公开(公告)号：CN104601556B

公开(公告)日：2017-12-26

申请号：CN201410842711.3

申请日：2014-12-30

Applicant: 中国科学院信息工程研究所

Inventor： 罗熙 ,  杨婧 ,  徐震 ,  宋晨 ,  刘艇

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种面向WEB的攻击检测方法及系统，方法如下：首先对用户的访问url进行攻击特征检测；接着对检测结果进行误报分析和漏报分析处理，误报分析主要解决网站的正常内嵌资源和网络爬虫所造成的误报；漏报分析是要处理检测出的异常用户所进行的并未检测出来的异常行为。通过以上处理的结果，再计算出各个异常用户在各个域名下的异常访问总次数，当访问次数小于所有用户的均值时，取其与均值的比例为其异常评分指数；否则，异常评分值为其与所有用户的最大访问数的比例加权值w。经过本发明的误报与漏报处理，面向WEB的攻击检测方法的效率有了明显提升。

公开(公告)号：CN103684793B

公开(公告)日：2017-12-05

申请号：CN201310728106.9

申请日：2013-12-25

Applicant: 国家电网公司 ,  中国电力科学研究院 ,  中国科学院信息工程研究所 ,  国网辽宁省电力有限公司 ,  全球能源互联网研究院 ,  国网浙江省电力公司

Inventor： 徐震 ,  于爱民 ,  汪丹 ,  杨溢学 ,  王志皓 ,  赵保华

IPC: H04L9/32 ,  H04L9/08 ,  H04L29/06

Abstract: 本发明涉及一种基于可信计算增强配电网络通信安全的方法，所述方法包括（1）建立基于可信计算安全增强的通信协议模型；（2）设置模型中电力可信计算芯片ETM；（3）构建基于可信计算安全增强的配电网络通信协议。本发明不需要芯片属主管理功能，复杂的授权协议等管理得以简化，更着重实用性。同时，其密钥的公钥操作、完整性验证等操作都是在ETM内部完成；不仅能保证通信数据传输的安全，还能在通信前对终端身份和状态进行认证，有效避免恶意终端获取通信数据。

公开(公告)号：CN105260663B

公开(公告)日：2017-12-01

申请号：CN201510586671.5

申请日：2015-09-15

Applicant: 中国科学院信息工程研究所

Inventor： 田琛 ,  王雅哲 ,  徐震 ,  蔡智强

IPC: G06F21/60

Abstract: 一种基于TrustZone技术的安全存储服务系统及方法，包括数据请求模块、普通应用程序、安全存储服务、可信应用程序；数据请求模块负责普通应用程序与可信应用程序间数据安全存储服务请求的封装与调用，为普通应用程序提供统一的数据存储、数据加载和数据销毁的服务请求接口；安全存储服务包括合法性检测模块、数据处理模块和秘钥管理模块。本发明目的在于为支持TrustZone技术的终端设备上的应用程序提供统一的数据安全存储接口，既解决应用程序敏感数据的安全存储问题，又保证应用程序开发的便捷性。

公开(公告)号：CN104378363B

公开(公告)日：2017-09-15

申请号：CN201410599147.7

申请日：2014-10-30

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  徐震 ,  黄亮 ,  陈凯 ,  吕双双 ,  杨倩 ,  姜帆

IPC: H04L29/06 ,  H04L29/12 ,  H04L9/08

Abstract: 本发明涉及一种动态应用地址转换方法及其网关系统，实现一种新的Web应用攻击防御方法；通过动态转换URL地址，转换应用系统的攻击面，隐藏Web应用的脆弱性，增加攻击者的攻击难度，大大提高攻击者利用URL对Web网站进行漏洞扫描、攻击注入的难度。本发明采用的DAAT方法能够动态能够有效降低攻击者对Web应用造成的安全威胁，提高了Web应用系统的安全性。

公开(公告)号：CN104318182B

公开(公告)日：2017-09-12

申请号：CN201410596688.4

申请日：2014-10-29

Applicant: 中国科学院信息工程研究所

Inventor： 王雅哲 ,  徐震 ,  田琛 ,  王瑜

IPC: G06F21/74 ,  G06F21/12 ,  H04M1/725

Abstract: 一种基于处理器安全扩展的智能终端隔离系统及方法，包括安全启动模块、事务委托模块、通信代理模块、安全扩展抽象层、安全操作系统、安全中间件、可信应用模块、普通应用模块。安全启动模块对智能终端硬件环境进行简单初始化，并认证和引导安全操作系统。通信代理模块负责可信应用模块和普通应用模块的底层数据封装与通信。安全扩展抽象层将为安全操作系统提供统一的调用接口。安全操作系统将为整个安全域内可信应用模块提供相互独立的运行空间，并管理安全域内所有软硬件资源。安全中间件实现安全功能、事务委托相关的核心库，并为可信应用提供相关的功能接口。本发明目的在于为智能终端提供完整的安全隔离机制，提高软件运行环境的安全性。

