公开(公告)号：CN111596926B

公开(公告)日：2023-02-07

申请号：CN202010291071.7

申请日：2020-04-14

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 李炳龙 ,  张宇 ,  孙怡峰 ,  常朝稳 ,  王清贤

IPC: G06F8/53 ,  G06F16/901

Abstract: 本申请公开一种数据取证分析方法、装置及电子设备，涉及网络安全领域。其中，数据取证分析方法包括：对应用程序进行反编译得到所述应用程序中包含的各组件；构建各所述组件分别对应的数据流图以及控制流图；预测各组件中包括的用于组件间通信的通信字段，根据所述通信字段对各所述组件进行排序；根据各所述组件的排序结果，以及与各所述组件对应的数据流图、控制流图构建所述应用程序对应的程序间数据流图和程序间控制流图；基于所述程序间数据流图和程序间控制流图生成数据取证分析报告，以用于数据库解密。

公开(公告)号：CN112486922B

公开(公告)日：2022-12-06

申请号：CN202011389437.0

申请日：2020-12-02

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  开封市科学技术情报研究所 ,  河南云眼科技有限公司

Inventor： 李炳龙 ,  周振宇 ,  王懿 ,  张宇 ,  李媛芳 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  常朝稳

IPC: G06F16/16 ,  G06F16/17 ,  G06F16/18

Abstract: 本发明属于电子取证技术领域，特别涉及一种基于结构链逆向的内存碎片文件重建方法及系统，扫描并分析内存介质映像，建立碎片集合到文件碎片子集的映射，获取文件碎片子集中的碎片元素；基于操作系统结构逆向分析，构建文件碎片子集中碎片元素的连接关系及逻辑位置，重构内存碎片文件。本发明利用基于结构链逆向的内存碎片文件雕刻重建来满足电子(数字)犯罪取证实际应用，能够适合于正在运行的基于Windows不同版本操作系统的物理内存中网络入侵行为的数据文件的恢复与分析，具有较强的实用性。

公开(公告)号：CN114611401A

公开(公告)日：2022-06-10

申请号：CN202210269296.1

申请日：2022-03-18

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 孙怡峰 ,  吴疆 ,  汪永伟 ,  周洪伟 ,  李炳龙 ,  汤光明 ,  周跃 ,  黄维贵 ,  马军强

IPC: G06F30/27 ,  G06N3/04 ,  G06N3/08 ,  G06Q10/10 ,  G06F9/445

Abstract: 本发明提供一种多层级复杂业务智能仿真方法与系统。该方法包括：描述复杂业务的层级关系以确定每一层级中每个节点的上下级关系；确定每个节点的节点属性以得到每个节点的任务内容构成；构建基于深层神经网络的节点本级业务处理模型，得到本级节点完成上级任务的总耗时；构建上下级交互的业务模型，得到下级节点完成上级任务的总耗时；按多层级复杂业务情况想定各个节点的配置参数；调用节点本级业务处理模型和上下级交互的业务模型进行仿真，并记录仿真过程中各个节点完成业务活动的时间数据；调整各个节点的配置参数，并再次进行仿真；在仿真过程结束后，比较不同配置参数下的仿真时间数据，得到最佳配置参数。

公开(公告)号：CN115481397B

公开(公告)日：2023-06-06

申请号：CN202211062373.2

申请日：2022-08-31

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 李炳龙 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  张玉臣 ,  汪永伟 ,  李媛芳 ,  常朝稳

IPC: G06F21/56

Abstract: 本发明提供一种基于内存结构逆向分析的代码注入攻击取证检测方法与系统。该方法包括：步骤1：对内存映像文件进行预处理，得到物理内存页面集合P；步骤2：基于DLL特征在物理内存页面集合P中定位得到DLL代码模块物理内存页面集合Pe；步骤3：逆向重建虚拟内存空间以构建虚拟内存空间到物理内存空间的页面映射t；步骤4：根据页面映射t，计算用户空间页面集合Vu并逆向查找得到物理内存页面集合Pe对应的虚拟内存页面集合Ve；步骤5：逆向重建进程的LDR链表结构以获取DLL代码模块虚拟内存页面集合Vl；步骤6：比较虚拟内存页面集合Ve、用户空间页面集合Vu和DLL代码模块虚拟内存页面集合Vl，得到隐蔽的注入DLL代码模块虚拟内存页面集合Vh。

公开(公告)号：CN115481397A

公开(公告)日：2022-12-16

申请号：CN202211062373.2

申请日：2022-08-31

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  河南云眼科技有限公司

Inventor： 李炳龙 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  张玉臣 ,  汪永伟 ,  李媛芳 ,  常朝稳

IPC: G06F21/56

Abstract: 本发明提供一种基于内存结构逆向分析的代码注入攻击取证检测方法与系统。该方法包括：步骤1：对内存映像文件进行预处理，得到物理内存页面集合P；步骤2：基于DLL特征在物理内存页面集合P中定位得到DLL代码模块物理内存页面集合Pe；步骤3：逆向重建虚拟内存空间以构建虚拟内存空间到物理内存空间的页面映射t；步骤4：根据页面映射t，计算用户空间页面集合Vu并逆向查找得到物理内存页面集合Pe对应的虚拟内存页面集合Ve；步骤5：逆向重建进程的LDR链表结构以获取DLL代码模块虚拟内存页面集合Vl；步骤6：比较虚拟内存页面集合Ve、用户空间页面集合Vu和DLL代码模块虚拟内存页面集合Vl，得到隐蔽的注入DLL代码模块虚拟内存页面集合Vh。

