公开(公告)号：CN118468272B

公开(公告)日：2024-09-13

申请号：CN202410916949.X

申请日：2024-07-10

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 杨淑棉 ,  胡家睿 ,  李鑫 ,  赵大伟 ,  徐丽娟 ,  于福强 ,  杨永琪 ,  侯文源

IPC: G06F21/56 ,  G06F18/213 ,  G06F18/243 ,  G06V10/20 ,  G06V10/44 ,  G06V10/764 ,  G06V10/82 ,  G06N3/0464

Abstract: 本发明涉及恶意代码检测领域，提供了一种基于域空间特征对齐方法的恶意代码变体检测方法和系统。该方法包括，分别将源域样本代码和目标域样本代码进行灰度图转换，得到第一源域灰度图和第一目标域灰度图；进行对比度增强，将第一源域灰度图和第一目标域灰度图从空间域转换为频域，再采用逆离散余弦变换，得到第二源域灰度图和第二目标域灰度图；采用深度残差网络，得到源域特征向量和目标域特征向量，再根据源域特征向量，得到输出结果；基于分类损失和域空间特征对齐损失，构建总优化目标损失，优化深度残差网络；基于待检测的代码，输入已训练的深度残差网络中，得到恶意代码或正常代码。本发明提高了对新型恶意软件及变体的检测准确性。

公开(公告)号：CN118410498A

公开(公告)日：2024-07-30

申请号：CN202410881154.X

申请日：2024-07-03

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 徐丽娟 ,  安宝龙 ,  李鑫 ,  赵大伟 ,  仝丰华 ,  杨淑棉 ,  陈川

IPC: G06F21/57 ,  G06N3/042 ,  G06N3/0455 ,  G06N3/0464 ,  G06N3/0499 ,  G06N3/082 ,  G06N3/084 ,  G06N3/0985

Abstract: 本发明公开了一种细粒度混合语义漏洞检测方法及系统，属于网络安全技术领域。包括将序列代码表示输入预训练语言模型进行处理，获取全局语义特征向量和注意力分数嵌入矩阵；将序列代码表示输入预设的多尺度融合卷积神经网络进行处理，获取局部特征向量；将图代码表示输入具有残差结构的图卷积神经网络进行处理，获取图嵌入向量；将全局语义特征向量、局部特征向量和图嵌入向量融合后输入训练好的漏洞检测模型进行处理，获取漏洞检测结果；根据漏洞检测结果和注意力分数嵌入矩阵对序列代码表示进行细粒度检测，获取漏洞定位结果。能够提高模型特征提取能力，提高漏洞检测的准确性；解决现有技术漏洞检测粒度过粗的问题。

公开(公告)号：CN117669651B

公开(公告)日：2024-05-14

申请号：CN202410133906.4

申请日：2024-01-31

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 杨淑棉 ,  刘亚茹 ,  徐丽娟 ,  赵大伟 ,  于福强 ,  周洋 ,  宋维钊 ,  陈川

IPC: G06N3/0442 ,  G06N3/0475 ,  G06N3/088 ,  G06N3/09 ,  G06N3/094

Abstract: 本发明涉及基于ARMA模型的对抗样本黑盒攻击防御方法及系统，属于对抗样本攻击防御技术领域，数据预处理，训练异常检测模型，独立训练代理模型；对测试集进行对抗样本攻击，包括：对离散类型特征添加扰动；评估对抗样本的可迁移性；误差优化混合再训练的防御；使用训练误差对对抗样本误差进行优化；评估对抗样本防御方法的性能；利用USAD优化模型对工业控制系统的行为数据进行异常检测，输出检测结果。本发明有效解决了对抗样本不符合特征约束、对抗样本符合特征约束但忽略了不同特征之间的复杂依赖性、不易在现实环境中执行的白盒攻击、部分防御方法无法使模型有效对对抗样本进行准确分类和单独使用误差优化方法无法提高模型性能的问题。