公开(公告)号：CN104318135B

公开(公告)日：2017-04-05

申请号：CN201410585071.2

申请日：2014-10-27

Applicant: 中国科学院信息工程研究所

Inventor： 王雅哲 ,  徐震 ,  胡铭铭 ,  王瑜

IPC: G06F21/14 ,  G06F21/64 ,  G06F9/445

Abstract: 一种基于可信执行环境的Java代码安全动态载入方法，在所述移动智能设备中预置有可信执行环境，所述可信执行环境用于将可信区域内存划分为多个任务共存空间，支持多个独立的安全应用程序运行。本发明在保证安卓程序正常运行的前提下，通过从服务端动态下载加密过的核心代码并将加密过的核心功能代码在可信执行环境中解密，使破解者很难利用当前主流的安卓应用程序分析技术和破解工具对受保护的核心功能代码分析篡改，保护核心功能代码的安全性。

公开(公告)号：CN106357673A

公开(公告)日：2017-01-25

申请号：CN201610912580.0

申请日：2016-10-19

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  王淼 ,  徐震 ,  马多贺 ,  陈凯 ,  董文婷

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1466 ,  H04L67/10

Abstract: 本发明公开了一种多租户云计算系统DDoS攻击检测方法及系统。本方法为：在多租户云计算系统的控制节点设置一个检测服务器，在每个计算节点建立一个检测代理；检测代理根据第i时间段采集的流量数据，统计该第i时间段每个虚拟机向不同目的IP地址分别发送的数据包数；检测代理根据统计数据计算各虚拟机的流量熵变化值，如果虚拟机i发给目的IP的流量熵变化值超过设定的流量熵变化阈值，则判定该数据流为可疑DDoS攻击流，并将其发给检测服务器；检测服务器根据数据目的IP地址和租户标识聚集目的地址以及聚集结果在总流量中的占比识别出潜在攻击流量；如果两潜在攻击流的相对熵小于设定阈值，则判定为DDoS攻击流。

公开(公告)号：CN105791392A

公开(公告)日：2016-07-20

申请号：CN201610087849.6

申请日：2016-02-16

Applicant: 中国科学院信息工程研究所

Inventor： 李宏佳 ,  杨畅 ,  王泽珏 ,  徐震

IPC: H04L29/08 ,  H04L12/857

CPC classification number: H04L67/2842 ,  H04L47/2491 ,  H04L67/02 ,  H04L67/1095

Abstract: 本发明公开了一种基于移动网络的边缘服务通信方法及系统，所述方法包括：控制节点解析基站发送的第一请求，根据所述第一请求在第一预设存储节点集合中查找第一存储节点；若查找到，则将第一响应发送至所述基站，所述第一响应包含所述第一存储节点的地址；所述基站根据所述第一存储节点的地址，发送第二请求至所述第一存储节点，所述第二请求包含所述第一请求；所述第一存储节点根据所述第二请求将第二响应发送至所述基站。通过在控制节点中预存存储节点集合，能够获取存有请求内容的存储节点位置，无需考虑存储节点的具体部署位置，使得能够灵活部署存储节点；同时由存储节点直接将请求内容发送至基站，大大减少了数据传输时间，增强了用户体验。

公开(公告)号：CN105207950A

公开(公告)日：2015-12-30

申请号：CN201510590699.6

申请日：2015-09-16

Applicant: 中国科学院信息工程研究所

Inventor： 宋晨 ,  杨倩 ,  王利明 ,  徐震 ,  姜帆 ,  黎海燕 ,  荀浩

IPC: H04L12/813 ,  H04L12/937 ,  H04L29/06

Abstract: 本发明公开了一种基于SDN技术的通信数据保护方法。本方法为：1)控制器生成随机化标签和交换机标签；2)控制器根据定义的分割元组生成随机化策略与还原策略，并将其以流表的方式发送到交换机；3)交换机检测数据包是否带有随机化标签，如果是则进行步骤4)；否则进入源地址判断过程：判断该数据包源地址是否在传输列表中，如果在则执行随机化策略流表，新生成的数据包并将其转发给下一跳交换机；4)判断该数据包带有的随机化标签是否匹配随机化标签，如果匹配则判断该数据包的交换机标签是否正确，如果正确则根据网络拓扑判断其是否连接目的主机，如果是则执行还原策略流表，然后将还原数据发送给目的主机。本发明大大提高了通信安全性。

公开(公告)号：CN105049945A

公开(公告)日：2015-11-11

申请号：CN201510498588.2

申请日：2015-08-13

Applicant: 中国科学院信息工程研究所

Inventor： 王雅哲 ,  徐震 ,  寇睿明 ,  王瑜

IPC: H04N21/478 ,  H04N21/4415 ,  H04N21/254 ,  H04N21/258 ,  G06Q20/32 ,  G06Q20/40 ,  H04L29/06

Abstract: 本发明公开了一种基于智能电视多屏互动的安全支付系统及方法，引入了“业务委托”的方法，通过多屏互动的理念，将位于智能电视端的身份认证需求委托给安全性更高且支持多种生理信息认证的用户智能终端进行处理，并最终将处理结果返回给智能电视端。用户智能终端则通过非对称密钥的形式，结合内置或者外接的生物信息认证设备与身份认证服务器进行协商认证，从而最终实现智能电视端的安全支付系统。通过本发明，用户可以借助智能终端便利安全的生物信息认证设备，完成智能电视端的身份认证和事务确认，取代了传统用户名密码的身份验证方式。在保证用户体验的同时，大大提高了认证过程中信息的安全性。