公开(公告)号：CN114422224A

公开(公告)日：2022-04-29

申请号：CN202210034167.4

申请日：2022-01-13

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 胡浩 ,  孙澄 ,  刘怀兴 ,  张恒巍 ,  蔡镇 ,  李炳龙

IPC: H04L9/40 ,  H04L41/142 ,  G06F16/36

Abstract: 本发明属于网络信息安全分析技术领域，特别涉及一种面向攻击溯源的威胁情报智能分析方法及系统，通过分析场景中脆弱性利用动作，构建用于刻画攻击事件中攻击步骤类型的攻击事件框架，并以攻击事件为单位进行攻击告警关联，重构攻击场景；提取攻击场景中威胁特征作为指纹特征，构建威胁指纹知识图谱；通过比较知识图谱中指纹特征相似性来挖掘攻击场景幕后攻击者。本发明以脆弱性利用动作为核心构建攻击事件框架，以事件为单位实施告警关联重构攻击场景；利用威胁指纹知识图谱整合已公开威胁情报知识，抽取攻击场景中威胁指纹特征，分析两者相似性溯源攻击者，充实攻击行为上下文信息，有效溯源攻击者，提高威胁特征识别全面性，具有较好应用前景。

公开(公告)号：CN112486922A

公开(公告)日：2021-03-12

申请号：CN202011389437.0

申请日：2020-12-02

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  开封市科学技术情报研究所 ,  河南云眼科技有限公司

Inventor： 李炳龙 ,  周振宇 ,  王懿 ,  张宇 ,  李媛芳 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  常朝稳

IPC: G06F16/16 ,  G06F16/17 ,  G06F16/18

Abstract: 本发明属于电子取证技术领域，特别涉及一种基于结构链逆向的内存碎片文件重建方法及系统，扫描并分析内存介质映像，建立碎片集合到文件碎片子集的映射，获取文件碎片子集中的碎片元素；基于操作系统结构逆向分析，构建文件碎片子集中碎片元素的连接关系及逻辑位置，重构内存碎片文件。本发明利用基于结构链逆向的内存碎片文件雕刻重建来满足电子(数字)犯罪取证实际应用，能够适合于正在运行的基于Windows不同版本操作系统的物理内存中网络入侵行为的数据文件的恢复与分析，具有较强的实用性。

公开(公告)号：CN116611062A

公开(公告)日：2023-08-18

申请号：CN202310438918.3

申请日：2023-04-21

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 李炳龙 ,  张和禹 ,  暴占彪 ,  孙怡峰 ,  常禾雨 ,  胡浩 ,  张玉臣 ,  李媛芳 ,  常朝稳 ,  王清贤

IPC: G06F21/56 ,  G06N3/0464 ,  G06N3/08 ,  G06F18/213 ,  G06F18/214 ,  G06F18/241

Abstract: 本发明提供一种基于图卷积网络的内存恶意进程取证方法与系统。该方法包括：步骤1：逆向重建内存映像的虚拟内存空间；步骤2：根据重建的虚拟内存空间提取进程的内存转储，根据所述内存转储提取所述进程的函数调用图FCG；步骤3：生成进程的FCG中每个函数节点的特征向量，进而得到特征向量化后的FCG；步骤4：构建并训练基于图卷积网络的进程分类模型ProcGCN；步骤5：将进程对应的特征向量化后的FCG输入至训练好的ProcGCN，得到该进程FCG的良性或恶意分类结果。

公开(公告)号：CN116521628A

公开(公告)日：2023-08-01

申请号：CN202310489871.3

申请日：2023-04-28

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 周洪伟 ,  袁哲宇 ,  张玉臣 ,  李炳龙 ,  潘媛媛 ,  汪永伟 ,  胡浩 ,  刘鹏程

IPC: G06F16/16 ,  G06F16/18 ,  G06F11/30

Abstract: 本发明涉及日志模板挖掘技术领域，公开一种面向多源日志的日志模板在线混合挖掘系统，在识别日志的基础上，采用在线递进式的挖掘方法，通过分阶段处理日志内容，从而了解近期日志所呈现的特点，并根据特点调整相应的挖掘策略，使得日志模板挖掘能够在精度和效率上达到较好的平衡；将日志特征归纳为频繁项和变长变量两个特征，针对这两类特征制定相应的挖掘策略，通过分段挖掘的方法及时发现日志所存在的特征，能够及时调整后续挖掘策略。对于不同类型的日志，本系统可以根据其特征，识别日志来源并自适应的调整挖掘策略，在保证精度和效率的基础上，尽可能减少人员参与日志预处理的程度。

公开(公告)号：CN116155542A

公开(公告)日：2023-05-23

申请号：CN202211640521.4

申请日：2022-12-20

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 孙怡峰 ,  黄维贵 ,  吴疆 ,  张玉臣 ,  王玉宾 ,  李炳龙 ,  胡浩 ,  刘鹏程 ,  李智

IPC: H04L9/40

Abstract: 本发明涉及网络安全技术领域，特别涉及一种信息网络中面包屑欺骗资源最小部署方法及系统，依据信息网络中漏洞间依赖关系、网络连通概率和非法外联概率生成不确定攻击图，并根据不确定攻击图构建可能的攻击路径集：将节点连接的度作为攻击路径中各节点的重要性，依据各节点重要性来确定攻击路径集上用于作为面包屑部署点位的最小关键集，并根据预设的攻击者引入陷阱的期望概率阈值来确定每个部署点位上的最小面包屑数量；依据每个部署点位上最小面包屑数量来部署对应节点上面包屑个数。本发明通过获取攻击引入陷阱的最少面包屑数量并确定部署节点位置来实现所需资源最小的欺骗防御，能够提升信息网络中业务运转稳定性和关键资产的安全性。