公开(公告)号：CN116866084A

公开(公告)日：2023-10-10

申请号：CN202311098883.X

申请日：2023-08-30

Applicant: 国网山东省电力公司信息通信公司 ,  山东省计算中心(国家超级计算济南中心)

Inventor： 曲延盛 ,  李明 ,  王云霄 ,  黄华 ,  张文斌 ,  张婕 ,  任乐 ,  刘维特 ,  赵丽娜 ,  赵大伟 ,  徐丽娟

IPC: H04L9/40 ,  G06N3/092 ,  G06N3/006 ,  G06N7/01

Abstract: 本发明提出了基于强化学习的入侵响应决策方法及系统，涉及电力控制技术领域，获取电力控制系统的网络配置及设备的资产信息和安全信息，构建攻击图和贝叶斯攻击图；入侵发生时，基于构建的攻击图，利用深度强化学习算法，从动态策略集中选择最优的防护策略进行动态响应；入侵发生后，基于构建的贝叶斯攻击图，利用Q‑Learning粒子群优化算法，从静态策略集中选择最优的防护策略进行静态响应；本发明在攻击发生时采用深度强化学习DDQN算法进行策略选择，解决了强化学习DQN算法的高估问题，提高了决策质量；在攻击发生后采用Q‑Learning优化粒子群算法的参数进行策略选择，避免了局部最优解。

公开(公告)号：CN116361801B

公开(公告)日：2023-09-01

申请号：CN202310636026.4

申请日：2023-06-01

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 杨淑棉 ,  张雨鑫 ,  赵大伟 ,  徐丽娟 ,  李鑫 ,  孙晨宇 ,  徐庆灵 ,  杨永琪

IPC: G06F21/56 ,  G06F9/54 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明属于网络安全领域，提供了一种基于应用程序接口语义信息的恶意软件检测方法及系统，包括获取软件API调用序列并进行预处理；基于预处理后的API调用序列将每个API进行向量化表示，得到API调用序列特征向量；基于预处理后的API调用序列中的API调用名称将每个API进行向量化表示，得到API调用名称特征向量；根据API调用序列特征向量和API调用名称特征向量，利用预先训练好的恶意软件检测模型进行软件检测，得到检测结果。本发明通过词嵌入模型获得API调用序列的矢量表示，并描述API名称的语义结构信息和统计信息，解决了现有技术只分析单一特征或者对单一特征分析不充分导致信息丢失从而影响准确率的问题。

公开(公告)号：CN116340944B

公开(公告)日：2023-08-18

申请号：CN202310608993.X

申请日：2023-05-29

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 赵大伟 ,  孙晨宇 ,  杨淑棉 ,  徐丽娟 ,  李鑫 ,  张雨鑫 ,  徐庆玲

IPC: G06F21/56

Abstract: 本发明属于恶意代码分类技术领域，提出了一种基于RGB图像和轻量化模型的恶意代码分类方法及系统，包括：反编译原始恶意代码文件生成asm文件和bytes文件；提取asm文件中的操作码序列和bytes文件中的字节序列，将基于操作码序列生成的灰度图和马尔可夫图像以及基于字节序列生成的马尔可夫图像进行融合，得到融合后的RGB图像；将其输入至训练后的轻量化模型中进行分类。本发明分别提取操作码序列和字节序列，获得基于操作码频率的灰度图、基于操作码序列的马尔科夫图像、基于字节序列的马尔可夫图像；将操作码序列可视化为马尔可夫图像，最大限度地保证了提取特征的完整性，提高了模型的泛化能力。

