公开(公告)号：CN101719842B

公开(公告)日：2011-09-21

申请号：CN200910238442.9

申请日：2009-11-20

Applicant: 中国科学院软件研究所

Inventor： 许佳 ,  苏璞睿

IPC: H04L12/24 ,  H04L12/26 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种基于云计算环境的分布式网络安全预警方法，属于网络安全技术领域。所述方法包括设置多个管理域，每个管理域包括一个控制中心节点和一个以上安全代理节点，控制中心节点之间对等连接，安全代理节点通过外围设施发现异常事件，提取事件信息并生成报警消息，将所述报警信息发送至本域控制中心节点，控制中心节点接收本域安全代理节点和其他控制中心节点发送的报警消息，并将满足合并条件的中心节点合并为一个任务组；任务组中的安全代理节点之间对等连接，其中一个安全代理节点担任任务协调中心节点，协调组内安全代理节点共同完成任务；任务组通过任务协调中心节点和控制中心节点数据连接。

公开(公告)号：CN101621512A

公开(公告)日：2010-01-06

申请号：CN200910088253.8

申请日：2009-07-14

Applicant: 中国科学院软件研究所

Inventor： 苗光胜 ,  冯登国 ,  苏璞睿

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/24

Abstract: 本发明公开了一种P2P网络中识别伪造评价和防止恶意攻击的方法。首先为网络中每个文件分配文件保存节点和信任管理节点；文件保存节点记录每次下载过程的详细信息；信任管理节点接收到新评价信息时启动对该评价真实性的检测过程，通过询问文件保存节点下载记录、汇总下载过程详情以及提出挑战问题等多种方法验证提交评价的节点是否真正下载了所评价的文件，从而判断该评价是否可信，同时对提交该评价的节点给予相应评价，进而根据节点的历史评价记录对其提交的评价采取相应的验证策略。与现有技术相比，本发明适用范围更广，可以更加有效地对P2P网络中的评价行为的真实性进行检测，大大提高了P2P网络信任模型对此类攻击的抵制能力。

公开(公告)号：CN101345753A

公开(公告)日：2009-01-14

申请号：CN200810118257.1

申请日：2008-08-12

Applicant: 中国科学院软件研究所

Inventor： 苗光胜 ,  冯登国 ,  苏璞睿

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种P2P网络中面向资源的信任评价方法，属于网络安全技术领域。本方法为：首先为网络中每个资源分配一信任管理节点；然后每个资源的信任管理节点汇总其它节点对该资源的评价数据，并计算该资源的全局信任值以及响应其他节点的信任查询；节点下载资源之前向资源的信任管理节点查询该资源的全局信任值，根据返回结果决定是否下载该资源；最后下载该资源的节点将对该资源的评价数据报告给该资源的信任管理节点，以便更新该资源的全局信任值。同时本发明针对信任评价中常见的泄漏、篡改、伪造、共谋等问题提出了相应的解决方案，使用户可以直接掌握资源的可信度，从而有效解决了恶意资源的扩散问题，大大提高了P2P网络的安全性。

公开(公告)号：CN101158948A

公开(公告)日：2008-04-09

申请号：CN200610113592.3

申请日：2006-10-08

Applicant: 中国科学院软件研究所

Inventor： 应凌云 ,  苏璞睿 ,  冯登国

IPC: G06F17/30

Abstract: 一种文本内容过滤方法，包括步骤：1)解析用户配置信息，提取出其中的有效过滤规则；2)根据所述的有效过滤规则，对被过滤文本信息进行分析和检测；3)对步骤2)的分析结果进行精确关键字匹配检测，输出检测结果；4)对步骤2)的分析结果进行模糊关键字匹配检测，输出检测结果；5)对步骤2)和4)的分析检测结果进行文本主题检测，确定被过滤文本内容的主题，输出检测结果。本发明在提供细粒度的精确关键字过滤支持、有限的模糊关键字过滤支持和基于主题的粗粒度过滤支持的同时，通过分离重组三种过滤方式的文本内容扫描前端，只需要对被过滤文本做一次全文扫描，可以大大降低文本过滤所需处理时间。

公开(公告)号：CN101047542A

公开(公告)日：2007-10-03

申请号：CN200610066271.2

申请日：2006-03-31

Applicant: 中国科学院软件研究所

Inventor： 施妍 ,  苏璞睿 ,  冯登国

IPC: H04L12/24

Abstract: 本发明提供一种大规模网络安全性分析的方法，属于网络安全技术领域。该方法包括：收集网络中每台主机、网络、攻击者和攻击方法的信息；建立有限状态机进行模型检测，该有限状态机的初始状态为主机、网络、攻击者的信息，转换条件为攻击方法的信息；以可自定义的系统安全属性作为检测条件，使用模型检测进行模拟攻击，检测得到从初始状态起到违反安全属性止的状态序列，并进一步找到状态序列的转换条件；利用上述状态序列和转换条件绘制一安全分析状态图，以安全分析状态图的信息进行评估分析网络的安全性。本发明可测得各种攻击过程，结合应用环境，分析和处理模拟攻击的结果，得到攻击的相对破坏性和关键漏洞集合等有针对性的结论。

