公开(公告)号：CN107621971B

公开(公告)日：2018-08-21

申请号：CN201710966659.6

申请日：2017-10-17

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 张淑慧 ,  王连海 ,  刘广起 ,  杨淑棉 ,  徐淑奖 ,  韩晓晖 ,  邹丰义

IPC: G06F9/455 ,  G06F9/50

Abstract: 本发明公开了面向XenServer平台的虚拟机内存取证方法，包括：获取宿主机的物理内存信息存为内存镜像文件；获取宿主机中的内核符号表文件；获取vmcoreinfo_xen内容的物理地址；根据物理地址获取vmcoreinfo_xen的内容，解析出内核符号的虚拟地址domain_list和pgd_l4；将pgd_l4的虚拟地址转换为物理地址；获取结构体地址；根据结构体之间的关系来获取虚拟机对应的结构体；实现虚拟机物理地址的地址转换；获取到虚拟机物理内存内容后，进行虚拟机操作系统版本的判定；虚拟机操作系统确定后，根据虚拟机操作系统版本的不同使用相应的内存分析方法进行物理内存分析。

公开(公告)号：CN105160001A

公开(公告)日：2015-12-16

申请号：CN201510571067.5

申请日：2015-09-09

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 张淑慧 ,  王连海 ,  徐丽娟 ,  杨淑棉 ,  刘广起

IPC: G06F17/30

CPC classification number: G06F17/30115

Abstract: 本发明的Linux系统物理内存镜像文件分析方法，包括a).操作系统版本判断以及页目录地址的获取；b).地址转换；c).数据库中已存系统内核符号表的恢复；c-1).获取内核符号的数目；c-2).获取内核符号的类型和名称；c-3).获取内核符号的虚拟地址；d).数据库中未存系统内核符号的恢复；e).获取系统关键信息；e-1).获取进程信息和文件信息；e-2).获取已加载模块信息；e-3).获取网络、CPU、日志和调试信息；f).获取模块导出符号表。本发明的分析方法具有普遍适用性，打破了以往必须知道内系统版本信息和附加内核符号表文件的局限性，为Linux系统内存分析提供了更为通用的分析方法，有益效果显著。

公开(公告)号：CN118585247A

公开(公告)日：2024-09-03

申请号：CN202410689368.7

申请日：2024-05-30

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 赵大伟 ,  李华山 ,  徐丽娟 ,  张磊 ,  陈川 ,  周洋 ,  杨淑棉 ,  李鑫

IPC: G06F9/30

Abstract: 本发明涉及计算机技术领域，提供了一种缓存淘汰与多处理器指令集向机器指令转换方法及系统。缓存淘汰方法，包括：接收目标机器指令存储请求；若待请求的数据不在预设的缓存中，则判断缓存是否已满，若未满，则直接将目标机器指令存储至缓存中；否则，采用评分函数计算缓存中每个缓存块的评分，淘汰评分最低的缓存块；其中，所述评分函数为：待评分缓存块被访问的总次数除以当前时间戳与该缓存块最后一次被访问的时间戳的差。

公开(公告)号：CN118094550B

公开(公告)日：2024-07-23

申请号：CN202410486741.9

申请日：2024-04-23

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 杨淑棉 ,  杨永琪 ,  赵大伟 ,  徐丽娟 ,  李鑫 ,  于福强

IPC: G06F21/56 ,  G06F21/53 ,  G06N3/0455 ,  G06N3/09 ,  G06F18/23 ,  G06F18/24

Abstract: 本发明提供了一种基于Bert与监督对比学习的动态恶意软件检测方法，属于恶意软件检测技术领域。将预处理后的API调用信息中的字符型信息进行编码，基于预编译的Bert模型得到字符型API调用特征向量；将预处理后的API调用信息中的数值型信息进行编码，得到数值型API调用特征向量；计算API调用信息中字符型参数的统计特征，得到API字符型参数统计特征向量；对上述特征向量进行拼接，基于拼接后的API调用特征，结合训练好的检测模型，得到恶意软件检测结果；其中，检测模型的预训练阶段通过最小化监督对比损失函数更新检测模型权重；本发明提高了检测模型的泛化能力，同时减少了对应负样本挖掘的依赖。

公开(公告)号：CN118036006B

公开(公告)日：2024-07-05

申请号：CN202410436840.6

申请日：2024-04-12

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 徐庆灵 ,  赵大伟 ,  杨淑棉 ,  徐丽娟 ,  李鑫 ,  宋维钊

IPC: G06F21/56 ,  G06F18/213 ,  G06F18/241 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明提供了一种基于敏感API的恶意软件检测方法、系统、设备及介质，其属于软件检测技术领域，包括：对待检测的APK文件进行反编译，并从中提取API调用图、操作码以及包名；对API调用图中的每个节点进行分类，获得内部调用节点和外部调用节点；其中，对于内部调用节点采用操作码进行特征表示，外部调用节点采用API所在的包名进行特征表示；基于预设敏感API数据集，获取满足预设要求的若干敏感API，并基于所述若干敏感API对分类后的API调用图中的节点进行重要性标记，获得增强后的API调用图；将所述增强后的API调用图输入预先训练的基于深度学习的安卓恶意软件检测模型中，获得检测结果。

公开(公告)号：CN118036005B

公开(公告)日：2024-07-02

申请号：CN202410431681.0

申请日：2024-04-11

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 徐庆灵 ,  赵大伟 ,  杨淑棉 ,  徐丽娟 ,  李鑫 ,  于福强

