公开(公告)号：CN109582437A

公开(公告)日：2019-04-05

申请号：CN201811267347.7

申请日：2018-10-29

Applicant: 中国科学院信息工程研究所 ,  公安部第三研究所

Inventor： 崔磊 ,  郝志宇 ,  李大辉 ,  陈宇 ,  宋铮

IPC: G06F9/455 ,  G06F21/56

CPC classification number: G06F9/45558 ,  G06F21/56 ,  G06F2009/45587 ,  G06F2009/45591 ,  G06F2009/45595

Abstract: 本发明涉及一种基于内存类型感知的恶意进程检测方法和系统。该方法包括以下步骤：1)采用虚拟机自省技术，在虚拟机监控器层识别虚拟机的内存页面的类型；2)基于识别出的内存页面类型，建立内存页面与用户进程的关联关系，得到进程列表视图；将客户机中应用程序获取的进程列表视图以及步骤2)得到的进程列表视图进行对比，识别出隐藏的恶意进程。本发明利用内存类型识别对内存进行分类，通过只对关键内存进行逆向映射，减小了检测时需扫描的虚拟机内核数据结构，从而可以减小系统带来的性能损失；通过对分类后的内存逆向映射，建立内存与用户进程的关联，可以检测隐藏到用户空间及内核空间的进程，实现更为全面的恶意程序检测。

公开(公告)号：CN102223384A

公开(公告)日：2011-10-19

申请号：CN201110209570.8

申请日：2011-07-25

Applicant: 公安部第三研究所

Inventor： 林九川 ,  杭强伟 ,  赵帅 ,  宋铮 ,  姚伟

IPC: H04L29/06 ,  G06F21/00

Abstract: 本发明公开了基于虚拟执行的攻击代码检测方法，该检测方法将网络字节流放到虚拟机中受控执行，监测其执行过程，根据执行过程中出现的特征判断是否存在攻击代码。本发明对于使用了多态技术的Shellcode，用户使用该系统可以取得良好的检测效果，保证用户的信息安全。

公开(公告)号：CN119202945A

公开(公告)日：2024-12-27

申请号：CN202411298650.9

申请日：2024-09-18

Applicant: 公安部第三研究所

Inventor： 宋铮 ,  孙亚茹 ,  付文豪

IPC: G06F18/2431 ,  G06F18/25 ,  G06N3/042 ,  G06N3/045 ,  G06N3/0464 ,  G06N3/047 ,  G06N3/08

Abstract: 本发明涉及一种基于自适应动态路径修剪实现层次多粒度标签识别处理的方法，包括以下步骤：获取内容编码特征；获取关系编码特征；更新内容编码特征；构建语义注意力矩阵；进行层次多标签分类。本发明还涉及一种用于实现基于自适应动态路径修剪进行层次多粒度标签识别处理的装置、处理器及其可读存储介质。采用了本发明的基于自适应动态路径修剪实现层次多粒度标签识别处理的方法、装置、处理器及其计算机可读存储介质，可依据大模型的动态感知能力与深度图神经网络的语义表征能力，实现对层次多标签文本的精准分类。该模型通过大模型的动态路径修剪技术优化层次多粒度识别并提升图神经网络模型的稳定性；提高了分类准确性，还增强了对数据扰动的鲁棒性，具有较大的创新性。

公开(公告)号：CN116962139A

公开(公告)日：2023-10-27

申请号：CN202310941639.9

申请日：2023-07-28

Applicant: 公安部第三研究所

Inventor： 钱伟 ,  宋铮 ,  付文豪 ,  郑伯康 ,  李君禾 ,  毕智治 ,  吴跃顺

IPC: H04L41/044 ,  H04L41/084 ,  H04L41/0895 ,  H04L41/14 ,  H04L41/40 ,  H04L9/40

Abstract: 本发明涉及一种云平台靶场智能调用外部物理设备的虚实结合处理系统，其中，该系统将云平台靶场网络从功能上划分为管理网络、计算网络、存储网络与虚实结合接入网络，管理网络用于传输云平台的相关管理指令；计算网络用于应用到仿真环境中各种二层网络、公有网络与私有网络中；存储网络用于在通过模版实例化仿真场景时，从镜像服务器下载模版进行实例化处理；虚实结合接入网络用于连接各种外部物理设备。本发明还涉及一种相应的方法、装置、处理器及其存储介质。采用了本发明的该云平台靶场智能调用外部物理设备的虚实结合处理系统、方法、装置、处理器及其存储介质，为安全研究提供便利，为物联网、智能家居、工控等复杂场景的仿真提供技术支撑。

