公开(公告)号：CN118427816A

公开(公告)日：2024-08-02

申请号：CN202310051900.8

申请日：2023-02-02

Applicant: 中国科学院信息工程研究所

Inventor： 汪秋云 ,  夏伟 ,  姜政伟 ,  汪姝玮 ,  凌辰 ,  辛丽玲

IPC: G06F21/56 ,  G06F21/53

Abstract: 本发明公开了一种基于沙箱分析的恶意软件检测IOC指示器生成方法及装置，所述方法包括：构建类型‑行为数据库和家族‑行为数据库；获取目标软件和目标软件类型；将目标软件放入沙箱中进行分析，获得分析结果，将分析结果模糊化处理，得到模糊化后的动态行为；基于所述类型‑行为数据库，获取所述目标软件类型的模糊化后的恶意行为，并对模糊化后的动态行为和模糊化后的恶意行为交集，得到恶意行为集合；基于所述家族‑行为数据库，对所述恶意行为集合中的每一恶意行为进行评分，以得到IOC指示器生成结果。本发明在使用过程中无需重复训练模型，并且生成的IOC具有可解释性。

公开(公告)号：CN112905301B

公开(公告)日：2025-02-11

申请号：CN202110240825.0

申请日：2021-03-04

Applicant: 中国科学院信息工程研究所

Inventor： 汪秋云 ,  赵瑞哲 ,  姜政伟 ,  汪姝玮 ,  凌辰 ,  辛丽玲

IPC: G06F9/455 ,  G06F21/57 ,  G06N20/00

Abstract: 本发明公开了一种Android模拟器的检测方法及装置，首先依据当前设备的设备信息是否包含模拟值或是否存在值被修改，判断当前设备是否为Android模拟器；然后依据当前设备的硬件信息是否包含模拟值或是否具备正常功能，判断当前设备是否为Android模拟器；最后综合当前设备的设备信息、硬件信息、特殊文件信息和用户痕迹信息，将生成特征向量输入检测模型，判断当前设备是否为Android模拟器。本发明先采用轻便快捷的判断方法，保证对普通模拟器检测的效率，再结合难以模拟的特殊文件信息和用户痕迹信息构建特征向量，并使用机器学习方法，从而提高了检测准确率。

公开(公告)号：CN112905301A

公开(公告)日：2021-06-04

申请号：CN202110240825.0

申请日：2021-03-04

Applicant: 中国科学院信息工程研究所

Inventor： 汪秋云 ,  赵瑞哲 ,  姜政伟 ,  汪姝玮 ,  凌辰 ,  辛丽玲

IPC: G06F9/455 ,  G06F21/57 ,  G06N20/00

Abstract: 本发明公开了一种Android模拟器的检测方法及装置，首先依据当前设备的设备信息是否包含模拟值或是否存在值被修改，判断当前设备是否为Android模拟器；然后依据当前设备的硬件信息是否包含模拟值或是否具备正常功能，判断当前设备是否为Android模拟器；最后综合当前设备的设备信息、硬件信息、特殊文件信息和用户痕迹信息，将生成特征向量输入检测模型，判断当前设备是否为Android模拟器。本发明先采用轻便快捷的判断方法，保证对普通模拟器检测的效率，再结合难以模拟的特殊文件信息和用户痕迹信息构建特征向量，并使用机器学习方法，从而提高了检测准确率。

公开(公告)号：CN116611059A

公开(公告)日：2023-08-18

申请号：CN202310089403.7

申请日：2023-02-09

Applicant: 中国科学院信息工程研究所

Inventor： 姜政伟 ,  韩高奎 ,  汪秋云 ,  汪姝玮 ,  凌辰 ,  刘宝旭

IPC: G06F21/56

Abstract: 本发明提出一种基于动态分析技术的恶意PowerShell检测方法及系统。该方法包括以下步骤：在PowerShell配置文件以及CLR中设置监控点，运行PowerShell代码，捕获PowerShell的运行时信息；以进程为单位将单个进程捕获到的所有PowerShell代码运行时信息转换为按照调用先后顺序的形式进行存储，形成行为序列数据集；综合SHAP、Permutation以及Boruta算法发掘行为序列数据集中潜在的恶意行为序列，汇总生成恶意行为特征库；将捕获的待检测PowerShell代码的运行时信息与恶意行为特征库进行对比，从而检测PowerShell的恶意性，如果匹配成功则阻断恶意PowerShell进程的执行。本发明设置的监控点位于PowerShell命令以及CLR中，监控粒度更详细，语义信息更加丰富，便于提取恶意序列实施监控，在PowerShell运行时检测PowerShell的恶意性，能够及时阻断恶意PowerShell的执行。

公开(公告)号：CN111786810A

公开(公告)日：2020-10-16

申请号：CN202010426555.8

申请日：2020-05-19

Applicant: 中国科学院信息工程研究所

Inventor： 郭璇 ,  宋振宇 ,  付玉霞 ,  凌辰 ,  刘宝旭

IPC: H04L12/24

Abstract: 本发明公开了一种大规模测试床节点的自动化部署方法及系统。本方法为：1)在部署机上设置一终端部署进程；2)终端部署进程将基于Clonezilla的硬盘镜像还原/克隆任务拆分成以主机为单位的独立子任务，并发送给Clonezilla子进程；将基于Cobbler的定制化网络批量部署任务拆分成以主机为单位的独立子任务，并发送给Cobbler子进程；3)两子进程根据分配的独立子任务，为每个待部署节点生成配置文件；4)待部署节点从部署机上获取配置文件，进行自动化系统还原或安装，然后根据配置文件修改主机名称、添加新用户和修改场景网络信息；5)各已部署节点根据目标网络测试床场景的结构拓扑图组建成独立网络。