公开(公告)号：CN111596926B

公开(公告)日：2023-02-07

申请号：CN202010291071.7

申请日：2020-04-14

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 李炳龙 ,  张宇 ,  孙怡峰 ,  常朝稳 ,  王清贤

IPC: G06F8/53 ,  G06F16/901

Abstract: 本申请公开一种数据取证分析方法、装置及电子设备，涉及网络安全领域。其中，数据取证分析方法包括：对应用程序进行反编译得到所述应用程序中包含的各组件；构建各所述组件分别对应的数据流图以及控制流图；预测各组件中包括的用于组件间通信的通信字段，根据所述通信字段对各所述组件进行排序；根据各所述组件的排序结果，以及与各所述组件对应的数据流图、控制流图构建所述应用程序对应的程序间数据流图和程序间控制流图；基于所述程序间数据流图和程序间控制流图生成数据取证分析报告，以用于数据库解密。

公开(公告)号：CN112486922B

公开(公告)日：2022-12-06

申请号：CN202011389437.0

申请日：2020-12-02

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  开封市科学技术情报研究所 ,  河南云眼科技有限公司

Inventor： 李炳龙 ,  周振宇 ,  王懿 ,  张宇 ,  李媛芳 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  常朝稳

IPC: G06F16/16 ,  G06F16/17 ,  G06F16/18

Abstract: 本发明属于电子取证技术领域，特别涉及一种基于结构链逆向的内存碎片文件重建方法及系统，扫描并分析内存介质映像，建立碎片集合到文件碎片子集的映射，获取文件碎片子集中的碎片元素；基于操作系统结构逆向分析，构建文件碎片子集中碎片元素的连接关系及逻辑位置，重构内存碎片文件。本发明利用基于结构链逆向的内存碎片文件雕刻重建来满足电子(数字)犯罪取证实际应用，能够适合于正在运行的基于Windows不同版本操作系统的物理内存中网络入侵行为的数据文件的恢复与分析，具有较强的实用性。

公开(公告)号：CN115514691B

公开(公告)日：2023-06-27

申请号：CN202211079285.3

申请日：2022-09-05

Applicant: 郑州工程技术学院 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 马莹莹 ,  常朝稳 ,  苏玉 ,  王兆成 ,  秦晰 ,  韩培胜 ,  沈晓力 ,  黄继海 ,  代署光 ,  刘秋菊 ,  张伟锋

IPC: H04L45/00 ,  H04L67/104 ,  H04L67/1095 ,  H04L67/568 ,  H04L41/40

Abstract: 本发明属于互联网技术领域，特别涉及一种基于区块链的SDN域间协同转发控制系统及方法，各SDN域的区块链功能节点与SDN控制器部署在SDN域本地服务器，且区块链功能节点通过P2P方式构成区块链网络，各SDN域存储有区块链全局账本，利用本地应用程序接口来实现基于区块链的策略转发控制应用与控制器和区块链之间的交互，其中，策略转发控制应用包含：用于登记及动态更新域信息并生成域信息交易上传至区块链的域信息管理器，用于制定域间转发控制策略并生成策略交易上传至区块链的策略管理器，及用于通过查询本地缓存来执行属性映射、策略匹配和路径合成并获取全局协同策略的策略协同引擎。本发明通过面向数据流和路径属性的策略来控制SDN跨域数据流的转发路径，利用区块链来实现SDN域间高效安全地转发控制。

公开(公告)号：CN111881447B

公开(公告)日：2022-12-06

申请号：CN202010594720.0

申请日：2020-06-28

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  河南云眼科技有限公司

Inventor： 李炳龙 ,  张宇 ,  李媛芳 ,  佟金龙 ,  孙怡峰 ,  常朝稳 ,  王清贤

IPC: G06F21/56 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明属于数字取证技术领域，特别涉及一种恶意代码片段智能取证方法及系统，通过提取存储介质底层数据特征，构建用于训练和测试的代码片段训练集和代码片段测试集；利用代码片段训练集中数据对设置的全连接神经网络模型进行训练，其中，输入是特征向量，输出是正常或恶意预测结果；针对代码片段测试集，利用训练后的全连接神经网络模型进行测试输出，以判断模型输入是否为恶意代码片段；将目标代码片段进行特征提取后输入经训练测试生成的全连接神经网络模型，获取其恶意代码智能识别结果。本发明能够针对计算机手机平板等存储介质以及RAW、E01、AFF等证据容器中恶意代码片段识别，在犯罪事件证据底层数据自动分析等数字取证领域具有较好应用前景。

公开(公告)号：CN109756492B

公开(公告)日：2021-05-14

申请号：CN201811630847.2

申请日：2018-12-28

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 鹤荣育 ,  孙浩男 ,  常朝稳 ,  韩培胜 ,  房礼国 ,  张远 ,  陆玖壹

IPC: H04L29/06 ,  H04L29/08 ,  G06F21/62

Abstract: 本发明适用信息安全技术领域，提供了一种基于SGX的云平台可信执行方法、装置、设备及介质，该方法包括：用户请求加载相应eTPM实例，在eTPM实例初始化和启动后用户和eTPM实例进行相互认证，认证通过后由eTPM实例解密、度量、启动虚拟机镜像，虚拟机启动后和eTPM实例建立会话，通过eTPM进行密钥相关可信执行，用户需要关闭虚拟机时，发送请求给eTPM实例，由eTPM实例对虚拟机镜像进行加密存储，从而提高了云平台可信执行的安全性。

公开(公告)号：CN109756492A

公开(公告)日：2019-05-14

申请号：CN201811630847.2

申请日：2018-12-28

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 鹤荣育 ,  孙浩男 ,  常朝稳 ,  韩培胜 ,  房礼国 ,  张远 ,  陆玖壹

