公开(公告)号：CN116318801B

公开(公告)日：2024-07-12

申请号：CN202211673853.2

申请日：2022-12-26

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 刘胜利 ,  盖贤哲 ,  蔡瑞杰 ,  杨启超 ,  赵方方 ,  贾凡 ,  陈宏伟 ,  蒋思康

IPC分类号： H04L9/40 ,  H04L69/22

摘要： 本发明涉及SOHO路由器数据安全技术领域，具体涉及一种SOHO路由器数据修改方法，利用Netfilter和RAW_SOCKET相结合的方式，对流经SOHO路由器的数据进行修改，该数据修改方法不影响路由器正常运行，也不影响通信双方的正常通信，可在网络安全检测和网络攻击等多个场景应用，能够在数据包进入Netfilter处理之前捕获数据包并根据需要进行修改，在Netfilter的挂载点处设置规则将原始数据包丢弃，最后绕过路由器对数据包的处理规则，直接将修改后的数据包发送到网络中。

公开(公告)号：CN116991475A

公开(公告)日：2023-11-03

申请号：CN202310803011.2

申请日：2023-06-30

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 蔡瑞杰 ,  贾凡 ,  尹小康 ,  杨启超 ,  盖贤哲 ,  陈宏伟 ,  李秉政 ,  贾志鹏 ,  蒋思康 ,  刘胜利

IPC分类号： G06F9/30

摘要： 本发明公开了一种基于函数调用指令特征分析的固件指令集架构识别方法，涉及嵌入式设备固件指令集架构识别技术领域，通过多架构函数调用指令识别和认证模块对输入进行分析，获取目标文件中包含的所有受支持指令集架构的函数调用指令数量，并依据该结果计算出所有受支持架构的函数调用指令数量积分值，经由投票辅助判别模块分析和最终结果有效性判定后，将最终识别结果输出。本发明方法具有更高的识别正确率、更低的误报率并具备更强的抗干扰能力。

公开(公告)号：CN115941245A

公开(公告)日：2023-04-07

申请号：CN202211245979.X

申请日：2022-10-12

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 刘胜利 ,  杨鹏飞 ,  蔡瑞杰 ,  吕思欧 ,  张一筝 ,  尹小康 ,  杨启超 ,  贾凡 ,  陈宏伟 ,  盖贤哲

IPC分类号： H04L9/40 ,  H04L45/60

摘要： 本发明提供了一种基于容器的IOS‑XE系统的入侵检测方法，在路由器上部署自建容器，利用自建容器承载入侵检测系统，入侵检测系统包括信息提取模块和入侵行为判定模块，信息提取模块提取信息，并将提取的信息储存在自建容器部署的数据库中，入侵判断模块从数据库中读取网络数据、状态信息和日志信息进行入侵行为判定，并将检测结果输出给Web服务器进行展示。本发明提供的基于容器的IOS‑XE系统的实时检测方法，结合当前针对Cisco路由器的攻击行为研究，能实现对口令破解、配置隐藏、后门植入等入侵行为的检测，弥补了IOS‑XE系统UTD服务只检测过境流量的不足，可以有效检测该系统广泛存在的Web注入类和CLI注入类攻击。

公开(公告)号：CN116318801A

公开(公告)日：2023-06-23

申请号：CN202211673853.2

申请日：2022-12-26

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 刘胜利 ,  盖贤哲 ,  蔡瑞杰 ,  杨启超 ,  赵方方 ,  贾凡 ,  陈宏伟 ,  蒋思康

IPC分类号： H04L9/40 ,  H04L69/22

摘要： 本发明涉及SOHO路由器数据安全技术领域，具体涉及一种SOHO路由器数据修改方法，利用Netfilter和RAW_SOCKET相结合的方式，对流经SOHO路由器的数据进行修改，该数据修改方法不影响路由器正常运行，也不影响通信双方的正常通信，可在网络安全检测和网络攻击等多个场景应用，能够在数据包进入Netfilter处理之前捕获数据包并根据需要进行修改，在Netfilter的挂载点处设置规则将原始数据包丢弃，最后绕过路由器对数据包的处理规则，直接将修改后的数据包发送到网络中。

公开(公告)号：CN117118664A

公开(公告)日：2023-11-24

申请号：CN202310882211.1

申请日：2023-07-18

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 刘胜利 ,  陈宏伟 ,  蔡瑞杰 ,  蒋思康 ,  贾凡 ,  盖贤哲 ,  尹小康 ,  杨启超 ,  赵方方

IPC分类号： H04L9/40 ,  H04L69/164

摘要： 本发明提供一种基于主被动结合的新型UDP反射放大协议识别方法，将主动探测与流量分析相结合，通过构建指纹库对公网已知的UDP反射放大特征进行收集，通过构造反射放大请求报文获取大量样本，经过预处理之后对样本数据进行BAF加PAF双重阈值检测验证，并运用该检测方法对实网流量进行挖掘，通过Port加Payload多元特征匹配方法筛选出符合条件的新型反射放大协议和触发方式流量，通过重放验证之后，将新发现的指纹加入指纹库。本发明所提的基于主被动结合的新型UDP反射放大协议识别方法，提出双重阈值判定和多元特征匹配的方法对数据集和实网流量进行检测，本发明所提的方法实时性和通用性较好，并且发现了QUIC协议潜在的反射放大能力，检测效果明显。

公开(公告)号：CN115941248A

公开(公告)日：2023-04-07

申请号：CN202211259272.4

申请日：2022-10-14

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 蔡瑞杰 ,  吕思欧 ,  刘胜利 ,  杨鹏飞 ,  赵宇浩 ,  尹小康 ,  杨启超 ,  盖贤哲 ,  陈宏伟 ,  贾凡

IPC分类号： H04L9/40

摘要： 本发明公开了一种面向Linux系统的双向数据包篡改方法，利用Netfilter在网络数据到达主机后设置五个HOOK点，将Iptables和Netfilter一起使用，在数据包进入主机后到达应用程序前对其进行篡改，根据所选择的HOOK点，设置Iptables规则，添加Hook INPUT点的的规则，将数据送到Netfilter_queue中等待处理，分别对流入本机的数据包的篡改，对从本机发出的数据包的篡改。本发明利用Netfilter和Iptables结合的方法，使用Python中的NetfilterQueue模块，能够对进入本机的数据包和从本机发出的数据包进行篡改，并且这种篡改的操作对上层用户是透明的。通过实验验证了这种篡改方式的可行性。实验表明，利用该方法可以篡改即将发出和刚到达本机的数据，从而避免威胁到网络用户主机的安全。