公开(公告)号：CN111309589A

公开(公告)日：2020-06-19

申请号：CN201911202143.X

申请日：2019-11-29

Applicant: 中国电力科学研究院有限公司

Inventor： 李凌 ,  方帅 ,  宋小芹 ,  王杰 ,  左海峰 ,  朱宏杰 ,  贾林 ,  靳鑫 ,  严敏辉 ,  单松玲

IPC: G06F11/36 ,  G06F21/57

Abstract: 本发明公开了一种基于代码动态分析的代码安全扫描系统及方法，属于网络安全技术领域。本发明系统，包括：代码扫描引擎，所述代码扫描引擎定义安全漏洞类型的特征和扫描规则，读取目标代码，并将目标代码翻译为中间语言代码并对中间语言代码进行预处理，生成目标中间语言代码，根据安全漏洞类型的特征和扫描规则对目标中间语言代码进行扫描，获取安全漏洞，对安全漏洞进行整理、分类和安全威胁等级定级后生成扫描报告文件；数据存储层，所述数据存储层存储目标代码、目标中间代码和扫描报告文件。本发明提供高效率低误报的代码安全扫描能力，为用户构建高效安全的开发体系。

公开(公告)号：CN118940323A

公开(公告)日：2024-11-12

申请号：CN202410984045.0

申请日：2024-07-22

Applicant: 中国电力科学研究院有限公司

Inventor： 张晓娟 ,  高睿 ,  王智慧 ,  方帅 ,  严敏辉 ,  晁竞健 ,  梁松 ,  左海峰 ,  王昊

IPC: G06F21/64 ,  G06F21/60

Abstract: 本发明公开了一种基于自认证的电子公证文书代理签密方法及相关装置，系统初始化；公证服务端根据秘密数据生成对应的公证‑用户注册信息；多个用户客户端对接收的公证‑用户注册信息进行验证，基于临时密文信息生成各自的公钥和私钥；第一个用户客户端建立授权许可证，生成代理授权请求信息；第二个用户客户端验证收到的代理授权请求信息并生成代理密钥；第二个用户客户端基于生成的代理密钥，以及第三个用户客户端的公钥对电子文件进行签密；第三个用户客户端基于第一和第二个用户客户端的公钥验证接收的签密，认证第一个和第二个用户客户端的公钥，接收签密中的密文，实现解签密。通过在线的网络服务，实现可靠电子签密的功能。

公开(公告)号：CN118573390A

公开(公告)日：2024-08-30

申请号：CN202410378746.X

申请日：2024-03-29

Applicant: 中国电力科学研究院有限公司

Inventor： 孟雷子 ,  缪思薇 ,  王智慧 ,  汪洋 ,  曹晓盼 ,  方帅 ,  张庚 ,  严敏辉 ,  王杰 ,  左海峰 ,  芮婷 ,  贾玲 ,  晁竟健 ,  高睿 ,  刘恒 ,  王昊 ,  史小勇 ,  梁松 ,  李宇曜 ,  张梦迪 ,  余刚刚 ,  刘琼 ,  刘泽宇 ,  张佳宏

IPC: H04L9/40 ,  H04L67/02 ,  H04L67/56 ,  G06F21/57

Abstract: 本发明公开了一种基于代理模式的被动式漏洞扫描方法及系统，属于软件安全漏洞扫描领域。该被动式漏洞扫描方法核心思想是扫描器端建立一个HTTP/HTTPS代理模块，监听浏览器客户端发送过来的所有HTTP流量，把所有的请求数据包按照先后顺序保存进队列管理模块中，漏洞扫描模块从队列管理模块中获取HTTP请求数据，结合数据通信模块进行分析，然后进行漏洞挖掘。因此，本发明提出的被动式漏洞扫描方法，不采用爬虫功能获取网站的相关URL资源，而是通过HTTP/HTTPS代理模块操作的方式，不仅能够获得到应用系统完整的URL资源及参数，还能获取客户端请求的HTTP头和数据信息，为后续精准的漏洞挖掘提供了可能。

公开(公告)号：CN111581638A

公开(公告)日：2020-08-25

申请号：CN202010200957.6

申请日：2020-03-20

Applicant: 中国电力科学研究院有限公司 ,  国家电网有限公司

Inventor： 李凌 ,  方帅 ,  宋小芹 ,  王杰 ,  左海峰 ,  朱宏杰 ,  贾林 ,  靳鑫 ,  严敏辉 ,  单松玲

IPC: G06F21/56 ,  G06F21/57

Abstract: 本发明公开了一种开源软件的安全分析方法，包括：对开源软件的源代码进行预处理，提取所述源代码的片段特征，并形成所述源代码的片段特征库；从所述源代码的片段特征库中，提取固定长度的索引单元，使用所述索引单元构建分布式索引库；使用分布式索引库和预先构建的基于Spark的机器学习模型，对所述开源软件的源代码进行分析识别，获取所述开源软件的漏洞，完成所述开源软件的安全分析，解决现有的安全检测手段在开源软件安全检测上的不足。

公开(公告)号：CN117688573A

公开(公告)日：2024-03-12

申请号：CN202311706298.3

申请日：2023-12-12

Applicant: 中国电力科学研究院有限公司

Inventor： 缪思薇 ,  左海峰 ,  汪洋 ,  王智慧 ,  晁竞健 ,  高睿

IPC: G06F21/57 ,  G06F8/75

Abstract: 本发明公开了一种面向多语言应用的静态分析方法、系统、芯片及设备，将多语言项目中不同编程语言的文件转换为抽象语法树，并进行类型分析；将抽象语法树转换为通用统一的中间表示数据；将类型分析信息存储到缓存数据集中；将类型分析信息分为已解析和未解析两种状态；如果已解析和未解析两种状态的类型查找成功，则补充与调用对象相关的函数、属性信息，并添加至中间表示数据中；基于中间表示数据，构建跨语言的完整函数调用关系，并通过静态分析缺陷分析模块发现跨语言调用存在的安全隐患。本发明在多语言应用中能够提供全面的安全性分析和漏洞检测，提高安全性和可靠性。

公开(公告)号：CN112286831A

公开(公告)日：2021-01-29

申请号：CN202011595969.X

申请日：2020-12-30

Applicant: 中国电力科学研究院有限公司

Inventor： 朱宏杰 ,  周亮 ,  方帅 ,  王杰 ,  宋小芹 ,  左海峰

IPC: G06F11/36 ,  G06F16/901

Abstract: 本发明公开了一种多重循环的数据流分析方法、系统、设备及存储介质，包括：对待分析数据流的值依赖图进行全局循环摘要提取；以提取的全局循环摘要为基础构建状态图；根据状态图求解待分析数据流的循环执行次数，该方法、系统、设备及存储介质能够准确求解数据流的循环执行次数。