公开(公告)号：CN108388778B

公开(公告)日：2021-03-30

申请号：CN201810233288.5

申请日：2018-03-21

Applicant: 北京理工大学

Inventor： 潘丽敏 ,  李蕊 ,  罗森林 ,  尚海 ,  张笈

IPC: G06F21/14 ,  G06F21/55

Abstract: 本发明涉及Android平台融合多特征的APP反调试方法，属于计算机与信息科学技术领域。本发明首先创建子进程，实现对主进程的主动跟踪，同时向主进程写入数据，用于动态加载时生成密钥；然后主进程开启线程分别进行暗桩检测、系统文件监控和子进程监控主进程循环检测主进程和子进程状态，当三个模块任意一个发送异常时退出应用程序；同时子进程与主进程保活交互，保证子进程不被挂起，主进程被监控模块监控，当主进程发送异常信号时结束进程。本发明能够有效地对抗调试攻击和反反调试攻击，提高了APP防护能力。

公开(公告)号：CN107085687B

公开(公告)日：2020-10-27

申请号：CN201710331195.1

申请日：2017-05-11

Applicant: 北京理工大学

Inventor： 罗森林 ,  喻露 ,  潘丽敏 ,  尚海 ,  丁庸

IPC: G06F21/57 ,  G06F11/36

Abstract: 本发明涉及一种基于二进制熵的加解密函数的定位方法，属于信息安全中的二进制漏洞挖掘领域，目的是为解决模糊测试中加解密函数的定位能力不足、尤其是区分加解密与其他类似运算易出现误判的问题。本方法采用二进制熵分析的方法，首先观察关键内存位置的指令特征，若发现疑似加解密运算后，进行动态分析，取出敏感操作对应的一段连续内存，分别对其进行块密码分析和流密码分析，因为加解密函数与哈希算法的指令特征非常相似，所以为排除哈希算法对加密判断的影响，进行哈希运算检测。由于可能存在其他私有的加解密方法，再对上述结果进行二进制熵分析，最后通过综合判定定位加解密函数的位置。本发明准确率较高，空间消耗低，适用于对精度要求较高、数据量较大的模糊测试领域，具有很好的应用价值和推广价值。

公开(公告)号：CN108388778A

公开(公告)日：2018-08-10

申请号：CN201810233288.5

申请日：2018-03-21

Applicant: 北京理工大学

Inventor： 潘丽敏 ,  李蕊 ,  罗森林 ,  尚海 ,  张笈

IPC: G06F21/14 ,  G06F21/55

CPC classification number: G06F21/14 ,  G06F21/554

Abstract: 本发明涉及Android平台融合多特征的APP反调试方法，属于计算机与信息科学技术领域。本发明首先创建子进程，实现对主进程的主动跟踪，同时向主进程写入数据，用于动态加载时生成密钥；然后主进程开启线程分别进行暗桩检测、系统文件监控和子进程监控主进程循环检测主进程和子进程状态，当三个模块任意一个发送异常时退出应用程序；同时子进程与主进程保活交互，保证子进程不被挂起，主进程被监控模块监控，当主进程发送异常信号时结束进程。本发明能够有效地对抗调试攻击和反反调试攻击，提高了APP防护能力。

公开(公告)号：CN108337123A

公开(公告)日：2018-07-27

申请号：CN201810233458.X

申请日：2018-03-21

Applicant: 北京理工大学

Inventor： 罗森林 ,  李蕊 ,  潘丽敏 ,  尚海 ,  郝靖伟 ,  杨鹏 ,  陈亮 ,  陈禹

IPC: H04L12/24 ,  H04L29/06

CPC classification number: H04L41/147 ,  H04L41/145 ,  H04L63/20

Abstract: 本发明涉及个体网络安全意识态势预测方法，属于计算机与信息科学技术领域。本发明首先对普通个体的网络安全意识数据进行预处理和属性选择，然后进行个体网络安全意识等级判定，利用朴素贝叶斯算法计算出个体各个等级初始概率、个体初始概率和单步转移矩阵，构建马尔可夫链，从而建立针对不同风险等级人群的网络安全意识态势变化概率预测系统。与现有技术相比，本发明在进一步提升个体网络安全意识态势变化概率预测准确率的同时，可以根据不同个体输入的数据选择对应风险等级的预测模型，预测多年内变化的概率，处理速度快，能够达到对个体未来安全意识变化态势进行预测、防患于未然的目的。

公开(公告)号：CN108446848A

公开(公告)日：2018-08-24

申请号：CN201810233382.0

申请日：2018-03-21

Applicant: 北京理工大学

Inventor： 罗森林 ,  郝靖伟 ,  李蕊 ,  尚海 ,  潘丽敏 ,  杨鹏 ,  李燕伟

IPC: G06Q10/06 ,  G06Q50/26

CPC classification number: G06Q10/06393 ,  G06Q50/26

Abstract: 针对当前网络安全意识定义模糊，缺少有效评估体系和方法的问题，本发明提出个体网络安全意识分级量化评价方法。该方法包括三个部分，主观意识评估、行为本体评估和评估决策。主观意识评估部分通过问卷调查获取个体信息，通过层次分析法对各信息安全认知、信息法律伦理、信息安全知识、信息安全能力4个维度打分，获取个体用户在这4个维度的得分。行为本体评估部分，扫描电脑和手机用户行为，计算与最优的用户行为直接的距离，通过随机森林算法判别用户行为安全等级。融合主观意识评估和行为本体评估，评估个体网络空间安全意识水平。实验结果表明，该方法能够结合机器学习方法实现个体网络安全意识分级量化，粒度从强到弱不小于4级，其分级准确率在95％以上。该方法可以用于提高个体网络安全意识分级量化模型的全面性和普适性，具有一定的实用价值。

