公开(公告)号：CN115221067A

公开(公告)日：2022-10-21

申请号：CN202210882153.8

申请日：2022-07-26

Applicant: 电子科技大学

Inventor： 牛伟纳 ,  段治秦 ,  张小松 ,  莫洋 ,  王崇宇 ,  巩嘉诚 ,  张然

IPC: G06F11/36 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于基因进化算法的动态深度分析引擎构建方法，属于软件分析技术领域，主旨在于解决现有动态分析技术代码覆盖率与恶意行为触发率偏低的问题，主要方案包括步骤1：对被测试Android应用进行UI层级捕捉来获取被测试Android应用中的UI组件信息，得到UI层级信息。步骤2：通过注入事件函数来实现指定UI事件触发。步骤3：捕获软件动态行为特征数据并利用神经网络模型实现恶意行为动态检测。步骤4：使用基因进化算法生成并筛选事件函数序列，并通过反馈调节更改注入的事件函数。本发明最终在检测恶意行为的同时通过与反馈调节相结合实现UI事件序列的动态优化，实现高触发率的基于动态分析的Android恶意软件识别。

公开(公告)号：CN114662105A

公开(公告)日：2022-06-24

申请号：CN202210275465.2

申请日：2022-03-17

Applicant: 电子科技大学

Inventor： 汪义航 ,  牛伟纳 ,  张小松 ,  刘星宇 ,  巩嘉诚 ,  段治秦 ,  彭宇博 ,  邵淇奥

IPC: G06F21/56

Abstract: 本发明公开了一种基于图节点关系和图压缩识别Android恶意软件的方法及系统，解决现有技术其检测和分类精度低，以及计算速度慢的问题。本发明对被测试Android APK文件进行反编译来获取被测试Android APK中所调用的API，构造APK‑API异构图；提取APK间可达关系，并实现APK‑API异构图维度压缩与异构图到同质图转化，得到APK‑APK小型带权同质图的关系矩阵；基于特征矩阵X和APK‑APK小型带权同质图的关系矩阵，使用GCN模型对APK‑APK小型带权同质图中未打标签的Android APK节点进行检测和分类。本发明用于识别Android恶意软件。

公开(公告)号：CN116074092A

公开(公告)日：2023-05-05

申请号：CN202310101364.8

申请日：2023-02-07

Applicant: 电子科技大学

Inventor： 牛伟纳 ,  何朝旭 ,  张小松 ,  刘星宇 ,  段治秦

IPC: H04L9/40 ,  G06F18/22 ,  G06F18/214

Abstract: 本发明公开了一种基于异构图注意力网络的攻击场景重构系统，属于攻击检测技术领域，主旨在于解决攻击检测系统缺乏对多步攻击的关联分析问题。主要方案包括：先收集系统审计日志数据，以系统实体(如进程、文件)为顶点，以系统事件为边构建溯源图，并在保留语义信息的基础上对溯源图进行缩减；然后输入到训练好的异构图注意力网络中得到进程节点的语义特征，之后通过余弦相似计算方法与数据库中已经学习到的进程特征对比，得到相似度，若相似度低于阈值则判断其为异常节点；接着以异常节点为基点，通过改进后的DFS算法提取攻击路径，若有多条路径则通过设置的判别条件如时间跨度等对其进行排序，最终得到威胁度最高得攻击路径。

公开(公告)号：CN116662994A

公开(公告)日：2023-08-29

申请号：CN202310505401.1

申请日：2023-05-06

Applicant: 电子科技大学

Inventor： 牛伟纳 ,  张小松 ,  段治秦 ,  侯安然 ,  李明阳

IPC: G06F21/56

Abstract: 本发明公开了一种基于符号执行的恶意代码混淆技术静态修复方法，属于软件分析技术领域，主旨在于解决现有静态分析技术面对混淆恶意软件时的恶意软件静态逃逸问题。主要方案包括对被测试Android应用进行基础静态分析来获取被测试Android应用中的敏感API列表和原始图特征；根据得到的敏感API列表，编写钩子函数模拟敏感API列表功能，生成函数替换表，使用符号执行技术模拟运行Android应用，此过程中根据函数替换表替换部分函数，最终得到Android应用模拟执行时的总体执行状态信息和基本块的分块信息；根据状态信息和分块信息对原始图特征进行剪枝和重构实现静态修复，排除静态混淆信息，挖掘其中的有效图特征。

公开(公告)号：CN114817924B

公开(公告)日：2023-04-07

申请号：CN202210544603.2

申请日：2022-05-19

Applicant: 电子科技大学

Inventor： 牛伟纳 ,  巩嘉诚 ,  张小松 ,  段治秦 ,  刘星宇 ,  朱宇坤

IPC: G06F21/56 ,  G06F8/53 ,  G06F8/75 ,  G06F16/35 ,  G06F40/30 ,  G06F40/253 ,  G06F18/241 ,  G06F18/25 ,  G06N3/042 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明提出了一种基于AST和跨层分析的安卓恶意软件检测方法及系统，属于恶意代码分析技术领域，主要解决现有基于函数调用图中忽视敏感节点祖先节点代码语义信息以及函数调用图生成忽略Native层部分等问题。主要方案包括对待测AndroidAPK文件进行静态反编译以获取其Java层代码与Native层代码并生成函数调用图FCG；根据Java层代码中对Native层函数的调用将两部分FCG合成完整的FCG；基于敏感API对FCG进行简化，从而得到简化FCG；对非敏感API节点进行代码分析，生成对应的抽象语法树；使用图神经网络对融合了代码语义的简化FCG信息进行学习；将训练好的检测模型用于对Android恶意软件进行检测与识别。

