公开(公告)号：CN112395614A

公开(公告)日：2021-02-23

申请号：CN202011351267.7

申请日：2020-11-27

Applicant: 南京理工大学

Inventor： 俞研 ,  吴超 ,  邓芳伟 ,  付安民 ,  苏铓

IPC: G06F21/56 ,  G06F8/30 ,  G06F8/41 ,  G06F8/73

Abstract: 本发明公开了一种基于LLVM的Android应用程序虚拟化保护方法，具体步骤为：步骤1、将待保护的函数加入到分级保护列表中；步骤2、将分级保护列表中的函数Native化；步骤3、将Native化的函数通过Clang编译器编译为LLVM IR，然后定制Pass抽取IR指令；步骤4、自定义指令集并且通过虚拟指令动态映射方法实现LLVM IR到自定义指令集的动态映射；步骤5、定制Pass进行自定义指令解释，并且将所有逻辑封装为动态链接库文件，打包到APK中。本发明解决了传统基于Dex文件虚拟化保护方法存在的安全性不足和运行性能较低的难题。

公开(公告)号：CN111190813A

公开(公告)日：2020-05-22

申请号：CN201911298364.1

申请日：2019-12-17

Applicant: 南京理工大学

Inventor： 俞研 ,  惠啸 ,  邓芳伟 ,  付安民 ,  苏铓 ,  张晗

IPC: G06F11/36

Abstract: 本发明公开了一种基于自动化测试的安卓应用网络行为信息提取系统及方法。该系统包括静态分析、字符串分析、测试用例生成和行为监控与信息提取等模块。方法为：静态分析模块通过对Android应用的Apk进行预处理，生成程序调用图，并以网络行为作为出发点对程序可能的执行路径进行探索，收集路径上的GUI驱动事件以及事件触发的条件；字符串分析模块对关键变量进行字符串求解，确定关键变量的实际值；测试用例生成模块根据收集的事件序列，生成覆盖网络行为执行路径的测试用例；将测试用例注入Davilk虚拟机，行为监控与信息提取模块在网络行为发生时拦截方法并提取相关信息。本发明提高了覆盖率、执行效率以及结果的准确率。

公开(公告)号：CN106453276B

公开(公告)日：2019-11-29

申请号：CN201610845935.9

申请日：2016-09-23

Applicant: 南京理工大学

Inventor： 付安民 ,  李帅 ,  俞研 ,  黄婵颖 ,  陈珍珠

IPC: H04L29/06 ,  G06F7/72

Abstract: 本发明提出一种基于单服务器的安全复合模指数外包计算方法，当用户想通过外包的方式解决模指数运算时，用户首先通过逻辑分割的方式来隐藏原始数据，然后将隐藏后原始数据即盲化数据发送给云服务器，云服务器收到盲化数据后，利用这些数据进行计算并将计算后的结果返回给用户，由用户验证云服务器返回的计算结果的正确性。本发明既避免了共谋攻击，又实现了输入信息和输出信息的隐私保护，并且提高了用户对外包计算结果的可验证概率。

公开(公告)号：CN109902487A

公开(公告)日：2019-06-18

申请号：CN201711296153.5

申请日：2017-12-08

Applicant: 南京理工大学

Inventor： 俞研 ,  黄兴远 ,  苏铓 ,  黄婵颖 ,  付安民 ,  王永利

IPC: G06F21/56 ,  G06N3/04 ,  G06N3/08 ,  G06F8/53

Abstract: 本发明公开了一种基于应用行为的Android应用恶意性检测方法。针对Android系统的特性，考虑Android中组件生命周期、异步调用函数、组件间调用关系等方面因素，并对其进行了相应的处理，确保了分析的完整性，从而能获取到Android应用完整的控制流图和函数调用图。然后通过定义安全敏感函数，结合逆向分析与程序切片分析技术，得到可靠的安全敏感行为路径信息。最后，通过使用深度学习模型之一的卷积神经网络，对提取到的行为路径进行训练分类，训练后的模型可以对未知的Android应用进行恶意性检测。本发明能有效的提取Android应用中可能与恶意行为有关的所有行为路径，并将行为路径中的关键信息保存下来用于后续分析，由于行为路径能够精确刻画应用的特定具体行为，因而基于行为路径的分析模型具有更好的检测精度。

公开(公告)号：CN109450918A

公开(公告)日：2019-03-08

申请号：CN201811435424.5

申请日：2018-11-28

Applicant: 南京理工大学

Inventor： 俞研 ,  徐安孟 ,  吴比良瑜 ,  付安民 ,  苏铓 ,  唐军

IPC: H04L29/06 ,  H04L12/931

Abstract: 本发明提出了一种基于软件定义网络的IoT设备安全防护系统，包括控制应用程序状态采集模块、SDN控制器决策模块和OVS虚拟交换机模块，控制应用状态采集模块用于采集控制应用程序状态并在应用程序状态发生变化时将应用程序状态发送到SDN控制器决策模块，SDN控制器决策模块用于根据应用程序状态生成流表规则并下发到OVS虚拟交换机模块，OVS虚拟交换机模块用于根据接收到的流表规则对IoT设备的流量进行访问控制。本发明结合了SDN分离控制面与数据面的特性，对流向IoT设备的流量进行控制，将控制端状态与流量信息相结合进行流表规则生成，提高了安全防护的准确性。