公开(公告)号：CN107169324A

公开(公告)日：2017-09-15

申请号：CN201710331858.X

申请日：2017-05-12

Applicant: 北京理工大学

Inventor： 罗森林 ,  尚海 ,  潘丽敏 ,  喻露

IPC: G06F21/14 ,  G06F21/16

CPC classification number: G06F21/14 ,  G06F21/16

Abstract: 本发明涉及一种Android应用加固方法，属于信息安全技术领域。本发明包括代码加密、动态防御、完整性校验、动态加载四个模块。加密过程对Android应用程序class.dex加密，对核心代码二次加密，并对加密后的签名认证，将加密的结果嵌入资源文件。动态防御过程，检测调试器和模拟器，检测到被调试或运行在模拟器中退出应用程序。开启子进程，子进程和主进程相互ptrace监控，子进程循环检测调试器和模拟器，被调试则结束进程。完整性检测模块，认证签名信息，防止资源和代码被篡改。代码解密模块提取隐藏在图片中的加密信息，解密得到中间数据，对其中的核心代码部分二次解密，将解密后的结果直接加载至内存执行。

公开(公告)号：CN107085687A

公开(公告)日：2017-08-22

申请号：CN201710331195.1

申请日：2017-05-11

Applicant: 北京理工大学

Inventor： 罗森林 ,  喻露 ,  潘丽敏 ,  尚海 ,  丁庸

IPC: G06F21/57 ,  G06F11/36

Abstract: 本发明涉及一种基于二进制熵的加解密函数的定位方法，属于信息安全中的二进制漏洞挖掘领域，目的是为解决模糊测试中加解密函数的定位能力不足、尤其是区分加解密与其他类似运算易出现误判的问题。本方法采用二进制熵分析的方法，首先观察关键内存位置的指令特征，若发现疑似加解密运算后，进行动态分析，取出敏感操作对应的一段连续内存，分别对其进行块密码分析和流密码分析，因为加解密函数与哈希算法的指令特征非常相似，所以为排除哈希算法对加密判断的影响，进行哈希运算检测。由于可能存在其他私有的加解密方法，再对上述结果进行二进制熵分析，最后通过综合判定定位加解密函数的位置。本发明准确率较高，空间消耗低，适用于对精度要求较高、数据量较大的模糊测试领域，具有很好的应用价值和推广价值。

公开(公告)号：CN105573985A

公开(公告)日：2016-05-11

申请号：CN201610124099.5

申请日：2016-03-04

Applicant: 北京理工大学

Inventor： 罗森林 ,  韩磊 ,  潘丽敏 ,  尚海

IPC: G06F17/27

CPC classification number: G06F17/2705 ,  G06F17/2785

Abstract: 本发明涉及一种基于汉语句义结构模型和主题模型的句子表示方法，属于计算机科学与自然语言处理中文分析技术领域。本发明首先对句子进行句义结构分析，得到句子的句义结构；进而提取句子中的基本项词语和一般项词语，使用主题模型分析得到基本项知识库和一般项知识库；最终根据句义结构中话题和述题下词语，使用上一步分析得到的知识库对句子内容进行扩充，得到句子表示结果。本发明为为解决句子表示的特征稀疏问题提供了新的思路，并有效提升了句子的分类效果，具有重要的理论价值和实践作用。

公开(公告)号：CN108491235A

公开(公告)日：2018-09-04

申请号：CN201810235689.4

申请日：2018-03-21

Applicant: 北京理工大学

Inventor： 潘丽敏 ,  袁晓筱 ,  罗森林 ,  尚海 ,  张笈

IPC: G06F9/445 ,  G06F8/53

CPC classification number: G06F9/44521 ,  G06F8/53

Abstract: 本发明涉及结合动态加载和函数Native化的DEX保护方法，属于计算机与信息科学技术领域中Android平台APP加固技术的一种。本发明第一步对应用的APK文件进行加固修改，加固过程首先通过apktool工具反编译应用APK文件，获取AndroidManifest.xml文件，修改应用启动入口，然后利用输入的待保护方法列表，生成植入代码，并植入原始DEX文件反编译得到的smali文件，重新生成DEX文件并重构，最后对DEX文件加密，输出得.jar，并重新打包生成APK。本发明第二步在APP运行过程中修改进程内存，首先启动壳DEX，运行植入的启动代码对原始DEX文件加密和动态加载,并重定向被保护的方法，接着，在函数调用时执行自定义的代码恢复被调用方法，调用原始函数，完成函数调用。

公开(公告)号：CN108491235B

公开(公告)日：2021-03-30

申请号：CN201810235689.4

申请日：2018-03-21

Applicant: 北京理工大学

Inventor： 潘丽敏 ,  袁晓筱 ,  罗森林 ,  尚海 ,  张笈

IPC: G06F9/445 ,  G06F8/53

Abstract: 本发明涉及结合动态加载和函数Native化的DEX保护方法，属于计算机与信息科学技术领域中Android平台APP加固技术的一种。本发明第一步对应用的APK文件进行加固修改，加固过程首先通过apktool工具反编译应用APK文件，获取AndroidManifest.xml文件，修改应用启动入口，然后利用输入的待保护方法列表，生成植入代码，并植入原始DEX文件反编译得到的smali文件，重新生成DEX文件并重构，最后对DEX文件加密，输出得.jar，并重新打包生成APK。本发明第二步在APP运行过程中修改进程内存，首先启动壳DEX，运行植入的启动代码对原始DEX文件加密和动态加载,并重定向被保护的方法，接着，在函数调用时执行自定义的代码恢复被调用方法，调用原始函数，完成函数调用。