公开(公告)号：CN117915336A

公开(公告)日：2024-04-19

申请号：CN202311675194.0

申请日：2023-12-07

Applicant: 中国科学院信息工程研究所

Inventor： 李红 ,  刘建铄 ,  孙梦杰 ,  文辉 ,  刘明东 ,  李志 ,  孙利民

IPC: H04W12/121 ,  H04W12/122 ,  H04W12/47

Abstract: 本申请实施例提供一种针对近场通信回传数据篡改攻击的防护方法及装置，所述方法包括：获取近场通信信号；基于信号预处理获取所述近场通信信号的波形信息；基于极化处理获取所述近场通信信号的极化信息；基于所述波形信息和所述极化信息确定所述石英晶振信号的监测结果，所述监测结果用于表示所述石英晶振信号是否为异常信号。本申请实施例提供的针对近场通信回传数据篡改攻击的防护方法及装置，通过获取近场通信信号的波形信息和极化信息，从而确定石英晶振信号，然后监测石英晶振信号的信号状态，能够及时检测和防止数据篡改攻击，提高数据的安全性。

公开(公告)号：CN117389858A

公开(公告)日：2024-01-12

申请号：CN202311109464.1

申请日：2023-08-30

Applicant: 中国科学院信息工程研究所

Inventor： 石志强 ,  杨泊宁 ,  王凯龙 ,  孙利民 ,  吕世超 ,  宋站威 ,  刘明东 ,  薛丁钊

IPC: G06F11/36

Abstract: 本发明实施例提供了一种基于二进制重写的模糊测试方法、装置、设备和存储介质，该方法包括：获取由二进制指令序列构成的待测程序；基于动态插桩，对所述待测程序进行模糊测试，确定当前模糊测试对应的覆盖率，以及当前模糊测试对应的覆盖率是否满足预设阈值；若不满足，则对所述待测程序中的跳转指令进行反转，更新所述待测程序，再次基于动态插桩，对更新后的所述待测程序进行模糊测试，更新当前模糊测试对应的覆盖率，直至当前模糊测试对应的覆盖率满足所述预设阈值。本发明可以提高对待测程序的覆盖率，以更低的成本发现更多待测程序存在的问题，进而提高待测程序的可靠性。

公开(公告)号：CN116956285A

公开(公告)日：2023-10-27

申请号：CN202310799123.5

申请日：2023-06-30

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  刘圃卓 ,  李志 ,  刘明东 ,  宋站威

IPC: G06F21/56 ,  G06F18/22

Abstract: 本发明提供一种污点源识别方法、污点源识别装置、电子设备及介质。该方法包括：对目标固件中的每个函数分别对应的行为特征向量和目标特征矩阵进行相似度计算，确定所述每个函数的相似度得分，所述每个函数分别对应的行为特征向量基于所述目标固件中的二进制程序确定，所述目标特征矩阵基于内存操作函数对应的行为特征向量构建；基于所述每个函数的相似度得分，确定作为污点源的目标函数，所述目标函数用于进行污点分析。本发明提供的污点源识别方法，可以对目标固件中的二进制程序进行自定义函数中的污点源确定，并进行污点分析，达到了有效发现二进制程序存在的安全缺陷。

公开(公告)号：CN117033546A

公开(公告)日：2023-11-10

申请号：CN202310790290.3

申请日：2023-06-29

Applicant: 中国科学院信息工程研究所

Inventor： 李红 ,  王勇攀 ,  刘明东 ,  吕飞 ,  孙利民

IPC: G06F16/33 ,  G06F40/194 ,  G06F16/901 ,  G06F16/903 ,  G06F18/22 ,  G06F8/53 ,  G06F8/75 ,  G06N3/0464

Abstract: 本发明提供一种相似代码搜索方法及系统，方法包括：根据多个代码文件对应的函数集，获取目标代码文件中的目标函数和搜索对象中的各个函数之间的相似度，多个代码文件包括目标代码文件和搜索对象，搜索对象包括一个或多个代码文件，相似度是根据目标函数的第一语义嵌入和搜索对象中的各个函数的第二语义嵌入确定的，第一语义嵌入是根据目标函数的外部语义嵌入和内部语义嵌入确定的，第二语义嵌入是根据搜索对象中的各个函数的外部语义嵌入和内部语义嵌入确定的；根据相似度，从搜索对象中筛选出与目标代码文件相似的代码文件。所述系统执行所述方法。本发明能够从大规模代码文件中准确召回与目标代码文件最为相似的代码文件。

公开(公告)号：CN110413909B

公开(公告)日：2022-06-10

申请号：CN201910526064.8

申请日：2019-06-18

Applicant: 中国科学院信息工程研究所

Inventor： 石志强 ,  张国栋 ,  杨寿国 ,  刘明东 ,  马原 ,  孙利民

IPC: G06F16/955

Abstract: 本发明实施例提供一种基于机器学习的大规模嵌入式设备在线固件智能识别方法，所述方法包括：获取待识别的嵌入式设备厂商的网站域内的所有URL；提取每个URL的多维特征，并将多维特征转化为数值特征，并利用词频‑逆向文件频率TF‑IDF算法获取每个URL的文本特征；将所有URL的数值特征输入至第一嵌入式设备固件URL识别模型中，获得第一嵌入式设备固件URL集合，将所有URL的文本特征输入至第二嵌入式设备固件URL识别模型中，获得第二嵌入式设备固件URL集合；取两个嵌入式设备固件URL集合的交集进行输出。本发明实施例可应用于大规模地嵌入式设备固件URL下载，URL识别难度小、爬取效率高、下载速度快。

