公开(公告)号：CN118740436A

公开(公告)日：2024-10-01

申请号：CN202410762981.7

申请日：2024-06-13

Applicant: 中国科学院信息工程研究所 ,  国网智能电网研究院有限公司 ,  国网福建省电力有限公司

Inventor： 夏豪骏 ,  孙利民 ,  周诚 ,  管小娟 ,  涂碧波 ,  宋站威 ,  郭敬东 ,  罗富财 ,  林晨晗

IPC: H04L9/40 ,  H04L43/0817 ,  H04L43/0823 ,  H04L43/0876 ,  G06N3/0442 ,  G06N3/088

Abstract: 本发明提供一种基于网络性能的网络入侵异常检测方法、装置及设备，该基于网络性能的网络入侵异常检测方法，包括：选取目标网络性能的最小观测事件集；基于内核可观测性技术，获取目标网络性能的最小观测事件集的观测结果；将观测结果输入已经训练好的异常检测模型，得到目标网络性能对应的异常分数偏差值；若异常分数偏差值超过异常偏差的阈值，确定目标网络性能异常，提取网络性能异常特征；根据网络性能异常特征确定引起目标网络性能异常的类型(网络故障、网络入侵、负载过载或硬件故障)；若为网络入侵类型，基于观测事件的预测结果误差，确定异常检测结果的原因，从而实现基于网络性能的网络异常行为的检测，同时降低系统资源开销。

公开(公告)号：CN118673488A

公开(公告)日：2024-09-20

申请号：CN202410665598.X

申请日：2024-05-27

Applicant: 中国科学院信息工程研究所 ,  国网智能电网研究院有限公司 ,  国网福建省电力有限公司

Inventor： 夏豪骏 ,  孙利民 ,  张涛 ,  马媛媛 ,  涂碧波 ,  宋站威 ,  黄惠英 ,  郑仁广 ,  谢静怡

IPC: G06F21/55 ,  G06F18/24 ,  G06N3/088 ,  G06N3/0442 ,  G06N3/0455

Abstract: 本发明提供一种定向进程的异常检测方法、装置及电子设备，其中方法包括：选取目标进程最小观测事件集，基于内核可观测技术，获取目标定向进程的最小观测事件集的观测结果；将所述观测结果输入训练好的异常检测模型，得到所述目标定向进程对应的异常分数偏差值；基于所述目标定向进程的异常分数偏差值，确定所述目标定向进程的异常检测结果；其中，所述异常检测模型是根据所述目标定向进程在设定时长内的指标数据进行无监督训练得到的。从而可以精准且高效地实现定向进程的异常行为的检测，同时降低系统资源开销。

公开(公告)号：CN113132349A

公开(公告)日：2021-07-16

申请号：CN202110270449.X

申请日：2021-03-12

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  张坤 ,  张子贤 ,  游瑞邦 ,  夏豪骏 ,  李晨 ,  王晓彤

IPC: H04L29/06

Abstract: 本发明公开了一种免代理云平台虚拟流量入侵检测方法及装置，包括：宿主机初始化DPDK，并启动OpenvSwitch，使用vhost‑user后端驱动启动qemu虚拟机；采集网卡流量及虚拟流量，其中网卡流量通过DPDK到达用户空间，网卡流量及虚拟流量通过vhost‑user后端驱动旁路至共享内存无锁环形缓冲区中；对网卡流量及虚拟流量的数据包进行解码；通过解析若干样本流程生成一规则库，并依据所述规则库对解码数据进行检测，获取入侵检测结果。本发明使用DPDK从网卡高性能采集数据包，提高数据收发及处理效率；通过将入侵检测系统采用代理方式部署在云计算节点内部，及在转发数据包到入侵检测代理前对隧道头的处理，实现“看见”且“认识”虚拟流量。

公开(公告)号：CN110392098B

公开(公告)日：2020-09-11

申请号：CN201910591799.9

申请日：2019-07-01

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  郭旭 ,  李青

IPC: H04L29/08

Abstract: 本发明实施例提供一种自适应虚拟桌面传输方法及装置，该方法包括：根据网络往返时延对虚拟桌面进行周期性网络探测，确定网络状态信息；周期性获取用户操作数据信息，根据所述用户操作数据信息确定用户使用场景信息；根据所述网络状态信息和用户使用场景信息确定自适应策略，并根据所述自适应策略进行调节。本发明实施例提供的方案可以根据网络的实际情况和用户对于服务需求的实际侧重来制定与之对应的自适应策略，其可以有效满足多种的用户需求，且不需要切断虚拟桌面服务既可以实现用户无感知的自适应传输及数据处理。

公开(公告)号：CN107169347B

公开(公告)日：2019-07-05

申请号：CN201710317750.5

申请日：2017-05-08

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  贾丽娜

IPC: G06F21/53 ,  G06F9/455

Abstract: 本发明提供一种增强ARM平台虚拟机自省安全的方法及装置，该装置包括位于不可信环境虚拟化软件栈中的安全增强接口前端、位于高特权级的安全增强接口以及位于硬件隔离环境TrustZone中的核心代码。本发明通过不依赖于Hypervisor或QEMU的安全增强接口和适当的硬件隔离环境TrustZone来抵抗信息泄露、保证VMI自身代码和数据在整个生命周期内的准确性即保证VMI运行时安全以及VMI底层输入数据的正确性。并且本发明解决了ARMv8平台下的两层语义隔离，即Hypervisor语义隔离和VM语义隔离。

