-
公开(公告)号:CN1937574A
公开(公告)日:2007-03-28
申请号:CN200510086440.4
申请日:2005-09-19
Applicant: 北京大学
IPC: H04L12/56
Abstract: 本发明涉及一种对网络流进行分类、状态跟踪和报文处理的装置和方法,采用基于IP五元组或者其他特定标识的动态流分类方法实现了对流量的细粒度控制,采用多个并行装置和装置内部多进程/线程机制实现了对流量的高速并行处理,通过切分网络流表、设置流记录链表写者唯一、严格规定链表插入和删除操作过程中写指令次序以保持链表的完整性、设置空闲流记录表项缓冲区的可分配表项阈值等措施避免了由于并行处理而引发的大量互斥和同步操作,使得处理效率得到进一步提高。本发明适用于网络处理器、ASIC、FPGA、多内核处理器、对称多处理器(SMP)、软件进程/线程等各种并行处理环境,具有良好的跨平台兼容性、可扩展性和实用性。
-
公开(公告)号:CN102521542B
公开(公告)日:2015-01-07
申请号:CN201110428051.0
申请日:2011-12-19
Applicant: 北京大学
IPC: G06F21/57
Abstract: 本发明提供一种计算机软件漏洞利用的捕获方法及系统。该方法利用在互联网上布置的硬件虚拟机进行监控,同时对已经攻击成功或者表现出明显攻击特征但未成功的漏洞利用进行捕获,并存储到数据库中。该系统适用于上述方法,包括至少一台连接互联网的宿主计算机和一数据库系统,所述宿主计算机内安装至少一个硬件虚拟机、控制器、记录器和分析器。本发明的漏洞利用的捕获方法及系统,具有运行速度快、隐蔽性好和捕获效率高的优点。
-
公开(公告)号:CN101271398B
公开(公告)日:2010-06-09
申请号:CN200710090004.3
申请日:2007-03-23
Applicant: 北京大学
IPC: G06F9/45
Abstract: 本发明属于逆向工程和程序分析领域,具体涉及一种识别多路分支结构的方法,对可行文件进行反汇编,得到该可执行文件的中间代码;从上述中间代码中提取控制流信息,到控制流图;遍历扩展控制流图,识别离散判断分支子图,将上述离散判断分支子图识别多路分支结构。本发明简化了程序控制流图;使反编译后的目标代码结构更加合理,增强目标代码的可读性,便于后继分析,有效地将程序控制流图结构化能够可用于反编译、软测试等设备中。
-
公开(公告)号:CN101482957A
公开(公告)日:2009-07-15
申请号:CN200810167891.4
申请日:2008-10-15
Applicant: 北京大学
Abstract: 本发明公开了一种可信电子交易方法及其交易系统,属于信息安全技术领域。本发明交易方法包括:用户通过信息传输媒介登录交易服务器;可信交易服务终端和交易服务器之间通过信息传输媒介进行初始化,建立安全连接;用户进行电子交易;可信交易服务终端以用户可以理解的方式向用户显示所述电子交易的交易信息,若用户认定所述交易信息正确,则通过可信交易服务终端确认所述交易信息;可信交易服务终端通过信息传输媒介授权所述交易服务器执行交易。本发明交易系统包括个人计算机和交易服务器和可信交易服务终端。和现有技术相比,本发明通过可信交易服务终端与相关认证、加密协议解决了电子支付、网络交易中存在网络钓鱼、授权劫持等安全问题。
-
公开(公告)号:CN100504903C
公开(公告)日:2009-06-24
申请号:CN200710121933.6
申请日:2007-09-18
Applicant: 北京大学
Abstract: 本发明属于恶意代码自动分析领域,是一种恶意代码自动识别的方法。本发明先将待分析的可执行程序样本分拆为待分析构件,再将待分析构件与已知恶意行为构件进行比较,自动判定待分析样本是否为恶意代码。本发明的优点是分析覆盖面广,分析恶意样本的速度快,可以更新恶意代码行为构件库。
-
Patent Agency Ranking
公开(公告)号:CN100451969C
公开(公告)日:2009-01-14
申请号:CN200610169677.3
申请日:2006-12-27
Applicant: 北京大学
IPC: G06F9/45