IPC: G06F21/56 ,  G06F16/35 ,  G06F40/216 ,  G06N3/042

Abstract: 本发明提供了基于精简调用图的恶意应用检测方法、系统、设备及介质，其属于软件检测技术领域，包括：基于待检测应用程序的行为特征数据，进行函数调用图构建；基于预先构建的敏感API列表，从函数调用图中筛选出存在于敏感API列表中的外部调用函数节点和与所述外部调用函数节点直接或间接连接的节点，作为第一集合，以及与存在于第一集合中的节点直接或间接连接的内部自定义函数节点，作为第二集合；计算函数调用图中各节点的节点中心性，并以节点中心性大于预设阈值的节点，构建第三集合；基于获得的第一集合、第二集合及第三集合，构建精简调用图；基于精简调用图结合预先训练的基于深度学习的恶意软件检测模型，获得恶意软件检测结果。

公开(公告)号：CN118094550A

公开(公告)日：2024-05-28

申请号：CN202410486741.9

申请日：2024-04-23

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 杨淑棉 ,  杨永琪 ,  赵大伟 ,  徐丽娟 ,  李鑫 ,  于福强

IPC: G06F21/56 ,  G06F21/53 ,  G06N3/0455 ,  G06N3/09 ,  G06F18/23 ,  G06F18/24

Abstract: 本发明提供了一种基于Bert与监督对比学习的动态恶意软件检测方法，属于恶意软件检测技术领域。将预处理后的API调用信息中的字符型信息进行编码，基于预编译的Bert模型得到字符型API调用特征向量；将预处理后的API调用信息中的数值型信息进行编码，得到数值型API调用特征向量；计算API调用信息中字符型参数的统计特征，得到API字符型参数统计特征向量；对上述特征向量进行拼接，基于拼接后的API调用特征，结合训练好的检测模型，得到恶意软件检测结果；其中，检测模型的预训练阶段通过最小化监督对比损失函数更新检测模型权重；本发明提高了检测模型的泛化能力，同时减少了对应负样本挖掘的依赖。

公开(公告)号：CN116668085A

公开(公告)日：2023-08-29

申请号：CN202310512607.7

申请日：2023-05-05

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 娄国庆 ,  徐丽娟 ,  赵大伟 ,  杨淑棉 ,  赵梓程 ,  杨志

IPC: H04L9/40 ,  G06N5/01 ,  G06N20/00

Abstract: 本公开提供了基于lightGBM的流量多进程入侵检测方法及系统，涉及网络流量入侵检测技术领域，方法包括设定入侵检测的父进程，所述父进程下设定两个并行的子进程，第一子进程和第二子进程分别获取网络数据的流级统计特征以及流量；其中，第二子进程以相同的时间为间隔对监听的流量进行拆分存储，再以五元组信息将流量文件拆分为多个单独的会话，判断每个会话是否采用tls协议进行加密传输，对采用tls协议加密传输的会话进行特征提取，获取加密流量的字节特征；两个子进程分别将获取的流级统计特征和字节特征输入至基于决策树的lightGBM的模型中，判断是否发生入侵检测行为。本公开解决多种特征并行检测的问题，保证了入侵检测的高准确率。

公开(公告)号：CN116340944A

公开(公告)日：2023-06-27

申请号：CN202310608993.X

申请日：2023-05-29

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 赵大伟 ,  孙晨宇 ,  杨淑棉 ,  徐丽娟 ,  李鑫 ,  张雨鑫 ,  徐庆玲

IPC: G06F21/56

Abstract: 本发明属于恶意代码分类技术领域，提出了一种基于RGB图像和轻量化模型的恶意代码分类方法及系统，包括：反编译原始恶意代码文件生成asm文件和bytes文件；提取asm文件中的操作码序列和bytes文件中的字节序列，将基于操作码序列生成的灰度图和马尔可夫图像以及基于字节序列生成的马尔可夫图像进行融合，得到融合后的RGB图像；将其输入至训练后的轻量化模型中进行分类。本发明分别提取操作码序列和字节序列，获得基于操作码频率的灰度图、基于操作码序列的马尔科夫图像、基于字节序列的马尔可夫图像；将操作码序列可视化为马尔可夫图像，最大限度地保证了提取特征的完整性，提高了模型的泛化能力。

公开(公告)号：CN110851273B

公开(公告)日：2022-07-15

申请号：CN201911056623.X

申请日：2019-10-31

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 赵雪 ,  王连海 ,  杨淑棉 ,  刘广起 ,  徐淑奖

IPC: G06F9/50

Abstract: 本发明公开了一种基于混合内存的程序处理方法和基于混合内存的设备，所述方法首先计算处于运行状态的目标程序的实时写频率、以及目标程序的实时写阈值，在实时写频率小于实时写阈值时，将目标程序分配至非易失存储器，确定目标程序的对应的第一目标逻辑页面；计算第一目标逻辑页面在非易失存储器中的第一存储能耗；预估第一目标逻辑页面由非易失存储器置换到动态随机存取存储器的第一置换能耗；在第一存储能耗大于第一置换能耗时，将第一目标逻辑页面由非易失存储器迁移至动态随机存取存储器，实现了异构混合内存在动态随机存取内存与非易失内存之间的最优的数据分配，充分发挥各自的优点，提升程序性能和系统能效。