公开(公告)号：CN111460448A

公开(公告)日：2020-07-28

申请号：CN202010159104.2

申请日：2020-03-09

Applicant: 北京邮电大学

Inventor： 徐国胜 ,  徐国爱 ,  何任 ,  郭燕慧 ,  王浩宇 ,  张淼

IPC: G06F21/56

Abstract: 本说明书一个或多个实施例提供一种恶意软件家族检测方法及装置，包括：获取待检测软件，对待检测软件进行特征提取处理，得到待检测软件的软件特征，根据软件特征，判别待检测软件的类别，输出待检测软件的检测结果。本实施例的恶意软件家族检测方法及装置，能够实现恶意软件家族的准确检测。

公开(公告)号：CN110414222A

公开(公告)日：2019-11-05

申请号：CN201910524860.8

申请日：2019-06-18

Applicant: 北京邮电大学

Inventor： 徐国爱 ,  张淼 ,  黄炎裔

IPC: G06F21/55 ,  G06F21/56 ,  G06F21/62

Abstract: 本发明公开了一种基于组件关联的应用隐私泄露问题检测方法和装置，该方法包括步骤：提取组件间通信的关联信息，建立关联关系集合；确定敏感权限，将敏感权限的数据对象定义为敏感数据，查找对敏感数据的获取操作和发送操作，并使用污点分析法查找敏感数据获取操作和发送之间的数据通路；收集数据通路上的隐私泄露特征；依据隐私泄露特征，采用层次分析法给予相应权值；并综合本次所有隐私泄露特征进行加权计算，得到隐私泄露的恶意指数，通过所述恶意指数评判是否发生隐私泄露。该装置包括组件关系解析单元、数据流向查找单元、特征采集单元和层次分析单元。该方法和装置，能够有效地检测出利用组件间通信机制对用户敏感数据窃取的行为。

公开(公告)号：CN110232146A

公开(公告)日：2019-09-13

申请号：CN201910358646.X

申请日：2019-04-30

Applicant: 北京邮电大学

Inventor： 徐国爱 ,  张淼 ,  王思佳 ,  徐国胜

IPC: G06F16/9532 ,  G06F16/955

Abstract: 本发明公开了一种数据抓取方法及抓取装置，所述方法包括对应用程序与服务器之间的请求数据包进行抓取，并进行分析，获得可变参数；对所述应用程序进行反编译，获得源码；对所述源码进行搜索查询，获得与所述可变参数相关的可疑函数；在所述可疑函数处设置断点，对所述源码进行动态调试，当某一可疑函数的输出等于所述可变参数的值，则该可疑函数为函数，观察所述函数的明文和加密方式，获得可变参数的构造方法；配置抓取规则，抓取所述应用程序的数据。本发明通过抓取并分析请求数据包，找出可变参数，然后采取逆向分析手段，对应用程序和服务器的通信协议进行破解，然后通过模拟通信请求，进行数据的抓取。

公开(公告)号：CN110162977A

公开(公告)日：2019-08-23

申请号：CN201910333386.0

申请日：2019-04-24

Applicant: 北京邮电大学

Inventor： 张淼 ,  徐国爱 ,  王晓婷 ,  孟庆儒

IPC: G06F21/57 ,  G06F21/56

Abstract: 本发明涉及一种Android车载终端系统漏洞检测系统及方法，该检测系统包括车载终端系统漏洞库模块、车载终端系统漏洞检测模块、车载终端系统漏洞检测报告生成模块。该系统可以检测已连接的Android车载终端系统中存在的漏洞，并将检测结果报告给用户。通过对现有方法以及检测工具的调研分析，本发明基于Trade Federation测试框架，辅以车载终端系统漏洞测试用例构建，最终实现Android车载终端系统漏洞检测。该漏洞检测系统可以实现对设备的管理、测试用例的管理、测试任务的调度执行等功能，有利于帮助及时发现并修复系统漏洞以提高车载终端操作系统的安全性。

