专利名称:一种多态蠕虫自动检测方法
技术领域:
本发明涉及网络安全技术领域,具体涉及一种多态蠕虫自动检测方法。
背景技术:
计算机网络的飞速发展,给用户群体带来了极大的方便,已经深入到社会生活的 方方面面,成为我们生活中不可或缺的东西。然而,伴随而来的网络安全问题也不断的困扰 着用户,成为摆在我们面前亟待解决的问题。各种网络攻击手段层出不穷,隐蔽性越来越 强,影响范围越来越广,造成的损失也越来越严重。其中,蠕虫病毒无论从传播速度、传播范 围还是从破坏程度上来讲,都是以往的传统病毒如木马,或宏病毒等所无法比拟的。比较 典型的例子如1988年,美国康奈尔大学的研究生莫里斯编写的蠕虫病毒造成了数千台计 算机停机;而后来的红色代码、尼姆达病毒肆虐的时候,造成了几十亿美元的损失;而最新 的具有变形能力的多态蠕虫和变形蠕虫的出现,更使得计算机网络安全面临前所未有的挑 战。该类型的蠕虫在每次传播自身时,能够利用加密等技术改变自身的存储形式,没有任何 规律可寻。附图1中给出了多态蠕虫的结构。如图1中所示多态蠕虫可包括5个部分, 即=Nop Sled,解密器,Shellcode,多态引擎,以及返回地址。各个部分的功能如下NOP Sled 这些字节用来填充被溢出的缓冲区,它对蠕虫的执行结果没有任何影 响,主要用于将控制流最终转向Siellcode。由于操作系统版本等因素,攻击者往往不能精 确的定位Siellcode的位置,因而在Siellcode前使用Nop Sled, Nop Sled中任何位置的 执行都将导致Siellcode的执行。早期的Nop Sled仅仅由连续的Nop指令构成,之后,为 躲避如Snort等的检测,攻击者对Nop Sled部分进行了变形处理。解密引擎(Decryptor)该部分代码用于对加密的蠕虫体和多态引擎进行解密。蠕虫体(Worm body)蠕虫体是实现蠕虫功能的部分,比如提升权限,下载木马, 感染其他计算机等。为躲避检测,多态蠕虫中该部分是被加密的。多态引擎(Polymorphic Enging)该部分也是被加密的,其主要功能是用于对蠕 虫体进行加密,并对解密引擎进行变形处理,使得蠕虫数据包的各个副本之间没有特征可 寻,从而绕过基于特征码的检测机制。返回地址(Return address)该部分用于改变存在漏洞的服务程序的执行流程, 将其重定向到Nop Sled,并最终执行到蠕虫体,实现恶意攻击。综上所述,多态蠕虫的Nop Sled和解密引擎部分是经过多态引擎的变形处理的, 而蠕虫体本身以及多态引擎又是被加密的,因而多态蠕虫基本没有任何特征可寻,传统的 蠕虫检测技术已不能有效地应对该类蠕虫。现有技术中的技术方案一目前普遍使用的蠕虫检测技术只能检测和查杀已知类型的蠕虫病毒,使用的最广 泛的检测技术就是特征码匹配技术。每当有新的蠕虫出现时,研究人员通过对蠕虫的研究 提取出能够充分识别该蠕虫的特征字符串,形成对该蠕虫的特征描述,并将其加入到特征 库中,这些特征可能是恶意的网络负载,也可能是蠕虫可执行代码中的部分样本代码,或者是蠕虫在受害主机中留下的攻击痕迹等。之后,就可以通过特征码匹配的方式来判断网络 中是否感染该类蠕虫病毒。其缺点为a)只能检测已知网络攻击该种检测技术依赖于特征码,只能检测已知的网络攻击,只要蠕虫个体稍有变异, 该种检测方式就可能失去效力。b)滞后性。由于该种检测技术依赖于特征码,而特征码的提取需要相当长的时间,通常需要 几小时甚至几天。相反,蠕虫尤其是快速扫描和传播的蠕虫可能在几分钟之内就可能感染 大规模的主机。鉴于蠕虫在该时间内可能给我们带来的威胁,该方法显然具有严重的滞后 性。c)不能有效的应对多态蠕虫。由图1可知,多态蠕虫的各个部分都可经过一定的加密或变形处理,从而导致在 该种蠕虫传播的过程中,每个副本之间没有任何规律可循,因而可能不能再提取出唯一能 表征该蠕虫的特征字符串。