公开(公告)号：CN116361801B

公开(公告)日：2023-09-01

申请号：CN202310636026.4

申请日：2023-06-01

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 杨淑棉 ,  张雨鑫 ,  赵大伟 ,  徐丽娟 ,  李鑫 ,  孙晨宇 ,  徐庆灵 ,  杨永琪

IPC: G06F21/56 ,  G06F9/54 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明属于网络安全领域，提供了一种基于应用程序接口语义信息的恶意软件检测方法及系统，包括获取软件API调用序列并进行预处理；基于预处理后的API调用序列将每个API进行向量化表示，得到API调用序列特征向量；基于预处理后的API调用序列中的API调用名称将每个API进行向量化表示，得到API调用名称特征向量；根据API调用序列特征向量和API调用名称特征向量，利用预先训练好的恶意软件检测模型进行软件检测，得到检测结果。本发明通过词嵌入模型获得API调用序列的矢量表示，并描述API名称的语义结构信息和统计信息，解决了现有技术只分析单一特征或者对单一特征分析不充分导致信息丢失从而影响准确率的问题。

公开(公告)号：CN116340944B

公开(公告)日：2023-08-18

申请号：CN202310608993.X

申请日：2023-05-29

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 赵大伟 ,  孙晨宇 ,  杨淑棉 ,  徐丽娟 ,  李鑫 ,  张雨鑫 ,  徐庆玲

IPC: G06F21/56

Abstract: 本发明属于恶意代码分类技术领域，提出了一种基于RGB图像和轻量化模型的恶意代码分类方法及系统，包括：反编译原始恶意代码文件生成asm文件和bytes文件；提取asm文件中的操作码序列和bytes文件中的字节序列，将基于操作码序列生成的灰度图和马尔可夫图像以及基于字节序列生成的马尔可夫图像进行融合，得到融合后的RGB图像；将其输入至训练后的轻量化模型中进行分类。本发明分别提取操作码序列和字节序列，获得基于操作码频率的灰度图、基于操作码序列的马尔科夫图像、基于字节序列的马尔可夫图像；将操作码序列可视化为马尔可夫图像，最大限度地保证了提取特征的完整性，提高了模型的泛化能力。

公开(公告)号：CN116361801A

公开(公告)日：2023-06-30

申请号：CN202310636026.4

申请日：2023-06-01

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 杨淑棉 ,  张雨鑫 ,  赵大伟 ,  徐丽娟 ,  李鑫 ,  孙晨宇 ,  徐庆灵 ,  杨永琪

IPC: G06F21/56 ,  G06F9/54 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明属于网络安全领域，提供了一种基于应用程序接口语义信息的恶意软件检测方法及系统，包括获取软件API调用序列并进行预处理；基于预处理后的API调用序列将每个API进行向量化表示，得到API调用序列特征向量；基于预处理后的API调用序列中的API调用名称将每个API进行向量化表示，得到API调用名称特征向量；根据API调用序列特征向量和API调用名称特征向量，利用预先训练好的恶意软件检测模型进行软件检测，得到检测结果。本发明通过词嵌入模型获得API调用序列的矢量表示，并描述API名称的语义结构信息和统计信息，解决了现有技术只分析单一特征或者对单一特征分析不充分导致信息丢失从而影响准确率的问题。

公开(公告)号：CN114926680A

公开(公告)日：2022-08-19

申请号：CN202210524306.1

申请日：2022-05-13

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 赵子琳 ,  赵大伟 ,  杨淑棉 ,  徐丽娟 ,  仝丰华 ,  孙晨宇 ,  张雨馨 ,  徐庆灵 ,  刘子欣

