公开(公告)号：CN116910315A

公开(公告)日：2023-10-20

申请号：CN202310836223.0

申请日：2023-07-07

申请人： 浙江工业大学

发明人： 陈铁明 ,  宋琪杰 ,  朱添田 ,  吕明琪 ,  仇学博 ,  顾国民 ,  陈波

IPC分类号： G06F16/901 ,  G06F16/903 ,  H03M7/30 ,  G06F16/906 ,  G06F18/24 ,  G06N3/042 ,  G06N3/0464 ,  G06N3/08

摘要： 本发明公开了一种基于原子操作和超图的系统内核日志压缩存储方法，包括采集系统内核日志并转化为第一起源图；针对ATT&CK模型中的TTP，构建不同技术的攻击脚本；采集攻击脚本运行产生的日志数据，并对日志数据进行原子操作行为表征，根据表征得到的不同原子操作行为图构建原子操作行为图库；根据所构建的原子操作行为图库对第一起源图进行匹配，匹配解析出第一起源图中包含的原子操作行为，聚合第一起源图中具有同类别的原子操作行为的三元组；将第一起源图转化为超图，并且设置超图中的超边为相同类别聚合成的三元组对应的原子操作行为的类别，完成系统内核日志的压缩存储。本发明实现了不损失语义的内核日志高效压缩存储。

公开(公告)号：CN118445145A

公开(公告)日：2024-08-06

申请号：CN202410540573.7

申请日：2024-04-30

申请人： 浙江工业大学

发明人： 陈铁明 ,  朱志凌 ,  陆熠恒 ,  宋琪杰 ,  仇学博 ,  朱添田 ,  吕明琪 ,  顾国民

IPC分类号： G06F11/30 ,  G06F9/54

摘要： 本发明属于网络安全和操作系统领域，公开了一种基于eBPF的Linux内核事件日志采集方法及系统，方法包括解析用户输入的命令行，获得事件类型、输出格式和输出位置；采集器初始化；当挂载点触发时，解析钩子函数捕获的数据，并对解析后的数据进行过滤，将过滤后的数据进行结构转换，并在结构转换后进行编码压缩，将编码压缩后的数据存储至二级缓冲区，当环形缓冲区的空闲长度不小于编码压缩后的数据量时，将二级缓冲区中编码压缩后的数据同步至环形缓冲区中；处理线程获取环形缓冲区中的新增数据，将新增数据根据输出格式进行转换，并按照输出位置将转换后的数据输出。本发明对内核事件进行监控、跟踪和可观测性，具有较强的灵活性。

公开(公告)号：CN114785803A

公开(公告)日：2022-07-22

申请号：CN202210419317.3

申请日：2022-04-20

申请人： 浙江工业大学

发明人： 陈铁明 ,  姜峰 ,  宋琪杰 ,  李英龙 ,  王婷

IPC分类号： H04L67/1042 ,  H04L12/18

摘要： 本发明公开了一种适用于充电桩管理的区块链PBFT共识优化方法，包括：区块链网络初始化，设定发起PBFT共识的时间间隔；区块链网络接收包含充电桩使用请求信息的广播后，对区块链中达成共识的节点增加一个积分，对未达成共识的节点减少一个积分；利用可验证随机函数从积分大于积分阈值的节点中选取共识节点，并基于共识节点选取积分最高的作为主节点；主节点根据预设的时间间隔定时向区块链网络全网主动发起共识请求，当主节点收集到2f+1个确认消息时，则区块链全网达成共识；达成共识后，区块链中同步生成包含本次充电桩使用请求信息的新区块。本发明提高信息传递速率，降低恶意节点对整个区块链共识的影响。