公开(公告)号：CN106339631A

公开(公告)日：2017-01-18

申请号：CN201610730927.X

申请日：2016-08-26

Applicant: 北京邮电大学

Inventor： 张淼 ,  许士亭 ,  董枫 ,  徐国爱 ,  郭燕慧 ,  雷电 ,  胡默迪

IPC: G06F21/56

CPC classification number: G06F21/566 ,  G06F2221/033

Abstract: 本发明提供一种基于Android的恶意积分墙的检测方法及装置，属于应用程序安全检测技术领域。该基于Android的恶意积分墙的检测方法包括：获取待检测应用程序的API特征向量，待检测应用程序具有积分墙功能；获取API特征向量对应的标识信息；根据标识信息，确定待检测应用程序的积分墙的类别信息，类别信息为恶意积分墙或者非恶意积分墙。本发明提供的基于Android的恶意积分墙的检测方法及装置，提高了恶意积分墙的检测效率。

公开(公告)号：CN106203120A

公开(公告)日：2016-12-07

申请号：CN201610557339.0

申请日：2016-07-15

Applicant: 北京邮电大学

Inventor： 郭燕慧 ,  高宇昊 ,  吴博 ,  张淼

IPC: G06F21/56

Abstract: 本发明公开了一种针对Android加固应用的多点Hook逆向方法，属于信息安全领域，具体步骤如下：首先，将某个被测的Android应用加载到内存中；在加载过程中选取若干不同的函数入口点同时进行Hook操作，对每个函数分别加载对应的Hook点；当虚拟机执行到不同函数时，借助Hook点获取该函数被调用的类结构ClassLoader；然后，通过各个类结构ClassLoader获取各个函数以及函数所在类在内存中的偏移位置，得到程序各个函数的dex源码并组成dex文件，在内存中进行修复完善；最后，从内存中dump修复完善后的dex文件。优点在于：在待分析应用运行过程中动态对其中的多个函数入口点进行Hook，可以规避传统技术无法完整、正确获取程序dex的弊端，得到传统分析方法难以得到的完整dex代码。

公开(公告)号：CN104331644A

公开(公告)日：2015-02-04

申请号：CN201410680403.5

申请日：2014-11-24

Applicant: 北京邮电大学

Inventor： 杨昕雨 ,  张淼 ,  郭燕慧 ,  李祺 ,  徐国爱

IPC: G06F21/10 ,  G06F21/62

CPC classification number: G06F21/6218 ,  G06F17/30144 ,  G06F21/6245 ,  G06F2221/2107 ,  G06F2221/2141

Abstract: 本发明提出一种智能终端文件的透明加解密方法。包括：在应用层设置授权进程名单和待保护文件名单，并将授权进程名单和待保护文件名单发送到动态链接库.so；从访问进程中获取针对操作文件的操作命令，通过JNI调用动态链接库.so，当动态链接库.so判定访问进程是授权进程以及操作文件是待保护文件时，通过Netlink套接字将访问进程名、操作文件的地址和操作命令传递到智能终端操作系统内核层的钩子模块；钩子模块查找系统调用表，从系统调用表中获取对应于所述操作命令的系统调用函数的地址，并将系统调用表中所述系统调用函数的地址替换为在所述内核层中预先设置且具有加解密功能的函数的地址。

公开(公告)号：CN102123044A

公开(公告)日：2011-07-13

申请号：CN201110008369.3

申请日：2011-01-14

Applicant: 北京邮电大学

Inventor： 张淼 ,  徐国爱 ,  李洋 ,  房婧婧 ,  张建武

IPC: H04L12/24

Abstract: 一种基于拓扑发现技术的网络拓扑一致性检测设备和检测方法，该检测设备包括检测请求装置、多个现网拓扑信息采集装置与检测管理装置。该检测设备实现的自动化检测与目前的人工检测比对相比较，其检测工作量与时间都有明显减少与改进。本发明检测方法是先对已有网络拓扑图形化的元数据配置建模，形成与元数据对应的关联数据库信息，同时利用主动式网络拓扑发现技术将当前的网络拓扑也转换为相应的关联数据库表，从而实现了二者自动化的一致性匹配检测。因为本发明的检测结果完全基于原有网络拓扑数据和当前运行的网络拓扑数据，从根本上去除了目前人工执行的一致性检测中的人为因素，能够确保检测结果的准确率和可靠性。