公开(公告)号：CN116452696A

公开(公告)日：2023-07-18

申请号：CN202310712409.5

申请日：2023-06-16

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 仝丰华 ,  向鑫鑫 ,  赵大伟 ,  李鑫

IPC: G06T11/00 ,  G06T5/00 ,  G06V10/20 ,  G06V10/80 ,  G06V10/82 ,  G06N3/0464 ,  G06N3/048 ,  G06N3/084

Abstract: 本发明属于图像处理领域，为了解决现有技术没有充分利用图像特征信息的问题，提出了一种基于双域特征采样的图像压缩感知重构方法及系统，将原始图像基于图像域和特征域进行特征提取，并将所提取的特征进行分块采样得到采样值；将采样值进行卷积操作和第一像素混洗操作，得到初始重构图像；将初始重构图像经过深度重建子网络得到最终重构图像；深度重建子网络包括多个依次连接的更新模块和去噪模块，更新模块用于对初始重建图像和采样值基于不同特征维度的约束结合，去噪模块用于对更新模块的输出基于对不同分辨率特征分别去噪后融合输出。对原始图像双域特征提取，充分利用图像特征，提高后续图像重建质量。

公开(公告)号：CN116361801A

公开(公告)日：2023-06-30

申请号：CN202310636026.4

申请日：2023-06-01

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 杨淑棉 ,  张雨鑫 ,  赵大伟 ,  徐丽娟 ,  李鑫 ,  孙晨宇 ,  徐庆灵 ,  杨永琪

IPC: G06F21/56 ,  G06F9/54 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明属于网络安全领域，提供了一种基于应用程序接口语义信息的恶意软件检测方法及系统，包括获取软件API调用序列并进行预处理；基于预处理后的API调用序列将每个API进行向量化表示，得到API调用序列特征向量；基于预处理后的API调用序列中的API调用名称将每个API进行向量化表示，得到API调用名称特征向量；根据API调用序列特征向量和API调用名称特征向量，利用预先训练好的恶意软件检测模型进行软件检测，得到检测结果。本发明通过词嵌入模型获得API调用序列的矢量表示，并描述API名称的语义结构信息和统计信息，解决了现有技术只分析单一特征或者对单一特征分析不充分导致信息丢失从而影响准确率的问题。

公开(公告)号：CN116032775A

公开(公告)日：2023-04-28

申请号：CN202310025793.1

申请日：2023-01-09

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院) ,  哈尔滨工业大学(威海)

Inventor： 徐丽娟 ,  丁潇 ,  赵大伟 ,  王凯 ,  仝丰华 ,  李鑫 ,  高鑫

IPC: H04L41/14 ,  G06N20/10 ,  G06N3/08 ,  G06N3/0455 ,  G06N3/0442 ,  H04L41/142

Abstract: 本发明涉及一种面向概念漂移的工业控制网络异常检测方法，该方法以实时多维数据流作为目标数据。该方法在初始数据流上训练教师模型和单类支持向量机模型；对于每批次数据流，都基于教师模型训练一个新的学生模型；利用学生模型对当前批次数据流进行异常检测，并利用单类支持向量机模型清洗正常数据中的异常值以获得更新模型所需要的训练数据；利用旧的学生模型获得当前批次数据流和前一批次数据流的异常分数集，然后根据Hoeffding不等式计算模型的可靠性，从而计算模型的参数系数，利用参数系数更新模型以适应概念漂移。本发明可以有效解决异常检测模型在概念发生漂移时的效率衰减问题。

公开(公告)号：CN115051854B

公开(公告)日：2023-04-07

申请号：CN202210664738.2

申请日：2022-06-13

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 杨光 ,  付勇 ,  赵大伟 ,  王继志 ,  吴钰 ,  陈丽娟

IPC: H04L9/40 ,  G06F18/2113 ,  G06F18/2135 ,  G06F18/2411 ,  G06F18/25

Abstract: 本发明涉及一种基于动态更新机制的内部威胁融合检测方法及系统，本发明基于组织内部采集的用户主客观特征数据，采用SAE模型提取高层融合特征，并引入基于SAE模型的学习样本筛选算法与特征、分类器双层泛化训练模式，实现融合检测针对用户主客观特征关联模式迁移的自适应能力。最终，借助本发明具备动态更新机制的内部威胁融合检测方法，研究者/安全分析人员可以根据实际场景需求，定制化选择训练所需的基于机器学习模型的双类/单类分类器，借助SAE模型的学习样本筛选算法与双层泛化训练模式，提升本发明检测系统针对用户特征融合模式偏移的时间自适应性，从而充分发挥融合检测优势，有效提升现有内部威胁检测系统的准确性与可行性。