公开(公告)号：CN112016047A

公开(公告)日：2020-12-01

申请号：CN202010727542.4

申请日：2020-07-24

申请人： 浙江工业大学

发明人： 朱添田 ,  翁正秋 ,  宋琪杰

IPC分类号： G06F17/18 ,  G06F17/10 ,  G06N3/04 ,  G06K9/62 ,  G06F21/31

摘要： 本发明提供了一种基于进化博弈的启发式数据采集方法、装置、计算机设备以及其应用，应用于包括参与用户和服务器的启发式数据采集系统，该数据采集方法中服务器端接收参与用户按照接入请求中的数据采集的传感过程采集的传感数据；针对接收到的传感数据计算的收益，并根据参与用户的状态信息以及根据启发式数据采集系统的所有参与用户的平均收益为参与用户制定的策略调整方案，并发送给参与用户，所述策略调整方案用于作为参与用户调整数据采集的传感过程的参考。本发明通过收益机制激励用户参与设备采集数据的提供，并通过参与式博弈机制实现启发式的数据采集，提高水平数据的收集效率，提高数据应用场景的覆盖率。

公开(公告)号：CN117097504A

公开(公告)日：2023-11-21

申请号：CN202310804303.8

申请日：2023-07-03

申请人： 浙江工业大学

发明人： 吕明琪 ,  叶宏 ,  陈铁明 ,  宋琪杰 ,  仇学博 ,  王浩 ,  朱添田

IPC分类号： H04L9/40 ,  G06F16/901 ,  G06F16/907 ,  G06F16/903

摘要： 本发明公开了一种基于子图匹配的主机异常行为检测方法，包括：采集异常行为日志数据构建第一异构图，并基于第一异构图抽取行为元图，形成行为元图库；采集操作系统内核事件构建第二异构图；在行为元图库中抽取一个行为元图，对行为元图中的每个元图节点，在第二异构图中查找与元图节点匹配的候选节点；选择候选节点个数最少的元图节点作为种子节点；从种子节点的候选节点集中的每个候选节点开始进行遍历，使用节点间的影响分数简化匹配结果，并确定匹配子图；计算行为元图与匹配子图的相似度，若相似度超过阈值则确定该匹配子图的行为为该行为元图所代表的异常行为。本发明基于系统日志数据进行异常行为分析，可更真实的反应系统行为。

公开(公告)号：CN116846594A

公开(公告)日：2023-10-03

申请号：CN202310606513.6

申请日：2023-05-26

申请人： 浙江工业大学

发明人： 陈铁明 ,  王浩 ,  江颉 ,  宋琪杰 ,  朱添田 ,  顾国民 ,  仇学博 ,  叶宏

IPC分类号： H04L9/40

摘要： 本发明公开了一种基于超图的攻击检测与溯源方法及系统，方法包括：采集内核日志，并进行压缩处理得到第一起源图；根据ATT&CK攻防矩阵进行路径匹配，在第一起源图中匹配出超边，并基于超边进行超图的构建；采用基于专家经验所得的攻击行为，对超图中的每个超边进行匹配，并将匹配成功的超边标记为恶意行为，并根据超边进行溯源操作。本发明利用超图的结构进行起源图的转化，通过超边来进行攻击行为的匹配，提高检测的效率，并且能够溯源找出攻击的初始切入节点。

公开(公告)号：CN116681131A

公开(公告)日：2023-09-01

申请号：CN202310594277.0

申请日：2023-05-23

申请人： 浙江工业大学

发明人： 陈铁明 ,  孔浩彬 ,  朱志凌 ,  江颉 ,  钟云锦 ,  宋琪杰 ,  朱添田 ,  吕明琪 ,  顾国民 ,  刘承威

IPC分类号： G06N5/02 ,  G06F21/57

摘要： 本发明公开了一种基于知识图谱的容器镜像仓库风险预测方法，包括：构建基础的容器镜像知识图谱；补充软件知识及漏洞知识，完成最终的容器镜像知识图谱构建；基于容器镜像知识图谱的镜像层、软件层和漏洞层，量化镜像范围得到待预测的容器镜像仓库中镜像对应的漏洞集，量化漏洞范围得到待预测的容器镜像仓库中受特定漏洞影响的镜像集；根据漏洞集、镜像集以及镜像下载量，输出待预测的容器镜像仓库的风险预测结果。本发明有助于提高容器镜像仓库的总体安全防护水平，有效降低容器技术在实践中的安全风险。

