-
公开(公告)号:CN105184166A
公开(公告)日:2015-12-23
申请号:CN201510682288.X
申请日:2015-10-21
Applicant: 南京大学
Abstract: 本发明公开了基于内核的安卓程序实时行为分析方法以及能够实现该方法的行为分析系统,其中方法包括系统调用监控初始化步骤;内核系统调用拦截监控与解析步骤;基于解析结果生成信息日志步骤;基于信息日志的应用程序行为重构步骤。本发明通过在内核中拦截并解析系统调用,重构出应用程序的文件,网络以及安卓特有的进程间同行等行为,整个过程在内核中进行实时监控,保证行为获取的准确性,同时内核拥有最高的权限,恶意软件难以进行规避。本方法不修改安卓系统的任何代码,性能损耗低,实践证明本方法所产生的结果能作为取证的关键证据,以及提供恶意软件检测的依据。
-
公开(公告)号:CN104835015A
公开(公告)日:2015-08-12
申请号:CN201510272608.4
申请日:2015-05-25
Applicant: 南京大学
Abstract: 本发明公开了基于前驱任务的工作流挖掘方法,通过分析事件日志中任务,包括对工作流的事件日志中前驱任务进行分析;以事件日志为输入,以Petri网描述的工作流模型为输出结果;该方法使用基于前驱任务的事件日志,前驱任务是指当前任务执行前依赖的需要完成的任务的集合,为当前任务的输入,即在事件日志中包含前驱任务的信息;前驱任务的事件日志的形式化定义为:T是任务集,T*是包含n个任务的任务序列,E=[θ]T是在任务集T基础上的事件集;前驱任务序列表示为σ∈E*,前驱任务的事件日志表示为WE*。本发明在理论上提出了新型挖掘方法,而且在Activiti平台和ProM平台上都实现了实际工具。
-
公开(公告)号:CN104021063B
公开(公告)日:2015-03-11
申请号:CN201410202898.0
申请日:2014-05-14
Applicant: 南京大学
Abstract: 一种基于硬件虚拟化的计算机模块化实时取证系统及其方法,包括初始化驱动、系统控制中心、系统支持模块组和取证功能模块组;本方法基于硬件虚拟化技术,在操作系统运行时通过初始化驱动搭建轻量化虚拟机,并在系统控制中心提供硬件虚拟化平台的支持和所有子模块的管理;系统支持模块组为取证模块组提供所有基础功能的支持;本方法规范了取证功能模块组的接口,支持模块的复用和扩展,使取证工具能够关注核心功能,减少大量重复工作;本发明不修改目标操作系统的任何代码,性能损耗低,内存占用少,建立了一个安全可信的实时取证基础平台,为各类基于虚拟化的取证工具的实现提供了便利。
-
公开(公告)号:CN104331664A
公开(公告)日:2015-02-04
申请号:CN201410696330.9
申请日:2014-11-27
Applicant: 南京大学
IPC: G06F21/56
CPC classification number: G06F21/563
Abstract: 本发明提供了一种在取证场景下自动分析未知恶意程序特征的方法;包括下列步骤:1)选择关键动态链接库并建立动态链接库数据模型;2)对恶意软件进程进行聚类分析得到分类;3)获取恶意软件进程特征并进行取证分析。与现有的恶意软件分析取证方法相比,本发明通过对动态链接库数据进行聚类实现了在无先验知识的情况下基于恶意软件进程自身特点的自动分类,并能够通过频繁项集挖掘的方式,在高层语义上对恶意软件行为进行解释;此外,本发明还能为恶意软件取证提供信息和线索;本发明特别适用于无先验知识和大规模自动化取证的场景;实践证明在常规应用场景下,本方法能达到超过百分之九十以上的准确率而时间消耗仅为数秒。
-
公开(公告)号:CN102567201A
公开(公告)日:2012-07-11
申请号:CN201110419535.9
申请日:2011-12-15
Applicant: 南京大学
Abstract: 跨模型的图形用户界面测试脚本自动修复方法,对在旧版本图形用户界面GUI程序上录制的GUI测试脚本,针对新版本的GUI程序进行自动修复,本发明提出使用两个事件可达性模型互补的方法,以更加完整和准确的描述应用程序的GUI结构和事件可达性模型,使用两个事件可达性模型检验GUI测试脚本语句的合法性,并对在新版本GUI程序中不正确的GUI测试脚本给出自动修复方案;本发明使用两个模型协作来完成脚本的合法性验证和修复,自建事件可达性模型在修复过程中不断完善,不再需要测试工程师过多确认,两个模型的共同分析验证保证了完整描绘GUI应用程序中包含的全部事件流程,实现GUI测试脚本合法性验证和修复的自动化。
-
Patent Agency Ranking
公开(公告)号:CN102521534A