公开(公告)号：CN106845236A

公开(公告)日：2017-06-13

申请号：CN201710035231.X

申请日：2017-01-18

Applicant: 东南大学 ,  公安部第三研究所

Inventor： 李涛 ,  胡爱群 ,  邢月秀 ,  王永剑 ,  宋铮

IPC: G06F21/56

CPC classification number: G06F21/563 ,  G06F21/566 ,  G06F2221/033

Abstract: 本发明公开了一种针对iOS平台的应用程序多维度隐私泄露检测方法及系统，从静态分析、动态分析和数据分析三个维度对iOS应用程序进行隐私泄露检测，其中：静态分析包括应用程序解密，app存储路径定位，反汇编和反汇编源码的敏感API分析的步骤；动态分析包括Hook敏感API函数，通过运行应用程序获得日志记录，通过日志分析获得敏感API调用序列的步骤；数据分析包括应用程序网络数据包的抓取和数据包协议、地址、内容的分析的步骤。本发明能够全面的对iOS应用数据隐私泄露进行检测，获取较为完备的隐私泄露事件数据。

公开(公告)号：CN102222035A

公开(公告)日：2011-10-19

申请号：CN201110209514.4

申请日：2011-07-25

Applicant: 公安部第三研究所

Inventor： 姚伟 ,  丁保贞 ,  宋铮 ,  杭强伟 ,  林九川 ,  赵帅

IPC: G06F11/34 ,  G06F11/36

Abstract: 本发明公开了基于符号执行技术的软件行为检测系统及检测方法，该检测系统由约束生成模块、约束取反/优化模块、约束求解模块、二进制代码插桩模块、行为监测模块组成，具体方法是：在程序的实际执行过程中，对软件的行为进行监测，收集与行为相关的信息，为行为分析提供一些基础数据；与此同时，收集当前路径的约束条件。程序执行完后，按照路径选择算法，对收集到的路径约束条件集中的某个约束条件取反，得到一个新的路径约束集，并用求解器对新生成的路径约束集进行求解，以确定该路径是否可达。如果遍历该路径的前置条件可满足，则通过遍历该路径以触发新的软件行为。本发明能够有效的提高行为检测的准确率和全面性。

公开(公告)号：CN117909974A

公开(公告)日：2024-04-19

申请号：CN202410066553.0

申请日：2024-01-17

Applicant: 公安部第三研究所

Inventor： 李君禾 ,  宋铮 ,  刘永乐 ,  胡莹莹

IPC: G06F21/56 ,  G06F21/60 ,  G06F18/22 ,  G06F18/23

Abstract: 本发明涉及一种基于自动化YARA规则实现大规模恶意样本识别及归因处理的方法，包括以下步骤：基于加解密函数定位进行指令级特征提取；针对多样本指令特征或单样本指令特征进行模糊化处理；将生成的规则和未知恶意样本集作为输入，经过YARA引擎进行恶意样本的扫描匹配，完成恶意样本识别及归因任务。本发明还涉及一种用于实现基于自动化YARA规则的大规模恶意样本识别及归因处理的装置、处理器及其存储介质。采用了本发明的基于自动化YARA规则实现大规模恶意样本识别及归因处理的方法、装置、处理器及其存储介质，针对大规模恶意样本识别场景，解决了YARA规则产出成本问题。以恶意程序中独特且不易改变的加解密算法作为特征，来降低识别的误报率。

公开(公告)号：CN101944043A

公开(公告)日：2011-01-12

申请号：CN201010293849.4

申请日：2010-09-27

Applicant: 公安部第三研究所

Inventor： 孙永清 ,  林九川 ,  宋铮 ,  金波

IPC: G06F9/455 ,  G06F17/30

Abstract: 本发明公开了一种Windows平台下Linux虚拟机磁盘文件访问方法，包括了对Linux虚拟机磁盘的挂载程序和对ext2/ext3文件系统解析的驱动程序；其特征在于，所述挂载程序使用VMware公司提供的VMware Mount Utility工具，通过在宿主操作系统利用VMDK文件创建虚拟卷，提供使用者一个新的逻辑磁盘盘符；实现的ext2/ext3文件系统解析，向Windows内核的I/O管理器创建一个设备对象，并注册该文件系统，使得Windows操作系统可以访问除了FAT、NTFS、CDFS、UDF之外的文件系统；所述驱动程序安装于系统盘路径下的\Windows\system32\drivers目录，提供Windows宿主(不必须要宿主)操作系统解析ext2/ext3格式的文件系统使用。