-
公开(公告)号:CN100499476C
公开(公告)日:2009-06-10
申请号:CN200410013960.8
申请日:2004-01-19
申请人: 南京大学
IPC分类号: H04L12/22
摘要: 一种基于用户保护规则的文件保护方法,在网络服务器文件系统10的基础上进行,用户文件保护方法由被保护文件名、监视时间间隔、文件的监视属性和是否记录报警日志等构成,并包括以下步骤:(1)若有新保护规则需要初始化,则执行步骤2,否则转到步骤6;(2)读取新保护规则;(3)生成文件特征库及文件备份;(4)生成定时保护文件集合;(5)若还有其它新保护规则,则转到步骤2;(6)启动定时保护触发机制;(7)读取定时保护文件集合;(8)取保护文件集合中一个文件进行保护处理;(9)若保护文件集合中还有其它文件,则转到步骤8;(10)结束。采用本发明的网络服务器对文件系统的安全保障能力提高,能提供自动文件保护。
-
-
公开(公告)号:CN107479946B
公开(公告)日:2020-06-16
申请号:CN201710701884.7
申请日:2017-08-16
申请人: 南京大学
IPC分类号: G06F9/455
摘要: 本发明涉及一种内核模块的交互行为监控方案,利用硬件虚拟化技术的VM Func机制,可以在不陷入虚拟机监控器VMM的情况下完成VMM层EPT页表的切换,减少了陷入到VMM之中的次数;将监控程序放在Guest OS内的地址空间内,使得监控时不必再陷入到VMM之中;去除VMM不必要的虚拟化功能,让Guest OS直接与硬件交互,从而减少不必要的性能开销。本方法减少了系统运行时陷入到VMM中的次数,提升了内核模块的隔离性能,可提高内核的安全性。
-
公开(公告)号:CN104778413B
公开(公告)日:2018-04-03
申请号:CN201510179362.6
申请日:2015-04-15
申请人: 南京大学
IPC分类号: G06F21/57
摘要: 基于模拟攻击的软件漏洞检测方法,通过静态反汇编工具获取敏感操作所涉及的函数信息,利用动态插桩平台实现监控、模拟攻击和攻击影响分析等过程;主要操作步骤如下:1)执行静态分析获取程序信息;2)动态执行程序,检测敏感函数调用;3)分析攻击实施条件;4)执行模拟攻击;5)分析攻击影响,依据攻击影响结果进行漏洞判定;在具体实施时,采用符号链接攻击对程序进行模拟攻击,对应的漏洞类型为一类文件访问漏洞,通过利用这类漏洞,本地攻击者通过符号链接更改程序预期访问文件,从而实现访问攻击者权限之外的文件资源。
-
公开(公告)号:CN105138914B
公开(公告)日:2018-02-16
申请号:CN201510467987.2
申请日:2015-08-03
申请人: 南京大学
IPC分类号: G06F21/56
摘要: 针对代码复用编程的软件安全性检测方法,包括指令序列反汇编、收集基本功能代码片段、攻击代码生成、攻击代码记录和软件安全性报告五个阶段;指令序列反汇编阶段,对返回指令之前的字节序列进行反汇编;基本功能代码片段收集阶段,其输入为上一阶段收集的指令序列;判断指令序列是否属于某种基本功能,对于属于基本功能的指令序列,将其作为该基本功能的代码片段进行收集;攻击代码生成阶段,按照预定义的攻击模板组合各基本功能的代码片段,生成攻击代码,对于攻击代码中包含副作用的代码片段,采用副作用消除策略消除其副作用,确保攻击代码功能的正常实现;攻击代码记录阶段,将成功消除副作用的攻击代码记录到相应的测试结果文件中。
-
公开(公告)号:CN104809401B
公开(公告)日:2017-12-19
申请号:CN201510234249.3
申请日:2015-05-08
申请人: 南京大学
摘要: 一种操作系统内核完整性保护系统,包括完整性保护程序、内核钩子、跳转代码、目标系统和监控保护器;采用如下步骤:(1)监控保护器的启动与初始化;初始化完毕后等待完整性保护程序IPS的请求操作;(2)完整性保护程序IPS的注册与监控保护环境的设置;(3)实施对目标系统Target OS内核完整性的监控与保护;当完整性保护程序IPS设置在内核中的钩子被触发时,需要对Target OS内核完整性进行检查与保护的内核事件的发生,此时切换到完整性保护程序IPS中进行相应处理;(4)完整性保护程序IPS注销与监控保护环境清除;清除操作(2)中建立的监控保护环境,并恢复目标系统Target OS的正常运行。