IPC: H04L29/06 ,  H04L29/08 ,  G06F21/62

Abstract: 本发明适用信息安全技术领域，提供了一种基于SGX的云平台可信执行方法、装置、设备及介质，该方法包括：用户请求加载相应eTPM实例，在eTPM实例初始化和启动后用户和eTPM实例进行相互认证，认证通过后由eTPM实例解密、度量、启动虚拟机镜像，虚拟机启动后和eTPM实例建立会话，通过eTPM进行密钥相关可信执行，用户需要关闭虚拟机时，发送请求给eTPM实例，由eTPM实例对虚拟机镜像进行加密存储，从而提高了云平台可信执行的安全性。

公开(公告)号：CN115481397B

公开(公告)日：2023-06-06

申请号：CN202211062373.2

申请日：2022-08-31

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 李炳龙 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  张玉臣 ,  汪永伟 ,  李媛芳 ,  常朝稳

IPC: G06F21/56

Abstract: 本发明提供一种基于内存结构逆向分析的代码注入攻击取证检测方法与系统。该方法包括：步骤1：对内存映像文件进行预处理，得到物理内存页面集合P；步骤2：基于DLL特征在物理内存页面集合P中定位得到DLL代码模块物理内存页面集合Pe；步骤3：逆向重建虚拟内存空间以构建虚拟内存空间到物理内存空间的页面映射t；步骤4：根据页面映射t，计算用户空间页面集合Vu并逆向查找得到物理内存页面集合Pe对应的虚拟内存页面集合Ve；步骤5：逆向重建进程的LDR链表结构以获取DLL代码模块虚拟内存页面集合Vl；步骤6：比较虚拟内存页面集合Ve、用户空间页面集合Vu和DLL代码模块虚拟内存页面集合Vl，得到隐蔽的注入DLL代码模块虚拟内存页面集合Vh。

公开(公告)号：CN115514691A

公开(公告)日：2022-12-23

申请号：CN202211079285.3

申请日：2022-09-05

Applicant: 郑州工程技术学院 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 马莹莹 ,  常朝稳 ,  苏玉 ,  王兆成 ,  秦晰 ,  韩培胜 ,  沈晓力 ,  黄继海 ,  代署光 ,  刘秋菊 ,  张伟锋

IPC: H04L45/00 ,  H04L67/104 ,  H04L67/1095 ,  H04L67/568 ,  H04L41/40

Abstract: 本发明属于互联网技术领域，特别涉及一种基于区块链的SDN域间协同转发控制架构及方法，各SDN域的区块链功能节点与SDN控制器部署在SDN域本地服务器，且区块链功能节点通过P2P方式构成区块链网络，各SDN域存储有区块链全局账本，利用本地应用程序接口来实现基于区块链的策略转发控制应用与控制器和区块链之间的交互，其中，策略转发控制应用包含：用于登记及动态更新域信息并生成域信息交易上传至区块链的域信息管理器，用于制定域间转发控制策略并生成策略交易上传至区块链的策略管理器，及用于通过查询本地缓存来执行属性映射、策略匹配和路径合成并获取全局协同策略的策略协同引擎。本发明通过面向数据流和路径属性的策略来控制SDN跨域数据流的转发路径，利用区块链来实现SDN域间高效安全地转发控制。

公开(公告)号：CN115481397A

公开(公告)日：2022-12-16

申请号：CN202211062373.2

申请日：2022-08-31

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  河南云眼科技有限公司

Inventor： 李炳龙 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  张玉臣 ,  汪永伟 ,  李媛芳 ,  常朝稳

IPC: G06F21/56

Abstract: 本发明提供一种基于内存结构逆向分析的代码注入攻击取证检测方法与系统。该方法包括：步骤1：对内存映像文件进行预处理，得到物理内存页面集合P；步骤2：基于DLL特征在物理内存页面集合P中定位得到DLL代码模块物理内存页面集合Pe；步骤3：逆向重建虚拟内存空间以构建虚拟内存空间到物理内存空间的页面映射t；步骤4：根据页面映射t，计算用户空间页面集合Vu并逆向查找得到物理内存页面集合Pe对应的虚拟内存页面集合Ve；步骤5：逆向重建进程的LDR链表结构以获取DLL代码模块虚拟内存页面集合Vl；步骤6：比较虚拟内存页面集合Ve、用户空间页面集合Vu和DLL代码模块虚拟内存页面集合Vl，得到隐蔽的注入DLL代码模块虚拟内存页面集合Vh。

公开(公告)号：CN112486922A

公开(公告)日：2021-03-12

申请号：CN202011389437.0

申请日：2020-12-02

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  开封市科学技术情报研究所 ,  河南云眼科技有限公司

Inventor： 李炳龙 ,  周振宇 ,  王懿 ,  张宇 ,  李媛芳 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  常朝稳

IPC: G06F16/16 ,  G06F16/17 ,  G06F16/18

Abstract: 本发明属于电子取证技术领域，特别涉及一种基于结构链逆向的内存碎片文件重建方法及系统，扫描并分析内存介质映像，建立碎片集合到文件碎片子集的映射，获取文件碎片子集中的碎片元素；基于操作系统结构逆向分析，构建文件碎片子集中碎片元素的连接关系及逻辑位置，重构内存碎片文件。本发明利用基于结构链逆向的内存碎片文件雕刻重建来满足电子(数字)犯罪取证实际应用，能够适合于正在运行的基于Windows不同版本操作系统的物理内存中网络入侵行为的数据文件的恢复与分析，具有较强的实用性。