公开(公告)号：CN112732903A

公开(公告)日：2021-04-30

申请号：CN202010990656.8

申请日：2020-09-19

申请人： 中国人民解放军战略支援部队信息工程大学 ,  开封市科学技术情报研究所 ,  河南云眼科技有限公司

发明人： 李炳龙 ,  张宇 ,  王懿 ,  周振宇 ,  李媛芳 ,  孙怡峰 ,  唐慧林 ,  常朝稳

IPC分类号： G06F16/35 ,  G06F40/284 ,  G06F40/30 ,  H04L12/58

摘要： 本发明属于数据处理技术领域，特别涉及一种即时通信信息取证过程中证据分类方法及系统，包含：收集原始聊天记录，将其划分为训练集和测试集，并分别对训练集和测试集中数据进行预处理，过滤非文本数据；针对训练集中文本数据，利用动态语义表示模型捕获语义层次信息，为每个文本词汇生成对应词向量，将词向量中语义词收入词库；针对测试集中文本数据利用稀疏约束建立新语义词；通过词向量拼接组成文本向量矩阵；利用双向门控循环模型提取文本向量矩阵的文本特征，通过分类筛选出与取证证据有关的文本信息。本发明将文本分类技术应用到聊天记录去筛选与犯罪有关的文本，通过更新文本特征表示和文本特征提取来提高分类性能、取证效率和准确度。

公开(公告)号：CN112486922A

公开(公告)日：2021-03-12

申请号：CN202011389437.0

申请日：2020-12-02

申请人： 中国人民解放军战略支援部队信息工程大学 ,  开封市科学技术情报研究所 ,  河南云眼科技有限公司

发明人： 李炳龙 ,  周振宇 ,  王懿 ,  张宇 ,  李媛芳 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  常朝稳

IPC分类号： G06F16/16 ,  G06F16/17 ,  G06F16/18

摘要： 本发明属于电子取证技术领域，特别涉及一种基于结构链逆向的内存碎片文件重建方法及系统，扫描并分析内存介质映像，建立碎片集合到文件碎片子集的映射，获取文件碎片子集中的碎片元素；基于操作系统结构逆向分析，构建文件碎片子集中碎片元素的连接关系及逻辑位置，重构内存碎片文件。本发明利用基于结构链逆向的内存碎片文件雕刻重建来满足电子(数字)犯罪取证实际应用，能够适合于正在运行的基于Windows不同版本操作系统的物理内存中网络入侵行为的数据文件的恢复与分析，具有较强的实用性。

公开(公告)号：CN112486922B

公开(公告)日：2022-12-06

申请号：CN202011389437.0

申请日：2020-12-02

申请人： 中国人民解放军战略支援部队信息工程大学 ,  开封市科学技术情报研究所 ,  河南云眼科技有限公司

发明人： 李炳龙 ,  周振宇 ,  王懿 ,  张宇 ,  李媛芳 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  常朝稳

IPC分类号： G06F16/16 ,  G06F16/17 ,  G06F16/18

摘要： 本发明属于电子取证技术领域，特别涉及一种基于结构链逆向的内存碎片文件重建方法及系统，扫描并分析内存介质映像，建立碎片集合到文件碎片子集的映射，获取文件碎片子集中的碎片元素；基于操作系统结构逆向分析，构建文件碎片子集中碎片元素的连接关系及逻辑位置，重构内存碎片文件。本发明利用基于结构链逆向的内存碎片文件雕刻重建来满足电子(数字)犯罪取证实际应用，能够适合于正在运行的基于Windows不同版本操作系统的物理内存中网络入侵行为的数据文件的恢复与分析，具有较强的实用性。

