公开(公告)号：CN108280197A

公开(公告)日：2018-07-13

申请号：CN201810082622.1

申请日：2018-01-29

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 石志强 ,  陈昱 ,  孙利民 ,  朱红松 ,  赵威威 ,  马原

IPC: G06F17/30 ,  G06F21/56 ,  G06F21/57

Abstract: 本发明提供一种识别同源二进制文件的方法及系统，所述方法包括：S1，使用最小哈希算法分别获取待识别二进制文件和各原二进制文件的签名；S2，使用分桶法对各所述签名进行分桶，获取各所述签名划分到各桶的字符串；其中，位于同一桶中的各所述字符串具有相同的字符数；S3，根据各桶中所述原二进制文件的签名对应的字符串，使用倒排索引法获取与各桶一一对应的字典；S4，根据各桶中所述待识别二进制文件的签名对应的字符串，从各桶对应的字典中获取与所述待识别二进制文件同源的原二进制文件。本发明减少计算量，提高识别同源二进制文件的速度和精度，适用于各种同源二进制文件的识别。

公开(公告)号：CN105868108B

公开(公告)日：2018-09-07

申请号：CN201610182075.5

申请日：2016-03-28

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 石志强 ,  刘中金 ,  常青 ,  陈昱 ,  孙利民 ,  朱红松 ,  王猛涛 ,  何跃鹰

IPC: G06F11/36 ,  G06K9/62

Abstract: 本发明涉及一种基于神经网络的指令集无关的二进制代码相似性检测方法，其主要步骤包括：对二进制文件进行逆向分析，提取函数的调用关系特征、字符串特征、栈空间特征、代码规模特征、路径序列特征、路径基本特征，度序列特征、度基本特征，图规模特征等9个方面共24个特征。基于特征的表现形式，采用3种相似度计算方法计算待比较的两个函数的24个特征的相似程度，作为集成神经网络分类器的输入向量，获得两个函数整体相似度的预测值并进行排序。本发明与现有的技术比，不依赖特定的指令集，可以实现不同指令集的二进制文件的相似度检测，准确率高，技术简单，易于推广。

公开(公告)号：CN108280197B

公开(公告)日：2020-09-11

申请号：CN201810082622.1

申请日：2018-01-29

Applicant: 中国科学院信息工程研究所 ,  国家计算机网络与信息安全管理中心

Inventor： 石志强 ,  陈昱 ,  孙利民 ,  朱红松 ,  赵威威 ,  马原

IPC: G06F16/31 ,  G06F21/56 ,  G06F21/57

Abstract: 本发明提供一种识别同源二进制文件的方法及系统，所述方法包括：S1，使用最小哈希算法分别获取待识别二进制文件和各原二进制文件的签名；S2，使用分桶法对各所述签名进行分桶，获取各所述签名划分到各桶的字符串；其中，位于同一桶中的各所述字符串具有相同的字符数；S3，根据各桶中所述原二进制文件的签名对应的字符串，使用倒排索引法获取与各桶一一对应的字典；S4，根据各桶中所述待识别二进制文件的签名对应的字符串，从各桶对应的字典中获取与所述待识别二进制文件同源的原二进制文件。本发明减少计算量，提高识别同源二进制文件的速度和精度，适用于各种同源二进制文件的识别。

公开(公告)号：CN119513870A

公开(公告)日：2025-02-25

申请号：CN202411438188.8

申请日：2024-10-15

Applicant: 中国科学院信息工程研究所

Inventor： 李伦 ,  卢泷瑾 ,  朱红松 ,  王曦 ,  高锦

IPC: G06F21/57 ,  G06F21/53 ,  G06F9/30

Abstract: 本发明公开了一种基于TCG的多指令集动态信息流跟踪方法，属于系统安全领域。本发明通过在宿主机上使用全系统虚拟化软件QEMU模拟运行客户机；针对客户机创建用于存储数据标签的影子内存、影子环境变量和影子栈；使用TCG动态二进制翻译器进将不同指令集的程序指令转换为TCG微操作并进行约束；使用TCG动态二进制翻译器将约束后的TCG微操作翻译为具有跟踪功能的宿主机指令，通过运行宿主机指令实现多指令集的动态信息流跟踪。本发明提升动态信息流跟踪技术的多指令集支持性，可以满足采用多样化指令集新兴设备程序的动态信息流跟踪需求。

公开(公告)号：CN116938750A

公开(公告)日：2023-10-24

申请号：CN202310746843.5

申请日：2023-06-21

Applicant: 中国科学院信息工程研究所

Inventor： 王进法 ,  张晓峰 ,  郑春阳 ,  于楠 ,  朱红松

IPC: H04L41/50 ,  H04L41/16 ,  H04L41/12 ,  H04L43/028 ,  H04L43/04 ,  H04L43/0876 ,  H04L43/0894 ,  H04L43/16 ,  H04L43/18 ,  G06N3/0455

Abstract: 本发明提供的服务依赖关系获取方法、系统、电子设备及存储介质，通过从目标应用的流量数据中确定服务节点；根据服务节点及服务之间调用关系的起点和终点，确定服务调用关系；将服务调用关系转换为服务调用序列，服务调用序列包括多个服务节点对；根据服务节点对的出现频率得到多条服务调用链路。在流量大、业务交互关系复杂的信息系统中，通过根据服务节点对的出现频率得到多条服务调用链路，推断出所有可能存在的服务调用链路，提高服务调用链路预测的准确率和实时性，有助于快速排查和解决应用中的运行故障，并且，由于不需要额外添加软硬件配置，节约系统资源消耗，规避因添加软硬件配置带来的安全风险。

