公开(公告)号：CN112883369B

公开(公告)日：2024-08-20

申请号：CN202110319502.0

申请日：2021-03-25

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  贾晓启 ,  张伟娟 ,  陈家赟 ,  白璐 ,  韦秋石 ,  武希耀 ,  孙慧琪 ,  王睿怡 ,  唐静

IPC: G06F21/53 ,  G06F21/57 ,  G06F9/455

Abstract: 本发明公开了一种可信虚拟化系统，其特征在于，包括宿主机和运行于该宿主机上的虚拟机管理器；所述虚拟机管理器为宿主机上的每一虚拟机分配一虚拟BIOS、一虚拟度量设备和一虚拟机可信迁移模块；其中，所述虚拟BIOS，用于在虚拟机启动过程中对虚拟机镜像中设定的虚拟机核心文件执行度量；所述虚拟度量设备，用于在虚拟机运行过程中对虚拟机系统内存中的设定重要对象进行主动的动态度量，并将度量结果存储到内置安全芯片上；所述虚拟机可信迁移模块，用于在虚拟机迁移过程中将源虚拟机的虚拟度量设备度量信息传输至目标虚拟机的虚拟度量设备中，保证迁移前后的可信启动信息和可信度量信息的一致性以及迁移前后可信度量操作的连续性。

公开(公告)号：CN111796911B

公开(公告)日：2024-07-30

申请号：CN202010652391.0

申请日：2020-07-08

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  黄庆佳 ,  贾紫倩 ,  张伟娟 ,  解亚敏 ,  白璐 ,  孙慧琪

IPC: G06F9/455 ,  G06F11/36 ,  G06F21/57

Abstract: 本发明提供一种面向云平台中虚拟设备的攻击检测方法及电子装置，包括：在一虚拟设备上运行一I/O指令，使用Intel PT技术收集控制流相关的信息并对产生的数据包解码，得到条件跳转信息和间接跳转信息；依据条件跳转信息、间接跳转信息与所述虚拟设备的基线模型，检测所述I/O指令的合法性。本发明使用硬件技术Intel PT高效收集程序执行时控制流相关的信息，从而降低收集操作带来的性能开销；使用模糊测试技术构建虚拟设备的基线模型，可以在避免繁重的人工分析的基础上有效检测未知攻击；基于与虚拟设备执行过程合法性相关的影响因素设计了阈值公式，并进一步构建了判断方法，有效地提升了检测率。

公开(公告)号：CN115001744B

公开(公告)日：2023-08-29

申请号：CN202210457030.X

申请日：2022-04-27

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  何运 ,  凌雨卿 ,  张伟娟 ,  唐静

IPC: H04L9/40 ,  H04L67/1097

Abstract: 本发明公开了一种云平台数据完整性验证方法及系统。本发明将Intel SGX提供的硬件级安全机制与PDP方案结合部署，提出了基于硬件可信执行环境的具备安全性、通用性、实用性的云平台数据完整性保护框架‑EnclavePDP，该框架支持在SGX内执行PDP方案中安全敏感的计算并保护安全敏感的数据，消除PDP方案存在的隐私威胁，将网络级通信转为进程间通信，显著地降低了通信开销。该框架提炼了PDP方案的通用计算过程并封装为通用基础计算服务，经典密码学库被优化适配到SGX中兼容新旧PDP方案，框架支持与云存储系统进行高效部署，解决了实际应用部署PDP方案复杂低效的问题，具备实际应用部署价值。

公开(公告)号：CN116521310A

公开(公告)日：2023-08-01

申请号：CN202310393624.3

申请日：2023-04-13

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  李博 ,  杜海超 ,  宋振宇 ,  周梦婷 ,  解亚敏 ,  唐静

IPC: G06F9/455

Abstract: 本发明提出了一种面向内核回调机制的DKOM的防御方法及系统，属于操作系统防护领域，通过获取进程句柄和注册表回调机制在内核存储的数据地址；根据获取的数据地址初始化受保护数据的列表；基于EPT技术对受保护数据的列表中的受保护数据与不可信驱动进行隔离，以保护该列表中所有地址所处的内存页面；当产生EPT违规，则根据客户机执行的指令地址所处的模块进行判断，确认是合法访问还是DKOM攻击。本发明能够有效地阻止了对应的DKOM攻击，能够防御绕过反病毒软件、杀死软件进程等免杀手段的威胁，不需要修改目标操作系统的源代码。

公开(公告)号：CN111639337B

公开(公告)日：2023-04-07

申请号：CN202010305550.X

申请日：2020-04-17

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  李帅 ,  陈阳 ,  杜海超 ,  白璐 ,  解亚敏 ,  唐静

IPC: G06F21/56 ,  G06N3/08 ,  G06N3/0464

Abstract: 本发明公开一种面向海量Windows软件的未知恶意代码检测方法及系统，属于系统安全技术领域，为解决传统的基于特征码的检测方法无法检测未知恶意代码的问题，结合动态检测和静态检测的优势，使用深度学习的检测技术来实现对未知特征的恶意代码的检测，使用静态特征辅助检测的方法在海量样本的场景下加速检测，提高检测效率。