Polygraph以及Hamsa曾在该种方法的基础之上提出了一种改 进的思想,即采用多个特征码片段来作为多态蠕虫的特征码,摈弃传统的基于单个连续的 字符串作为特征码的方法。但该方法很容易被攻击者利用和绕过。Roberto Perdisci以及 James Newsome中均提出了绕过该方法的策略。现有技术中的技术方案二 鉴于特征码匹配技术不能识别未知蠕虫的缺点,异常检测技术逐步成为学术界研 究的热点。异常检测方法主要基于这样的思想任何人的行为都具备一定的规律性,通过对 这些规律的学习和总结形成规则,检测的时候如果发现与正常情况下的行为存在严重的差 异,则认为检测到恶意代码。例如由于蠕虫在爆发时,会产生大量的探测数据包,从而导致 网络中的流量发生急剧变化。因而可首先对正常情况下流量的统计学习,在检测时,计算一 段时间内网络中的流量与正常情况下流量的偏离度来检测异常。与基于特征码匹配的检测 技术相比,该方法能够识别出未知蠕虫。该方案缺点为a)验证困难该方法首先需要学习正常情况下的行为,并形成一个或一组表示对象行为的概 貌,而表示概貌的这些数据不容易进行正确性和准确性的验证。b)误报率高该种检测方法需要对正常情况下的行为进行学习,从而形成规则,因而用于学习 的正常情况下的行为必须非常全面,否则,误报率将很高。比如,选择在网络较繁忙时和网 络闲时学习出的规则可能就会有很大的差距。现有技术中的技术方案三入侵检测系统Snort中还提供了一种检测多态蠕虫的方法。它主要通过在数据包 中检测Nop Sled来检测多态蠕虫,检测方法为在数据包中搜索连续的NOP指令,如果检测 到连续的NOP指令数量超过一定的阈值,则认为检测到蠕虫。该方案缺点为
4
不能有效的应对高级的多态蠕虫目前高级的多态蠕虫变形技术可以对NopSled 部分进行一定的变形处理,比如通过使用能够完成同样功能的其它的单字节指令,或者 是使用多字节指令,或者采用跳转指令来代替Nop指令完成同样的功能,甚或是利用栈对 齐原理构造一类特殊的Nop Sled,该类型的Sled中,不再是从每一个字节都可以执行到 shellcode的,而是按4字节对齐的位置处开始才可以执行到shellcode,从而使得整个Nop Sled部分可能有完全不同的表现形式,Snort不能检测这种类似的经过高级变形技术变形 过的多态蠕虫。
发明内容
本发明所要解决的问题是如何提供一种多态蠕虫自检测方法,该方法能克服现 有技术中所存在的缺陷,能实时检测未知蠕虫和有效应对多态蠕虫,并且低误报率和漏报 率,处理速度快。本发明所提出的技术问题是这样解决的提供一种多态蠕虫自检测方法,包括以 下步骤①捕获整个进出网络的数据包;②对所捕获的数据包按照响应的协议进行分析并提数据包中的负载,然后利用各 种协议的层次和标准对数据包负载进行解码、重组和命令解析处理;③对步骤②处理后的含有负载的数据包进行过滤处理a、如果数据包负载本身能 够和已知的某种恶意代码的特征码相匹配,直接对其进行阻断和报警处理;b、利用多态蠕 虫数据包关键代码中不能含有空字符的原理,在数据包负载中运用模式匹配算法查找两个 空字符之间的距离,如果该距离小于给定的阈值,该处不可能为蠕虫的关键代码,从而无须 继续对该处进行判断,对数据包负载中每个距离大于给定的阈值的字节串,进入步骤④处 理;④判断步骤③中处理得到的数据包中是否含有Nop Sled来判断数据包是否为蠕 虫数据包对应一段长度为η的字节串,从每个位置开始反汇编后的指令串都是有效的,则 认为含有Nop Sled,判断该该数据包为蠕虫数据包;⑤对检测到的蠕虫数据包进行响应提取出数据包中的源IP地址、源端口号,目 的IP地址信息,并在防火墙中添加规则过滤源IP地址主机发出的该源端口号的数据包,同 时也过滤目的IP地址主机发出的该端口的数据包。