公开(公告)号：CN109597675A

公开(公告)日：2019-04-09

申请号：CN201811250923.7

申请日：2018-10-25

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  谭曦 ,  张坤

IPC: G06F9/455 ,  G06F21/56

Abstract: 本发明实施例提供一种虚拟机恶意软件行为检测方法及系统，所述方法包括：基于目标虚拟机所在宿主机的虚拟机监视器与所述目标虚拟机进行交互，利用虚拟机自省方法获取所述目标虚拟机的内部状态信息；根据内存取证框架中的软件基础结构知识库对所述内部状态信息进行重构，获取所述内部状态信息的高级数据结构；根据所述高级数据结构，对所述目标虚拟机中的恶意软件行为进行检测。本发明实施例使得对恶意软件行为的检测更加精确、全面，可以对异常行为有针对性地处理，保证目标虚拟机的安全性，大大减少对虚拟机性能的影响，在无感知的前提下实现对恶意软件行为的检测。

公开(公告)号：CN104484594B

公开(公告)日：2017-10-31

申请号：CN201410643335.5

申请日：2014-11-06

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  李艳昭 ,  孟丹

IPC: G06F21/45

Abstract: 本发明公开了一种基于权能机制的linux系统特权分配方法。本方法为：1)安全模式下，设置用户角色配置文件和角色能力配置文件；2)根据系统的特权应用所需要的能力对其进行标记；服务器的TPM对配置文件和标记后的特权应用进行度量和写保护；3)开启TPM度量，进入系统工作模式；TPM对所述配置文件进行度量验证，通过后根据用户名查询配置文件获得对应的角色，读取该角色包含的能力集；4)PAM根据该角色对当前进程的能力进行标记，当调用某个应用时，如果是特权应用，则判断该应用所标记的能力集与进程所标记的能力集是否匹配，如果匹配则进程获取该特权应用的能力并执行该特权应用，否则拒绝执行。本方法易于管理和权限控制。

公开(公告)号：CN107194287A

公开(公告)日：2017-09-22

申请号：CN201710334806.8

申请日：2017-05-12

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  魏炜

IPC: G06F21/80 ,  G06F21/57

CPC classification number: G06F21/80 ,  G06F21/57

Abstract: 本发明提供一种ARM平台上的模块安全隔离方法，该方法将Linux内核空间分为可信内核空间和非可信空间；其中可信内核空间中运行Linux内核；非可信空间中运行被隔离的模块；同时该方法通过EL2特权层的Hypervisor Monitor将可信内核空间切换至非可信空间，当由非可信空间切换至可信内核空间时，先通过EL1特权层的Trampoline，再由Trampoline陷入Hypervisor Monitor以切换至可信内核空间。本发明方法还借助ARM硬件特性，更安全高效地限制非可信模块，以保证Linux系统的可靠稳定性。

公开(公告)号：CN116108418A

公开(公告)日：2023-05-12

申请号：CN202111336337.6

申请日：2021-11-10

Applicant: 深信服科技股份有限公司 ,  中国科学院信息工程研究所

Inventor： 古亮 ,  涂碧波 ,  张坤 ,  刘伯仲

IPC: G06F21/44 ,  G06F9/54

Abstract: 本发明公开了一种基于libevent库的可信验证通信方法。包括：接收客户端在生成可信报告后发送的可信验证请求，并获取可信验证请求中的文件描述符信息；将文件描述符信息写入至目标工作线程的消息队列中，以使目标工作线程在读取到文件描述符信息时，获取可信报告，并对可信报告进行验证。由于本发明是在接收到客户端生成可信报告后发送的可信验证请求时，对可信报告进行验证。相对于现有的服务器等待客户端生成可信报告,客户端在可信报告生成完成后才发送可信验证请求，然后服务器才对可信报告进行验证的方式，本发明上述方式能够避免服务器等待在客户端生成可信报告的耗时操作上，使得服务器能够同时支持更多的设备进行可信验证。

公开(公告)号：CN107203716B

公开(公告)日：2020-05-22

申请号：CN201710305308.0

申请日：2017-05-03

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  王博实

IPC: G06F21/53 ,  G06F21/55 ,  G06F9/455

Abstract: 本发明涉及一种Linux内核轻量级结构化保护方法及装置。该方法将Linux内核结构化为关键保护结构和非关键保护结构，对关键保护结构进行重点保护，对非关键保护结构进行可选择性保护；所述关键保护结构包括Linux安全模块及与Linux安全模块密切相关的结构；然后监控针对所述关键保护结构的修改动作，对被保护的数据变更进行拦截，对被保护的代码变更和/或页表项变更进行检查以判定其合法性，如果判定为非法则进行拦截，如果判定为合法则通过指令模拟完成相应的修改。本发明能够以较小的性能代价提升Linux内核整体的安全性。