公开(公告)号：CN103020531B

公开(公告)日：2015-05-27

申请号：CN201210521472.2

申请日：2012-12-06

Applicant: 中国科学院信息工程研究所 ,  华为技术有限公司

Inventor： 于爱民 ,  晏敏 ,  敖赢戈 ,  吴晓昕 ,  杨文思

IPC: G06F21/57

Abstract: 本发明涉及Android智能手机运行环境可信控制方法及系统，Android终端的Android OS安全启动完毕后，Android Dalvik应用将进行可信启动，Android终端实时监测终端所处地理位置是否位于预设定的敏感区域内，Android终端报告Android Dalvik应用完整性信息至监控中心，监控中心依据安全策略管理模块的安全策略依次验证应用完整性信息，并通过Android终端完整性信息收集模块返回验证结果至终端，终端依据验证结果实施相应操作后再次验证应用完整性信息是否安全。本发明对敏感域内的移动终端进行远程控制和应用程序管理，通过切断终端访问能力来防止机密信息的窃取扩散。

公开(公告)号：CN104346572A

公开(公告)日：2015-02-11

申请号：CN201310317084.7

申请日：2013-07-25

Applicant: 中国科学院信息工程研究所

Inventor： 于爱民 ,  陈路 ,  杨文思

IPC: G06F21/57

CPC classification number: G06F21/57 ,  G06F21/575

Abstract: 本发明公开了一种通用的外置式智能终端安全运行环境构建方法。本方法为：1）应用发布方为目标应用建立一包括ramdisk文件和内核镜像的应用安全策略包；在该Android系统设置一系统安全控制模块后对系统进行编译生成所述内核镜像；系统安全控制模块包括一安全策略文件；2）设置一可信执行模块TEM，发送命令信息给该智能终端，使其从该TEM端下载该应用安全策略包，并在该智能终端上启动系统；3）系统安全控制模块监控系统运行过程中映射入内存的所有文件，检查其是否属于安全策略文件中的文件，如果是则该系统安全控制模块对本次映射操作予以放行，否则拒绝本次映射操作。本方法无需对智能终端原有软硬件进行更改，易于推行。

公开(公告)号：CN104281808A

公开(公告)日：2015-01-14

申请号：CN201410497824.4

申请日：2014-09-25

Applicant: 中国科学院信息工程研究所

Inventor： 周启惠 ,  于爱民 ,  徐震 ,  汪丹

IPC: G06F21/56

CPC classification number: G06F21/566

Abstract: 本发明公开了一种通用的Android恶意行为检测方法。本方法为：1)在手机上设置一守护进程，并在该守护进程与内核Binder驱动之间建立通信连接；2)在该手机上安装并运行多个第三方应用程序，手机内核驱动将截获的每一通信消息发送给该守护进程；3)该守护进程根据通信消息生成日志文件，记录接收的通信消息；4)恶意行为检测平台将所述日志文件导入数据库，查找数据库中包含目标隐私数据的记录，对于查找得到的记录，进行恶意行为检测：如果通信一方不具有访问权限，或者存在A→S，S→B且发生时间间隔小于设定阈值，则存在恶意行为。本发明收集的信息全面、普适、可重用，可做多种面向具体安全需求的安全分析方法设计。

公开(公告)号：CN103684793A

公开(公告)日：2014-03-26

申请号：CN201310728106.9

申请日：2013-12-25

Applicant: 国家电网公司 ,  中国电力科学研究院 ,  中国科学院信息工程研究所 ,  国网辽宁省电力有限公司

Inventor： 徐震 ,  于爱民 ,  汪丹 ,  杨溢学 ,  王志皓 ,  赵保华

IPC: H04L9/32 ,  H04L9/08 ,  H04L29/06

Abstract: 本发明涉及一种基于可信计算增强配电网络通信安全的方法，所述方法包括（1）建立基于可信计算安全增强的通信协议模型；（2）设置模型中电力可信计算芯片ETM；（3）构建基于可信计算安全增强的配电网络通信协议。本发明不需要芯片属主管理功能，复杂的授权协议等管理得以简化，更着重实用性。同时，其密钥的公钥操作、完整性验证等操作都是在ETM内部完成；不仅能保证通信数据传输的安全，还能在通信前对终端身份和状态进行认证，有效避免恶意终端获取通信数据。

公开(公告)号：CN119520057A

公开(公告)日：2025-02-25

申请号：CN202411608874.5

申请日：2024-11-12

Applicant: 中国科学院信息工程研究所

Inventor： 于爱民 ,  潘跃东 ,  赵力欣 ,  蔡利君 ,  孟丹

IPC: H04L9/40 ,  G06N3/0455 ,  G06N3/08

Abstract: 本发明提出一种基于行为模式的攻击检测方法，属于攻击检测领域，包括：S1：利用系统审计日志构建溯源图，从溯源图中提取进程事件并创建行为模式；S2：使用嵌入模型来生成行为模式的嵌入向量，再输入语义重构模块来学习行为模式的内在特征，输出重构向量；S3：计算嵌入向量和重构向量的余弦相似度作为重构误差的度量，高于阈值的行为模式被视为异常行为模式；基于异常行为模式构建攻击子图，以重构攻击故事。本发明方法可提高攻击检测的准确性和可解释性。

