公开(公告)号：CN118036005B

公开(公告)日：2024-07-02

申请号：CN202410431681.0

申请日：2024-04-11

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 徐庆灵 ,  赵大伟 ,  杨淑棉 ,  徐丽娟 ,  李鑫 ,  于福强

IPC: G06F21/56 ,  G06F16/35 ,  G06F40/216 ,  G06N3/042

Abstract: 本发明提供了基于精简调用图的恶意应用检测方法、系统、设备及介质，其属于软件检测技术领域，包括：基于待检测应用程序的行为特征数据，进行函数调用图构建；基于预先构建的敏感API列表，从函数调用图中筛选出存在于敏感API列表中的外部调用函数节点和与所述外部调用函数节点直接或间接连接的节点，作为第一集合，以及与存在于第一集合中的节点直接或间接连接的内部自定义函数节点，作为第二集合；计算函数调用图中各节点的节点中心性，并以节点中心性大于预设阈值的节点，构建第三集合；基于获得的第一集合、第二集合及第三集合，构建精简调用图；基于精简调用图结合预先训练的基于深度学习的恶意软件检测模型，获得恶意软件检测结果。

公开(公告)号：CN118114040A

公开(公告)日：2024-05-31

申请号：CN202410089465.2

申请日：2024-01-22

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 徐丽娟 ,  姚志昂 ,  赵大伟 ,  周洋 ,  于福强 ,  李鑫 ,  仝丰华 ,  张磊

IPC: G06F18/214 ,  G06F18/25 ,  G06F18/211 ,  G06F18/2433 ,  G06N3/094 ,  G06N3/0455 ,  G06N3/045 ,  G06N3/042

Abstract: 本发明提出了一种对抗样本生成方法及系统，涉及工业控制系统对抗样本攻击研究技术领域，采集工业控制系统正常运行状态下的工控时序数据；将工控时序数据输入到训练好的时序数据预测模型中，生成初始对抗样本；利用数据类型规则检查器和不变量规则检查器对初始对抗样本进行优化，得到最终的对抗性样本；时序数据预测模型采用金字塔注意力结构充分挖掘时间序列数据的变化规律，结合CBAM注意力模块，对时间特征和空间特征添加注意力机制使其专注于重要特征。本发明采用时序数据预测模型，生成初始对抗样本，并通过不变量规则检查器和数据类型检查器来优化对抗性样本，利用深度学习模型和规则检查器的优势来提高对抗性样本的质量和可转移性。

公开(公告)号：CN118094550A

公开(公告)日：2024-05-28

申请号：CN202410486741.9

申请日：2024-04-23

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 杨淑棉 ,  杨永琪 ,  赵大伟 ,  徐丽娟 ,  李鑫 ,  于福强

IPC: G06F21/56 ,  G06F21/53 ,  G06N3/0455 ,  G06N3/09 ,  G06F18/23 ,  G06F18/24

Abstract: 本发明提供了一种基于Bert与监督对比学习的动态恶意软件检测方法，属于恶意软件检测技术领域。将预处理后的API调用信息中的字符型信息进行编码，基于预编译的Bert模型得到字符型API调用特征向量；将预处理后的API调用信息中的数值型信息进行编码，得到数值型API调用特征向量；计算API调用信息中字符型参数的统计特征，得到API字符型参数统计特征向量；对上述特征向量进行拼接，基于拼接后的API调用特征，结合训练好的检测模型，得到恶意软件检测结果；其中，检测模型的预训练阶段通过最小化监督对比损失函数更新检测模型权重；本发明提高了检测模型的泛化能力，同时减少了对应负样本挖掘的依赖。

公开(公告)号：CN117828193B

公开(公告)日：2024-05-17

申请号：CN202410238782.6

申请日：2024-03-04

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 于福强 ,  仝丰华 ,  赵大伟 ,  徐丽娟

IPC: G06F16/9535 ,  G06N3/098 ,  G06N3/0442

Abstract: 本发明属于计算机兴趣点推荐领域，提供了一种基于多兴趣半联合学习兴趣推荐方法、系统、设备及介质，包括获取用户行为数据进行预处理；基于预处理后的用户行为数据，利用预先训练好的多兴趣模型的半联合学习框架进行兴趣推荐；本发明能够有效识别多粒度的用户兴趣并感知时钟影响的连续依赖性，以不同粒度的兴趣组合来指导用户行为建模，并具体化时间点以学习连续的兴趣依赖关系；通过单模型预训练和多模型半联合训练，结合所有粒度的兴趣，为用户推荐其在未来指定的N个时间窗口内感兴趣的POI。

公开(公告)号：CN117714562A

公开(公告)日：2024-03-15

申请号：CN202410041976.7

申请日：2024-01-11

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 赵大伟 ,  李华山 ,  张磊 ,  徐丽娟 ,  李鑫

IPC: H04L69/22 ,  H04L69/06

Abstract: 本发明涉及一种网络通信协议语法信息的自动化提取方法及系统，包括：对所有的协议解析文件进行预处理，包括提取协议名称、提取取协议解析器并与协议名称关联、提取协议解析器之间的层次关系；对用户选择的待解析协议进行处理，包括提取待解析协议的所有字段信息、扩充主解析函数的内容、提取所有的数据包类型及其组成字段信息、拼接每个数据包类型的分段以生成完整的数据包类型。本发明通过深入解析Wireshark的网络通信协议解析文件，从中提取出协议语法信息，并以结构化的方式存储。相比于其他网络通信协议语法信息提取方法，本发明具有广泛适应性，自动化程度高和效率高，且同时具有很高的准确率，能够有效地节约人工、时间成本。

