公开(公告)号：CN114816649A

公开(公告)日：2022-07-29

申请号：CN202110082386.5

申请日：2021-01-21

Applicant: 网神信息技术(北京)股份有限公司 ,  中国科学院软件研究所

Inventor： 应凌云 ,  杨轶 ,  聂眉宁 ,  苏璞睿

IPC: G06F9/455

Abstract: 本发明实施例提供一种虚拟机内外交互方法、装置、电子设备及存储介质，方法包括：在虚拟机内部通过硬件虚拟化方式生成串口模拟设备；在虚拟机外部通过硬件虚拟化方式生成模拟管道；基于所述串口模拟设备和所述模拟管道进行虚拟机内部程序和虚拟机外部程序的数据交互。本发明通过直接修改虚拟机程序，在虚拟机上模拟通用串口，在虚拟机外部模拟管道，使得内部和外部程序都能够通过通用接口实现数据交换，本发明基于模拟通用硬件实现，无需程序开发人员重新修改内外交互程序代码，不影响操作系统的完整性和稳定性，能够实现稳定、可靠且快速的数据传输，从而能够为虚拟机内外数据交换提供良好支撑。

公开(公告)号：CN104991526B

公开(公告)日：2017-09-26

申请号：CN201510221450.8

申请日：2015-05-04

Applicant: 中国科学院软件研究所

Inventor： 李昊 ,  陈震宇 ,  迟佳琳 ,  张敏 ,  苏璞睿 ,  秦宇

IPC: G05B19/418 ,  G06F21/57

CPC classification number: Y02P90/02

Abstract: 本发明公开了工业控制系统安全支撑框架及其数据安全传输和存储方法。本发明的安全支撑框架包括若干设有安全芯片的安全服务器和若干设有安全芯片的客户端；其中，客户端与所述安全服务器通过网络连接，服务器上设有工控系统可信环境管控平台的服务端、可信移动介质管控系统的服务端、可信工控防火墙的服务端和可信数据库系统，客户端上设有可信工控系统防火墙的客户端、可信环境管控平台的客户端、可信移动介质管控系统的客户端，其中：可信数据库系统，负责为存储在数据库中的设定敏感数据提供机密性和完整性保护服务，将设定敏感数据与可信的工控系统环境绑定。本发明能阻止恶意代码在工控环境中的运行、传播，同时确保敏感数据不被泄漏和篡改。

公开(公告)号：CN103136471B

公开(公告)日：2015-12-16

申请号：CN201110382248.5

申请日：2011-11-25

Applicant: 中国科学院软件研究所

Inventor： 焦四辈 ,  苏璞睿 ,  应凌云 ,  杨轶

IPC: G06F21/56

Abstract: 本发明公开了一种恶意Android应用程序检测方法和系统，属于计算机软件技术领域。本方法为：1)将待测应用程序中的行为划分为若干类别；将待测应用程序每个按钮与一个或多个类别行为对应，得到应用程序按钮——行为模型；2)采集硬件模拟器执行按钮时的应用程序信息，识别出当前操作对应的按钮；根据应用程序按钮——行为模型得到该按钮要执行的操作行为；3)采集当前按钮触发的硬件模拟器底层API调用序列，根据API序列模型得到该按钮对应执行的操作行为；4)将步骤2)与步骤3)确定的操作行为进行对比，如果不一致则将该待测应用程序确定为恶意程序。本发明简化了分析复杂度，大大提高了分析检测的效率和准确性。

公开(公告)号：CN104991526A

公开(公告)日：2015-10-21

申请号：CN201510221450.8

申请日：2015-05-04

Applicant: 中国科学院软件研究所

Inventor： 李昊 ,  陈震宇 ,  迟佳琳 ,  张敏 ,  苏璞睿 ,  秦宇

IPC: G05B19/418 ,  G06F21/57

CPC classification number: Y02P90/02 ,  G05B19/418 ,  G05B19/4185 ,  G05B2219/31088 ,  G06F21/57

Abstract: 本发明公开了工业控制系统安全支撑框架及其数据安全传输和存储方法。本发明的安全支撑框架包括若干设有安全芯片的安全服务器和若干设有安全芯片的客户端；其中，客户端与所述安全服务器通过网络连接，服务器上设有工控系统可信环境管控平台的服务端、可信移动介质管控系统的服务端、可信工控防火墙的服务端和可信数据库系统，客户端上设有可信工控系统防火墙的客户端、可信环境管控平台的客户端、可信移动介质管控系统的客户端，其中：可信数据库系统，负责为存储在数据库中的设定敏感数据提供机密性和完整性保护服务，将设定敏感数据与可信的工控系统环境绑定。本发明能阻止恶意代码在工控环境中的运行、传播，同时确保敏感数据不被泄漏和篡改。

公开(公告)号：CN104573516A

公开(公告)日：2015-04-29

申请号：CN201410827818.0

申请日：2014-12-25

Applicant: 中国科学院软件研究所

Inventor： 杨波 ,  冯登国 ,  秦宇 ,  苏璞睿 ,  张敏 ,  李昊 ,  张英骏 ,  邵建雄 ,  詹世才

IPC: G06F21/56 ,  G06F21/57 ,  G06F21/62

CPC classification number: G06F21/56 ,  G06F21/57 ,  G06F21/62

Abstract: 本发明提供了一种基于安全芯片的工控系统可信环境管控方法和平台，其方法包括1)工控终端基于安全芯片向管理服务器进行注册；2)工控终端对运行的各个进程进行完整性度量；3)管理方在管理服务器对度量信息进行审核并制定白名单；4)工控终端从管理服务器下载被管理方定制好的白名单，导入操作系统内核后对待运行进程进行管控，防止不可信、未知和不可控程序进程的恶意代码对工控终端造成的系统破坏、窃取机密信息和工业生产破坏等问题，从而提高工业控制系统的安全防御能力。

