公开(公告)号：CN113641995B

公开(公告)日：2022-12-09

申请号：CN202110775693.1

申请日：2021-07-08

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 蔡瑞杰 ,  李鹏宇 ,  尹小康 ,  何杰 ,  郭世臣 ,  刘胜利

IPC: G06F21/56 ,  G06F21/52 ,  G06F21/57

Abstract: 本发明根据Cisco IOS指令特点，提出了一种面向Cisco IOS的ROP攻击定位与代码捕获方法，利用哈希表对函数返回地址的记录和验证，增加了返回地址内存指针的记录作为哈希查找的索引，提高了影子内存查找效率，并且能够防止返回地址副本的篡改。对本文的方法在虚拟仿真器上进行了实现，通过真实ROP攻击样例对方法进行了验证，可以在不依赖静态分析的前提下，对准确定位ROP攻击，并且具备一定的ROP攻击代码的捕获能力，运用该方法实现的系统CROPDS，通过模拟执行Cisco IOS生成的虚拟路由器，可作为蜜罐直接在互联网中进行部署，对Cisco IOS所遭受的ROP攻击执行流程进行捕获，便于对缓冲区溢出漏洞的发现和漏洞利用。

公开(公告)号：CN113641995A

公开(公告)日：2021-11-12

申请号：CN202110775693.1

申请日：2021-07-08

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 蔡瑞杰 ,  李鹏宇 ,  尹小康 ,  何杰 ,  郭世臣 ,  刘胜利

IPC: G06F21/56 ,  G06F21/52 ,  G06F21/57

Abstract: 本发明根据Cisco IOS指令特点，提出了一种面向Cisco IOS的ROP攻击定位与代码捕获方法，利用哈希表对函数返回地址的记录和验证，增加了返回地址内存指针的记录作为哈希查找的索引，提高了影子内存查找效率，并且能够防止返回地址副本的篡改。对本文的方法在虚拟仿真器上进行了实现，通过真实ROP攻击样例对方法进行了验证，可以在不依赖静态分析的前提下，对准确定位ROP攻击，并且具备一定的ROP攻击代码的捕获能力，运用该方法实现的系统CROPDS，通过模拟执行Cisco IOS生成的虚拟路由器，可作为蜜罐直接在互联网中进行部署，对Cisco IOS所遭受的ROP攻击执行流程进行捕获，便于对缓冲区溢出漏洞的发现和漏洞利用。

公开(公告)号：CN112073371A

公开(公告)日：2020-12-11

申请号：CN202010749267.6

申请日：2020-07-30

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 尹小康 ,  蔡瑞杰 ,  刘秉楠 ,  李鹏宇 ,  杨启超 ,  陆炫廷 ,  刘胜利

IPC: H04L29/06 ,  H04L12/771

Abstract: 本发明涉及路由设备恶意行为检测技术领域，具体提供了一种针对弱监管路由设备的恶意行为检测方法，对路由设备遭受的恶意行为进行检测告警，通过加载轻量级的检测系统对传统安防手段无法顾忌的网络设备进行防护，所述的检测系统采用的是路由设备操作系统缺省调用接口，利用路由设备操作系统实现对路由设备的监控和对数据流量的监控；该发明具备低成本、高可用性、高扩展性的优势，可用于持续开发以应对后续的针对弱监管环境下的路由设备的攻击威胁。