公开(公告)号：CN109858288B

公开(公告)日：2021-04-13

申请号：CN201811600201.X

申请日：2018-12-26

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  刘文清 ,  张坤

IPC: G06F21/78 ,  G06F21/74 ,  G06F9/455

Abstract: 本发明实施例提供一种实现虚拟机安全隔离的方法与装置，其中所述方法包括：采用同层地址空间隔离机制，在虚拟化层创建一个安全隔离的执行环境；利用所述安全隔离的执行环境，采用内存动态标记与跟踪策略，将目标虚拟机的内存隔离于非可信的虚拟化执行坏境，并实现所述目标虚拟机与其余虚拟机之间的相互隔离；利用VMCS、扩展页表结构体隐藏和虚拟机退出重定向策略，在所述安全隔离的执行环境中，监控所述目标虚拟机的上下文切换和所述目标虚拟机的地址映射。本发明实施例采用同层地址空间隔离机制，在非可信虚拟化执行环境中对虚拟机进行高强度的内存隔离，能够有效保证系统性能开销，全面地对虚拟机内存进行隔离，提高系统的安全性。

公开(公告)号：CN104751048B

公开(公告)日：2017-12-15

申请号：CN201510046876.4

申请日：2015-01-29

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  陈克 ,  李艳昭 ,  孟丹

IPC: G06F21/51

Abstract: 本发明公开了一种预链接机制下的动态链接库完整性度量方法。本发明为：1)关闭Linux的完整性度量使能开关，进入完整性维护模式并提取所需度量的文件；2)检测度量文件是否属于动态链接库文件；如果是，则提取该动态链接库文件中代码段在文件中的偏移位置和长度发送给度量函数计算基准度量值并保存；3)进入完整性验证模式；当系统加载的文件为需度量文件时，检测其是否属于动态链接库文件；如果是，则提取该动态链接库文件中代码段在文件中的偏移位置和长度发送给度量函数计算度量值并与对应基准度量值进行比较，如果匹配，则允许加载执行，否则拒绝。本发明不需要关闭prelink工具即可对动态链接库进行完整性度量。

公开(公告)号：CN104484594A

公开(公告)日：2015-04-01

申请号：CN201410643335.5

申请日：2014-11-06

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  李艳昭 ,  孟丹

IPC: G06F21/45

CPC classification number: G06F21/44 ,  G06F2221/2141

Abstract: 本发明公开了一种基于权能机制的linux系统特权分配方法。本方法为：1)安全模式下，设置用户角色配置文件和角色能力配置文件；2)根据系统的特权应用所需要的能力对其进行标记；服务器的TPM对配置文件和标记后的特权应用进行度量和写保护；3)开启TPM度量，进入系统工作模式；TPM对所述配置文件进行度量验证，通过后根据用户名查询配置文件获得对应的角色，读取该角色包含的能力集；4)PAM根据该角色对当前进程的能力进行标记，当调用某个应用时，如果是特权应用，则判断该应用所标记的能力集与进程所标记的能力集是否匹配，如果匹配则进程获取该特权应用的能力并执行该特权应用，否则拒绝执行。本方法易于管理和权限控制。

公开(公告)号：CN118673488A

公开(公告)日：2024-09-20

申请号：CN202410665598.X

申请日：2024-05-27

Applicant: 中国科学院信息工程研究所 ,  国网智能电网研究院有限公司 ,  国网福建省电力有限公司

Inventor： 夏豪骏 ,  孙利民 ,  张涛 ,  马媛媛 ,  涂碧波 ,  宋站威 ,  黄惠英 ,  郑仁广 ,  谢静怡

IPC: G06F21/55 ,  G06F18/24 ,  G06N3/088 ,  G06N3/0442 ,  G06N3/0455

Abstract: 本发明提供一种定向进程的异常检测方法、装置及电子设备，其中方法包括：选取目标进程最小观测事件集，基于内核可观测技术，获取目标定向进程的最小观测事件集的观测结果；将所述观测结果输入训练好的异常检测模型，得到所述目标定向进程对应的异常分数偏差值；基于所述目标定向进程的异常分数偏差值，确定所述目标定向进程的异常检测结果；其中，所述异常检测模型是根据所述目标定向进程在设定时长内的指标数据进行无监督训练得到的。从而可以精准且高效地实现定向进程的异常行为的检测，同时降低系统资源开销。

公开(公告)号：CN110392098A

公开(公告)日：2019-10-29

申请号：CN201910591799.9

申请日：2019-07-01

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  郭旭 ,  李青

IPC: H04L29/08

Abstract: 本发明实施例提供一种自适应虚拟桌面传输方法及装置，该方法包括：根据网络往返时延对虚拟桌面进行周期性网络探测，确定网络状态信息；周期性获取用户操作数据信息，根据所述用户操作数据信息确定用户使用场景信息；根据所述网络状态信息和用户使用场景信息确定自适应策略，并根据所述自适应策略进行调节。本发明实施例提供的方案可以根据网络的实际情况和用户对于服务需求的实际侧重来制定与之对应的自适应策略，其可以有效满足多种的用户需求，且不需要切断虚拟桌面服务既可以实现用户无感知的自适应传输及数据处理。