公开(公告)号：CN115495731A

公开(公告)日：2022-12-20

申请号：CN202211046240.6

申请日：2022-08-30

Applicant: 中国科学院信息工程研究所

Inventor： 宋振宇 ,  徐少文 ,  郭璇 ,  刘歌 ,  贾晓启 ,  黄庆佳 ,  杜海超 ,  周梦婷 ,  王睿怡 ,  唐静

IPC: G06F21/55

Abstract: 本发明公开了一种面向容器主机平台的轻量级攻击检测方法及装置。所述方法包括获取被监控函数和需要监控的漏洞信息；根据所述漏洞信息的名称，通过创建vulner_info结构体，以使相应的private结构体中存储需要检查的系统调用参数；当内核在即将执行所述被监控函数时，调用回调函数，以使所述回调函数获取所述被监控函数在执行过程中产生的系统调用参数值；将private结构体的地址传递给回调函数，以使回调函数访问所述private结构体；将所述系统调用参数值与所述需要检查的系统调用参数进行比对，得到所述被监控函数的攻击检测结果。本发明实现了较小的性能开销的基础上，完成逃逸攻击的检测。

公开(公告)号：CN115473688A

公开(公告)日：2022-12-13

申请号：CN202210975910.6

申请日：2022-08-15

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  宋振宇 ,  黄庆佳 ,  杜海超 ,  周梦婷 ,  刘歌 ,  郭璇 ,  王明慧 ,  侯恩泽 ,  宋超然

IPC: H04L9/40 ,  H04L45/02 ,  H04L45/12 ,  H04L45/645 ,  H04L45/76 ,  H04L47/125

Abstract: 本发明提出了一种面向软件定义网络的异常检测方法、装置及设备，应用于互联网技术领域。所述方法包括：获取软件定义网络的网络拓扑；将各节点所存储的链路属性转换为表示网络流量情况的时间序列数据，并使用固定的滑动窗口大小对时间序列数据进行切分，通过比较时序片段的预测值和真实观测值之间的相对误差，判断软件定义网络中所有节点间的链路状态是否存在异常；计算网络拓扑中的中心节点，并根据链路状态异常情况以及节点之间的连接关系，得到所述网络拓扑中的异常节点；基于中心节点和异常节点的流表信息，识别软件定义网络中的异常行为。本发明实现了平衡网络负载和异常检测的精度。

公开(公告)号：CN112445537B

公开(公告)日：2022-04-15

申请号：CN202011453447.6

申请日：2020-12-11

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  贾晓启 ,  白璐 ,  姜楠 ,  张伟娟 ,  周梦婷 ,  韦秋石

IPC: G06F9/4401 ,  G06F21/44

Abstract: 本申请实施例提供了一种操作系统启动方法、装置、移动终端和存储介质，移动终端上电后首先启动可信平台模块，再通过可信平台模块对只读存储器进行完整性校验，只读存储器校验通过之后，再通过只读存储器对存储在只读存储器内的启动引导程序进行完整性校验，在启动引导程序的完整性校验通过之后，运行启动引导程序，以启动操作系统。本申请实施例在启动操作系统之前，通过一条可信启动验证链对只读存储器和启动引导程序进行完整性校验，保证只读存储器和启动引导程序的可信度，只有在确认只读存储器和启动引导程序未被篡改之后才会运行启动引导程序，从而可以避免启动已经被恶意程序篡改的不被信任的操作系统，防止用户的个人信息泄露或被篡改。

公开(公告)号：CN112134777B

公开(公告)日：2022-02-01

申请号：CN202010942922.X

申请日：2020-09-09

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  孟慧石 ,  贾晓启 ,  侯锐 ,  黄庆佳 ,  武希耀 ,  周梦婷 ,  杜海超 ,  白璐

IPC: H04L12/46

Abstract: 本申请实施例中提供了一种可信IPSec模组与VPN隧道构建方法。采用本申请中的方案，将终端设备中的IPSec模组设置为包括运行于REE驱动环境的REE功能组，及运行于TEE驱动环境的TEE功能组；所述REE功能组包括IPSec协议封装解析模组及TCP/IP协议栈，所述TEE功能组包括IPSec核心模块；同时还设置有分别与所述IPSec协议封装解析模组、所述IPSec核心模块连接的存储模块。在构建VPN隧道时，利用TEE驱动环境的硬件隔离、系统隔离等功能，将关键数据和处理过程置于TEE驱动环境中处理；同时，将通用的IPSec协议封装解析处理过程，以及对TCP/IP协议栈的数据调取处理过程置于REE驱动环境中处理，实现一方面减轻TEE系统负载，另一方面确保关键数据信息的安全稳定，保障通信安全及提高通信效率的技术效果。

公开(公告)号：CN112883369A

公开(公告)日：2021-06-01

申请号：CN202110319502.0

申请日：2021-03-25

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  贾晓启 ,  张伟娟 ,  陈家赟 ,  白璐 ,  韦秋石 ,  武希耀 ,  孙慧琪 ,  王睿怡 ,  唐静

IPC: G06F21/53 ,  G06F21/57 ,  G06F9/455

Abstract: 本发明公开了一种可信虚拟化系统，其特征在于，包括宿主机和运行于该宿主机上的虚拟机管理器；所述虚拟机管理器为宿主机上的每一虚拟机分配一虚拟BIOS、一虚拟度量设备和一虚拟机可信迁移模块；其中，所述虚拟BIOS，用于在虚拟机启动过程中对虚拟机镜像中设定的虚拟机核心文件执行度量；所述虚拟度量设备，用于在虚拟机运行过程中对虚拟机系统内存中的设定重要对象进行主动的动态度量，并将度量结果存储到内置安全芯片上；所述虚拟机可信迁移模块，用于在虚拟机迁移过程中将源虚拟机的虚拟度量设备度量信息传输至目标虚拟机的虚拟度量设备中，保证迁移前后的可信启动信息和可信度量信息的一致性以及迁移前后可信度量操作的连续性。