公开(公告)号：CN118503237A

公开(公告)日：2024-08-16

申请号：CN202310138406.5

申请日：2023-02-14

Applicant: 中国科学院软件研究所

Inventor： 陈孟达 ,  苏璞睿 ,  王柯林 ,  和亮

IPC: G06F16/22 ,  G06F8/41 ,  G06F21/57

Abstract: 本发明公开了一种C程序结构体定义中敏感对象的高效搜索方法，其步骤包括：1)根据目标C程序的源代码解析生成一抽象语法树；2)从抽象语法树中获取该目标C程序中定义的结构体，并从结构体中提取结构体信息；3)将成员变量类型为结构体名的成员变量作为目标成员变量，如果该目标成员变量的成员变量名与其他成员变量名不同，则提取该目标成员变量所对应目标结构体的结构体信息；否则进行步骤4)；4)根据该目标成员变量所对应目标结构体所引入的文件建立一include图，确定该目标成员变量对应的搜索范围；5)根据设定的敏感对象特征在步骤2～4)所得结构体信息中进行搜索，获该目标C程序中包含的敏感对象。

公开(公告)号：CN113032779B

公开(公告)日：2024-01-02

申请号：CN202110166489.X

申请日：2021-02-04

Applicant: 中国科学院软件研究所 ,  奇安信科技集团股份有限公司

Inventor： 刘青芳 ,  闫佳 ,  苏璞睿 ,  应凌云 ,  聂眉宁

IPC: G06F21/56 ,  G06F21/53

Abstract: 本发明提供一种基于行为参数布尔表达式规则的多行为联合匹配方法和装置。该方法包括：首先，构建恶意行为规则文件，基于xml行为文件和构建的行为规则文件的解析完成单一行为匹配分析。然后，构建基于布尔表达式的多行为联合匹配规则文件，包括：构建布尔表达式中行为基本元素表述形式；构建多行为联合匹配规则。再则，对多行为联合匹配规则文件进行解析。最后，在多个行为逐个顺序匹配的基础上，完成多行为联合匹配规则表达式的匹配替换并通过编程函数库的内置函数执行替换后的字符串表达式，并返回匹配结果。本发明基于样本行为的分析，提出多行为联合匹配的思路，实现了单行

公开(公告)号：CN116340082A

公开(公告)日：2023-06-27

申请号：CN202111581459.1

申请日：2021-12-22

Applicant: 中国科学院软件研究所

Inventor： 杨轶 ,  苏璞睿 ,  黄桦烽

IPC: G06F11/30

Abstract: 本发明公开一种基于硬件虚拟化的RISCV应用程序动态分析方法及装置，包括：逆向RISCV上运行的操作系统内核，获取进程内核数据结构；基于硬件模拟器模拟RISCV CPU，并构建操作系统的基础进程列表；使用sptbr寄存器与进程内核数据结构，获取新进程的特征信息；依据基础进程列表对特征信息进行筛选，得到目标进程；基于目标进程的进程信息与动态运行过程信息进行API检测与指令分析，得到动态分析结果。本发明能够完整、透明的监控在RISCV CPU上程序的运行全过程，提供可配置的高效进程信息获取、API调用信息获取、指令执行信息获取，监控过程不依赖于系统接口，能够实现透明的进程监控，不影响被监控目标的运行过程。

公开(公告)号：CN115576840B

公开(公告)日：2023-04-18

申请号：CN202211357366.5

申请日：2022-11-01

Applicant: 中国科学院软件研究所

Inventor： 刘昱玮 ,  余媛萍 ,  贾相堃 ,  苏璞睿

IPC: G06F11/36 ,  G06N20/00 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明公开了一种基于机器学习的程序插桩检测方法及装置，属于网络安全技术领域。所述方法包括：获取目标程序；对目标程序进行插桩，得到二进制文件；将二进制文件转换为中间语言表示；基于中间语言表示，计算二进制文件中各基本块的特征向量，并将特征向量送入机器学习模型，以识别每一基本块的实际插桩结果；基于目标程序和中间语言表示，生成代码属性图，并对代码属性图使用图神经网络学习，将学习后的节点特征向量进行线性变换，以根据各节点的得分判断每一基本块的预期插桩结果；根据每一基本块的实际插桩结果与预期插桩结果，得到目标程序的插桩检测结果。本发明可以评估现有静态程序插桩方法的精度。

公开(公告)号：CN115576840A

公开(公告)日：2023-01-06

申请号：CN202211357366.5

申请日：2022-11-01

Applicant: 中国科学院软件研究所

Inventor： 刘昱玮 ,  余媛萍 ,  贾相堃 ,  苏璞睿

IPC: G06F11/36 ,  G06N20/00 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于机器学习的程序插桩检测方法及装置，属于网络安全技术领域。所述方法包括：获取目标程序；对目标程序进行插桩，得到二进制文件；将二进制文件转换为中间语言表示；基于中间语言表示，计算二进制文件中各基本块的特征向量，并将特征向量送入机器学习模型，以识别每一基本块的实际插桩结果；基于目标程序和中间语言表示，生成代码属性图，并对代码属性图使用图神经网络学习，将学习后的节点特征向量进行线性变换，以根据各节点的得分判断每一基本块的预期插桩结果；根据每一基本块的实际插桩结果与预期插桩结果，得到目标程序的插桩检测结果。本发明可以评估现有静态程序插桩方法的精度。