公开(公告)号：CN101719204B

公开(公告)日：2011-07-27

申请号：CN200910242714.2

申请日：2009-12-15

Applicant: 北京大学

Inventor： 诸葛建伟 ,  陈志杰 ,  韩心慧 ,  龚晓锐 ,  宋程昱

IPC: G06F21/00

Abstract: 本发明公开了一种基于中间指令动态插装的Heapspray检测方法，属于计算机安全技术领域。本方法为：1)将解释执行网页动态脚本的虚拟机置于单步运行状态；2)判断当前要执行的中间指令是否为赋值类中间指令；3)如果是，则判断该指令参数中的右值参数类型是否为字符串类型，如果是且其值小于设定阈值P，则检查是否存在shellcode；如果右值参数值大于阈值P，则计算其信息熵值；4)取下一中间指令，重复步骤2)和3)，如果一赋值类中间指令的右值参数存在shellcode，另一赋值类中间指令的右值参数信息熵值小于设定阈值Q，则判定该脚本存在Heapspray行为。本发明可减小系统开销、提高检测的准确率。

公开(公告)号：CN101990200A

公开(公告)日：2011-03-23

申请号：CN200910090180.6

申请日：2009-07-31

Applicant: 北京大学

Inventor： 柳亚鑫 ,  王峰 ,  戴帅夫 ,  诸葛建伟

IPC: H04W12/00 ,  H04W24/00

Abstract: 本发明公开了一种收集移动终端恶意代码的方法及装置，本发明方法步骤包括：1)模拟移动终端通信设备漏洞信息，并将该漏洞信息植入移动终端通信设备；2)通过移动终端通信设备与外界进行通讯；3)对接收到的外界信息进行识别，得到恶意代码；4)通过移动终端通信设备与恶意代码来源进行交互，提取恶意代码传播场景信息；5)将收集到的恶意代码信息和传播场景信息分别存入样本库和场景库。本发明方法能够实时收集移动终端恶意代码，并获取传播场景信息确定传播源以尽快采取行动；本发明针对各种接入方式(例如蓝牙、彩信、WIFI等等)从根本上进行拦截，因此能有效的收集移动终端恶意代码。

公开(公告)号：CN100504903C

公开(公告)日：2009-06-24

申请号：CN200710121933.6

申请日：2007-09-18

Applicant: 北京大学

Inventor： 梁知音 ,  韦韬 ,  邹维 ,  韩心慧 ,  诸葛建伟 ,  陈昱 ,  毛剑

IPC: G06F21/22 ,  H04L9/00 ,  H04L29/06

Abstract: 本发明属于恶意代码自动分析领域，是一种恶意代码自动识别的方法。本发明先将待分析的可执行程序样本分拆为待分析构件，再将待分析构件与已知恶意行为构件进行比较，自动判定待分析样本是否为恶意代码。本发明的优点是分析覆盖面广，分析恶意样本的速度快，可以更新恶意代码行为构件库。

公开(公告)号：CN101188613A

公开(公告)日：2008-05-28

申请号：CN200710179203.1

申请日：2007-12-11

Applicant: 北京大学

Inventor： 诸葛建伟 ,  郭晋鹏 ,  游红宇 ,  叶志远 ,  邹维

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/56 ,  H04L12/46

Abstract: 本发明公开了一种结合路由和隧道重定向网络攻击的方法，其通过在网关N1与连接蜜罐主机的网关N2之间设置隧道、配置第二张路由表，并标记网络攻击IP包，从而将网络攻击重定向到远端相同子网地址的蜜罐主机上，实现重定向网络攻击。本发明的方法简便易行，快速高效，特别适合在重要网关上临时重定向网络攻击的情况；同时本发明的方法具有风险低，无需担心网络的最小MTU或者IP包分片问题。

