公开(公告)号：CN107360155A

公开(公告)日：2017-11-17

申请号：CN201710556348.2

申请日：2017-07-10

Applicant: 中国科学院信息工程研究所

Inventor： 李强 ,  杨泽明 ,  刘宝旭 ,  姜政伟

IPC: H04L29/06

CPC classification number: H04L63/145 ,  H04L63/1408

Abstract: 本发明提供一种基于威胁情报和沙箱技术的网络攻击自动溯源方法，步骤包括：获取网络攻击恶意样本，分析样本类型并获取所述样本所需系统和应用环境参数；利用沙箱配置满足所述参数的虚拟机环境，运行所述样本并记录样本的指纹信息；根据所述指纹信息进行溯源，如果达到溯源目的，则停止溯源，否则提取攻击指标信息；根据所述攻击指标信息，调用威胁情报数据，根据所述威胁情报数据进行溯源。本发明还提供一种基于威胁情报和沙箱技术的网络攻击自动溯源系统，包括分析服务器、情报中继服务器和沙箱服务器。

公开(公告)号：CN107391364A

公开(公告)日：2017-11-24

申请号：CN201710533880.2

申请日：2017-07-03

Applicant: 中国科学院信息工程研究所

Inventor： 李强 ,  杨泽明 ,  刘宝旭 ,  杜丹

IPC: G06F11/36

CPC classification number: G06F11/3612

Abstract: 本发明公开了一种基于虚拟机和实体机结合的移动终端取证方法及系统。本方法为：1)取证服务器从该待取证移动终端获取设定的关键信息和该待取证移动终端的系统镜像；其中，关键信息包括移动终端的设定关键信息和移动终端中的设定应用关键信息；2)取证服务器根据系统镜像通过虚拟机构建一虚拟移动终端，并将提取的设定应用关键信息加载到该虚拟移动终端；然后对该虚拟移动终端进行操作完成证据的提取；3)如果该虚拟移动终端无法加载该设定应用关键信息，则取证服务器将关键信息加载到一真实移动终端，然后对该真实移动终端进行操作完成证据的提取。本发明能够在保证原始移动终端的证据完整性的前提下，实现对应用数据的取证、展示和分析。