-
公开(公告)号:CN106021110A
公开(公告)日:2016-10-12
申请号:CN201610349067.5
申请日:2016-05-24
申请人: 南京大学
IPC分类号: G06F11/36
CPC分类号: G06F11/3688 , G06F11/3644 , G06F11/366
摘要: 本发明公开一种基于虚函数表继承关系的代码重利用攻击检测方法,包括:预处理;虚函数调用点识别;虚函数表识别;虚函数表继承关系识别;防护检测。通过对可执行文件进行分析,根据其中虚函数表之间的继承关系,对代码中的虚函数调用点进行控制流完整性保护,检测代码重利用攻击,避免采用原有方法依赖源代码获得合法虚函数集合或将所有虚函数视为合法集合的检测策略,具有较高检测精度和速度,提高代码重利用攻击检测的准确性、通用性和效率。
-
公开(公告)号:CN103902911B
公开(公告)日:2016-09-14
申请号:CN201410152717.8
申请日:2014-04-16
申请人: 南京大学
IPC分类号: G06F21/56
摘要: 一种基于程序结构特征的恶意程序检测方法,1)恶意程序特征库的建立;2)恶意程序变形变种的检测;3)函数结构信息的提取;4)函数参数个数的提取;5)恶意程序特征的提取;6)恶意程序族的族特征提取;在建立恶意程序特征库时,首先对用于训练的每个恶意程序族中的每个样本程序进行程序结构分析与提取,获得其程序特征;然后对所提取的恶意程序族中各个样本程序的程序特征进行融合;在恶意程序变形变种检测时,首先对待检测程序进行程序结构分析,获得其程序特征;然后将待检测程序的程序特征分别与恶意程序特征库中的恶意程序族的族特征进行相似度匹配,判断是否为已知恶意程序的变形变种。
-
公开(公告)号:CN104809401A
公开(公告)日:2015-07-29
申请号:CN201510234249.3
申请日:2015-05-08
申请人: 南京大学
CPC分类号: G06F21/57 , G06F21/6218
摘要: 一种操作系统内核完整性保护系统,包括完整性保护程序、内核钩子、跳转代码、目标系统和监控保护器;采用如下步骤:(1)监控保护器的启动与初始化;初始化完毕后等待完整性保护程序IPS的请求操作;(2)完整性保护程序IPS的注册与监控保护环境的设置;(3)实施对目标系统Target OS内核完整性的监控与保护;当完整性保护程序IPS设置在内核中的钩子被触发时,需要对Target OS内核完整性进行检查与保护的内核事件的发生,此时切换到完整性保护程序IPS中进行相应处理;(4)完整性保护程序IPS注销与监控保护环境清除;清除操作(2)中建立的监控保护环境,并恢复目标系统Target OS的正常运行。
-
公开(公告)号:CN102929774B
公开(公告)日:2014-12-10
申请号:CN201210392719.5
申请日:2012-10-16
申请人: 南京大学
发明人: 曾庆凯
IPC分类号: G06F11/36
摘要: 一种基于可调对象分析的程序漏洞模型检测方法,步骤包括:1)漏洞模型载入流程,建立漏洞模型的数据结构;2)程序状态特征检测处理过程,以函数为单位进行模型检测工作,并报告漏洞的存在性;为提高检测和处理速度,需要将漏洞模型从数据库中装入内存,在分析程序时,作为参考依据;漏洞模型检测过程中,以函数为单位根据漏洞相关操作状态逐步进行检测分析工作;漏洞模型检测工作从主函数开始进行检测,根据漏洞相关操作以及逐级函数的模型检测结果,进行状态检测并报告漏洞的存在性;漏洞模型由漏洞相关操作的集合构成;操作表示引起状态发生变化的动作,每个操作具有操作号、动作、特征、输入变量和输出变量的集合等属性。
-
-
-
-
-
-
-
-
-
搜索结果
78 条记录 (耗时 0.028 秒)