按照本发明所提供的多态蠕虫自检测方法,其特征在于,步骤④中有效的指令串 包括如下两种情况a、指令串中每条指令有正确的操作码和操作数,如果指令有访问内存 地址,那么相应的内存地址可以被访问且指令中不包含任何特权指令;b、指令串中遇到 jmp等跳转指令。按照本发明所提供的多态蠕虫自检测方法,其特征在于,步骤④中判断是否含有 Nop Sled的具体过程如下a、给定一个可疑数据包负载中长度为η的字节串I1I2I3. . . In,由于不知道该字节 串在拷贝到受害主机后,哪些字节在4字节对齐的位置上,不能知道哪些字节在内存中的 地址模4等于0,需要均进行一次检测;b、首先假设1 i的在内存中地址模4等于O,,i = 1、2、3、4,从第i个字节开始进行反汇编,直至n-i个字节均反汇编完成,如果反汇编后的指令均为有效指令,或者遇到jmp 等跳转指令,则认为该位置开始的指令串是可以执行的,然后从i+4的位置开始重复步骤2 进行判断,直至该位置大于η;如果该过程中得到的所有指令串均是可以执行的,该字节串 为Nop Sled ;如果该过程中,检测到某个位置开始反汇编的指令串存在内存访问错误,或者 特权指令错误,则Ii在内存中的地址模4是不等于0的,如果检测到所有的Ii的在内存中 地址模4均不等于0,该字节串并不是Nop Sled。本发明的有益效果a)能够实时检测未知蠕虫本发明提出的检测方法将不依赖于特征码,而是通过实时的对网络中的数据包负 载进行深度分析的方式来检测多态蠕虫,克服了基于特征码匹配方法的不能识别未知蠕虫 和严重的滞后性的缺点。b)误报率和漏报率低本发明提出的检测方法通过对数据包负载进行深度分析来检测多态蠕虫,该种检 测方法建立在反汇编的基础上,并通过抽象执行的方式在数据包负载中检测是否存在Nop Sled来判断数据包是否为多态蠕虫数据包,而Nop Sled本身在多态蠕虫中几乎是必然出 现的,从而保证了较低的误报率和漏报率。c)能够有效的应对多态蠕虫本发明提出的检测方法通过抽象执行的方式在数据包负载中检测是否存在Nop Sled来判断数据包是否为多态蠕虫数据包。而且在检测过程中,充分考虑了 Nop Sled本 身可能用于绕过检测机制而采用的各种变形形式,并在此基础之上分析出Nop Sled的本质 特征来进行检测,即由于Nop Sled最终的功能是将控制流转向Siellcode,因而Nop Sled 部分不管如何变形,都可以被反汇编为有效的指令串。即使是利用栈对齐特性的Nop Sled, 从每个模4等于0的位置开始的字节串也均可以被反汇编为有效的指令串。因而本发明中 提出的检测方法可以有效的应对多态蠕虫的各种高级变形机制。
图1是多态蠕虫结构图;图2是本发明的系统构架图;图3是本发明的系统流程图。
具体实施例方式下面结合附图对本发明作进一步描述如图2所示,本发明实现的系统由如下几个装置实现网络数据包捕获装置本装置用于捕获网络中的数据包。可以将本装置放置于局 域网的进出口等关键位置,以便捕获进出整个网络的数据包。这样,需部署的检测点相对较 少,系统运行开销相对较低。数据包的捕获可通过两种方式实现,S卩,可将本检测系统串联在网络中,这样,所 有进出该内部网络的数据包必然本检测系统,该种方法需要系统具有非常高的处理性能和 检测精度,通常需要专门的硬件来并行处理,加快处理速度;当然,也可通过将本系统并联在网络中,并将网卡设置为混杂模式实现。由于硬件条件限制,本系统中采用了第二种实现 方式。协议分析装置本装置对数据包捕获装置中捕获到的数据包按照相应的协议进行 分析并提取出数据包中的负载。TCP/IP协议模型共有四层网际层,网络层,传输层和应用 层。各层中不同的协议具有各自不同的标准格式。协议分析装置中将利用各种协议的层次 和标准对数据包负载进行解码、重组和命令解析等处理。其中,解码主要是判断数据包是 否符合规定的协议标准,重组则主要是在解码的基础上对TCP会话状态进行跟踪分析并重 组,同时对IP碎片进行重组。