公开(公告)号：CN115242596A

公开(公告)日：2022-10-25

申请号：CN202210664510.3

申请日：2022-06-13

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  宋振宇 ,  黄庆佳 ,  杜海超 ,  周梦婷 ,  刘歌 ,  王睿怡 ,  郭璇 ,  侯恩泽 ,  宋超然

IPC: H04L41/0246 ,  H04L41/044 ,  H04L41/0823 ,  H04L41/12 ,  H04L43/08 ,  H04L67/30 ,  H04L67/60 ,  H04L9/40

Abstract: 本发明提供了一种面向用户的网络测试床场景业务调度方法及装置，所述方法包括：创建项目场景，并接收用户的场景资源申请；资源池中的现有资源满足所述场景资源申请时，基于用户的网络需求与终端设备需求，绘制网络拓扑，以得到用户需求描述性文件；解析用户需求描述性文件，生成子任务系统，并根据各子任务系统所需信息拆解测试任务，且并行分发至各个消息队列，以使各子任务系统接受并执行测试任务。本发明解决了现有方法不够多元化及大规模网络构建功能空缺的问题。

公开(公告)号：CN115473688B

公开(公告)日：2024-07-30

申请号：CN202210975910.6

申请日：2022-08-15

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  宋振宇 ,  黄庆佳 ,  杜海超 ,  周梦婷 ,  刘歌 ,  郭璇 ,  王明慧 ,  侯恩泽 ,  宋超然

IPC: H04L9/40 ,  H04L45/02 ,  H04L45/12 ,  H04L45/645 ,  H04L45/76 ,  H04L47/125

Abstract: 本发明提出了一种面向软件定义网络的异常检测方法、装置及设备，应用于互联网技术领域。所述方法包括：获取软件定义网络的网络拓扑；将各节点所存储的链路属性转换为表示网络流量情况的时间序列数据，并使用固定的滑动窗口大小对时间序列数据进行切分，通过比较时序片段的预测值和真实观测值之间的相对误差，判断软件定义网络中所有节点间的链路状态是否存在异常；计算网络拓扑中的中心节点，并根据链路状态异常情况以及节点之间的连接关系，得到所述网络拓扑中的异常节点；基于中心节点和异常节点的流表信息，识别软件定义网络中的异常行为。本发明实现了平衡网络负载和异常检测的精度。

公开(公告)号：CN115242596B

公开(公告)日：2024-04-30

申请号：CN202210664510.3

申请日：2022-06-13

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  宋振宇 ,  黄庆佳 ,  杜海超 ,  周梦婷 ,  刘歌 ,  王睿怡 ,  郭璇 ,  侯恩泽 ,  宋超然

IPC: H04L41/0246 ,  H04L41/044 ,  H04L41/0823 ,  H04L41/12 ,  H04L43/08 ,  H04L67/30 ,  H04L67/60 ,  H04L9/40

Abstract: 本发明提供了一种面向用户的网络测试床场景业务调度方法及装置，所述方法包括：创建项目场景，并接收用户的场景资源申请；资源池中的现有资源满足所述场景资源申请时，基于用户的网络需求与终端设备需求，绘制网络拓扑，以得到用户需求描述性文件；解析用户需求描述性文件，生成子任务系统，并根据各子任务系统所需信息拆解测试任务，且并行分发至各个消息队列，以使各子任务系统接受并执行测试任务。本发明解决了现有方法不够多元化及大规模网络构建功能空缺的问题。

公开(公告)号：CN111783929A

公开(公告)日：2020-10-16

申请号：CN202010640909.9

申请日：2020-07-06

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  黄庆佳 ,  魏钰宸 ,  唐静 ,  谢静 ,  周梦婷 ,  付玉霞 ,  刘冠廷

IPC: G06N3/00 ,  G06N20/00 ,  H04L29/06

Abstract: 本发明提供一种基于机器学习的智能Web攻击捕获方法及电子装置，包括截获一攻击流量，检索该攻击流量的源IP信息是否在IP-目标映射表中及相应的IP-目标映射表权重与实时流量分类表权重；根据IP-目标映射表权重与实时流量分类表权重相互大小，分别通过IP-目标映射表或实时攻击流量分类模型中得到该攻击流量对应的目标应用类型，并引导至相应的应用蜜罐中。本发明实现对攻击者的高效准确引导，并通过反馈调节机制让蜜罐系统实现对于攻击者行为和目标的不断学习，持续提升攻击引导和捕获的能力。

公开(公告)号：CN111638936B

公开(公告)日：2023-03-10

申请号：CN202010299302.9

申请日：2020-04-16

Applicant: 中国科学院信息工程研究所

Inventor： 张伟娟 ,  贾晓启 ,  武希耀 ,  孙慧琪 ,  杜海超 ,  黄庆佳 ,  唐静 ,  白璐 ,  周梦婷 ,  赵崇明 ,  解亚敏 ,  孟丹

IPC: G06F9/455

Abstract: 本发明涉及一种基于内置安全体系结构的虚拟机静态度量方法和装置。该方法包括：在物理主机启动过程中，安全独立设备对宿主机系统和虚拟化软件进行安全度量，确保宿主机系统和虚拟化软件的可信；宿主机系统和虚拟化软件确定需要度量的虚拟机核心文件；解析虚拟机镜像文件，提取出需要度量的虚拟机核心文件内容，对其进行安全度量，生成度量值；如果判断虚拟机为初次启动，将度量值作为基准值存入到安全独立设备中，并启动虚拟机；如果判断为非初次启动，将度量值和安全独立设备中的基准值进行校验，校验失败则取消虚拟机的启动，校验成功则启动虚拟机。本发明能够实现虚拟机静态度量机制向虚拟机的延伸，增强虚拟机的安全性。

