公开(公告)号：CN112597495B

公开(公告)日：2021-07-30

申请号：CN202011532274.7

申请日：2020-12-22

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 赵大伟 ,  吴晓明 ,  杨美红 ,  徐丽娟 ,  张磊 ,  杨淑棉 ,  唐勇伟 ,  陈川 ,  周洋

IPC: G06F21/56 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明涉及一种恶意代码检测方法、系统、设备及存储介质。该方法包括；(1)训练阶段：利用已知软件样本训练多模态深度神经网络模型；(2)检测阶段：利用训练阶段训练好的多模态深度神经网络模型对未知软件样本进行检测。本发明可以将任意不同大小的软件样本转换为相同大小的灰度图像，便于应用于卷积神经网络；本发明同时使用了API函数调用序列、指令序列、字节流三个典型特征，克服了单一特征检测的局限，本发明多模态深度学习将静态特征与动态特征进行融合决策，能获得更全面且准确的恶意代码检测结果。

公开(公告)号：CN110110697B

公开(公告)日：2021-03-12

申请号：CN201910414684.2

申请日：2019-05-17

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 刘广起 ,  王连海 ,  杨淑棉 ,  张淑慧 ,  徐淑奖 ,  韩晓晖 ,  赵大伟

IPC: G06K9/00 ,  G06K9/34

Abstract: 本公开公开了基于方向矫正的多指纹分割提取方法、系统、设备及介质，首先计算一幅图像中存在的多个指纹的连通区域并进行标记，然后计算每个独立指纹所在区域的最佳矩形的顶点和边界，再计算最小外接矩形最下方边界与水平线的倾斜角度，最后提取出每个独立指纹区域并根据倾斜角度进行方向矫正得到多个独立的指纹图像。本公开可以将一幅图像中多个指纹进行分割，并根据其倾斜角度进行方向矫正，便于后期的指纹辨别与分析。

公开(公告)号：CN110110697A

公开(公告)日：2019-08-09

申请号：CN201910414684.2

申请日：2019-05-17

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 刘广起 ,  王连海 ,  杨淑棉 ,  张淑慧 ,  徐淑奖 ,  韩晓辉 ,  赵大伟

IPC: G06K9/00 ,  G06K9/34

Abstract: 本公开公开了基于方向矫正的多指纹分割提取方法、系统、设备及介质，首先计算一幅图像中存在的多个指纹的连通区域并进行标记，然后计算每个独立指纹所在区域的最佳矩形的顶点和边界，再计算最小外接矩形最下方边界与水平线的倾斜角度，最后提取出每个独立指纹区域并根据倾斜角度进行方向矫正得到多个独立的指纹图像。本公开可以将一幅图像中多个指纹进行分割，并根据其倾斜角度进行方向矫正，便于后期的指纹辨别与分析。

公开(公告)号：CN109977879A

公开(公告)日：2019-07-05

申请号：CN201910244319.1

申请日：2019-03-28

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 刘广起 ,  王连海 ,  杨淑棉 ,  赵大伟 ,  韩晓辉 ,  徐淑奖 ,  张淑慧

IPC: G06K9/00 ,  G06K9/62

Abstract: 本公开提出了一种现场指纹采集与远程匹配对比方法及系统，现场采集客户端在现场采集数字指纹数据并提取出数字指纹区域，然后对指纹区域进行增强处理提取出指纹特征，指纹特征以图像的形式存储，对提取的指纹特征进行加密并通过网络传送至远程服务端；现场采集客户端接收经过远程服务端对指纹特征进行解密处理，然后与指纹数据库进行遍历对比，并将对比结果加密后传输的数据。本公开可以提高案发现场指纹采集人员工作效率，并初步掌握案件嫌疑人基本信息，提高案件侦破速度。

公开(公告)号：CN105138709B

公开(公告)日：2017-02-22

申请号：CN201510655761.5

申请日：2015-10-12

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 杨淑棉 ,  王连海 ,  韩晓晖 ,  赵大伟 ,  张淑慧 ,  刘广起

IPC: G06F17/30 ,  H04L29/08

Abstract: 本发明提供一种基于物理内存分析的远程取证系统，其特征在于，包括：客户端：镜像客户端的物理内存，并存储到本地，并对镜像文件做hash值计算，然后调用物理内存分析行程序分析此镜像文件，将分析结果和镜像文件一起发送到服务端；服务端：侦听客户端，若有客户端连接请求，则发送客户端固定字符串，主要收集客户端的物理内存镜像文件和对应的镜像文件分析结果，服务端采取多线程，能同时收集若干个客户端的物理内存镜像文件和内存分析结果信息，并将内存分析结果存储到数据库；另一方面，与远程控制端建立连接，主要是向远程控制端发送客户端的日志信息，根据远程控制端的检索条件，从数据库中查找符合条件的检索信息。

公开(公告)号：CN119622722A

公开(公告)日：2025-03-14

申请号：CN202411665444.7

申请日：2024-11-20

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 李鑫 ,  胡家睿 ,  杨淑棉 ,  赵大伟 ,  徐丽娟 ,  仝丰华 ,  宋维钊

IPC: G06F21/56 ,  G06N3/045 ,  G06N3/042 ,  G06N3/0442 ,  G06N3/0464 ,  G06N3/084 ,  G06N3/096 ,  G06N3/0985 ,  G06V10/42 ,  G06V10/44 ,  G06V10/764 ,  G06V10/80 ,  G06V10/82

