公开(公告)号：CN116521310A

公开(公告)日：2023-08-01

申请号：CN202310393624.3

申请日：2023-04-13

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  李博 ,  杜海超 ,  宋振宇 ,  周梦婷 ,  解亚敏 ,  唐静

IPC: G06F9/455

Abstract: 本发明提出了一种面向内核回调机制的DKOM的防御方法及系统，属于操作系统防护领域，通过获取进程句柄和注册表回调机制在内核存储的数据地址；根据获取的数据地址初始化受保护数据的列表；基于EPT技术对受保护数据的列表中的受保护数据与不可信驱动进行隔离，以保护该列表中所有地址所处的内存页面；当产生EPT违规，则根据客户机执行的指令地址所处的模块进行判断，确认是合法访问还是DKOM攻击。本发明能够有效地阻止了对应的DKOM攻击，能够防御绕过反病毒软件、杀死软件进程等免杀手段的威胁，不需要修改目标操作系统的源代码。

公开(公告)号：CN111639337B

公开(公告)日：2023-04-07

申请号：CN202010305550.X

申请日：2020-04-17

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  李帅 ,  陈阳 ,  杜海超 ,  白璐 ,  解亚敏 ,  唐静

IPC: G06F21/56 ,  G06N3/08 ,  G06N3/0464

Abstract: 本发明公开一种面向海量Windows软件的未知恶意代码检测方法及系统，属于系统安全技术领域，为解决传统的基于特征码的检测方法无法检测未知恶意代码的问题，结合动态检测和静态检测的优势，使用深度学习的检测技术来实现对未知特征的恶意代码的检测，使用静态特征辅助检测的方法在海量样本的场景下加速检测，提高检测效率。

公开(公告)号：CN112580056A

公开(公告)日：2021-03-30

申请号：CN202011462874.0

申请日：2020-12-14

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  贾晓启 ,  宋振宇 ,  侯恩泽 ,  郭璇 ,  唐静 ,  解亚敏

IPC: G06F21/57 ,  H04L29/06

Abstract: 本申请实施例中提供了一种终端设备、数据加密方法、解密方法、及电子设备，所述终端设备包括各功能模块均运行于通用操作系统环境中的通用操作系统模组、各功能模块均运行于可信执行环境中的可信执行环境模组、以及共用内存。具体地，所述通用操作系统模组包括第一客户端接口服务应用和IP协议栈；所述可信执行环境模组包括第一可信接口服务应用、加密芯片；在数据加密过程中，所述第一客户端接口服务应用在获取第一待加密数据后将其存储于共用内存上，由所述第一可信接口服务应用读取后转发至加密芯片，加密获得第一密文数据并转发至第一可信接口服务应用，进一步经共用内存由第一客户端接口服务应用转发至其它应用程序或端口。可见，本申请技术方案可以使数据加密核心程序完全与通用操作系统环境物理隔离，具有提升移动终端数据安全性和保密性的技术效果。

公开(公告)号：CN112446042A

公开(公告)日：2021-03-05

申请号：CN202011462909.0

申请日：2020-12-14

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  贾晓启 ,  孟慧石 ,  何运 ,  杜海超 ,  解亚敏 ,  唐静

IPC: G06F21/60

Abstract: 本申请实施例提供了一种加密方法和装置、解密方法和装置、移动终端和存储介质，该加密方法应用于移动终端，在对数据进行加密时，首先从移动终端的通用执行环境获取待加密的明文数据，并通过可信执行环境中的加解密驱动程序将明文数据发送至加解密芯片，最后通过加解密芯片对明文数据进行加密，获得加密后的密文数据。本申请实施例在移动终端中设置一个单独的加解密芯片，能够对待加密的明文数据进行加密，保护数据安全，同时，利用可信执行环境的强隔离性，将加解密芯片的加解密驱动程序置于可信执行环境中，能够防止通用执行环境中的恶意程序对加解密驱动程序进行攻击，充分保障移动终端中的数据加密过程的安全。

公开(公告)号：CN111949362A

公开(公告)日：2020-11-17

申请号：CN201910398055.5

申请日：2019-05-14

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  杜海超 ,  白璐 ,  黄庆佳 ,  王笑语 ,  解亚敏 ,  武希耀 ,  唐静 ,  付玉霞

IPC: G06F9/455

Abstract: 本发明提出一种基于虚拟化技术的主机信息采集方法，包括以下步骤：在int80/sysenter指令执行结束后与下一条指令执行之前设置捕获点，捕获客户机中发起行为的进程相关信息；对捕获的发起行为的进程相关信息进行语义重构，将底层信息翻译为操作系统级的语义信息；当获取可疑进程的ID或出现某一进程与受控进程存在依赖关系时，对该进程进行备份处理；根据捕获到的行为类型形成进程间的依赖关系，并对进程行为进行相应控制。本发明方法设置监控点位于虚拟机监控器中，无需在用户虚拟机中部署监控代理，同时，虚拟机内部的操作无法更改监控层代码，保证了透明性与安全性。

公开(公告)号：CN111796911A

公开(公告)日：2020-10-20

申请号：CN202010652391.0

申请日：2020-07-08

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  黄庆佳 ,  贾紫倩 ,  张伟娟 ,  解亚敏 ,  白璐 ,  孙慧琪

IPC: G06F9/455 ,  G06F11/36 ,  G06F21/57

Abstract: 本发明提供一种面向云平台中虚拟设备的攻击检测方法及电子装置，包括：在一虚拟设备上运行一I/O指令，使用Intel PT技术收集控制流相关的信息并对产生的数据包解码，得到条件跳转信息和间接跳转信息；依据条件跳转信息、间接跳转信息与所述虚拟设备的基线模型，检测所述I/O指令的合法性。本发明使用硬件技术Intel PT高效收集程序执行时控制流相关的信息，从而降低收集操作带来的性能开销；使用模糊测试技术构建虚拟设备的基线模型，可以在避免繁重的人工分析的基础上有效检测未知攻击；基于与虚拟设备执行过程合法性相关的影响因素设计了阈值公式，并进一步构建了判断方法，有效地提升了检测率。