公开(公告)日:2012-06-27
申请号:CN201110397516.0
申请日:2011-12-03
Applicant: 南京大学
Abstract: 基于粗糙熵属性约简的入侵检测方法,包括如下步骤:1)训练阶段,收集已知类型进程的系统调用序列作为训练集;统计训练集里某类进程中系统调用的出现概率对其序列作规范化处理,生成短序列集合;基于属性重要度模型计算短序列的属性重要度并排序;基于粗糙熵属性约简算法训练出某类型进程分类规则;重复b、c、d得到训练集中所有类型进程的分类规则,得到进程分类规则集;结束;2)检测阶段,收集待测进程的系统调用序列;对调用序列进行预处理生成短序列集合;根据进程分类规则识别进程种类,判断进程是否异常;结束。本发明在计算简单的前提下,提高了检测的精度,明显降低误报警率。
-
公开(公告)号:CN101394316B
公开(公告)日:2011-08-31
申请号:CN200810234948.8
申请日:2008-11-11
Applicant: 南京大学
Abstract: 本发明公开了一种基于完全无向图的贝叶斯的网络入侵分类方法,包括如下步骤:1)训练阶段:a)收集已知是否为入侵的会话事件并进行特征提取作为训练集;b)对训练集进行预处理;c)训练出基于完全无向图的贝叶斯分类器;d)结束;2)分类阶段:a)预处理待检测的会话事件;b)使用步骤1c)得到的分类器对处理后的会话事件进行分类;c)返回分类结果;d)结束。本发明的基于完全无向图的贝叶斯的网络入侵分类方法在保持计算简单的前提下,提高了分类器的精度,尤其是针对小样本类标的异常事件,从而提高了入侵检测系统的入侵检测性能。
-
公开(公告)号:CN118138277A
公开(公告)日:2024-06-04
申请号:CN202410083593.6
申请日:2024-01-19
Applicant: 南京大学
Abstract: 本发明提供基于云存储的数字取证可信性验证方法及系统,利用数字取证技术来检测存储在云端的数字取证数据的可信性。本发明通过引入去中心化的数字取证数据可信性验证机制来确保数字取证数据在保存过程中的完整性,从而提高数字取证结果的可信性。本发明设计了一个三层的架构,基于分布式公共账本,通过在多节点之间达成对数字取证数据可信性证明的共识,能够在不可信环境中提供对数字取证数据的可信性验证。本发明独立于数字取证数据存储服务,部署灵活,不会对部署环境造成负面影响,不会干扰数据存储服务的正常运行,可以兼容多种环境和数据存储服务,从而能够提升用户对数字取证的接受程度。
-
公开(公告)号:CN117236614A
公开(公告)日:2023-12-15
申请号:CN202311204332.7
申请日:2023-09-18
Applicant: 南京大学
IPC: G06Q10/0631 , G06Q10/101 , G06Q10/0639 , G06F16/27 , G06F21/56 , G06F21/31 , G06Q40/04
Abstract: 本发明提供了用于复杂物联网环境的基于区块链的众包数字取证平台,包含任务发布模块、任务选择模块、任务提交模块、用户注册模块、任务分配模块。本发明为数字取证任务定制化了一个众包平台。数字取证任务具有非常强的交叉性和专业性,定制化的平台可以帮助任务请求者匹配到更合适的任务工作者,并且在众包系统中,也可以对数字取证流程进行更好的监督工作,提高数字取证任务的完成质量。本发明设计了一种数字取证任务的协同分配方法,基于数字取证人员之间的评分计算协作度,能够求解得到最优团队。
-
公开(公告)号:CN113569234B
公开(公告)日:2023-11-03
申请号:CN202110674761.5
申请日:2021-06-17
Applicant: 南京大学
IPC: G06F21/55 , G06F16/835 , G06F16/838
Abstract: 本发明提供一种用于安卓攻击场景重建的可视化取证系统及实现方法。系统包括:配置模块、用户操作收集模块、UI收集模块、UI分析模块、Log收集模块、Log过滤模块和关联分析模块。本发明提出针对Android设备的自顶向下的数字取证工具,将高级应用程序UI元素与低级安全相关的系统事件相结合,重构攻击场景。相比之前的场景重建方法,能够从全局的角度解释攻击的本质,具有细粒度和易于理解的上下文语义。本发明基于内置的Android调试桥工具包开发的,并且可以在任何安卓系统运行时部署和运行。易于部署,并且无需修改Android设备,相对于现有方法更安全,更灵活,并且场景重建的结果可视化效果更好。
-
-
-
-
-
-
-
-
-
Search Results
123
records
(took 0.021 seconds)