公开(公告)号：CN102740296A

公开(公告)日：2012-10-17

申请号：CN201210222083.X

申请日：2012-06-28

Applicant: 中国科学院软件研究所

Inventor： 谷雅聪 ,  冯登国 ,  苏璞睿 ,  杨轶

IPC: H04W12/06 ,  H04W12/08

Abstract: 本发明公开了一种移动终端可信网络接入方法和系统，属于可信网络接入技术领域。本方法为：1)移动终端载入完整性收集者并检测其完整性、接入策略服务器载入完整性验证者并检测其完整性；2)移动终端向接入控制服务器发出网络接入请求；3)接入控制服务器收到网络接入请求后，向接入策略服务器发出网络接入判定请求，验证移动终端的用户身份；4)验证通过后，接入策略服务器与移动终端之间开始进行平台身份认证，并相互验证双方的系统完整性，建立双方的平台信任关系；7)接入策略服务器根据平台信任关系向接入控制服务器发送是否接入的建议，接入控制服务器根据该建议，授予移动终端网络访问权限。本发明能够很好的保证网络资源受到保护。

公开(公告)号：CN101621512B

公开(公告)日：2012-01-25

申请号：CN200910088253.8

申请日：2009-07-14

Applicant: 中国科学院软件研究所

Inventor： 苗光胜 ,  冯登国 ,  苏璞睿

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/24

Abstract: 本发明公开了一种P2P网络中识别伪造评价和防止恶意攻击的方法。首先为网络中每个文件分配文件保存节和信任管理节点；文件保存节点记录每次下载过程的详细信息；信任管理节点接收到新评价信息时启动对该评价真实性的检测过程，通过询问文件保存节点下载记录、汇总下载过程详情以及提出挑战问题等多种方法验证提交评价的节点是否真正下载了所评价的文件，从而判断该评价是否可信，同时对提交该评价的节点给予相应评价，进而根据节点的历史评价记录对其提交的评价采取相应的验证策略。与现有技术相比，本发明适用范围更广，可以更加有效地对P2P网络中的评价行为的真实性进行检测，大大提高了P2P网络信任模型对此类攻击的抵制能力。

公开(公告)号：CN101345753B

公开(公告)日：2011-05-11

申请号：CN200810118257.1

申请日：2008-08-12

Applicant: 中国科学院软件研究所

Inventor： 苗光胜 ,  冯登国 ,  苏璞睿

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种P2P网络中面向资源的信任评价方法，属于网络安全技术领域。本方法为：首先为网络中每个资源分配一信任管理节点；然后每个资源的信任管理节点汇总其它节点对该资源的评价数据，并计算该资源的全局信任值以及响应其他节点的信任查询；节点下载资源之前向资源的信任管理节点查询该资源的全局信任值，根据返回结果决定是否下载该资源；最后下载该资源的节点将对该资源的评价数据报告给该资源的信任管理节点，以便更新该资源的全局信任值。同时本发明针对信任评价中常见的泄漏、篡改、伪造、共谋等问题提出了相应的解决方案，使用户可以直接掌握资源的可信度，从而有效解决了恶意资源的扩散问题，大大提高了P2P网络的安全性。

公开(公告)号：CN101616151A

公开(公告)日：2009-12-30

申请号：CN200910090178.9

申请日：2009-07-31

Applicant: 中国科学院软件研究所

Inventor： 刘豫 ,  杨轶 ,  苏璞睿

IPC: H04L29/06 ,  H04L12/26 ,  G06F9/44

Abstract: 本发明公开了一种自动化的网络攻击特征生成方法，包括如下步骤：1)在虚拟主机中安装虚拟操作系统，配置出与脆弱程序的真实应用一致的运行环境，并配置污点数据操作规则；2)启动脆弱程序将其所有网络输入标记为污点数据进行监控，记录污点数据状态，记录污点数据相关操作指令形成污点传播流图；3)检测到有污点数据异常操作时，从污点传播流图中获得从输入数据包开始的污点数据被脆弱程序操作处理的指令序列；4)将指令序列处理成可编译执行指令，并添加判断输出语句，生成图灵机式的攻击特征。使用本发明的方法有利于对未知漏洞攻击行为的发现和攻击流程的提取；无须获取脆弱程序源代码；生成的攻击特征更精确；攻击特征生成过程自动快速。

公开(公告)号：CN100435514C

公开(公告)日：2008-11-19

申请号：CN200610011477.5

申请日：2006-03-10

Applicant: 中国科学院软件研究所

Inventor： 陈恺 ,  苏璞睿 ,  冯登国

IPC: H04L12/24 ,  H04L12/56

Abstract: 本发明提供快速以太网监控领域的一种底层过滤技术的实现方法及其系统，引入了一个后备转换缓存(TLB)模块，当网络设备接收到数据包时，并不直接传输到上层进行过滤判断，而是通过TLB模块处理，在驱动层就对网络数据包进行判断，区分出即时通讯流量和非即时通讯流量。利用这样的方法，大部分数据包到达后就可以直接被判断其流量属性，若是即时通讯流量就继续由上层处理；若不属于即时通讯流量则可以直接转发或通过其他预定的策略处理。在这种方式下，在驱动层就判断出大部分数据包的属性，大大减轻了上层判断即时通讯流量的负担，可以节约大量的非即时通讯流量的判定工作，避免占用更多的处理器资源，从而提高整个处理过程的性能。