用于根据漏洞检测模块的结果，向堆缓冲区填写第二输入样本，通过执行漏洞引发Android系统的系统进程崩溃，以确定堆溢出漏洞被利用的可能性；利用验证模块，用于根据利用判定模块的结果，向堆缓冲区填写第三输入样本，通过执行漏洞控制Android系统的系统进程的执行流程，以验证堆溢出漏洞的可利用性。本申请可以有效判断Android系统是否存在特定的堆溢出漏洞，能否被攻击者利用，评估堆溢出漏洞给Android系统带来的安全风险，提升系统安全性。

公开(公告)号：CN107016283B

公开(公告)日：2019-09-10

申请号：CN201710082058.9

申请日：2017-02-15

Applicant: 中国科学院信息工程研究所

Inventor： 朱大立 ,  李莹 ,  冯维淼 ,  杨莹 ,  金昊

IPC: G06F21/55 ,  G06F21/57

Abstract: 本发明涉及一种基于完整性验证的Android权限提升攻击安全防御方法和装置，该方法包括：实时检测应用程序是否正在执行与敏感内核函数相关的系统调用；对系统调用要执行的敏感内核函数进行完整性验证；检测所述敏感内核函数相对应的内核函数指针的准确性和可靠性；判断所述内核函数指针所指向的内存区域是否存在具备权限提升攻击特征的指令；对检测到的应用程序权限提升攻击行为进行告警和拦截。本发明实时检测恶意程序的权限提升攻击行为并进行告警和拦截，防止攻击行为对Android系统造成的破坏，有效保护了应用和数据的安全。本发明降低了权限提升漏洞给Android系统带来的安全威胁，提升了Android系统的安全性。