公开(公告)号：CN114662105B

公开(公告)日：2023-03-31

申请号：CN202210275465.2

申请日：2022-03-17

Applicant: 电子科技大学

Inventor： 汪义航 ,  牛伟纳 ,  张小松 ,  刘星宇 ,  巩嘉诚 ,  段治秦 ,  彭宇博 ,  邵淇奥

IPC: G06F21/56

Abstract: 本发明公开了一种基于图节点关系和图压缩识别Android恶意软件的方法及系统，解决现有技术其检测和分类精度低，以及计算速度慢的问题。本发明对被测试Android APK文件进行反编译来获取被测试Android APK中所调用的API，构造APK‑API异构图；提取APK间可达关系，并实现APK‑API异构图维度压缩与异构图到同质图转化，得到APK‑APK小型带权同质图的关系矩阵；基于特征矩阵X和APK‑APK小型带权同质图的关系矩阵，使用GCN模型对APK‑APK小型带权同质图中未打标签的Android APK节点进行检测和分类。本发明用于识别Android恶意软件。

公开(公告)号：CN114817925A

公开(公告)日：2022-07-29

申请号：CN202210544808.0

申请日：2022-05-19

Applicant: 电子科技大学

Inventor： 牛伟纳 ,  巩嘉诚 ,  张小松 ,  刘星宇 ,  段治秦 ,  朱宇坤

IPC: G06F21/56 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提出了一种基于多模态图特征的安卓恶意软件检测方法及系统，主要解决现有基于图的检测技术中对于恶意程序特征挖掘不全面以及对挖掘到的特征利用不充分等问题。主要方案包括：静态特征和动态特征等；分别对上述特征进行分析，并将其转换为图结构特征，通过多模态图特征实现应用程序行为的全方面表征；分别对每个维度的图结构特征使用图嵌入方法实现其向量化；基于注意力机制，将上述所有维度的图结构特征向量输入到图神经网络中进行训练和学习；将训练好的检测模型用于对Android恶意软件进行检测与识别。

公开(公告)号：CN118363856A

公开(公告)日：2024-07-19

申请号：CN202410532891.9

申请日：2024-04-29

Applicant: 电子科技大学

Inventor： 牛伟纳 ,  张小松 ,  段治秦

IPC: G06F11/36

Abstract: 本发明公开了一种基于约束提取的安卓软件包系统校验缺陷检测方法实现针对二进制结构异常软件包有效监测、预防和修复，属于计算机技术领域，解决现有静态分析技术对安卓软件包二进制结构的校验存在的缺陷。本发明包括对安卓系统源码中的校验代码进行污点传播分析和约束提取，得到安卓软件包的二进制结构约束信息构建二进制结构异常样本生成规则，并生成具备二进制结构异常的异常样本集；使用异常样本集进行运行测试，并基于测试后得到的能正常运行的异常样本集对静态分析工具集进行模糊测试；捕获静态分析工具异常报告并根据测试结果确认潜在校验缺陷，并提出安卓软件包二进制结构规范。本发明用于获取安卓系统中存在的软件包二进制结构校验缺陷。

公开(公告)号：CN116074092B

公开(公告)日：2024-02-20

申请号：CN202310101364.8

申请日：2023-02-07

Applicant: 电子科技大学

Inventor： 牛伟纳 ,  何朝旭 ,  张小松 ,  刘星宇 ,  段治秦

IPC: H04L9/40 ,  G06F18/22 ,  G06F18/214

Abstract: 本发明公开了一种基于异构图注意力网络的攻击场景重构系统，属于攻击检测技术领域，主旨在于解决攻击检测系统缺乏对多步攻击的关联分析问题。主要方案包括：先收集系统审计日志数据，以系统实体(如进程、文件)为顶点，以系统事件为边构建溯源图，并在保留语义信息的基础上对溯源图进行缩减；然后输入到训练好的异构图注意力网络中得到进程节点的语义特征，之后通过余弦相似计算方法与数据库中已经学习到的进程特征对比，得到相似度，若相似度低于阈值则判断其为异常节点；接着以异常节点为基点，通过改进后的DFS算法提取攻击路径，若有多条路径则通过设置的判别条件如时间跨度等对其进行排序，最终得到威胁度最高得攻击路径。

公开(公告)号：CN114817925B

公开(公告)日：2023-04-07

申请号：CN202210544808.0

申请日：2022-05-19

Applicant: 电子科技大学

Inventor： 牛伟纳 ,  巩嘉诚 ,  张小松 ,  刘星宇 ,  段治秦 ,  朱宇坤

IPC: G06F21/56 ,  G06F18/241 ,  G06F18/214 ,  G06N3/042 ,  G06N3/08

Abstract: 本发明提出了一种基于多模态图特征的安卓恶意软件检测方法及系统，主要解决现有基于图的检测技术中对于恶意程序特征挖掘不全面以及对挖掘到的特征利用不充分等问题。主要方案包括：静态特征和动态特征等；分别对上述特征进行分析，并将其转换为图结构特征，通过多模态图特征实现应用程序行为的全方面表征；分别对每个维度的图结构特征使用图嵌入方法实现其向量化；基于注意力机制，将上述所有维度的图结构特征向量输入到图神经网络中进行训练和学习；将训练好的检测模型用于对Android恶意软件进行检测与识别。