命令解析则主要是针对各种高层协议,将所有的各种可能的 表示进行规范化处理。开源的入侵检测系统Snort中以预处理插件的形式实现了这几种处 理流程。数据包过滤装置数据包过滤装置主要是针对经过协议分析装置处理后的含有负 载的数据包而言的,该装置将利用已知的特征码匹配过滤可能含有某种已知的恶意代码的 数据包,提高整个系统的处理速度。模式匹配算法可以使用高效的AC算法实现。除此之外,数据包过滤装置还将根据一定的算法对明显不是多态蠕虫的数据包进 行过滤处理,以提高系统的处理速度。一般而言,蠕虫主要通过寻找网络中有漏洞的主机, 针对该漏洞发起攻击并复制自身到受害主机。蠕虫要成功的实现攻击,其数据包关键代码 (如Nop Sled, shellcode,返回地址等)中不能包含空字符,否则,在执行字符串拷贝时, 该处将被截断,蠕虫也就不可能正常工作。而多态蠕虫的关键代码一般而言长度是超过200 个字节的,可以选择一个相对保守的值,在数据包中两个连续空字符之间长度小于该值时, 该部分肯定不为蠕虫的关键代码。由于正常情况下的数据包很多都不满足该条件,从而可 极大地减少待处理的数据包,提高处理效率。静态反汇编装置静态反汇编装置主要是对经过协议分析装置和数据包过滤装置 处理后的数据包的负载进行反汇编处理,将二进制字节反汇编为指令。静态反汇编算法可 采用递归遍历的反汇编方式,以防止将数据包负载中的数据也反汇编为指令。多态蠕虫检测装置多态蠕虫检测装置用于检测数据包是否为多态蠕虫数据包。 其检测思想为通过检测数据包中是否含有Nop Sled来判断数据包是否为蠕虫数据包。如 上所述,由于Nop Sled本身可能采取多种变形形式,比如说通过使用其它的单字节指令, 或者是使用能够完成同样功能的多字节指令,或者采用跳转指令来代替Nop指令完成同样 的功能等等,因而此处不再采用模式匹配或是正规表达式的匹配方式,而是采用抽象执行 的方式来检测Nop Sled。比如要检测一段长度为η的字节串是否为Nop Sled,其检测过 程的基本思想为如果该字节串从每个位置开始反汇编后的指令串都是有效的,那么认为 该字节串为Nop Sled。其中,有效的指令串包含如下两种情况1)指令串中每条指令有正确的操作码和操作数;如果指令有访问内存地址,那 么相应的内存地址可以被访问;且指令中不包含任何特权指令;2)指令串中遇到jmp等跳转指令。但考虑到采用了栈对齐技术的Nop Sled,该类Nop Sled并非从每个位置开始都可 以执行到Siellcode,而是按4字节对齐的位置处开始才可以执行到Siellcode。因而,在 检测时,我们将通过检测所有可能的4字节对齐的位置处开始反汇编后的指令串是否为可 执行的有效指令串,来判断字节串是否为NopSled,而不需要检测每个位置处开始的反汇编指令串是否均可以执行。其具体检测过程如下1)给定一个可疑数据包负载中长度为η的字节串I1I2I3. . . In,由于我们实际上并 不知道该字节串在拷贝到受害主机后,哪些字节在4字节对齐的位置上,也就是说,我们不 能知道哪些字节在内存中的地址模4等于0,但实际上,可能的情况只有4种,I1的在内存 中地址模4等于0,I2在内存中地址模4等于0,I3在内存中地址模4等于0,或者I4在内 存中地址模4等于0,对每种可能的情况,我们均进行一次检测过程。2)首先假设IiG = 1,2,3,4)的在内存中地址模4等于0,那么我们从第i个字 节开始进行反汇编,直至n-i个字节均反汇编完成,如果反汇编后的指令均为有效指令,或 者遇到jmp等跳转指令,则认为该位置开始的指令串是可以执行的,然后从i+4的位置开始 重复步骤2进行判断,直至该位置大于η。如果该过程中得到的所有指令串均是可以执行 的,那么我们认为该字节串为Nop Sled。相反的,如果该过程中,我们检测到某个位置开始 反汇编的指令串存在内存访问错误,或者特权指令等错误,那么我们认为Ii在内存中的地 址模4是不等于0的。