公开(公告)号：CN110011860A

公开(公告)日：2019-07-12

申请号：CN201910303573.4

申请日：2019-04-16

Applicant: 湖南警察学院 ,  公安部第三研究所

Inventor： 苏欣 ,  林九川 ,  刘绪崇 ,  裴蓓

IPC: H04L12/24 ,  H04L12/26 ,  H04L29/08

Abstract: 本发明公开了一种基于网络流量分析的安卓应用识别方法，包括执行待识别的安卓应用并捕获其产生的网络流量数据；提取属于HTTP协议的网络流量数据并分析得到HTTP协议数据包的结构组成；对HTTP特征签名进行定义并提取特征签名；对不具备HTTP特征签名的数据包进行关联；将提取的数据和和关联的数据包进行统计，从而完成基于网络流量分析的安卓应用识别。本发明可以通过对网络中的HTTP流量进行分析来实现在对网络中运行的安卓应用的识别，准确率高，同时可以对单个安卓应用在运行过程中所产生网络流量的大小进行统计，有利于分析人员更加准确的刻画网络中的安卓应用运行的情况；而且本发明方法可靠性较高且准确性较高。

公开(公告)号：CN107608685A

公开(公告)日：2018-01-19

申请号：CN201710970899.3

申请日：2017-10-18

Applicant: 湖南警察学院 ,  公安部第三研究所

Inventor： 苏欣 ,  刘绪崇 ,  史伟奇 ,  林九川 ,  裴蓓

IPC: G06F8/61

Abstract: 本发明公开了一种安卓应用的自动执行方法，包括实现安卓应用的自动安装、启动和卸载；启动安卓应用，判断当前界面是否完全加载；识别安卓应用的界面和界面上所定义的控件类型；对安卓应用生成与控件类型所对应的执行事件对控件进行操作；记录安卓应用界面跳转记录；自动执行安卓应用，产生和记录动态行为特征，完成安卓应用自动执行。本发明方法以网络流量为例来验证自动执行过程中生成的安卓应用动态行为特征的质量，并和真实环境下的安卓应用产生的网络流量进行对比，能较好的模拟用户操作行为来自动地执行安卓应用，并能产生与真实情况相似的动态行为特征数据，实用性极佳。

公开(公告)号：CN102222035A

公开(公告)日：2011-10-19

申请号：CN201110209514.4

申请日：2011-07-25

Applicant: 公安部第三研究所

Inventor： 姚伟 ,  丁保贞 ,  宋铮 ,  杭强伟 ,  林九川 ,  赵帅

IPC: G06F11/34 ,  G06F11/36

Abstract: 本发明公开了基于符号执行技术的软件行为检测系统及检测方法，该检测系统由约束生成模块、约束取反/优化模块、约束求解模块、二进制代码插桩模块、行为监测模块组成，具体方法是：在程序的实际执行过程中，对软件的行为进行监测，收集与行为相关的信息，为行为分析提供一些基础数据；与此同时，收集当前路径的约束条件。程序执行完后，按照路径选择算法，对收集到的路径约束条件集中的某个约束条件取反，得到一个新的路径约束集，并用求解器对新生成的路径约束集进行求解，以确定该路径是否可达。如果遍历该路径的前置条件可满足，则通过遍历该路径以触发新的软件行为。本发明能够有效的提高行为检测的准确率和全面性。