公开(公告)号：CN111881447B

公开(公告)日：2022-12-06

申请号：CN202010594720.0

申请日：2020-06-28

申请人： 中国人民解放军战略支援部队信息工程大学 ,  河南云眼科技有限公司

发明人： 李炳龙 ,  张宇 ,  李媛芳 ,  佟金龙 ,  孙怡峰 ,  常朝稳 ,  王清贤

IPC分类号： G06F21/56 ,  G06K9/62 ,  G06N3/04

摘要： 本发明属于数字取证技术领域，特别涉及一种恶意代码片段智能取证方法及系统，通过提取存储介质底层数据特征，构建用于训练和测试的代码片段训练集和代码片段测试集；利用代码片段训练集中数据对设置的全连接神经网络模型进行训练，其中，输入是特征向量，输出是正常或恶意预测结果；针对代码片段测试集，利用训练后的全连接神经网络模型进行测试输出，以判断模型输入是否为恶意代码片段；将目标代码片段进行特征提取后输入经训练测试生成的全连接神经网络模型，获取其恶意代码智能识别结果。本发明能够针对计算机手机平板等存储介质以及RAW、E01、AFF等证据容器中恶意代码片段识别，在犯罪事件证据底层数据自动分析等数字取证领域具有较好应用前景。

公开(公告)号：CN115481397A

公开(公告)日：2022-12-16

申请号：CN202211062373.2

申请日：2022-08-31

申请人： 中国人民解放军战略支援部队信息工程大学 ,  河南云眼科技有限公司

发明人： 李炳龙 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  张玉臣 ,  汪永伟 ,  李媛芳 ,  常朝稳

IPC分类号： G06F21/56

摘要： 本发明提供一种基于内存结构逆向分析的代码注入攻击取证检测方法与系统。该方法包括：步骤1：对内存映像文件进行预处理，得到物理内存页面集合P；步骤2：基于DLL特征在物理内存页面集合P中定位得到DLL代码模块物理内存页面集合Pe；步骤3：逆向重建虚拟内存空间以构建虚拟内存空间到物理内存空间的页面映射t；步骤4：根据页面映射t，计算用户空间页面集合Vu并逆向查找得到物理内存页面集合Pe对应的虚拟内存页面集合Ve；步骤5：逆向重建进程的LDR链表结构以获取DLL代码模块虚拟内存页面集合Vl；步骤6：比较虚拟内存页面集合Ve、用户空间页面集合Vu和DLL代码模块虚拟内存页面集合Vl，得到隐蔽的注入DLL代码模块虚拟内存页面集合Vh。

公开(公告)号：CN111881447A

公开(公告)日：2020-11-03

申请号：CN202010594720.0

申请日：2020-06-28

申请人： 中国人民解放军战略支援部队信息工程大学 ,  河南云眼科技有限公司

发明人： 李炳龙 ,  张宇 ,  李媛芳 ,  佟金龙 ,  孙怡峰 ,  常朝稳 ,  王清贤

IPC分类号： G06F21/56 ,  G06K9/62 ,  G06N3/04

摘要： 本发明属于数字取证技术领域，特别涉及一种恶意代码片段智能取证方法及系统，通过提取存储介质底层数据特征，构建用于训练和测试的代码片段训练集和代码片段测试集；利用代码片段训练集中数据对设置的全连接神经网络模型进行训练，其中，输入是特征向量，输出是正常或恶意预测结果；针对代码片段测试集，利用训练后的全连接神经网络模型进行测试输出，以判断模型输入是否为恶意代码片段；将目标代码片段进行特征提取后输入经训练测试生成的全连接神经网络模型，获取其恶意代码智能识别结果。本发明能够针对计算机手机平板等存储介质以及RAW、E01、AFF等证据容器中恶意代码片断识别，在犯罪事件证据底层数据自动分析等数字取证领域具有较好应用前景。

公开(公告)号：CN118296401A

公开(公告)日：2024-07-05

申请号：CN202410404727.X

申请日：2024-04-03

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 刘鹏程 ,  汪永伟 ,  张玉臣 ,  刘小虎 ,  周洪伟 ,  孙怡峰 ,  李福林 ,  胡浩 ,  董书琴 ,  吴疆