如果我们检测到所有的Ii (i = 1,2,3,4)的在内存中地址模4均不 等于0,那么此时,我们认为,该字节串并不是Nop Sled。响应装置本装置负责在网络中检测到蠕虫时进行响应。在检测到蠕虫数据包时, 本装置将提取出数据包中的源IP地址、源端口号,目的IP地址信息,并联合防火墙对源IP 地址主机发出的该端口号的数据包进行阻断和报警,同时也将在防火墙中设置过滤规则, 如果目的IP地址主机发出的该端口号的数据包也将进行阻断和报警处理。如附图3所示,本发明主要按以下步骤进行1)利用数据包捕获装置捕获网络中的数据包。2)对步骤1中捕获到的每一个数据包,利用协议分析装置对捕获到的数据包进 行分析和处理,并提取出经过处理后的数据包负载。该步骤主要是判断捕获到的数据包是 否符合协议标准、对TCP会话状态进行跟踪分析和流重组、对分片的IP数据包进行重组,以 及利用命令解析功能对数据包负载进行规范化处理。3)利用数据包过滤装置对经过步骤2处理后的含有负载的数据包进行过滤处 理。首先来说,如果数据包负载本身能够和已知的某种恶意代码的特征码相匹配,那么我们 将直接对其进行阻断和报警处理。其次,利用多态蠕虫数据包关键代码中不能含有空字符 的原理,在数据包负载中运用模式匹配算法查找两个空字符之间的距离,如果该距离小于 给定的阈值,那么我们认为该处不可能为蠕虫的关键代码,从而无须继续对该处进行判断。 相反,对数据包负载中每个距离大于给定的阈值的字节串,我们均需要进行步骤4的处理。4)该步骤将判断步骤3中处理得到的数据包负载中的一段字节串I1I2I3. . . Iffl(m >n)是否含有Nop Sled,从而进一步判断该数据包是否为蠕虫数据包。对该字节串中的每 个位置开始的长度为η的子串,我们将按多态蠕虫检测装置中给出的检测步骤判断该处是 否为Nop Sled。如果该处为Nop Sled,那么转到步骤5,对检测到的多态蠕虫数据包进行响 应处理。5)该步骤对本系统检测到的多态蠕虫数据包进行响应。该步骤主要通过在防火 墙添加响应的过滤规则实现。在检测到蠕虫数据包时,本装置将提取出数据包中的源IP地 址、源端口号,目的IP地址信息,并在防火墙中添加规则过滤源IP地址主机发出的该源端 口号的数据包,同时也过滤目的IP地址主机发出的该端口的数据包。
8
本发明的技术关键点和欲保护点①本发明中提出的多态蠕虫的Nop Sled部分的本质特征,即,不管该部分如何 变形,都可以被反汇编为有效的指令串。即使是利用栈对齐特性的Nop Sled,从每个模4等 于0的位置开始的字节串也均可以被反汇编为有效的指令串。②判断数据包负载中某个子字节串I1I2I3. . . ln,是否为Nop Sled的方法和步骤。 即1)给定一个可疑数据包负载中长度为η的字节串I1I2I3. . . In,由于我们实际上并 不知道该字节串在拷贝到受害主机后,哪些字节在4字节对齐的位置上,也就是说,我们不 能知道哪些字节在内存中的地址模4等于0,但实际上,可能的情况只有4种,I1的在内存 中地址模4等于0,I2在内存中地址模4等于0,I3在内存中地址模4等于0,或者I4在内 存中地址模4等于0,对每种可能的情况,我们均进行一次检测过程。2)首先假设IiG = 1,2,3,4)的在内存中地址模4等于0,那么我们从第i个字 节开始进行反汇编,直至n-i个字节均反汇编完成,如果反汇编后的指令均为有效指令,或 者遇到jmp等跳转指令,则认为该位置开始的指令串是可以执行的,然后从i+4的位置开始 重复步骤2进行判断,直至该位置大于η。如果该过程中得到的所有指令串均是可以执行 的,那么我们认为该字节串为Nop Sled。相反的,如果该过程中,我们检测到某个位置开始 反汇编的指令串存在内存访问错误,或者特权指令等错误,那么我们认为Ii在内存中的地 址模4是不等于0的。如果我们检测到所有的Ii (i = 1,2,3,4)的在内存中地址模4均不 等于0,那么此时,我们认为,该字节串并不是Nop Sled。③本发明中提出的提高系统检测速度的优化措施,即利用多态蠕虫数据包中 关键代码不能含有空字符的特性,从而在数据包负载中运用模式匹配算法查找两个空字符 之间的距离,如果该距离小于给定的阈值,则认为该处不可能为蠕虫的关键代码,从而无须 继续对该处进行深入判断的思想。