公开(公告)号：CN117499087A

公开(公告)日：2024-02-02

申请号：CN202311392429.5

申请日：2023-10-25

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 徐丽娟 ,  李新占 ,  周洋 ,  岳义群 ,  赵大伟

IPC: H04L9/40 ,  G06N3/08

Abstract: 本发明提出了一种基于随机博弈与强化学习的防御策略决策方法及系统，涉及工业控制系统的网络安全防御领域，具体方案包括：在有限理性约束下，构建用以分析工业控制系统网络攻防过程的网络攻防博弈模型；利用优先经验回放机制，在DDQN算法的基础上构造PER‑DDQN算法；将网络攻防博弈模型与PER‑DDQN算法相结合，作为防御者的学习方法，使防御者在有限理性约束下通过学习，获得各个博弈状态所对应的最优防御策略；本发明改进了防御者的学习方法，克服了基于完全理性假设所得的防御策略实用性低的缺点，提升了防御者的学习速度。

公开(公告)号：CN116304641B

公开(公告)日：2023-09-15

申请号：CN202310537570.3

申请日：2023-05-15

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 徐丽娟 ,  韩梓昱 ,  赵大伟 ,  刘亚茹 ,  姚志昂 ,  陈川

IPC: G06F18/213 ,  G06F18/214 ,  G06N3/084

Abstract: 本发明公开了一种基于参考点搜索和特征交互的异常检测解释方法及系统，涉及异常检测可解释性技术领域，该方法包括：获取包含多个不同特征维度的数据集，利用异常检测模型检测出数据集中的异常数据；以检测出的异常数据为异常点，利用基于反向梯度传播的参考点搜索算法，寻找并确定该异常点的最优参考点；基于最优参考点和异常点之间的差异，确定高异常特征维度；利用基于有限差分法的交互检测算法，计算得到异常点中高异常特征与其余特征组成的特征对之间的交互强度；根据交互强度确定强交互作用的特征维度，结合高异常特征维度，得到异常数据的解释结果。本发明能够提高异常检测模型的可解释性，同时保证解释性能和时间效率之间的平衡。

公开(公告)号：CN116701910A

公开(公告)日：2023-09-05

申请号：CN202310673940.6

申请日：2023-06-06

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 徐丽娟 ,  姚志昂 ,  赵大伟 ,  韩梓昱 ,  刘亚茹

IPC: G06F18/213 ,  G06F18/214 ,  G06N3/094

Abstract: 本发明提出了一种基于双特征选择对抗样本生成方法及系统，通过图神经网络、自编码器分别对工业传感器进行选择，分别得到异常情况较高的的工业传感器组，基于所得到的两组工业传感器所输出的异常数据采用非梯度优化算法进行优化迭代生成对抗性样本；采用不同的网络模型对工业传感器进行异常选择的方式，仅对于所选择的异常情况较高的工业传感器的数据进行后续的处理，在提高后续所生成的对抗性样本质量的情况下也解决了现有的优化方法中采用所有的数据进行优化造成的资源消耗率高的问题，而且采用非梯度的优化方法生成速度快、资源占用率低，而且所生成的对抗性样本质量高于深度学习的对抗性样本的质量。

公开(公告)号：CN116668085A

公开(公告)日：2023-08-29

申请号：CN202310512607.7

申请日：2023-05-05

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 娄国庆 ,  徐丽娟 ,  赵大伟 ,  杨淑棉 ,  赵梓程 ,  杨志

IPC: H04L9/40 ,  G06N5/01 ,  G06N20/00

Abstract: 本公开提供了基于lightGBM的流量多进程入侵检测方法及系统，涉及网络流量入侵检测技术领域，方法包括设定入侵检测的父进程，所述父进程下设定两个并行的子进程，第一子进程和第二子进程分别获取网络数据的流级统计特征以及流量；其中，第二子进程以相同的时间为间隔对监听的流量进行拆分存储，再以五元组信息将流量文件拆分为多个单独的会话，判断每个会话是否采用tls协议进行加密传输，对采用tls协议加密传输的会话进行特征提取，获取加密流量的字节特征；两个子进程分别将获取的流级统计特征和字节特征输入至基于决策树的lightGBM的模型中，判断是否发生入侵检测行为。本公开解决多种特征并行检测的问题，保证了入侵检测的高准确率。

公开(公告)号：CN116340944A

公开(公告)日：2023-06-27

申请号：CN202310608993.X

申请日：2023-05-29

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 赵大伟 ,  孙晨宇 ,  杨淑棉 ,  徐丽娟 ,  李鑫 ,  张雨鑫 ,  徐庆玲

IPC: G06F21/56

Abstract: 本发明属于恶意代码分类技术领域，提出了一种基于RGB图像和轻量化模型的恶意代码分类方法及系统，包括：反编译原始恶意代码文件生成asm文件和bytes文件；提取asm文件中的操作码序列和bytes文件中的字节序列，将基于操作码序列生成的灰度图和马尔可夫图像以及基于字节序列生成的马尔可夫图像进行融合，得到融合后的RGB图像；将其输入至训练后的轻量化模型中进行分类。本发明分别提取操作码序列和字节序列，获得基于操作码频率的灰度图、基于操作码序列的马尔科夫图像、基于字节序列的马尔可夫图像；将操作码序列可视化为马尔可夫图像，最大限度地保证了提取特征的完整性，提高了模型的泛化能力。