公开(公告)号：CN107609052B

公开(公告)日：2019-09-24

申请号：CN201710727435.X

申请日：2017-08-23

Applicant: 中国科学院软件研究所 ,  公安部第三研究所

Inventor： 姚远 ,  朱嘉奇 ,  孙朝旭 ,  林九川 ,  王永剑 ,  裴新 ,  王宏安

IPC: G06F16/28 ,  G06F16/36 ,  G06F17/27

Abstract: 本发明公开了一种基于语义三角的领域知识图谱的生成方法及装置，其方法为：生成目标领域的知识图谱中的实体、概念及其代表词项、语义三角中概念的表示；依据预设的关系类型分类规则对目标领域应用系统关系数据库的数据规划进行规则匹配构建概念之间的关联关系；根据所述概念和概念之间的关联关系使用图模型构建知识图谱的概念层；依据实体所属字段在知识图谱中所匹配的概念构建实体的概念实例化；根据所述知识图谱的概念层，将所述概念层衍生到实体之间的关联关系的构建中，得到实体之间的关联关系；根据所述实体之间的关联关系构建知识图谱的实体层。本发明将概念与实体分离，用以解决特定领域对于知识的专业性需求。

公开(公告)号：CN101944043A

公开(公告)日：2011-01-12

申请号：CN201010293849.4

申请日：2010-09-27

Applicant: 公安部第三研究所

Inventor： 孙永清 ,  林九川 ,  宋铮 ,  金波

IPC: G06F9/455 ,  G06F17/30

Abstract: 本发明公开了一种Windows平台下Linux虚拟机磁盘文件访问方法，包括了对Linux虚拟机磁盘的挂载程序和对ext2/ext3文件系统解析的驱动程序；其特征在于，所述挂载程序使用VMware公司提供的VMware Mount Utility工具，通过在宿主操作系统利用VMDK文件创建虚拟卷，提供使用者一个新的逻辑磁盘盘符；实现的ext2/ext3文件系统解析，向Windows内核的I/O管理器创建一个设备对象，并注册该文件系统，使得Windows操作系统可以访问除了FAT、NTFS、CDFS、UDF之外的文件系统；所述驱动程序安装于系统盘路径下的\Windows\system32\drivers目录，提供Windows宿主(不必须要宿主)操作系统解析ext2/ext3格式的文件系统使用。

公开(公告)号：CN118211214A

公开(公告)日：2024-06-18

申请号：CN202410108347.1

申请日：2024-01-25

Applicant: 公安部第三研究所

Inventor： 郑啸宇 ,  林九川 ,  付文豪

IPC: G06F21/56 ,  G06F18/213 ,  G06F18/25 ,  G06F18/241 ,  G06N3/0499

Abstract: 本发明涉及一种基于ATT&CK框架实现针对大规模恶意代码进行同源性分析的方法，包括以下步骤：通过技术自动化提取样本的静态特征；利用ATT&CK框架表征动态攻击行为；构建同源性分析模型；攻击者识别与归因。本发明还涉及一种用于实现基于ATT&CK框架针对大规模恶意代码进行同源性分析的装置、处理器及可读存储介质。采用了本发明的基于ATT&CK框架实现针对大规模恶意代码进行同源性分析的方法、装置、处理器及其计算机可读存储介质，可有效对大规模未知恶意样本进行分类，识别其内在关联性和相似性，归因其攻击组织，进一步辅助研究攻击组织的攻击手法、掌握常用攻击工具、挖掘其典型攻击特征。同时，通过同源性分析，可以挖掘出可溯源攻击痕迹。

公开(公告)号：CN111953706A

公开(公告)日：2020-11-17

申请号：CN202010849981.2

申请日：2020-08-21

Applicant: 公安部第三研究所

Inventor： 朱彬 ,  林九川 ,  姚伟 ,  吴跃顺 ,  肖烨

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明涉及一种基于HTTPS流量信息识别移动应用的方法，包括创建数据库和表；完成程序运行环境配置；初始化DPDK的环境抽象层；接收流量数据存入不同核队列，取出流量数据包，按照协议栈分析定位到应用层数据的起始位置；对应用层数据进行分析，按照HTTPS会话中第一个数据包的结构进行解析，获取其中的服务器域名指示(Server Name Indication,SNI)；匹配识别到的SNI和样本库，查询定位移动应用。采用了本发明的基于HTTPS流量信息识别移动应用的方法，从HTTPS网络数据流量中解析识别出服务器名称指示，把SNI和不断累积的域名和移动应用名样本库进行碰撞，最后识别出具体移动应用的方法。本发明能构建完成如下的移动应用和域名的映射关系样本库，从网络数据流量中获取HTTPS的SNI，适用范围广泛。