公开(公告)号：CN114143037B

公开(公告)日：2022-10-11

申请号：CN202111303061.1

申请日：2021-11-05

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 杨光 ,  付勇 ,  王继志 ,  赵大伟 ,  陈丽娟 ,  陈振娅 ,  杨美红 ,  吴晓明 ,  王英龙

IPC: H04L9/40 ,  H04L41/14

Abstract: 本发明涉及一种基于进程行为分析的恶意加密信道检测方法，包括：步骤1：加密会话流量数据采集与进程归类；包括：加密流量数据采集、预处理、进程归类；步骤2：进程文件加密通讯行为特征树建构；建构加密会话的元特征即IP层、TCP段负载长度序列特征即TCP层以及SSL消息状态转换特征即SSL记录层的三层次特征树；步骤3：基于特征树的异常检测；包括：采集正常加密通讯行为数据；正常加密通讯行为基准建构；目标PEF加密通讯行为模型建构；特征树间相异度计算；基于阈值的异常检测。本发明借助异常检测的方法，打破单纯从会话层次检测恶意加密信道的局限，实现对恶意进程文件的有效检测。

公开(公告)号：CN115022052A

公开(公告)日：2022-09-06

申请号：CN202210637361.1

申请日：2022-06-07

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 杨光 ,  付勇 ,  赵大伟 ,  王继志 ,  吴钰 ,  陈丽娟

IPC: H04L9/40 ,  G06K9/62 ,  G06N20/00

Abstract: 本发明涉及一种基于用户二元性分析的内部用户异常行为融合检测方法及系统，包括：采集用户二元数据；基于用户元特征与用户行为特征，分别独立训练用户元特征分类器模型与用户异常行为分类器模型，分别进行用户元特征异常个体检测和用户异常行为检测；基于检测结果，建立用户二元性结果矩阵，并针对不同的情况分别予以分析处理：对于元特征异常且行为特征异常的用户，直接告警；对于元特征正常且行为特征正常的用户，判定为正常；对于元特征异常且行为特征正常的用户，适当调控行为偏移阈值；对于元特征正常且行为特征异常的用户，适当调控行为偏移阈值。本发明可以无遗漏地分析用户二元性分类器判定结果组合情境，针对性执行后续分析检测。

公开(公告)号：CN114926680A

公开(公告)日：2022-08-19

申请号：CN202210524306.1

申请日：2022-05-13

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 赵子琳 ,  赵大伟 ,  杨淑棉 ,  徐丽娟 ,  仝丰华 ,  孙晨宇 ,  张雨馨 ,  徐庆灵 ,  刘子欣

IPC: G06V10/764 ,  G06V10/82 ,  G06N3/04 ,  G06N3/08 ,  G06V10/26 ,  G06V10/50 ,  G06F21/56

Abstract: 本发明涉及一种基于AlexNet网络模型的恶意软件分类方法及系统，包括：数据预处理：以二进制方式读取恶意软件；求取转移概率矩阵；标准化处理转移概率矩阵；在转移概率矩阵上应用色图，将恶意软件二进制文件可视化为恶意软件彩色图像，使用改进的CLAHE算法对恶意软件彩色图像进行增强处理。训练恶意软件分类模型即AlexNet网络模型；将待检测的恶意软件通过数据预处理后输入训练好的恶意软件分类模型得到恶意软件分类结果；本发明模型泛化能力强，同时避免信息的冗余或丢失问题，在增强图像的对比度同时能够抑制噪声，有效的提高分类的准确率；网络层数和模型参数减少，训练过程中消耗的时间和空间要少很多，分类速度明显提升。