公开(公告)号：CN114490328A

公开(公告)日：2022-05-13

申请号：CN202111606858.9

申请日：2021-12-27

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘胜利 ,  胡安祥 ,  陆炫廷 ,  何杰 ,  蔡瑞杰 ,  杨启超 ,  尹小康 ,  朱肖雅

IPC: G06F11/36

Abstract: 本发明属于后门检测技术领域，具体涉及一种基于语义冲突的硬编码后门检测方法。该方法从常用的字符串比较函数出发，结合MIPS和ARM指令集的特点，利用函数的调用关系、控制流图和分支选择依赖的字符串，识别固件中的口令后门。采用本发明方法对收集的1191个设备固件进行了测试，结果表明，本发明方法具有更好的检测效果，能够从数据集中成功检测出8个固件后门口令，召回率达到88.89%，远远优于其他后门检测方法。本发明方法既可以自动化大规模检测固件，又降低了误报率。

公开(公告)号：CN114968324B

公开(公告)日：2024-09-10

申请号：CN202210398639.4

申请日：2022-04-15

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘胜利 ,  胡安祥 ,  蔡瑞杰 ,  杨启超 ,  郭世臣 ,  尹小康 ,  刘明

IPC: G06F8/70

Abstract: 本发明属于比较函数识别技术领域，具体涉及一种基于数据流特征的比较函数识别系统及识别方法。本发明通过分析函数的控制流，从中提取循环路径和分支路径，构建数据流并检测数据流特征是否匹配，通过将路径中的指令转为中间语言VEX IR指令，支持ARM、MIPS、PPC和x86指令集，不依赖源码等信息，并且受编译器选项、编译器版本以及优化等级的影响较小，对glibc库和自定义实现的比较类函数都有很好的识别效果。经实验评估表明，当缺少源码、函数名等信息时，相比于FLIRT和SaTC，CMPSeek有着更高的精准率和召回率。

公开(公告)号：CN114257452B

公开(公告)日：2023-06-23

申请号：CN202111601075.1

申请日：2021-12-24

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘胜利 ,  陆炫廷 ,  胡安祥 ,  杨启超 ,  蔡瑞杰 ,  尹小康 ,  何杰

IPC: H04L9/40

Abstract: 本发明属于网络安全技术领域，具体涉及一种基于流量分析发现未知UDP反射放大攻击的方法。该方法结合了当前直接分析和基于网络攻击痕迹分析方法的优点，通过对日常流量的检测提取存在反射放大可能的协议，并自动进行测试相比于直接分析具有更强的适应性，能够检测出流量中包含的所有具有反射放大特种的协议，而不必逐一判断，极大地提升效率；相比于根据攻击痕迹分析，本方法将检测分析的场景从受到网络攻击后提前到了日常流量中，做到提前发现，尽最大程度减小网络攻击带来的损失。

公开(公告)号：CN114968324A

公开(公告)日：2022-08-30

申请号：CN202210398639.4

申请日：2022-04-15

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘胜利 ,  胡安祥 ,  蔡瑞杰 ,  杨启超 ,  郭世臣 ,  尹小康 ,  刘明

IPC: G06F8/70

Abstract: 本发明属于比较函数识别技术领域，具体涉及一种基于数据流特征的比较函数识别系统及识别方法。本发明通过分析函数的控制流，从中提取循环路径和分支路径，构建数据流并检测数据流特征是否匹配，通过将路径中的指令转为中间语言VEX IR指令，支持ARM、MIPS、PPC和x86指令集，不依赖源码等信息，并且受编译器选项、编译器版本以及优化等级的影响较小，对glibc库和自定义实现的比较类函数都有很好的识别效果。经实验评估表明，当缺少源码、函数名等信息时，相比于FLIRT和SaTC，CMPSeek有着更高的精准率和召回率。

公开(公告)号：CN114666227A

公开(公告)日：2022-06-24

申请号：CN202210268523.9

申请日：2022-03-18

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘胜利 ,  陆炫廷 ,  韩申国 ,  蔡瑞杰 ,  杨启超 ,  何杰 ,  胡安祥 ,  朱肖雅

IPC: H04L41/12 ,  H04L41/022

Abstract: 本发明属于网络拓扑探测技术领域，具体涉及一种非协作条件下的网络拓扑探测方法。该方法有效补充了对不支持SNMP协议设备的探测。并针对特殊非协作不可探测节点，采用Traceroute绕过法，有效突破了非协作节点对网络拓扑发现的阻碍，同时也避免了大量采用Traceroute主动探测给网络带来较大负担以及探测效率低下的问题。

公开(公告)号：CN114666227B

公开(公告)日：2024-02-06

申请号：CN202210268523.9

申请日：2022-03-18

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘胜利 ,  陆炫廷 ,  韩申国 ,  蔡瑞杰 ,  杨启超 ,  何杰 ,  胡安祥 ,  朱肖雅

IPC: H04L41/12 ,  H04L41/022

Abstract: 本发明属于网络拓扑探测技术领域，具体涉及一种非协作条件下的网络拓扑探测方法。该方法有效补充了对不支持SNMP协议设备的探测。并针对特殊非协作不可探测节点，采用Traceroute绕过法，有效突破了非协作节点对网络拓扑发现的阻碍，同时也避免了大量采用Traceroute主动探测给网络带来较大负担以及探测效率低下的问题。

公开(公告)号：CN114257452A

公开(公告)日：2022-03-29

申请号：CN202111601075.1

申请日：2021-12-24

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘胜利 ,  陆炫廷 ,  胡安祥 ,  杨启超 ,  蔡瑞杰 ,  尹小康 ,  何杰

IPC: H04L9/40

Abstract: 本发明属于网络安全技术领域，具体涉及一种基于流量分析发现未知UDP反射放大攻击的方法。该方法结合了当前直接分析和基于网络攻击痕迹分析方法的优点，通过对日常流量的检测提取存在反射放大可能的协议，并自动进行测试相比于直接分析具有更强的适应性，能够检测出流量中包含的所有具有反射放大特种的协议，而不必逐一判断，极大地提升效率；相比于根据攻击痕迹分析，本方法将检测分析的场景从受到网络攻击后提前到了日常流量中，做到提前发现，尽最大程度减小网络攻击带来的损失。