公开(公告)号：CN115270143A

公开(公告)日：2022-11-01

申请号：CN202210687686.0

申请日：2022-06-16

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  黄庆佳 ,  陈家宇 ,  宋振宇 ,  杜海超 ,  周梦婷 ,  王睿怡 ,  解亚敏 ,  张伟娟 ,  唐静

IPC: G06F21/60 ,  G06F21/46 ,  G06F21/62

Abstract: 本发明提供了一种基于可变窗口的细粒度代码加密方法及其代码的运行方法，所述细粒度代码加密方法包括：基于目标程序中指令语句的机器码长度，设置窗口大小；针对窗口Pi中每一指令语句的机器码，使用密钥Ki进行加密，并根据窗口Pi中指令语句的机器码长度以及所述指令语句的类型，将所述窗口Pi滑动至一新窗口；直至对所述目标程序处理完毕之后，得到初始加密程序；将解释器植入初始加密程序，并适应性修改所述初始加密程序的元数据之后，得到所述目标程序的加密程序。本发明利用可变窗口机制保证了数据的机密性，有效提高了攻击者的分析成本。

公开(公告)号：CN116521310A

公开(公告)日：2023-08-01

申请号：CN202310393624.3

申请日：2023-04-13

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  李博 ,  杜海超 ,  宋振宇 ,  周梦婷 ,  解亚敏 ,  唐静

IPC: G06F9/455

Abstract: 本发明提出了一种面向内核回调机制的DKOM的防御方法及系统，属于操作系统防护领域，通过获取进程句柄和注册表回调机制在内核存储的数据地址；根据获取的数据地址初始化受保护数据的列表；基于EPT技术对受保护数据的列表中的受保护数据与不可信驱动进行隔离，以保护该列表中所有地址所处的内存页面；当产生EPT违规，则根据客户机执行的指令地址所处的模块进行判断，确认是合法访问还是DKOM攻击。本发明能够有效地阻止了对应的DKOM攻击，能够防御绕过反病毒软件、杀死软件进程等免杀手段的威胁，不需要修改目标操作系统的源代码。

公开(公告)号：CN115495731A

公开(公告)日：2022-12-20

申请号：CN202211046240.6

申请日：2022-08-30

Applicant: 中国科学院信息工程研究所

Inventor： 宋振宇 ,  徐少文 ,  郭璇 ,  刘歌 ,  贾晓启 ,  黄庆佳 ,  杜海超 ,  周梦婷 ,  王睿怡 ,  唐静

IPC: G06F21/55

Abstract: 本发明公开了一种面向容器主机平台的轻量级攻击检测方法及装置。所述方法包括获取被监控函数和需要监控的漏洞信息；根据所述漏洞信息的名称，通过创建vulner_info结构体，以使相应的private结构体中存储需要检查的系统调用参数；当内核在即将执行所述被监控函数时，调用回调函数，以使所述回调函数获取所述被监控函数在执行过程中产生的系统调用参数值；将private结构体的地址传递给回调函数，以使回调函数访问所述private结构体；将所述系统调用参数值与所述需要检查的系统调用参数进行比对，得到所述被监控函数的攻击检测结果。本发明实现了较小的性能开销的基础上，完成逃逸攻击的检测。

公开(公告)号：CN115473688A

公开(公告)日：2022-12-13

申请号：CN202210975910.6

申请日：2022-08-15

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  宋振宇 ,  黄庆佳 ,  杜海超 ,  周梦婷 ,  刘歌 ,  郭璇 ,  王明慧 ,  侯恩泽 ,  宋超然

IPC: H04L9/40 ,  H04L45/02 ,  H04L45/12 ,  H04L45/645 ,  H04L45/76 ,  H04L47/125

Abstract: 本发明提出了一种面向软件定义网络的异常检测方法、装置及设备，应用于互联网技术领域。所述方法包括：获取软件定义网络的网络拓扑；将各节点所存储的链路属性转换为表示网络流量情况的时间序列数据，并使用固定的滑动窗口大小对时间序列数据进行切分，通过比较时序片段的预测值和真实观测值之间的相对误差，判断软件定义网络中所有节点间的链路状态是否存在异常；计算网络拓扑中的中心节点，并根据链路状态异常情况以及节点之间的连接关系，得到所述网络拓扑中的异常节点；基于中心节点和异常节点的流表信息，识别软件定义网络中的异常行为。本发明实现了平衡网络负载和异常检测的精度。

公开(公告)号：CN112445537B

公开(公告)日：2022-04-15

申请号：CN202011453447.6

申请日：2020-12-11

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  贾晓启 ,  白璐 ,  姜楠 ,  张伟娟 ,  周梦婷 ,  韦秋石

IPC: G06F9/4401 ,  G06F21/44

Abstract: 本申请实施例提供了一种操作系统启动方法、装置、移动终端和存储介质，移动终端上电后首先启动可信平台模块，再通过可信平台模块对只读存储器进行完整性校验，只读存储器校验通过之后，再通过只读存储器对存储在只读存储器内的启动引导程序进行完整性校验，在启动引导程序的完整性校验通过之后，运行启动引导程序，以启动操作系统。本申请实施例在启动操作系统之前，通过一条可信启动验证链对只读存储器和启动引导程序进行完整性校验，保证只读存储器和启动引导程序的可信度，只有在确认只读存储器和启动引导程序未被篡改之后才会运行启动引导程序，从而可以避免启动已经被恶意程序篡改的不被信任的操作系统，防止用户的个人信息泄露或被篡改。