公开(公告)号：CN114816649A

公开(公告)日：2022-07-29

申请号：CN202110082386.5

申请日：2021-01-21

Applicant: 网神信息技术(北京)股份有限公司 ,  中国科学院软件研究所

Inventor： 应凌云 ,  杨轶 ,  聂眉宁 ,  苏璞睿

IPC: G06F9/455

Abstract: 本发明实施例提供一种虚拟机内外交互方法、装置、电子设备及存储介质，方法包括：在虚拟机内部通过硬件虚拟化方式生成串口模拟设备；在虚拟机外部通过硬件虚拟化方式生成模拟管道；基于所述串口模拟设备和所述模拟管道进行虚拟机内部程序和虚拟机外部程序的数据交互。本发明通过直接修改虚拟机程序，在虚拟机上模拟通用串口，在虚拟机外部模拟管道，使得内部和外部程序都能够通过通用接口实现数据交换，本发明基于模拟通用硬件实现，无需程序开发人员重新修改内外交互程序代码，不影响操作系统的完整性和稳定性，能够实现稳定、可靠且快速的数据传输，从而能够为虚拟机内外数据交换提供良好支撑。

公开(公告)号：CN103136471B

公开(公告)日：2015-12-16

申请号：CN201110382248.5

申请日：2011-11-25

Applicant: 中国科学院软件研究所

Inventor： 焦四辈 ,  苏璞睿 ,  应凌云 ,  杨轶

IPC: G06F21/56

Abstract: 本发明公开了一种恶意Android应用程序检测方法和系统，属于计算机软件技术领域。本方法为：1)将待测应用程序中的行为划分为若干类别；将待测应用程序每个按钮与一个或多个类别行为对应，得到应用程序按钮——行为模型；2)采集硬件模拟器执行按钮时的应用程序信息，识别出当前操作对应的按钮；根据应用程序按钮——行为模型得到该按钮要执行的操作行为；3)采集当前按钮触发的硬件模拟器底层API调用序列，根据API序列模型得到该按钮对应执行的操作行为；4)将步骤2)与步骤3)确定的操作行为进行对比，如果不一致则将该待测应用程序确定为恶意程序。本发明简化了分析复杂度，大大提高了分析检测的效率和准确性。

公开(公告)号：CN107273745A

公开(公告)日：2017-10-20

申请号：CN201710267131.X

申请日：2017-04-21

Applicant: 中国科学院软件研究所

Inventor： 闫佳 ,  应凌云 ,  聂眉宁 ,  苏璞睿

IPC: G06F21/56

Abstract: 本发明提供一种针对动态链接库形式的恶意代码的动态分析方法。其步骤如下：解析配置文件，判断配置文件中是否包含动态链接库的导出函数名表以及各导出函数对应的参数表；如是，则对该动态链接库的各导出函数进行遍历调用；如否，则载入该动态链接库，解析该动态链接库的结构，遍历获得其导出函数表，并模拟各导出函数对应的参数表后；再对各导出函数遍历调用；分析前述函数调用运行过程中是否有恶意攻击行为。在调用导出函数所需参数形式未知时，可以模拟导出函数所需的参数，从而完成对导出函数的调用，能够完成对未知动态链接库形式的可执行代码的动态分析。通过参数模拟减少大量的人工分析干预各未知参数的时间，从而节约了人力成本。

公开(公告)号：CN103166942B

公开(公告)日：2016-08-03

申请号：CN201110427999.4

申请日：2011-12-19

Applicant: 中国科学院软件研究所

Inventor： 王明华 ,  聂眉宁 ,  杨轶 ,  苏璞睿 ,  应凌云

IPC: H04L29/06

Abstract: 本发明公开了一种恶意代码的网络协议解析方法，属于网络安全技术领域。本方法为：1)将待分析的恶意代码部署于监控服务器中，将恶意进程从网络中接收到的数据标记为原始污点源数据；2)跟踪记录该恶意进程对污点数据的所有操作指令；同时记录恶意进程执行过程中调用的与操作系统安全性相关的API；3)根据记录的操作指令和该恶意进程操作特点，对该恶意代码的网络协议数据进行语法划分；4)对于作为API函数参数的语法字段，根据对应的API函数获取该语法字段的最终语义。本发明在识别协议元素方面具有普遍性和抗干扰性，且能使协议元素划分结果更加清晰和准确。

公开(公告)号：CN104869568A

公开(公告)日：2015-08-26

申请号：CN201410066513.2

申请日：2014-02-26

Applicant: 中国科学院软件研究所 ,  北京埃森客创想科技有限公司

Inventor： 应凌云 ,  贺永林

IPC: H04W12/06 ,  H04W8/08 ,  H04W8/24 ,  H04N7/18

CPC classification number: H04W12/06 ,  H04N7/18 ,  H04W8/08 ,  H04W8/24

Abstract: 本发明公开了一种基于音频的监控系统配置方法及系统，本方法为：1）在智能手机中安装一监控客户端，扫描当前可用的无线网络，用户选择需接入的无线网络并输入无线网络密码；2）监控客户端通过网络向监控服务端发送一包含安全验证码的用户绑定请求短信；3）监控服务端提取安全验证码和手机号并保存；4）该监控客户端将所选无线网络的配置信息编码转换为一段音频数据发给监控设备，对其解码并提取配置信息接入无线网络；5）监控设备接入无线网络后向监控服务端提交用户绑定请求；6）监控服务端根据监控设备发送的用户手机号、安全验证码对该用户信息进行验证，验证通过则将该监控设备与该用户手机号绑定。本发明具有很高的灵活性和适应性。