公开(公告)号：CN101140611A

公开(公告)日：2008-03-12

申请号：CN200710121933.6

申请日：2007-09-18

Applicant: 北京大学

Inventor： 梁知音 ,  韦韬 ,  邹维 ,  韩心慧 ,  诸葛建伟 ,  陈昱 ,  毛剑

IPC: G06F21/22 ,  H04L9/00 ,  H04L29/06

Abstract: 本发明属于恶意代码自动分析领域，是一种恶意代码自动识别的方法。本发明先将待分析的可执行程序样本分拆为待分析构件，再将待分析构件与已知恶意行为构件进行比较，自动判定待分析样本是否为恶意代码。本发明的优点是分析覆盖面广，分析恶意样本的速度快，可以更新恶意代码行为构件库。

公开(公告)号：CN101087196B

公开(公告)日：2011-01-26

申请号：CN200610169676.9

申请日：2006-12-27

Applicant: 北京大学

Inventor： 韦韬 ,  梁知音 ,  韩心慧 ,  诸葛建伟 ,  邹维 ,  叶志远 ,  游红宇

IPC: H04L9/36 ,  H04L12/66

Abstract: 本发明涉及一种多层次蜜网数据传输方法及系统，由蜜网网关统一接收外部网络数据流；蜜网网关对所接收的数据流进行网络入侵检测分析；将正常数据流放行，发送给该数据流的目标主机；将非正常数据流按照威胁级别分为高、中、低三类；将高威胁级数据流重定向至物理蜜罐系统，将中威胁级数据流重定向至虚拟机蜜罐系统，将低威胁级数据流重定向至虚拟蜜罐系统。本发明有效利用低交互蜜罐系统和高交互蜜罐系统各自的优点，节省系统资源，提高了蜜罐系统的覆盖面和获取网络攻击活动信息、捕获恶意代码样本的能力；有效对抗反蜜罐技术。可以广泛应用于计算机网络安全技术领域。

公开(公告)号：CN101719204A

公开(公告)日：2010-06-02

申请号：CN200910242714.2

申请日：2009-12-15

Applicant: 北京大学

Inventor： 诸葛建伟 ,  陈志杰 ,  韩心慧 ,  龚晓锐 ,  宋程昱

IPC: G06F21/00

Abstract: 本发明公开了一种基于中间指令动态插装的Heapspray检测方法，属于计算机安全技术领域。本方法为：1)将解释执行网页动态脚本的虚拟机置于单步运行状态；2)判断当前要执行的中间指令是否为赋值类中间指令；3)如果是，则判断该指令参数中的右值参数类型是否为字符串类型，如果是且其值小于设定阈值P，则检查是否存在shellcode；如果右值参数值大于阈值P，则计算其信息熵值；4)取下一中间指令，重复步骤2)和3)，如果一赋值类中间指令的右值参数存在shellcode，另一赋值类中间指令的右值参数信息熵值小于设定阈值Q，则判定该脚本存在Heapspray行为。本发明可减小系统开销、提高检测的准确率。

公开(公告)号：CN101193044B

公开(公告)日：2010-05-12

申请号：CN200610144809.7

申请日：2006-11-21

Applicant: 北京大学

Inventor： 韦韬 ,  诸葛建伟 ,  韩心慧 ,  邹维 ,  叶志远 ,  游红宇 ,  郭晋鹏

IPC: H04L12/56 ,  H04L29/06 ,  H04L12/26

Abstract: 一种实时检测网络活动的重定向方法，包括步骤：A.通过对网络活动的监测和分析得到局域网内的活跃IP，并将其登记在活跃IP地址表中，此外，一个定时任务将确认剩余存活时间减少到0的IP地址是否确实不再活跃，并将不再活跃的IP地址从活跃IP地址表中删除；B.判别待转发的数据包是否符合重定向要求，并根据查询结果放行或者重定向该数据包。用于实现该方法的装置包括：用于监测并登记活跃IP地址的网络活动监测模块和用于根据网络活动检测模块的实时检测结果重定向通信连接的重定向模块。本发明通过监测局域网内部的网络活动实现了对局域网中活跃IP地址的探测，能够即时地重定向外部网络向内部非活跃IP地址发起的通信连接。