权利要求
1.一种多态蠕虫自检测方法,包括以下步骤①捕获整个进出网络的数据包;②对所捕获的数据包按照响应的协议进行分析并提数据包中的负载,然后利用各种协 议的层次和标准对数据包负载进行解码、重组和命令解析处理;③对步骤②处理后的含有负载的数据包进行过滤处理a、如果数据包负载本身能够和 已知的某种恶意代码的特征码相匹配,直接对其进行阻断和报警处理;b、利用多态蠕虫数 据包关键代码中不能含有空字符的原理,在数据包负载中运用模式匹配算法查找两个空字 符之间的距离,如果该距离小于给定的阈值,该处不可能为蠕虫的关键代码,从而无须继续 对该处进行判断,对数据包负载中每个距离大于给定的阈值的字节串,进入步骤④处理;④判断步骤③中处理得到的数据包中是否含有NopSled来判断数据包是否为蠕虫数 据包对应一段长度为η的字节串,从每个位置开始反汇编后的指令串都是有效的,则认为 含有Nop Sled,判断该该数据包为蠕虫数据包;⑤对检测到的蠕虫数据包进行响应提取出数据包中的源IP地址、源端口号,目的IP 地址信息,并在防火墙中添加规则过滤源IP地址主机发出的该源端口号的数据包,同时也 过滤目的IP地址主机发出的该端口的数据包。
2.根据权利要求1所述的多态蠕虫自检测方法,其特征在于,步骤④中有效的指令 串包括如下两种情况a、指令串中每条指令有正确的操作码和操作数,如果指令有访问内 存地址,那么相应的内存地址可以被访问且指令中不包含任何特权指令;b、指令串中遇到 jmp等跳转指令。
3.根据权利要求1所述的多态蠕虫自检测方法,其特征在于,步骤④中判断是否含有 Nop Sled的具体过程如下a、给定一个可疑数据包负载中长度为η的字节串I1I2I3.. . In,由于不知道该字节串在 拷贝到受害主机后,哪些字节在4字节对齐的位置上,不能知道哪些字节在内存中的地址 模4等于0,需要均进行一次检测;b、首先假设Ii的在内存中地址模4等于0,,i= 1、2、3、4,从第i个字节开始进行反 汇编,直至n-i个字节均反汇编完成,如果反汇编后的指令均为有效指令,或者遇到jmp等 跳转指令,则认为该位置开始的指令串是可以执行的,然后从i+4的位置开始重复步骤2进 行判断,直至该位置大于η;如果该过程中得到的所有指令串均是可以执行的,该字节串为 Nop Sled ;如果该过程中,检测到某个位置开始反汇编的指令串存在内存访问错误,或者特 权指令错误,则Ii在内存中的地址模4是不等于0的,如果检测到所有的Ii的在内存中地 址模4均不等于0,该字节串并不是Nop Sled。
全文摘要
本发明公开了一种多态蠕虫自检测方法,包括以下步骤①捕获整个进出网络的数据包;②对所捕获的数据包按照响应的协议进行分析并提数据包中的负载,然后利用各种协议的层次和标准对数据包负载进行解码、重组和命令解析处理;③对步骤②处理后的含有负载的数据包进行过滤处理;④判断步骤③中处理得到的数据包中是否含有Nop Sled来判断数据包是否为蠕虫数据包对应一段长度为n的字节串,从每个位置开始反汇编后的指令串都是有效的,则认为含有Nop Sled,判断该该数据包为蠕虫数据包;⑤对检测到的蠕虫数据包进行响应。
文档编号H04L29/06GK102111308SQ201010600168
公开日2011年6月29日 申请日期2010年12月22日 优先权日2010年12月22日
发明者刘飞, 张小松, 鲍厚兵, 黄勇 申请人:成都天融信网络安全技术有限公司