公开(公告)号：CN101158948A

公开(公告)日：2008-04-09

申请号：CN200610113592.3

申请日：2006-10-08

Applicant: 中国科学院软件研究所

Inventor： 应凌云 ,  苏璞睿 ,  冯登国

IPC: G06F17/30

Abstract: 一种文本内容过滤方法，包括步骤：1)解析用户配置信息，提取出其中的有效过滤规则；2)根据所述的有效过滤规则，对被过滤文本信息进行分析和检测；3)对步骤2)的分析结果进行精确关键字匹配检测，输出检测结果；4)对步骤2)的分析结果进行模糊关键字匹配检测，输出检测结果；5)对步骤2)和4)的分析检测结果进行文本主题检测，确定被过滤文本内容的主题，输出检测结果。本发明在提供细粒度的精确关键字过滤支持、有限的模糊关键字过滤支持和基于主题的粗粒度过滤支持的同时，通过分离重组三种过滤方式的文本内容扫描前端，只需要对被过滤文本做一次全文扫描，可以大大降低文本过滤所需处理时间。

公开(公告)号：CN108573148B

公开(公告)日：2022-05-27

申请号：CN201710140949.5

申请日：2017-03-10

Applicant: 中国科学院软件研究所

Inventor： 聂眉宁 ,  应凌云 ,  苏璞睿

IPC: G06F21/56

Abstract: 本发明涉及一种基于词法分析的混淆加密脚本识别方法。该方法首先以人类语言单词集合为基础，结合网络上随机采集的大数据脚本文件(非恶意)进行训练，生成脚本词典；然后利用该词典，对网络上随机采集的另一批大数据脚本文件(非恶意)进行词法覆盖率检测，确定词法覆盖率的最低阈值，同时统计这批脚本文件的注释量与代码量的比例，确定注释代码比例的最高阈值；最后在实际检测阶段，对待测样本进行词法分析与注释量分析，通过评估其词法覆盖率是否低于阈值或注释比例是否高于阈值，判定其是否为经过混淆加密的恶意脚本。若判定为非混淆加密的样本则运用其它现有检测方法进一步检测其是否为恶意脚本。本发明具有很高的检测效率和检测准确度。

公开(公告)号：CN108573148A

公开(公告)日：2018-09-25

申请号：CN201710140949.5

申请日：2017-03-10

Applicant: 中国科学院软件研究所

Inventor： 聂眉宁 ,  应凌云 ,  苏璞睿

IPC: G06F21/56

Abstract: 本发明涉及一种基于词法分析的混淆加密脚本识别方法。该方法首先以人类语言单词集合为基础，结合网络上随机采集的大数据脚本文件(非恶意)进行训练，生成脚本词典；然后利用该词典，对网络上随机采集的另一批大数据脚本文件(非恶意)进行词法覆盖率检测，确定词法覆盖率的最低阈值，同时统计这批脚本文件的注释量与代码量的比例，确定注释代码比例的最高阈值；最后在实际检测阶段，对待测样本进行词法分析与注释量分析，通过评估其词法覆盖率是否低于阈值或注释比例是否高于阈值，判定其是否为经过混淆加密的恶意脚本。若判定为非混淆加密的样本则运用其它现有检测方法进一步检测其是否为恶意脚本。本发明具有很高的检测效率和检测准确度。

公开(公告)号：CN108171054A

公开(公告)日：2018-06-15

申请号：CN201611103717.4

申请日：2016-12-05

Applicant: 中国科学院软件研究所

Inventor： 应凌云 ,  聂眉宁 ,  苏璞睿

IPC: G06F21/56 ,  G06Q50/00

CPC classification number: G06F21/563 ,  G06Q50/01

Abstract: 本发明公开了一种针对社交欺骗的恶意代码的检测方法及系统，首先对样本文件的文件类型进行识别，提取其中的非安全格式的样本文件，然后根据文件的各种属性进行社交欺骗可疑程度分析，包括对文件名、后缀名、文件类型、文件图标、文件属性等进行分析，根据文件名是否超长、文件名字符集类型、是否采用了不常见的后缀名、文件类型是否与后缀名一致、文件是否为快捷方式等特殊类型、文件图标是否与已知合法软件相似、文件签名是否合法等检测手段，对文件进行分析和检测并进行打分，最后根据各项目的检测结果综合分析评估文件是否为恶意代码。

公开(公告)号：CN104869568B

公开(公告)日：2018-03-02

申请号：CN201410066513.2

申请日：2014-02-26

Applicant: 中国科学院软件研究所 ,  北京埃森客创想科技有限公司

Inventor： 应凌云 ,  贺永林

IPC: H04W12/06 ,  H04W8/08 ,  H04W8/24 ,  H04N7/18

Abstract: 本发明公开了一种基于音频的监控系统配置方法及系统，本方法为：1）在智能手机中安装一监控客户端，扫描当前可用的无线网络，用户选择需接入的无线网络并输入无线网络密码；2）监控客户端通过网络向监控服务端发送一包含安全验证码的用户绑定请求短信；3）监控服务端提取安全验证码和手机号并保存；4）该监控客户端将所选无线网络的配置信息编码转换为一段音频数据发给监控设备，对其解码并提取配置信息接入无线网络；5）监控设备接入无线网络后向监控服务端提交用户绑定请求；6）监控服务端根据监控设备发送的用户手机号、安全验证码对该用户信息进行验证，验证通过则将该监控设备与该用户手机号绑定。本发明具有很高的灵活性和适应性。