公开(公告)号：CN106096400B

公开(公告)日：2019-10-01

申请号：CN201610391501.6

申请日：2016-06-06

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  陈克 ,  李晨

IPC: G06F21/55

Abstract: 本发明公开了一种Linux内核并行LSM框架实现方法。本方法为：1)LSM框架中的钩子函数指针结构体中添加一链表结构；在LSM框架中创建一安全域字段数组，该安全域域字段数组中的每一指针对应一安全模块的安全域；2)根据配置获得多个安全模块的启动参数并执行对应初始化函数；当安全模块加载进入内核时，给该安全模块分配一钩子函数指针结构体，然后将该安全模块中的钩子函数与该结构体中的指针相连接，之后通过链表结构将该安全模块与其他安全模块的钩子函数指针结构体链接；3)运行LSM框架插入在系统调用函数中的钩子函数，按顺序依次执行链接起来的各安全模块对应的具体钩子函数。本发明使得各安全模块间相互独立，地位平等。

公开(公告)号：CN107203716A

公开(公告)日：2017-09-26

申请号：CN201710305308.0

申请日：2017-05-03

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  王博实

IPC: G06F21/53 ,  G06F21/55 ,  G06F9/455

Abstract: 本发明涉及一种Linux内核轻量级结构化保护方法及装置。该方法将Linux内核结构化为关键保护结构和非关键保护结构，对关键保护结构进行重点保护，对非关键保护结构进行可选择性保护；所述关键保护结构包括Linux安全模块及与Linux安全模块密切相关的结构；然后监控针对所述关键保护结构的修改动作，对被保护的数据变更进行拦截，对被保护的代码变更和/或页表项变更进行检查以判定其合法性，如果判定为非法则进行拦截，如果判定为合法则通过指令模拟完成相应的修改。本发明能够以较小的性能代价提升Linux内核整体的安全性。

公开(公告)号：CN103995705B

公开(公告)日：2017-04-19

申请号：CN201410246004.8

申请日：2014-06-04

Applicant: 中国科学院信息工程研究所

Inventor： 游瑞邦 ,  涂碧波 ,  孟丹

IPC: G06F9/44

Abstract: 一种操作系统地址空间随机化分配系统及方法，涉及信息安全领域，提高地址空间随机化分配范围，从而提高操作系统随机化的安全性。操作系统地址空间随机化分配系统，包括用户空间层和内核空间层。所述用户空间层包括：用户空间可执行程序局部随机化管理策略生成/解析器、全局随机化管理策略模块、随机事件采集模块。所述内核空间层包括：可执行程序加载模块、虚拟文件系统管理模块、管理策略解析模块、随机化因子生成模块、地址空间随机化分配模块。操作系统地址空间随机化分配方法，用于操作系统地址空间随机化分配系统。所述分配系统及方法同样适用于目前国产龙芯处理器平台。

公开(公告)号：CN106096400A

公开(公告)日：2016-11-09

申请号：CN201610391501.6

申请日：2016-06-06

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  陈克 ,  李晨

IPC: G06F21/55

Abstract: 本发明公开了一种Linux内核并行LSM框架实现方法。本方法为：1)LSM框架中的钩子函数指针结构体中添加一链表结构；在LSM框架中创建一安全域字段数组，该安全域域字段数组中的每一指针对应一安全模块的安全域；2)根据配置获得多个安全模块的启动参数并执行对应初始化函数；当安全模块加载进入内核时，给该安全模块分配一钩子函数指针结构体，然后将该安全模块中的钩子函数与该结构体中的指针相连接，之后通过链表结构将该安全模块与其他安全模块的钩子函数指针结构体链接；3)运行LSM框架插入在系统调用函数中的钩子函数，按顺序依次执行链接起来的各安全模块对应的具体钩子函数。本发明使得各安全模块间相互独立，地位平等。

公开(公告)号：CN105138905A

公开(公告)日：2015-12-09

申请号：CN201510526555.4

申请日：2015-08-25

Applicant: 中国科学院信息工程研究所

Inventor： 李晨 ,  涂碧波 ,  孟丹

IPC: G06F21/53

CPC classification number: G06F21/53

Abstract: 本发明提供了一种Linux应用程序的隔离运行方法，所述方法包括以下步骤：为Linux应用程序配置其运行所需资源的沙箱，其中所述沙箱配置了独立的文件系统、所占CPU时间的最大百分比、所绑定的CPU核以及所使用的最大内存；独立的文件系统转换为Linux应用程序的根目录；将Linux应用程序绑定到与其对应的沙箱中配置的所绑定的CPU核；中断发生时，判断当前进程对CPU访问时长是否大于所占CPU时间的最大百分比对应的一时间段内对CPU的最长访问时间，若是切换到沙箱之外的进程；实时检测Linux应用程序运行使用的内存，并在其大于所使用的最大内存时结束Linux应用程序的运行。本发明实现了应用程序之间及应用程序与操作系统之间的隔离，保证恶意应用程序不会对操作系统产生威胁。