Abstract: 本发明公开了一种基于动态多专家卷积网络的恶意代码识别方法和系统，涉及计算机处理技术领域。该方法包括步骤：获取待检测的数据，对待检测的数据进行预处理；构建恶意代码检测模型，其中，恶意代码检测模型包括多个并联的专家分支，并且能够动态选择不同专家分支的输出组合；利用已知数据集对恶意代码检测模型进行训练；利用训练好的恶意代码检测模型对待检测的数据进行恶意代码识别。本发明基于深度学习，利用开集识别技术和多专家决策技术针对未知的恶意软件实现自动分类。

公开(公告)号：CN118468272A

公开(公告)日：2024-08-09

申请号：CN202410916949.X

申请日：2024-07-10

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 杨淑棉 ,  胡家睿 ,  李鑫 ,  赵大伟 ,  徐丽娟 ,  于福强 ,  杨永琪 ,  侯文源

IPC: G06F21/56 ,  G06F18/213 ,  G06F18/243 ,  G06V10/20 ,  G06V10/44 ,  G06V10/764 ,  G06V10/82 ,  G06N3/0464

Abstract: 本发明涉及恶意代码检测领域，提供了一种基于域空间特征对齐方法的恶意代码变体检测方法和系统。该方法包括，分别将源域样本代码和目标域样本代码进行灰度图转换，得到第一源域灰度图和第一目标域灰度图；进行对比度增强，将第一源域灰度图和第一目标域灰度图从空间域转换为频域，再采用逆离散余弦变换，得到第二源域灰度图和第二目标域灰度图；采用深度残差网络，得到源域特征向量和目标域特征向量，再根据源域特征向量，得到输出结果；基于分类损失和域空间特征对齐损失，构建总优化目标损失，优化深度残差网络；基于待检测的代码，输入已训练的深度残差网络中，得到恶意代码或正常代码。本发明提高了对新型恶意软件及变体的检测准确性。

公开(公告)号：CN117972701B

公开(公告)日：2024-06-07

申请号：CN202410381116.8

申请日：2024-04-01

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 赵大伟 ,  孙晨宇 ,  杨淑棉 ,  徐丽娟 ,  李鑫 ,  于福强 ,  杨永琪

IPC: G06F21/56 ,  G06F18/25 ,  G06N3/0442 ,  G06N3/045 ,  G06N3/0464 ,  G06N3/082

Abstract: 本公开提供了基于多特征融合的抗混淆恶意代码分类方法及系统，涉及网络安全技术领域，根据恶意代码的.asm文件和.bytes文件；分别利用.asm文件和.bytes文件获取加权平均值和灰度图像；将所述加权平均值和灰度图像分别输入至改进的CNN模型中进行特征提取，并将提取出的特征进行融合，生成多特征融合特征表示，将所述多特征融合特征表示输入至引入双向注意力机制的Bi‑LSTM模型中，在前向和后向方向上分别计算注意力权重，并将两个方向的上下文信息进行整合，输出恶意代码分类结果。

公开(公告)号：CN117972701A

公开(公告)日：2024-05-03

申请号：CN202410381116.8

申请日：2024-04-01

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 赵大伟 ,  孙晨宇 ,  杨淑棉 ,  徐丽娟 ,  李鑫 ,  于福强 ,  杨永琪

IPC: G06F21/56 ,  G06F18/25 ,  G06N3/0442 ,  G06N3/045 ,  G06N3/0464 ,  G06N3/082

Abstract: 本公开提供了基于多特征融合的抗混淆恶意代码分类方法及系统，涉及网络安全技术领域，根据恶意代码的.asm文件和.bytes文件；分别利用.asm文件和.bytes文件获取加权平均值和灰度图像；将所述加权平均值和灰度图像分别输入至改进的CNN模型中进行特征提取，并将提取出的特征进行融合，生成多特征融合特征表示，将所述多特征融合特征表示输入至引入双向注意力机制的Bi‑LSTM模型中，在前向和后向方向上分别计算注意力权重，并将两个方向的上下文信息进行整合，输出恶意代码分类结果。

公开(公告)号：CN117892102A

公开(公告)日：2024-04-16

申请号：CN202410290511.5

申请日：2024-03-14

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 徐丽娟 ,  娄国庆 ,  杨淑棉 ,  赵大伟 ,  陈川 ,  宋维钊

IPC: G06F18/21 ,  H04L9/40 ,  H04L41/16 ,  G06F18/214 ,  G06F18/2413 ,  G06F18/2415 ,  G06F18/2433 ,  G06N3/0895 ,  G06N3/091 ,  G06N3/096

Abstract: 本发明涉及基于主动学习的入侵行为检测方法、系统、设备及介质，属于基于网络流量的入侵检测研究技术领域，包括：（1）获取网络流量数据，进行特征提取，获得网络流量数据集，划分为训练集、测试集；（2）使用训练集对深度神经网络模型和标签分类器进行训练学习；（3）检测模型使用主动学习进行样本筛选及检测模型更新，检测模型即训练好的深度神经网络模型；（4）使用迭代更新后的检测模型进行入侵行为检测，输出检测结果。本发明能有效防止由深度神经网络进行类别标注可能带来的自我投毒现象发生。本发明对流量类别进行平衡操作，保证了更新后检测模型对恶意流量的敏感性，保持高效的恶意流量检测性能。