公开(公告)号：CN112565207A

公开(公告)日：2021-03-26

申请号：CN202011315413.0

申请日：2020-11-20

Applicant: 南京大学

Inventor： 伏晓 ,  林丽 ,  骆斌 ,  刘轩宇

IPC: H04L29/06 ,  H04L29/12 ,  G10L15/26 ,  G10L15/02 ,  G10L15/18 ,  G10L15/22

Abstract: 一种非侵入式的智能音箱安全取证系统及其方法，包括：网络流量分析模块、用户意图获取模块和取证分析模块；本方法验证了网络流量模式与智能音箱行为之间的一对一映射关系，使用将网络流量分析与用户意图提取及异常网络流量报警相结合的有效方法，来支持智能音箱安全监控。本方法可以很好地监测安全风险，保护用户隐私并增强智能音箱的安全性，并可以通过APP向用户发送有关风险或异常情况。

公开(公告)号：CN110750797A

公开(公告)日：2020-02-04

申请号：CN201910925931.5

申请日：2019-09-27

Applicant: 南京大学

Inventor： 伏晓 ,  陈濛 ,  骆斌

IPC: G06F21/60 ,  G06F21/62

Abstract: 本发明提供了一种基于组合加密的云数据库加密方法，将加法同态加密和乘法同态加密相结合,在一定程度上实现了全同态加密。在组合加密算法的基础上,添加了一层代理层,通过重写SQL语句,可以同时完成相同的操作,以减少密文更新的次数,减少客户端和数据库端之间的网络传输。本发明提高了算法的效率，发挥了云计算的计算能力和存储能力,而且最大限度地避免了云上的数据安全问题；可以同时完成相同的操作,减少了密文更新的次数,减少客户端和数据库端之间的网络传输；能够在运算之后进行其他运算；大大降低了网络传输和应用层更新密文的压力。

公开(公告)号：CN105184166B

公开(公告)日：2018-02-13

申请号：CN201510682288.X

申请日：2015-10-21

Applicant: 南京大学

Inventor： 伏晓 ,  阮豪 ,  骆斌 ,  周业茂

IPC: G06F21/56 ,  G06F21/55

Abstract: 本发明公开了基于内核的安卓程序实时行为分析方法以及能够实现该方法的行为分析系统，其中方法包括系统调用监控初始化步骤；内核系统调用拦截监控与解析步骤；基于解析结果生成信息日志步骤；基于信息日志的应用程序行为重构步骤。本发明通过在内核中拦截并解析系统调用，重构出应用程序的文件，网络以及安卓特有的进程间同行等行为，整个过程在内核中进行实时监控，保证行为获取的准确性，同时内核拥有最高的权限，恶意软件难以进行规避。本方法不修改安卓系统的任何代码，性能损耗低，实践证明本方法所产生的结果能作为取证的关键证据，以及提供恶意软件检测的依据。

公开(公告)号：CN106022116A

公开(公告)日：2016-10-12

申请号：CN201610313468.5

申请日：2016-05-12

Applicant: 南京大学

Inventor： 伏晓 ,  谢佳筠 ,  骆斌

IPC: G06F21/55

CPC classification number: G06F21/55

Abstract: 本发明公开了一种基于安卓程序应用间攻击的自动化补丁系统及方法，其中方法包括配置初始化步骤、路径提取步骤、关键点定位步骤、应用间攻击补丁步骤。本发明中系统运行在应用层，能够十分精确的捕获上层语义，进而识别出恶意的行为，并针对这种行为进行自动化补丁；同时使用双向控制，能够识别出较为丰富的攻击类型，具备较强的分析防护能力。本发明采用静态分析和动态防护相结合的方式，克服了以往方法针对应用内部恶意行为的不足，提供了一种针对应用间恶意攻击的防护方法，使得防护效果全面有效。

公开(公告)号：CN105184166A

公开(公告)日：2015-12-23

申请号：CN201510682288.X

申请日：2015-10-21

Applicant: 南京大学

Inventor： 伏晓 ,  阮豪 ,  骆斌 ,  周业茂

IPC: G06F21/56 ,  G06F21/55

Abstract: 本发明公开了基于内核的安卓程序实时行为分析方法以及能够实现该方法的行为分析系统，其中方法包括系统调用监控初始化步骤；内核系统调用拦截监控与解析步骤；基于解析结果生成信息日志步骤；基于信息日志的应用程序行为重构步骤。本发明通过在内核中拦截并解析系统调用，重构出应用程序的文件，网络以及安卓特有的进程间同行等行为，整个过程在内核中进行实时监控，保证行为获取的准确性，同时内核拥有最高的权限，恶意软件难以进行规避。本方法不修改安卓系统的任何代码，性能损耗低，实践证明本方法所产生的结果能作为取证的关键证据，以及提供恶意软件检测的依据。

公开(公告)号：CN104021063B

公开(公告)日：2015-03-11

申请号：CN201410202898.0

申请日：2014-05-14

Applicant: 南京大学

Inventor： 伏晓 ,  程盈心 ,  骆斌 ,  杨瑞 ,  阮豪

IPC: G06F11/30 ,  G06F9/455

Abstract: 一种基于硬件虚拟化的计算机模块化实时取证系统及其方法，包括初始化驱动、系统控制中心、系统支持模块组和取证功能模块组；本方法基于硬件虚拟化技术，在操作系统运行时通过初始化驱动搭建轻量化虚拟机，并在系统控制中心提供硬件虚拟化平台的支持和所有子模块的管理；系统支持模块组为取证模块组提供所有基础功能的支持；本方法规范了取证功能模块组的接口，支持模块的复用和扩展，使取证工具能够关注核心功能，减少大量重复工作；本发明不修改目标操作系统的任何代码，性能损耗低，内存占用少，建立了一个安全可信的实时取证基础平台，为各类基于虚拟化的取证工具的实现提供了便利。

公开(公告)号：CN104331664A

公开(公告)日：2015-02-04

申请号：CN201410696330.9

申请日：2014-11-27

Applicant: 南京大学

Inventor： 伏晓 ,  端一恒 ,  骆斌

IPC: G06F21/56

CPC classification number: G06F21/563

Abstract: 本发明提供了一种在取证场景下自动分析未知恶意程序特征的方法；包括下列步骤：1)选择关键动态链接库并建立动态链接库数据模型；2)对恶意软件进程进行聚类分析得到分类；3)获取恶意软件进程特征并进行取证分析。与现有的恶意软件分析取证方法相比，本发明通过对动态链接库数据进行聚类实现了在无先验知识的情况下基于恶意软件进程自身特点的自动分类，并能够通过频繁项集挖掘的方式，在高层语义上对恶意软件行为进行解释；此外，本发明还能为恶意软件取证提供信息和线索；本发明特别适用于无先验知识和大规模自动化取证的场景；实践证明在常规应用场景下，本方法能达到超过百分之九十以上的准确率而时间消耗仅为数秒。