公开(公告)号：CN116662994A

公开(公告)日：2023-08-29

申请号：CN202310505401.1

申请日：2023-05-06

Applicant: 电子科技大学

Inventor： 牛伟纳 ,  张小松 ,  段治秦 ,  侯安然 ,  李明阳

IPC: G06F21/56

Abstract: 本发明公开了一种基于符号执行的恶意代码混淆技术静态修复方法，属于软件分析技术领域，主旨在于解决现有静态分析技术面对混淆恶意软件时的恶意软件静态逃逸问题。主要方案包括对被测试Android应用进行基础静态分析来获取被测试Android应用中的敏感API列表和原始图特征；根据得到的敏感API列表，编写钩子函数模拟敏感API列表功能，生成函数替换表，使用符号执行技术模拟运行Android应用，此过程中根据函数替换表替换部分函数，最终得到Android应用模拟执行时的总体执行状态信息和基本块的分块信息；根据状态信息和分块信息对原始图特征进行剪枝和重构实现静态修复，排除静态混淆信息，挖掘其中的有效图特征。

公开(公告)号：CN119003339A

公开(公告)日：2024-11-22

申请号：CN202411010616.7

申请日：2024-07-26

Applicant: 电子科技大学

Inventor： 牛伟纳 ,  严然 ,  张小松 ,  杨南 ,  侯安然 ,  许峰华

IPC: G06F11/36 ,  G06F21/56 ,  G06F18/213 ,  G06F18/24 ,  G06F18/214 ,  G06N20/20

Abstract: 本发明涉及软件安全领域，提供了一种基于数据增强的Android模拟器检测方法。该方法旨在解决在样本数据量较少的情况下，如何准确有效地检测Android模拟器的问题。主要方案包括获取模拟器及真机的原始数据，进行预处理和归一化，为数据打标签，并按比例划分为训练集与测试集。接着，利用数据增强模型扩充训练集，将数据增强模型生成的样本向量与原始样本向量放入分类器模型进行训练。最后，将待检测的环境样本转换为样本向量，输入到训练好的分类器模型中，实现模拟器检测。本发明适用于Android模拟器检测，提高了检测的准确性和鲁棒性。

公开(公告)号：CN119598455A

公开(公告)日：2025-03-11

申请号：CN202411026064.9

申请日：2024-07-30

Applicant: 电子科技大学

Inventor： 赵尔凡 ,  牛伟纳 ,  张小松 ,  侯安然 ,  朱宇坤 ,  许峰华

IPC: G06F21/56 ,  G06N5/04 ,  G06N3/0464 ,  G06N3/045 ,  G06N3/042

Abstract: 本发明涉及APT杀伤链重构与预测方法技术领域，提供了一种基于因果推理的APT杀伤链重构与预测方法及系统，旨在解决现有APT检测和防御技术中存在的多源异构数据整合困难、时空动态特征建模不足、杀伤链重构不准确、预测能力有限、可解释性差、实时性和准确性难以兼顾等问题。该方法包括获取多源异构数据，构建因果图构建，基于因果图进行多模态特征提取，获得节点初始特征表示；将节点初始特征表示输入时序因果图卷积学习算法，得到优化后的节点表示；基于优化后的节点表示执行杀伤链重构，获得可能的杀伤链序列；根据可能的杀伤链序列进行未来攻击路径预测，得到潜在的攻击路径；基于潜在的攻击路径生成可解释性分析报告。

公开(公告)号：CN119066464A

公开(公告)日：2024-12-03

申请号：CN202411044854.X

申请日：2024-07-31

Applicant: 电子科技大学

Inventor： 赵尔凡 ,  牛伟纳 ,  张小松 ,  侯安然 ,  陈瑞东 ,  邵林

IPC: G06F18/24 ,  G06N3/0455 ,  G06N3/0442 ,  G06N3/092 ,  G06N20/20 ,  G06F18/213 ,  G06F18/25 ,  G06N3/0464 ,  G06N3/048 ,  G06N10/20 ,  H04L9/40

Abstract: 本发明涉及APT隐蔽通道识别方法技术领域，提供了一种多模态异常检测的APT隐蔽通道识别方法及系统，旨在解决高级持续性威胁(APT)攻击中隐蔽通道的检测问题。通过多模态异常检测，该方法能够识别和分析复杂网络环境中的APT攻击，尤其是那些使用隐蔽通道的攻击。本发明提供多模态异常检测的APT隐蔽通道识别方法，包括获得多模态数据、正常行为建模、联合表示学习、增强异常敏感性、捕捉时序异常模式、优化异常特征、更新异常检测模型、APT隐蔽通道识别和生成检测报告。本发明用于提高APT隐蔽通道的检测准确率，减少误报率，提高检测时延，增强模型的适应性，同时降低计算资源消耗，为企业提供强有力的网络安全防护手段。

公开(公告)号：CN117852037A

公开(公告)日：2024-04-09

申请号：CN202410027983.1

申请日：2024-01-08

Applicant: 电子科技大学

Inventor： 牛伟纳 ,  张小松 ,  李明阳 ,  侯安然 ,  王珂

IPC: G06F21/56 ,  G06F21/55

Abstract: 本发明公开了一种基于eBPF的Android软件脱壳方法及系统，涉及Android应用安全领域。所述方法包括：运用eBPF技术监控Android应用的运行时行为；在应用执行过程中，从Android内核层级监控关键native函数及系统调用，捕获关键数据和代码执行路径；分析捕获的数据，识别出被隐藏的Dex数据；使用eBPF机制动态地进行Android软件脱壳，即收集捕获软件动态解密和释放的Dex数据；将收集的数据重新组合，形成完整可分析的Android Dex文件。本发明利用eBPF的底层监控跟踪和数据捕获能力，提高了对Android软件脱壳的效率，能够有效促进Android应用的安全性分析。