公开(公告)号：CN119854762A

公开(公告)日：2025-04-18

申请号：CN202411818208.4

申请日：2024-12-11

Applicant: 清华大学

Inventor： 李琦 ,  车熙嘉 ,  何艺 ,  冯学伟 ,  徐恪

IPC: H04W4/80 ,  H04W12/122 ,  H04W12/47 ,  H04W12/03 ,  H04W12/121

Abstract: 本申请提出一种状态感知的轻量级蓝牙安全框架，包括：基于状态的规则构建模块，用于从蓝牙低功耗攻击数据库中提取攻击步骤和攻击数据包，基于蓝牙规范构建有限状态机模型，通过定义正常状态、非法状态及状态间的转移路径，生成针对恶意路径的状态转换规则；eBPF规则部署模块，用于利用LLVM编译器将状态转换规则编译为eBPF字节码，并通过蓝牙服务将eBPF字节码传输至目标BLE设备，将eBPF字节码加载至目标BLE设备内核环境中，以使eBPF规则实时生效；会话状态提取模块，用于在链路层和安全管理协议层部署钩子捕获会话流量，根据部署的eBPF规则分析捕获的会话事件以实时更新有限状态机状态，并在检测到恶意路径时触发防御机制，阻止攻击行为并重置有限状态机状态。

公开(公告)号：CN118487821A

公开(公告)日：2024-08-13

申请号：CN202410644739.X

申请日：2024-05-23

Applicant: 清华大学

Inventor： 徐恪 ,  李海斌 ,  李琦 ,  冯学伟 ,  傅川溥 ,  苏莹莹

IPC: H04L9/40 ,  H04L67/56 ,  H04L61/2503

Abstract: 本发明提出一种基于状态混淆的无连接IPID状态泄露攻击防御方法，包括，获取待保护主机；对发往待保护主机的请求数据包进行监控；若待保护主机的count_ICMP或unique_ICMP_srcIPs出现异常，则通过交换机代理回复ICMP请求数据包；若待保护主机的unique_UDP_srcIPs出现异常，则对发往待保护主机的UDP数据包的源IP地址进行动态映射，并对源地址空间进行动态压缩转换；若请求数据包经过了地址转换，则将回复数据包的dst_IP和dst_Port转换成原请求数据包的源IP地址和源端口号。

公开(公告)号：CN115604026A

公开(公告)日：2023-01-13

申请号：CN202211482151.6

申请日：2022-11-24

Applicant: 清华大学(CN)

Inventor： 徐恪 ,  冯学伟 ,  杨宇翔 ,  李琦 ,  朱敏

IPC: H04L9/40 ,  H04L69/08 ,  H04L69/163

Abstract: 本发明公开了针对TCP/IP分层网络模型的交互式安全性分析方法及系统，该方法包括：获取分层网络模型中的跨层交互漏洞集合，并将目标协议栈源代码转换成中间语言；对转换后的中间语言进行扫描以划分不同层次的网络协议栈，并对网络协议栈中交互的变量进行标记得到源关键变量；基于源关键变量间的关系进行标记得到传播变量，并根据传播变量的标记顺序得到传播路径；基于传播路径和跨层交互漏洞集合进行漏洞检测得到漏洞检测结果。本发明能够对提出的多种跨层交互式安全漏洞进行自动化的检测和识别，发现目标协议栈中的隐蔽高危漏洞，提高协议栈安全漏洞的分析效率和协议栈的鲁棒性。

公开(公告)号：CN120050059A

公开(公告)日：2025-05-27

申请号：CN202411899742.2

申请日：2024-12-23

Applicant: 清华大学

Inventor： 徐恪 ,  吴一凡 ,  冯学伟

IPC: H04L9/40 ,  G06N5/04 ,  H04L69/16 ,  H04L69/22

Abstract: 本申请提出一种针对TCP/IP分层模型协议跨层交互漏洞的自动化分析方法，包括：对TCP/IP协议栈的源代码和RFC文档进行清洗、拆分和预处理；基于预处理后的源代码和RFC文档，分别生成中间表示，从源代码中提取协议处理逻辑与跨层交互流程，生成中间表示IR‑C；从RFC文档中提取协议状态描述与逻辑结构，生成多种中间表示IR‑Ri；对IR‑C和IR‑Ri进行差分分析，检查协议代码和RFC文档在逻辑层面的描述是否一致，识别潜在的不一致性并进行调整；基于一致性比对与调整的结果，从单层协议扩展到跨层交互逻辑，构建协议跨层交互状态机；利用生成的状态机，自动生成与RFC文档风格一致的跨层交互定义文档。实现了跨层交互行为的明确定义与漏洞挖掘，提升了协议栈安全分析的效率和准确性。

公开(公告)号：CN118573429A

公开(公告)日：2024-08-30

申请号：CN202410644738.5

申请日：2024-05-23

Applicant: 清华大学

Inventor： 徐恪 ,  李海斌 ,  冯学伟 ,  李琦

IPC: H04L9/40 ,  H04L67/56

Abstract: 本申请提出了一种基于交换机主动验证的旁路ICMP重定向攻击防御方法和装置，涉及网络安全技术领域，其中，该方法包括：通过在交换机上实时监控发往受保护主机的ICMP重定向消息，并对每个ICMP重定向消息所指示的通往特定目的端的更优路径及其新网关进行主动验证，从而鉴别该ICMP重定向消息是否真实，在主动验证后，将该虚假的重定向消息直接丢弃，从而使目标主机免受该虚假重定向消息的危害。而对于通过验证的重定向消息，则直接转发给目标主机。采用上述方案的本申请能够准确验证ICMP重定向消息的有效性，从而避免受保护主机受到虚假重定向消息的危害。

公开(公告)号：CN115604026B

公开(公告)日：2023-05-16

申请号：CN202211482151.6

申请日：2022-11-24

Applicant: 清华大学

Inventor： 徐恪 ,  冯学伟 ,  杨宇翔 ,  李琦 ,  朱敏

IPC: H04L9/40 ,  H04L69/08 ,  H04L69/163

Abstract: 本发明公开了针对TCP/IP分层网络模型的交互式安全性分析方法及系统，该方法包括：获取分层网络模型中的跨层交互漏洞集合，并将目标协议栈源代码转换成中间语言；对转换后的中间语言进行扫描以划分不同层次的网络协议栈，并对网络协议栈中交互的变量进行标记得到源关键变量；基于源关键变量间的关系进行标记得到传播变量，并根据传播变量的标记顺序得到传播路径；基于传播路径和跨层交互漏洞集合进行漏洞检测得到漏洞检测结果。本发明能够对提出的多种跨层交互式安全漏洞进行自动化的检测和识别，发现目标协议栈中的隐蔽高危漏洞，提高协议栈安全漏洞的分析效率和协议栈的鲁棒性。