IPC: G06V10/764 ,  G06V10/82 ,  G06N3/04 ,  G06N3/08 ,  G06V10/26 ,  G06V10/50 ,  G06F21/56

Abstract: 本发明涉及一种基于AlexNet网络模型的恶意软件分类方法及系统，包括：数据预处理：以二进制方式读取恶意软件；求取转移概率矩阵；标准化处理转移概率矩阵；在转移概率矩阵上应用色图，将恶意软件二进制文件可视化为恶意软件彩色图像，使用改进的CLAHE算法对恶意软件彩色图像进行增强处理。训练恶意软件分类模型即AlexNet网络模型；将待检测的恶意软件通过数据预处理后输入训练好的恶意软件分类模型得到恶意软件分类结果；本发明模型泛化能力强，同时避免信息的冗余或丢失问题，在增强图像的对比度同时能够抑制噪声，有效的提高分类的准确率；网络层数和模型参数减少，训练过程中消耗的时间和空间要少很多，分类速度明显提升。

公开(公告)号：CN112835337B

公开(公告)日：2021-08-24

申请号：CN202110004321.9

申请日：2021-01-04

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 张磊 ,  赵大伟 ,  衣孚民 ,  赵子琳 ,  高鑫 ,  徐丽娟 ,  杨淑棉 ,  陈川

IPC: G05B19/418

Abstract: 本公开提供了一种工控安全靶场平台及方法，工控安全靶场平台模拟构建了一个城市水务数据采集与监视控制系统，由目标生产环境层、现场控制层以及监视控制层组成，包括快速输配水仿真模块、模拟PLC模块、模拟MTU模块、模拟HMI模块以及连接各模块的工业以太网通信网络；通过将实时的输配水仿真系统引入到工控安全仿真实验领域，增加了工控安全靶场的目标场景，解决了搭建实物、半实物城市水务工控安全仿真实验场景时费用高、耗时长、扩展难等问题；通过在目标生产环境仿真过程中引入预执行的仿真处理方法，解决了原仿真需要顺序执行因而仿真速度慢、效率低的问题。

公开(公告)号：CN112597495A

公开(公告)日：2021-04-02

申请号：CN202011532274.7

申请日：2020-12-22

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 赵大伟 ,  吴晓明 ,  杨美红 ,  徐丽娟 ,  张磊 ,  杨淑棉 ,  唐勇伟 ,  陈川 ,  周洋

IPC: G06F21/56 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明涉及一种恶意代码检测方法、系统、设备及存储介质。该方法包括；(1)训练阶段：利用已知软件样本训练多模态深度神经网络模型；(2)检测阶段：利用训练阶段训练好的多模态深度神经网络模型对未知软件样本进行检测。本发明可以将任意不同大小的软件样本转换为相同大小的灰度图像，便于应用于卷积神经网络；本发明同时使用了API函数调用序列、指令序列、字节流三个典型特征，克服了单一特征检测的局限，本发明多模态深度学习将静态特征与动态特征进行融合决策，能获得更全面且准确的恶意代码检测结果。

公开(公告)号：CN111581163A

公开(公告)日：2020-08-25

申请号：CN202010396804.3

申请日：2020-05-12

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 杨淑棉 ,  徐淑奖 ,  王连海 ,  赵大伟 ,  韩晓晖 ,  刘广起 ,  郭秋香 ,  张睿超

IPC: G06F16/16 ,  G06F21/62

Abstract: 本发明公开了基于NTFS文件系统的数据无痕删除方法及系统，包括：读取NTFS卷头信息；对NTFS卷头信息进行解析；定位$MFT文件的起始地址；定位根目录的MFT表的起始地址；根据根目录的MFT表，获取根目录文件内容的起始地址；根据根目录文件内容的起始地址，对根目录进行解析，获取根目录下文件夹和文件的文件记录号；根据根目录下文件夹和文件的文件记录号，计算文件记录号的个数，对文件记录号对应的文件名依次循环遍历，判断文件记录号对应的文件名与待无痕删除的文件名是否相同；如果文件名相同，则删除与文件相关的所有痕迹；如果文件名不同，则对下一个文件记录号对应的文件名进行判断。