-
公开(公告)号:CN105550574B
公开(公告)日:2018-05-25
申请号:CN201510915411.8
申请日:2015-12-11
Applicant: 南京大学
Abstract: 本发明公开了一种基于内存活动的边信道攻击取证系统及基于该系统实现的取证方法,系统包括监控模块、识别模块、验证模块和证据数据中心。本发明利用硬件虚拟化技术,实现客户虚拟机的内存页面实时监控,并通过基于时间的side‑channel攻击的内存活动特征,利用基于内存活动特征的识别算法将基于时间的side‑channel攻击识别出来,并在静态分析的辅助下二次确认攻击的存在并提取攻击的存在证据,实现重要实时证据和存在证据的获取和分析,保证了获取证据的有效性和可信度。本发明能够在支持硬件虚拟化的虚拟化平台上部署,具有很高的透明性,不会对虚拟机平台造成额外的负荷和运行干扰。
-
公开(公告)号:CN104021344A
公开(公告)日:2014-09-03
申请号:CN201410203373.9
申请日:2014-05-14
Applicant: 南京大学
IPC: G06F21/56
CPC classification number: G06F21/552 , G06F21/53
Abstract: 一种用于收集和截获计算机内存行为的蜜罐机制及方法,包括:内存虚拟化模块、蜜罐模块、内省模块、控制模块和蜜罐记录模块;本机制基于内存虚拟化技术,支持SMP结构,可以在操作系统运行时部署轻量化虚拟机,对蜜罐中的内存行为进行监视;也可作为其它虚拟机的子模块实现相同功能;蜜罐在系统运行时监视多个核中的每个进程对内存关键区域的精确修改情况,由位图表示,同时通过内省模块收集相关的进程详细信息和进程当时完整的运行时状态,所有记录统一集中到蜜罐记录模块;本发明基于事件驱动,不修改目标操作系统的任何代码,相对于现有的指令级监视性能损耗低,灵活度高,适合用于实时取证和动态分析。
-
公开(公告)号:CN104021063A
公开(公告)日:2014-09-03
申请号:CN201410202898.0
申请日:2014-05-14
Applicant: 南京大学
Abstract: 一种基于硬件虚拟化的计算机模块化实时取证系统及其方法,包括初始化驱动、系统控制中心、系统支持模块组和取证功能模块组;本方法基于硬件虚拟化技术,在操作系统运行时通过初始化驱动搭建轻量化虚拟机,并在系统控制中心提供硬件虚拟化平台的支持和所有子模块的管理;系统支持模块组为取证模块组提供所有基础功能的支持;本方法规范了取证功能模块组的接口,支持模块的复用和扩展,使取证工具能够关注核心功能,减少大量重复工作;本发明不修改目标操作系统的任何代码,性能损耗低,内存占用少,建立了一个安全可信的实时取证基础平台,为各类基于虚拟化的取证工具的实现提供了便利。
-
公开(公告)号:CN104021063B
公开(公告)日:2015-03-11
申请号:CN201410202898.0
申请日:2014-05-14
Applicant: 南京大学
Abstract: 一种基于硬件虚拟化的计算机模块化实时取证系统及其方法,包括初始化驱动、系统控制中心、系统支持模块组和取证功能模块组;本方法基于硬件虚拟化技术,在操作系统运行时通过初始化驱动搭建轻量化虚拟机,并在系统控制中心提供硬件虚拟化平台的支持和所有子模块的管理;系统支持模块组为取证模块组提供所有基础功能的支持;本方法规范了取证功能模块组的接口,支持模块的复用和扩展,使取证工具能够关注核心功能,减少大量重复工作;本发明不修改目标操作系统的任何代码,性能损耗低,内存占用少,建立了一个安全可信的实时取证基础平台,为各类基于虚拟化的取证工具的实现提供了便利。
-
公开(公告)号:CN105183567A
公开(公告)日:2015-12-23
申请号:CN201510682287.5
申请日:2015-10-21
Applicant: 南京大学
Abstract: 本发明公开了基于共享内存的云取证证据获取方法及系统,系统包括系统驱动模块、发送模块、接收模块和自调整模块,所述系统驱动模块、发送模块、接收模块分别安装在接收虚拟机和发送虚拟机中,所述自调整模块安装在接收虚拟机中,发送模块包括数据填充组件和第一气球驱动触发组件,所述接收模块包括数据识别和接收组件、第二气球驱动触发组件。本发明实现了云平台上处于相同物理主机上虚拟机之间的信息的传递功能,能够在云提供商不配合或者不能察觉的情况下获取取证的证据,并能够作为并存虚拟机之间进行信息传递的通信手段。
-
Patent Agency Ranking
公开(公告)号:CN104021344B
公开(公告)日:2015-06-24