Abstract: 本发明涉及一种识别复合条件分支结构的方法,其步骤包括对可执行文件进行反汇编,得到该可执行文件的中间代码;从上述中间代码中提取控制流信息,得到控制流图;遍历控制流图,得到级联分支结构:将级联分支结构对应的控制流图识别为复合条件分支结构、在可执行文件的控制流信息基础上,本发明可以精确、自动化识别复合条件分支结构,准确结构化程序控制流图,比现有的识别方法要更加准确,漏报和误报的情形有明显改善,实现效率高。可用于反编译、软件测试等设备中。
-
公开(公告)号:CN100448225C
公开(公告)日:2008-12-31
申请号:CN200510086525.2
申请日:2005-09-28
Applicant: 北京大学
IPC: H04L12/56
Abstract: 本发明涉及一种无需IP分片重组实现动态流分类的装置和方法,基于IP分片四元组(源地址、目的地址、报文ID、协议号)对IP分片进行跟踪,采用多个并行装置和装置内部多进程/线程机制实现了对IP分片的高速并行处理,通过切分IP分片表、设置IP分片记录链表写者唯一、严格规定链表插入和删除操作过程中写指令次序以保持链表的完整性、设置空闲IP分片记录表项缓冲区的可分配表项阈值等措施避免了由于并行处理而引发的大量互斥和同步操作,使得处理效率得到进一步提高。本发明适用于网络处理器、ASIC、FPGA、多内核处理器、对称多处理器、软件进程/线程等各种并行处理环境,具有良好的跨平台兼容性、可扩展性和实用性。
-
公开(公告)号:CN101266550A
公开(公告)日:2008-09-17
申请号:CN200810089576.4
申请日:2008-04-08
Applicant: 北京大学
Abstract: 本发明公开了一种基于语义的恶意代码检测方法,可以完整地刻画基于函数调用的攻击行为,并有效地识别二进制可疑程序中的恶意行为,属于互联网安全技术领域。本发明方法包含a)获得已知恶意代码的有穷状态自动机;b)获得待检测的二进制可疑程序的下推自动机;c)使用模型检验方法检测所述的下推自动机和所述有穷状态自动机之间是否存在可以同时被两者接收的输入字符串,若是,则判定上述待检测的可疑程序为恶意程序。本发明利用有穷状态自动机来描述恶意行为,结合现有的工具和方法把可疑程序转换为下推自动机,然后利用已有的模型检验方法来检测可疑程序中是否包含恶意代码。可有效地用于互联网安全技术领域的恶意代码检测。
-
公开(公告)号:CN101202744A
公开(公告)日:2008-06-18
申请号:CN200610165290.0
申请日:2006-12-15
Applicant: 北京大学
Abstract: 本发明的目的在于提供一种检测蠕虫的装置,包括:侦听网络数据包并对其进行处理的步骤,该步骤对收集的数据包按照TCP/IP协议模型进行分层与分类,并建立记录各主机发送数据包情况的设备发包统计信息表;判定是否是ARP请求数据包的步骤,如果是则更新所述设备发包统计信息表,如果不是则判定是否是IP新建连接;判定是否是IP新建连接的步骤,如果不是则返回到侦听网络数据包并对其进行处理的步骤,如果是新建连接则更新所述设备发包统计信息表;判断发送该数据包的设备是否是可疑设备的步骤,根据所述设备发包统计信息表的内容判定是否是感染蠕虫的可疑设备,如果是感染蠕虫的设备对其进行标记,如果不是则返回到侦听网络数据包并对其进行处理的步骤。
-
公开(公告)号:CN101197809A
公开(公告)日:2008-06-11
申请号:CN200610140392.7
申请日:2006-12-08
Applicant: 北京大学
Abstract: 本发明的目的在于提供一种阻断蠕虫传播的方法,该方法包括:监听网络数据的步骤,在该步骤中监听二层网络冲突域所有数据包;判断目的MAC地址是否是蠕虫机的步骤,在该步骤中判定监听到的数据包的目的MAC地址是否是被标志为蠕虫的主机;判定是否是正常主机的ARP广播包的步骤,如果在判断目的MAC地址是否是蠕虫机的步骤中判定为非蠕虫机,则进一步判定该数据包是否是ARP广播包;向蠕虫机发送伪装ARP应答包的步骤,如果在判断目的MAC地址是否是蠕虫机的步骤中判定为蠕虫机,则向该蠕虫机发送伪装ARP应答包,如果在判定是否是正常主机的ARP广播包的步骤中判定为ARP广播包,则依次向已确认存在的所有蠕虫机发送伪装成该正常主机的ARP应答包。
-
-
-
-
-
-
-
-
-
Search Results
56
records
(took 0.023 seconds)
