公开(公告)号：CN118363606A

公开(公告)日：2024-07-19

申请号：CN202410553176.3

申请日：2024-05-07

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  郑宁军 ,  高新博 ,  刘振旭 ,  章孟君 ,  田星 ,  舒钰淇 ,  谭儒

IPC: G06F8/53 ,  G06F8/41

Abstract: 本发明公开了一种PHP OPCache反编译方法及系统，属于计算机网络安全领域。所述方法包括：反序列化OPCache文件，提取反序列化结果中的字节码和静态数据，并将字节码提升至等价的线性中间表示；将线性中间表示分割为基本块节点并根据跳转指令连接为控制流图，并将控制流图规约到一个基本块节点V中后，结合静态数据将基本块节点V中的中间表示序列逐个转换到等价的抽象语法树；对抽象语法树进行优化后输出到PHP源代码。本发明可以解决无法反编译OPCache文件的问题。

公开(公告)号：CN118568721A

公开(公告)日：2024-08-30

申请号：CN202410715625.X

申请日：2024-06-04

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  高新博 ,  郑宁军 ,  刘伟 ,  刘玉岭 ,  张金莉 ,  冯云 ,  谭儒

IPC: G06F21/56 ,  G06F18/213

Abstract: 本发明公开一种Webshell动态检测方法及系统，属于计算机网络安全技术领域。所述方法包括：通过对Web应用进行插桩，并得到Web应用的行为事件，所述行为事件包括：被插桩的函数名称、传入被插桩函数的参数和调用信息；基于被插桩函数之间的调用关系和被插桩函数与行为事件的行为范围之间的关系，构建Web应用行为模型，所述Web应用行为模型包括：调用‑行为图和调用哈希‑行为映射，所述调用哈希‑行为映射是键为调用栈哈希且值为行为范围的映射；基于所述Web应用行为模型对目标Web应用产生的行为事件进行Webshell识别。本发明可以高效准确的检测异常的Webshell行为。