IPC分类号： G06F18/22 ,  G06F18/213 ,  G06F18/25 ,  G06F40/211 ,  G06F40/284 ,  G06F40/30

摘要： 本发明提供一种短文本匹配方法及系统。该方法可分两个方面：一方面，在知识表示方面，采取知识表示学习增强的方法，通过对文本进行词嵌入和句子特征两方面的知识表示学习，增加特征提取能力；另一方面，在特征融合方面，采用借助外部知识库改善短文本匹配任务的识别率，使用单个句子的义原知识信息、句法依存信息以及句子之间的语义相似度信息进行多特征融合增强。通过知识学习表示增强和多特征融合，提高文本匹配任务的识别准确率，进而促进复述、阅读理解、文本蕴含等子任务的发展。

公开(公告)号：CN116611062B

公开(公告)日：2023-12-01

申请号：CN202310438918.3

申请日：2023-04-21

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 李炳龙 ,  张和禹 ,  暴占彪 ,  孙怡峰 ,  常禾雨 ,  胡浩 ,  张玉臣 ,  李媛芳 ,  常朝稳 ,  王清贤

IPC分类号： G06F21/56 ,  G06N3/0464 ,  G06N3/08 ,  G06F18/213 ,  G06F18/214 ,  G06F18/241

摘要： 本发明提供一种基于图卷积网络的内存恶意进程取证方法与系统。该方法包括：步骤1：逆向重建内存映像的虚拟内存空间；步骤2：根据重建的虚拟内存空间提取进程的内存转储，根据所述内存转储提取所述进程的函数调用图FCG；步骤3：生成进程的FCG中每个函数节点的特征向量，进而得到特征向量化后的FCG；步骤4：构建并训练基于图卷积网络的进程分类模型ProcGCN；步骤5：将进程对应的特征向量化后的FCG输入至训练好的ProcGCN，得到该进程FCG的良性或恶意分类结果。

公开(公告)号：CN111596926A

公开(公告)日：2020-08-28

申请号：CN202010291071.7

申请日：2020-04-14

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 李炳龙 ,  张宇 ,  孙怡峰 ,  常朝稳 ,  王清贤

IPC分类号： G06F8/53 ,  G06F16/901

摘要： 本申请公开一种数据取证分析方法、装置及电子设备，涉及网络安全领域。其中，数据取证分析方法包括：对应用程序进行反编译得到所述应用程序中包含的各组件；构建各所述组件分别对应的数据流图以及控制流图；预测各组件中包括的用于组件间通信的通信字段，根据所述通信字段对各所述组件进行排序；根据各所述组件的排序结果，以及与各所述组件对应的数据流图、控制流图构建所述应用程序对应的程序间数据流图和程序间控制流图；基于所述程序间数据流图和程序间控制流图生成数据取证分析报告，以用于数据库解密。

公开(公告)号：CN109829313B

公开(公告)日：2020-11-24

申请号：CN201910152138.6

申请日：2019-02-28

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 周洪伟 ,  原锦辉 ,  张玉臣 ,  汪永伟 ,  孙怡峰 ,  张畅 ,  胡浩

IPC分类号： G06F21/57

摘要： 本发明提供一种基于代码复用编程防御SGX侧信道攻击的方法及装置。该方法包括：构建代码基，代码基包含与指令模板对应的多个指令序列，指令模板表示用于实现特定业务的指令流，每个指令序列尾部附有标志指令；根据指令流和代码基生成执行逻辑，执行逻辑表示连接代码基内各指令序列以实现特定业务的控制逻辑；根据执行逻辑从代码基中读取相应的指令序列，并将各指令序列连接起来，形成指令流以完成业务。该装置包括：指令模板模块、翻译引擎模块、代码基模块、执行逻辑模块和执行引擎模块。本发明提出一种代码复用编程思想，从而使SGX程序具有代码不变而控制流发生改变的特点，干扰SGX侧信道分析，极大提高SGX侧信道攻击的难度。