公开(公告)号：CN113297069B

公开(公告)日：2024-11-05

申请号：CN202110479754.X

申请日：2021-04-30

Applicant: 中国科学院信息工程研究所

Inventor： 范萌 ,  王文智 ,  于爱民 ,  孟丹

IPC: G06F11/36

Abstract: 本发明涉及一种基于目标驱动的软件测试方法和装置。该方法首先执行系统级的concolic测试以收集函数之间的调用关系，利用函数之间的调用关系计算函数的相关性，通过函数的相关性构建扩展单元；然后在扩展单元中使用单元测试发现潜在错误；然后在系统级的concolic测试中使用目标驱动的搜索策略验证潜在错误是否在全局存在。本发明通过计算函数依赖关系的方式将目标函数拓展为一组测试单元，使由于缺少上下文带来的误报大大降低；通过先在局部进行错误搜索，再将潜在错误信息放入到系统级的concolic执行中进行验证，降低了对目标函数进行测试的难度，且提高了测试的准确度。

公开(公告)号：CN116340971A

公开(公告)日：2023-06-27

申请号：CN202310163805.7

申请日：2023-02-24

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  于爱民 ,  肖丽芳 ,  王涵钰

IPC: G06F21/60

Abstract: 本发明提供一种操作系统级动态运维授权方法及系统，方法包括：接收用户发起的访问请求；根据访问请求，查询预设映射关系配置表，获取安全上下文的用户字段；确定用户的登录方式，并根据登录方式，获取安全上下文的角色字段和安全上下文的类型字段；根据安全上下文的用户字段、安全上下文的角色字段和安全上下文的类型字段，得到对应安全上下文，并根据安全上下文为用户授予相应权限。本发明通过获取安全上下文的用户字段、角色字段和类型字段，确定用户的操作权限，从而确定能否根据访问请求进行相应访问操作，实现用户对运维软件的执行权限动态配置，同时管控该用户启动的其它软件对运维软件的操作权限。

公开(公告)号：CN112379923B

公开(公告)日：2022-06-21

申请号：CN202011444952.4

申请日：2020-12-08

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  于爱民 ,  宋潇楠 ,  刘湿润 ,  白鑫

IPC: G06F8/75 ,  G06F16/951

Abstract: 本发明提供一种漏洞代码克隆检测方法、装置、电子设备和存储介质，其中方法包括：对待检测函数的代码进行切片，得到多个待检测切片；将所述多个待检测切片与预设漏洞库中存储的漏洞函数对应的所有漏洞切片进行切片匹配，得到所述待检测函数的漏洞代码克隆检测结果；其中，所述漏洞函数对应的漏洞切片中包含所述漏洞函数中需要删除的语句以及与所述需要删除的语句存在依赖关系的其他语句。本发明提供的漏洞代码克隆检测方法、装置、电子设备和存储介质，实现了Type‑3类型的代码克隆检测，提高了漏洞代码克隆检测的全面性和准确性，减少了漏洞的漏检率，且可以准确定位待检测函数中漏洞信息所在的位置。

公开(公告)号：CN112769814B

公开(公告)日：2022-02-11

申请号：CN202110004106.9

申请日：2021-01-04

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  于爱民 ,  李晋 ,  马建刚 ,  肖丽芳 ,  刘崇鹏 ,  刘陆 ,  房丽鹏

IPC: H04L9/40

Abstract: 本发明提供一种综合联动协调网络安全设备的方法及系统。其中的方法包括：联动协调服务器接收符合统一策略格式的第一安全指令；将第一安全指令分发至各个网络安全设备，以供网络安全设备在接收第一安全指令后执行以下操作：将第一安全指令转换为符合本地安全设备策略格式的第二安全指令；将第二安全指令与本地安全策略进行冲突检测；在未发生冲突的情况下，执行第二安全指令。本发明能够及时对威胁网络安全的行为做出反应，同时，在提高网络安全性能前提下，大大降低了管理成本。

公开(公告)号：CN110737890B

公开(公告)日：2021-04-02

申请号：CN201911021135.5

申请日：2019-10-25

Applicant: 中国科学院信息工程研究所

Inventor： 于爱民 ,  王佳荣 ,  蔡利君 ,  孟丹 ,  马建刚

IPC: G06F21/55 ,  G06F21/56

Abstract: 本发明涉及一种基于异质时序事件嵌入学习的内部威胁检测系统及方法，包括用户异质时序事件采集模块、数据预处理模块、异质时序事件嵌入学习模块、用户异质时序事件序列异常评估和内部威胁输出模块；通过对组织或者企业内用户异质时序事件的收集、数据的过滤和去噪、异质时序事件包含的实体的嵌入、异质时序事件序列概率估计和内部威胁输出4个过程实现。该方法通过综合分析用户主机登录事件、文件访问事件、邮件通信事件、web浏览事件和移动设备连接事件5种异质时序事件的多个实体，全面的刻画了用户行为，提高了该系统检测的准确率，降低了系统检测的误报率；此外，该系统通过实体的嵌入向量和上下文向量的交互计算异质时序事件序列的概率，使检测过程不依赖于领域专家的先验知识，提高了系统的智能性。