公开(公告)号：CN112769894A

公开(公告)日：2021-05-07

申请号：CN202011494197.0

申请日：2020-12-17

申请人： 国网浙江省电力有限公司信息通信分公司 ,  国网浙江德清县供电有限公司 ,  浙江工业大学 ,  北京隐山科技有限公司

发明人： 李洋 ,  胡凯 ,  曹维珊 ,  洪成 ,  章振海 ,  唐玉平 ,  姚宸杨 ,  张烨华 ,  陈海龙 ,  王凌 ,  顾国民 ,  陈铁明 ,  宋琪杰 ,  刘媛

IPC分类号： H04L29/08 ,  H04L29/06 ,  H04L9/32

摘要： 一种基于区块链Merkle树验证的设备认证方法，包括如下步骤：步骤一：可编程网关通过区块链接口进行区块头同步。步骤二：设备提交注册信息后，由网关构建交易存入区块链，并返回交易hash值作为凭证；步骤三：设备携带注册交易hash向网关发起认证请求；步骤四：将注册hash与路径值中的hash进行一一运算，获得根hash值，并与网关区块头中同步的最长链中的区块Merkle根hash进行比较，找到相等区块，并获取已经确认数量，若大于设定确认，则认证有效通过；步骤五：网关将定时对设备进行认证。本发明可杜绝设备隐私信息的传播，并无需等待区块链确认进行交易信息，即认证信息的验证，提高设备认证安全性。

公开(公告)号：CN112016047B

公开(公告)日：2024-11-08

申请号：CN202010727542.4

申请日：2020-07-24

申请人： 浙江工业大学

发明人： 朱添田 ,  翁正秋 ,  宋琪杰

IPC分类号： G06F17/18 ,  G06F17/10 ,  G06N3/0442 ,  G06F18/214 ,  G06F21/31 ,  G06N3/084

摘要： 本发明提供了一种基于进化博弈的启发式数据采集方法、装置、计算机设备以及其应用，应用于包括参与用户和服务器的启发式数据采集系统，该数据采集方法中服务器端接收参与用户按照接入请求中的数据采集的传感过程采集的传感数据；针对接收到的传感数据计算的收益，并根据参与用户的状态信息以及根据启发式数据采集系统的所有参与用户的平均收益为参与用户制定的策略调整方案，并发送给参与用户，所述策略调整方案用于作为参与用户调整数据采集的传感过程的参考。本发明通过收益机制激励用户参与设备采集数据的提供，并通过参与式博弈机制实现启发式的数据采集，提高水平数据的收集效率，提高数据应用场景的覆盖率。

公开(公告)号：CN118897831A

公开(公告)日：2024-11-05

申请号：CN202411401493.X

申请日：2024-10-09

申请人： 浙江工业大学

发明人： 顾国民 ,  洪啸羿 ,  陈铁明 ,  宋琪杰 ,  仇学博 ,  朱志凌 ,  朱添田 ,  吕明琪 ,  陈波

IPC分类号： G06F16/18 ,  G06F16/174 ,  G06N3/0455 ,  G06N3/0895

摘要： 本发明属于计算机技术领域，具体涉及一种基于掩码自编码器的日志数据压缩和解压缩方法。本发明包括，根据原始起源图划分的子图构建邻接矩阵、节点特征矩阵和行为权重矩阵；对节点特征矩阵进行掩码处理，将邻接矩阵、行为权重矩阵和经过掩码处理的节点特征矩阵送入编码器，编码器输出表征向量通过解码器得到重构起源图；通过比较重构起源图与原始起源图计算重构误差，迭代更新掩码自编码器模型的训练参数；利用训练好的模型的编码器压缩日志数据，利用训练好的模型的解码器解压缩。本发明通过引入掩码自编码器模型对日志数据进行压缩，可以大幅降低传输所需的带宽，同时保证数据在经过压缩与解压后能够保持足够的信息量，以供后续的分析和处理。