申请号:CN201410203373.9
申请日:2014-05-14
Applicant: 南京大学
IPC: G06F21/56
Abstract: 一种用于收集和截获计算机内存行为的蜜罐机制及方法,包括:内存虚拟化模块、蜜罐模块、内省模块、控制模块和蜜罐记录模块;本机制基于内存虚拟化技术,支持SMP结构,可以在操作系统运行时部署轻量化虚拟机,对蜜罐中的内存行为进行监视;也可作为其它虚拟机的子模块实现相同功能;蜜罐在系统运行时监视多个核中的每个进程对内存关键区域的精确修改情况,由位图表示,同时通过内省模块收集相关的进程详细信息和进程当时完整的运行时状态,所有记录统一集中到蜜罐记录模块;本发明基于事件驱动,不修改目标操作系统的任何代码,相对于现有的指令级监视性能损耗低,灵活度高,适合用于实时取证和动态分析。
-
公开(公告)号:CN102368226B
公开(公告)日:2014-02-26
申请号:CN201110306942.9
申请日:2011-10-10
Applicant: 南京大学
IPC: G06F11/36
Abstract: 一种自动化测试用例生成方法,基于扩展有限状态机可行路径分析,由于不可行路径的存在使得扩展有限状态机模型中生成测试用例仍然是一个难题,本发明通过路径可行性分析尽可能的避开不可行路径、自动化的生成测试用例和创建测试预言。特征是结合了静态分析和动态分析技术来找到一个较小的可行路径集合达到指定的路径覆盖准则,此外还给出了路径可行性评估策略,开发了可执行模型,通过运行时信息反馈和分散搜索ScatterSearch技术来自动生成测试数据和创建测试预言。静态和动态两种可行性分析技术的结合大大提高了测试用生成的效率,实际应用中可以减少测试过程的代价,提高软件测试的质量。
-
公开(公告)号:CN105183567B
公开(公告)日:2018-10-16
申请号:CN201510682287.5
申请日:2015-10-21
Applicant: 南京大学
Abstract: 本发明公开了基于共享内存的云取证证据获取方法及系统,系统包括系统驱动模块、发送模块、接收模块和自调整模块,所述系统驱动模块、发送模块、接收模块分别安装在接收虚拟机和发送虚拟机中,所述自调整模块安装在接收虚拟机中,发送模块包括数据填充组件和第一气球驱动触发组件,所述接收模块包括数据识别和接收组件、第二气球驱动触发组件。本发明实现了云平台上处于相同物理主机上虚拟机之间的信息的传递功能,能够在云提供商不配合或者不能察觉的情况下获取取证的证据,并能够作为并存虚拟机之间进行信息传递的通信手段。
-
公开(公告)号:CN105550574A
公开(公告)日:2016-05-04
申请号:CN201510915411.8
申请日:2015-12-11
Applicant: 南京大学
CPC classification number: G06F21/52 , G06F21/562 , G06F2201/84
Abstract: 本发明公开了一种基于内存活动的边信道攻击取证系统及基于该系统实现的取证方法,系统包括监控模块、识别模块、验证模块和证据数据中心。本发明利用硬件虚拟化技术,实现客户虚拟机的内存页面实时监控,并通过基于时间的side-channel攻击的内存活动特征,利用基于内存活动特征的识别算法将基于时间的side-channel攻击识别出来,并在静态分析的辅助下二次确认攻击的存在并提取攻击的存在证据,实现重要实时证据和存在证据的获取和分析,保证了获取证据的有效性和可信度。本发明能够在支持硬件虚拟化的虚拟化平台上部署,具有很高的透明性,不会对虚拟机平台造成额外的负荷和运行干扰。
-
公开(公告)号:CN104376078A
公开(公告)日:2015-02-25
申请号:CN201410650726.X
申请日:2014-11-14
Applicant: 南京大学
IPC: G06F17/30
CPC classification number: G06F17/30598
Abstract: 一种基于知识熵的异常数据检测方法,其特征在于包括如下步骤:1)样本集合的属性分析阶段:收集应用程序生成的数据样本集合U及其对应的属性集合A;对数据样本集U中的属性值进行规范化预处理;基于属性全集A对数据样本集U的作聚类处理,并计算A的知识熵;分别计算各个属性的重要度,据此构造属性集合的序列;结束。2)样本集合的数据样本检测阶段:计算每个数据样本的异常因子;根据异常因子输出异常数据集合;结束。本发明在利用聚类效果的同时避免聚类的不确定性,可以有效地保证异常数据的检测准确率。
-
-
-
-
-
-
-
-
-
Search Results
11
records
(took 0.027 seconds)