公开(公告)号：CN109447184A

公开(公告)日：2019-03-08

申请号：CN201811436937.8

申请日：2018-11-28

Applicant: 南京理工大学

Inventor： 俞研 ,  唐军 ,  付安民 ,  苏铓 ,  徐安孟

IPC: G06K9/62 ,  G06N3/04 ,  G06F21/56

Abstract: 本发明提出了基于深度学习的Android应用网络行为分类方法及系统，该方法，首先，构造自定义事件执行序列组合并驱动Android应用运行，获取Android应用的动态网络行为数据包；骑车，对步骤1中获取的Android应用的动态行为数据包进行预处理，将网络中传输的二进制数据转化为灰度值，从而将数据包转化为灰度图像；然后，构造卷积神经网络分类模型；最后，将预处理后的灰度图像转换为矩阵向量输入至卷积神经网络分类模型中进行学习,得到Android应用样本的分类模型。本发明将Android应用分类问题转化为图像分类问题，利用多层卷积神经网络对特征进行学习，准确率更高。

公开(公告)号：CN108965573A

公开(公告)日：2018-12-07

申请号：CN201710381078.6

申请日：2017-05-25

Applicant: 中兴通讯股份有限公司 ,  南京理工大学

Inventor： 董振江 ,  俞研 ,  李从兵 ,  吴家顺

IPC: H04M1/725 ,  H04L9/08

CPC classification number: H04M1/72522 ,  G06F21/71 ,  H04L9/0816 ,  H04L9/0894 ,  H04M1/72563

Abstract: 本发明公开了一种Android混合模式移动应用内部资源的保护方法和装置，所述保护方法包括：对混合模式移动应用的待保护资源进行加密；在所述混合模式移动应用运行时，监控内部文件访问操作，当通过公开的JAVA应用程序编程接口API访问所述待保护资源时，返回加密的密文信息，当通过私有的JAVA本地接口JNI访问所述待保护资源时，对相应的密文进行解密，返回解密后的明文信息。本发明实施例可以实现对选定的资源文件的加密保护，解密过程在本地实现，并将结果返回给组件，使得WebView等只能读取明文进行展示的组件能够读取密文信息，当用户通过Android公开的JAVA API访问加密的内部资源不能得到明文，在增强功能的同时，也保护了hybrid应用的内部资源的安全。

公开(公告)号：CN108268371A

公开(公告)日：2018-07-10

申请号：CN201611263325.4

申请日：2016-12-30

Applicant: 南京理工大学

Inventor： 俞研 ,  邱煜 ,  吴家顺 ,  胡恒伟 ,  黄兴远 ,  孙贝

IPC: G06F11/36 ,  G06F21/57

CPC classification number: G06F11/3684 ,  G06F11/3688 ,  G06F21/577 ,  G06F2221/033

Abstract: 本发明公开了一种面向Android应用的智能模糊测试方法。该方法包括应用程序逆向符号执行和Android应用程序模糊测试。使用Android漏洞特征对Android应用进行建模分析，得到Android应用入口函数、敏感操作点、控制流和函数调用信息；通过将敏感操作点作为入口进行逆向符号执行获取路径约束信息；对路径约束信息进行约束求解得到触发该漏洞的路径测试用例；使用生成的路径测试用例对Android应用程序进行模糊测试，监控程序运行状态；对程序运行信息进行分析生成相关漏洞报告。本发明能够生成满足触发漏洞的测试用例，同时避免了路径爆炸，也使用该方法指导下的模糊测试更具有针对性。相比传统模糊测试方法，本方法克服了模糊测试盲目性的问题，提高了模糊测试的效率。

公开(公告)号：CN106873992A

公开(公告)日：2017-06-20

申请号：CN201710060804.4

申请日：2017-01-25

Applicant: 南京理工大学

Inventor： 苏铓 ,  汪良辰 ,  俞研 ,  付安民 ,  王永利 ,  张功萱

IPC: G06F9/44 ,  G06F9/45

Abstract: 本发明涉及一种多要素访问控制机制描述及解析方法，包括以下步骤：定义多要素访问控制机制描述语言，用于用户针对其访问控制主客体、访问控制策略进行类数学语言的描述；根据访问控制机制描述语言对用户设计的访问控制机制进行描述，生成描述源文件；对描述源文件进行语言解析，生成算法描述中间代码；依据用户的目标代码需求，选择计算机编程语言对应的代码底层库，生成目标代码。本发明既能够适用于访问控制理论研究人员进行描述，又能够与计算机编程语言无缝对接；对于访问控制理论研究人员，通过类数学语言进行描述，无需关注计算机的实现细节；对于计算机专业人员，可以获取多要素访问控制机制的准确实现代码，保证了代码的安全性。

公开(公告)号：CN120017304A

公开(公告)日：2025-05-16

申请号：CN202411952188.X

申请日：2024-12-27

Applicant: 南京理工大学

Inventor： 俞研 ,  孙雅瑞 ,  狄芳 ,  徐建 ,  付安民

IPC: H04L9/40 ,  H04L43/04 ,  G06F18/214 ,  G06F18/2323 ,  G06F18/2135 ,  G06F18/2433 ,  G06F18/25 ,  G06N3/0442 ,  G06N3/0464 ,  G06N3/084 ,  G06N3/0985

Abstract: 本发明公开了一种基于深度学习的加密恶意流量检测方法，利用LSTM模型提取网络流量数据的时序特征，通过BERT模型进一步提取流量数据的语义特征，最终形成综合特征表示；利用DBSCAN算法对综合特征表示进行聚类；根据定义的命名规则对每个簇中的样本标签进行优化，将具有相似攻击特征的流量类型归类为统一标签；构建图结构，将优化后的流量样本标签及其综合特征表示进行边连接，并依据余弦相似度在不同簇间建立边连接；构建GraphSAGE图神经网络模型，对图结构的节点及其邻居节点进行信息聚合得到每个节点的更新特征向量，利用更新后的节点特征进行分类处理，识别其是否为恶意加密流量。本发明提升了检测的精度和鲁棒性。