公开(公告)号：CN106778851A

公开(公告)日：2017-05-31

申请号：CN201611105412.7

申请日：2016-12-05

Applicant: 公安部第三研究所

Inventor： 姜国庆 ,  杨涛 ,  林九川 ,  王永剑 ,  曲洋 ,  彭如香

IPC: G06K9/62 ,  G06Q10/04

Abstract: 本发明涉及一种基于手机取证数据的社交关系预测系统及其方法，基于手机取证数据，该系统包括数据预处理模块、数据分析模块、虚拟身份信息串并处理模块、训练样本获取模块、层次聚类模块、模型训练模块和泛化模块，实现对手机取证数据的预处理，去除脏数据，以多分类模型对手机取证数据中的通讯行为等数据进行迭代训练，得到能够准确识别不同社交关系的分类器，并用于社交关系的预测，从而支持决策分析。采用本发明的基于手机取证数据的社交关系预测系统及其方法，弥补了现有情报分析手段中面对海量、复杂的网络空间数据缺乏有效分析手段的不足，给出一种基于手机取证数据的自然人社交关系预测系统，挖掘潜在的知识供情报分析人员研究、判断并参考。

公开(公告)号：CN106776960A

公开(公告)日：2017-05-31

申请号：CN201611101974.4

申请日：2016-12-05

Applicant: 公安部第三研究所

Inventor： 曲洋 ,  林九川 ,  王永剑 ,  姜国庆

IPC: G06F17/30 ,  H04L29/08

CPC classification number: G06F17/30194 ,  H04L67/1097

Abstract: 本发明涉及一种基于微容器实现的大数据平台，所述的大数据云平台包括上下两层，其中所述的上层包括多个Docker容器，所述的下层为存储系统，且所述的存储系统向所述的所有的Docker容器开放。且所述的存储系统为一基于HDFS的分布式存储系统，所述的Docker容器中包含有该大数据云平台实现所需的计算资源，给出了一种轻量级云平台的构建技术，并且能够完成对于大数据框架的定制化镜像服务，秒级速度完成大数据框架跨物理机的快速部署和销毁，最大程度简化了大数据平台的构建成本，克服了现有技术中的大数据平台资源难以合理利用和分配的缺点，以及云平台的迟缓的缺点，结合大数据平台和云平台的优点，实现基于微容器构建可伸缩性的大数据平台。

公开(公告)号：CN117155597A

公开(公告)日：2023-12-01

申请号：CN202310751722.X

申请日：2023-06-25

Applicant: 公安部第三研究所

Inventor： 吴跃顺 ,  刘俞 ,  林九川 ,  王永剑 ,  胡永涛 ,  赵宏伟 ,  姚伟 ,  朱彬 ,  袁梦婕 ,  张鑫 ,  李璐 ,  姚昕羽 ,  翁祎君 ,  包伊东 ,  张鹏

IPC: H04L9/40 ,  G06F21/30

Abstract: 本发明涉及一种基于数据安全监管实现渗透测试处理的系统，其中，所述的系统包括：设置有控制平面，所述的控制平面中包括：安全事件管理模块，用于负责收集和分析安全事件信息，并与渗透测试成果进行校验和安全告警，确保安全信息告警与渗透成果填报一致；身份认证模块，用于对渗透测试人员进行身份认证，以确保只有经过授权的人员才能访问目标网络；行为监控模块，用于实时监控渗透测试人员的操作行为，以确保其行为可见、可控、可审计和可溯源；以及还设置有数据平面，所述的数据平面中包括：数据安全保障模块，用于对渗透测试成果进行加密存储，防止数据泄露。采用了本发明的该系统，引入了零信任理念对系统进行了整体架构的设计。