公开(公告)号：CN111382067A

公开(公告)日：2020-07-07

申请号：CN202010124736.5

申请日：2020-02-27

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  郑尧文 ,  宋站威 ,  刘明东 ,  朱红松 ,  石志强

IPC: G06F11/36

Abstract: 本发明提供的模糊测试中高质量种子生成方法及系统，该方法包括：首先，对目标程序进行二进制字符串的提取及预处理；然后，对获取的二进制字符串进行静态污点分析，获取灰盒测试的关键字符串；最后，基于关键字符串，利用灰盒测试工具，生成高质量种子。本发明实施例提供的高质量种子生成方法及系统，通过逆向待检测的二进制程序并进行分析和解析，调用字符串集合；利用静态污点分析技术调用测试程序中的关键字符串信息，并参与灰盒测试输入的生成，最终实现利用动态灰盒测试以发现程序溢出类漏洞，为有特定语法结构输入的软件的高效模糊测试和漏洞挖掘提供了高质量的种子，有效的提高了灰盒测试的代码覆盖率。

公开(公告)号：CN111913877A

公开(公告)日：2020-11-10

申请号：CN202010636048.7

申请日：2020-07-03

Applicant: 中国科学院信息工程研究所

Inventor： 宋站威 ,  曾怡诚 ,  刘明东 ,  朱红松 ,  李志 ,  孙利民 ,  石志强

IPC: G06F11/36

Abstract: 本发明实施例提供一种面向文本配置文件的模糊测试方法及装置，所述方法包括：识别所述目标配置文件的文本文件格式类型，并确定所述目标配置文件的键值key-value对；对以所述目标配置文件作为输入的程序进行预模糊测试以检测所述程序是否有格式上的漏洞，并提取所述程序中的所有可见字符串，对所述目标配置文件的key-value对中的key进行变异，得到key组合种子文件；基于所述key组合种子文件中key的权重，对所述key组合种子文件中的key对应的value进行变异，得到新的组合种子文件，挖掘所述程序的漏洞。本发明实施例实现了全面地挖掘程序中较深层次的漏洞，提升面向文本配置文件的模糊测试效率。

公开(公告)号：CN119046938A

公开(公告)日：2024-11-29

申请号：CN202410286095.1

申请日：2024-03-13

Applicant: 中国科学院信息工程研究所

Inventor： 李红 ,  冯战胜 ,  王勇攀 ,  刘明东 ,  文辉 ,  任一墨

IPC: G06F21/56 ,  G06F18/22 ,  G06F8/40 ,  G06F8/53

Abstract: 本发明公开了一种基于多粒度特征匹配的软件后门候选区定位方法及系统，涉及网络安全技术领域。创建可信工业软件特征数据库；将待检测软件的二进制文件转换为统一的中间语言并提取软件结构化特征；将待检测软件与可信工业软件特征数据库的软件结构化特征文件基于函数调用图CG进行函数初始映射，得到两文件相似函数映射集合；根据相似函数映射集合，对每个函数对应的控制流图CFG进行结构匹配，找出差异代码块并作为软件后门候选区。本发明基于工业软件特征数据库解决定位类型单一问题，转换为中间语言表示可以兼容不同架构设计的软件，基于多粒度特征匹配能够提高定位准确度和精度。

公开(公告)号：CN118278002A

公开(公告)日：2024-07-02

申请号：CN202410286080.5

申请日：2024-03-13

Applicant: 中国科学院信息工程研究所

Inventor： 李红 ,  冯战胜 ,  王勇攀 ,  刘明东 ,  文辉 ,  任一墨

IPC: G06F21/56 ,  G06F21/53 ,  G06N3/0442 ,  G06N3/0455 ,  G06F18/213 ,  G06F18/25 ,  G06N3/084

Abstract: 本发明公开了一种基于API调用序列特征挖掘的软件后门检测方法及装置，涉及网络安全技术领域，通过BLTF‑Net模型分析获取API序列并进行嵌入编码，通过BiLSTM生成API调用的时间依赖特征，通过Transformer生成API调用的生成全局上下文信息特征；将生成的API调用的时间依赖特征和全局上下文信息特征进行融合，根据融合后的全面特征表示进行是否存在后门行为检测，输出检测结果。本发明兼顾了API调用的双向时间依赖关系和全局的长距离依赖关系，能够识别潜在的软件后门活动，具有更强的检测能力。

公开(公告)号：CN111913877B

公开(公告)日：2021-09-28

申请号：CN202010636048.7

申请日：2020-07-03

Applicant: 中国科学院信息工程研究所

Inventor： 宋站威 ,  曾怡诚 ,  刘明东 ,  朱红松 ,  李志 ,  孙利民 ,  石志强

IPC: G06F11/36

Abstract: 本发明实施例提供一种面向文本配置文件的模糊测试方法及装置，所述方法包括：识别所述目标配置文件的文本文件格式类型，并确定所述目标配置文件的键值key‑value对；对以所述目标配置文件作为输入的程序进行预模糊测试以检测所述程序是否有格式上的漏洞，并提取所述程序中的所有可见字符串，对所述目标配置文件的key‑value对中的key进行变异，得到key组合种子文件；基于所述key组合种子文件中key的权重，对所述key组合种子文件中的key对应的value进行变异，得到新的组合种子文件，挖掘所述程序的漏洞。本发明实施例实现了全面地挖掘程序中较深层次的漏洞，提升面向文本配置文件的模糊测试效率。