公开(公告)号：CN116719607A

公开(公告)日：2023-09-08

申请号：CN202310706337.3

申请日：2023-06-14

Applicant: 中国科学院信息工程研究所

Inventor： 孙玉砚 ,  印君男 ,  孙嘉伟 ,  朱红松 ,  孙利民

IPC: G06F9/455

Abstract: 本发明提供一种基于联邦学习的模型更新方法及系统，方法包括：根据参与联邦学习的目标客户端的合成数据，对目标客户端所属集群进行更新，直至初始化的K个集群达到稳定分布状态，并将每个集群内的目标聚类模型发送给目标客户端，合成数据是根据接收到的目标客户端的数据分布信息得到的，稳定分布状态为目标客户端所属集群不再变化，目标聚类模型是根据初始化的K个集群达到稳定分布状态下的每个集群内的聚类模型确定的；执行第一循环过程，直至目标客户端中的候选模型收敛。本发明能够充分利用数据异构环境中所有客户端的数据，在有限的网络通信资源，客户端的有限计算资源和有限存储资源的情况下，为每一个客户端提供一个最优的个性化模型。

公开(公告)号：CN116346326A

公开(公告)日：2023-06-27

申请号：CN202310181636.X

申请日：2023-02-20

Applicant: 中国科学院信息工程研究所

Inventor： 李志 ,  谷雨 ,  徐顺超 ,  张祖成 ,  朱红松 ,  孙利民

IPC: H04L9/08 ,  H04L67/02

Abstract: 本发明提供一种网络设备固件指纹模型自动化生成方法及装置，具体包括：根据预定IP地址向第一服务端口发送第一请求；接收基于第一请求返回的第一数据包；基于返回的第一数据包提取网络设备固件的最新更新时间LMT信息；根据预定IP地址向第二服务端口发送第二请求；接收基于第二请求返回的第二数据包；基于返回的第二数据包提取网络设备固件版本信息；利用LMT信息、版本信息构建网络设备固件指纹模型。本发明采用网络设备Web服务的页面特征以及静态资源的LMT特征构建指纹特征向量，此两种特征均可远程获取，不需要登录设备或者解压固件，本发明还利用同源探测方法，获取设备的固件信息，用以标定指纹特征向量，实现了固件指纹的自动化生成。

公开(公告)号：CN115766239A

公开(公告)日：2023-03-07

申请号：CN202211450695.4

申请日：2022-11-18

Applicant: 中国科学院信息工程研究所

Inventor： 于楠 ,  赵智慧 ,  朱红松 ,  曾怡诚 ,  李红 ,  孙玉砚 ,  孙利民

IPC: H04L9/40 ,  H04L43/08

Abstract: 本发明涉及通信技术领域，提供一种边缘篡改检测方法、装置、电子设备及存储介质，该方法包括：获取云服务器的检测策略和特征映射表；确定原始数据序列中每一个原始特征组合的共享特征，基于特征映射表获取每一个原始特征组合的多个伪装数据；基于检测策略，将每一个原始特征组合的多个伪装数据插入至原始数据序列中，得到目标数据序列；通过边缘计算系统，将目标数据序列转发至云服务器，以供云服务器基于目标数据序列进行边缘篡改检测。本发明实施例提供的边缘篡改检测方法将共享特征转化为伪装数据插入到原始数据序列，基于原始特征组合中的原始数据及其共享特征、伪装数据实现了共同的边缘篡改检测，提高了边缘篡改检测的可靠性。

公开(公告)号：CN113656280A

公开(公告)日：2021-11-16

申请号：CN202110777874.8

申请日：2021-07-09

Applicant: 中国科学院信息工程研究所

Inventor： 宋站威 ,  曾怡诚 ,  王进法 ,  于楠 ,  李志 ,  朱红松 ,  孙利民

IPC: G06F11/36 ,  G06F21/57

Abstract: 本发明提供一种基于符号执行的漏洞利用点查找方法及装置，方法包括：基于符号执行循环执行目标程序中分支条件为具体值的第一分支；确定满足预设条件，并基于所述符号执行循环执行所述目标程序中包括间接影响变量的第二分支；根据所述符号执行过程中的敏感函数的长度参数，确定所述目标程序中的漏洞利用点。所述装置用于执行上述方法。本发明使得符号执行在分支条件为具体值时，仍有探索两个分支的能力，能够在扩充了符号执行的探索路径的基础上，根据符号执行过程中遇到的敏感函数的长度参数实现对目标程序如二进制程序的漏洞利用点查找。

公开(公告)号：CN111526222B

公开(公告)日：2021-07-27

申请号：CN202010292075.7

申请日：2020-04-14

Applicant: 中国科学院信息工程研究所

Inventor： 朱红松 ,  王雨城 ,  王进法 ,  于楠 ,  李志 ,  孙利民

IPC: H04L29/12 ,  G06F16/29

Abstract: 本发明实施例提供一种网络设备地理定位方法及装置，所述方法包括：确定每个地标与网络设备IP之间的最短路由长度，以及每个地标与网络设备IP之间的延迟向量的相似度；基于每个地标与网络设备IP之间的最短路由长度，以及每个地标与网络设备IP之间的延迟向量的相似度，估计每个地标与网络设备IP之间的路由距离；根据每个地标与网络设备IP之间的路由距离，确定网络设备的地理坐标。本发明实施例提供的网络设备地理定位方法及装置，从拓扑结构角度确定最短路由长度，从网络延迟角度确定延迟向量的相似度，并结合最短路由长度和延迟向量的相似度来综合确定网络设备的地理坐标，提高了定位的准确性。