公开(公告)号：CN116701910A

公开(公告)日：2023-09-05

申请号：CN202310673940.6

申请日：2023-06-06

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 徐丽娟 ,  姚志昂 ,  赵大伟 ,  韩梓昱 ,  刘亚茹

IPC: G06F18/213 ,  G06F18/214 ,  G06N3/094

Abstract: 本发明提出了一种基于双特征选择对抗样本生成方法及系统，通过图神经网络、自编码器分别对工业传感器进行选择，分别得到异常情况较高的的工业传感器组，基于所得到的两组工业传感器所输出的异常数据采用非梯度优化算法进行优化迭代生成对抗性样本；采用不同的网络模型对工业传感器进行异常选择的方式，仅对于所选择的异常情况较高的工业传感器的数据进行后续的处理，在提高后续所生成的对抗性样本质量的情况下也解决了现有的优化方法中采用所有的数据进行优化造成的资源消耗率高的问题，而且采用非梯度的优化方法生成速度快、资源占用率低，而且所生成的对抗性样本质量高于深度学习的对抗性样本的质量。

公开(公告)号：CN116668085A

公开(公告)日：2023-08-29

申请号：CN202310512607.7

申请日：2023-05-05

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 娄国庆 ,  徐丽娟 ,  赵大伟 ,  杨淑棉 ,  赵梓程 ,  杨志

IPC: H04L9/40 ,  G06N5/01 ,  G06N20/00

Abstract: 本公开提供了基于lightGBM的流量多进程入侵检测方法及系统，涉及网络流量入侵检测技术领域，方法包括设定入侵检测的父进程，所述父进程下设定两个并行的子进程，第一子进程和第二子进程分别获取网络数据的流级统计特征以及流量；其中，第二子进程以相同的时间为间隔对监听的流量进行拆分存储，再以五元组信息将流量文件拆分为多个单独的会话，判断每个会话是否采用tls协议进行加密传输，对采用tls协议加密传输的会话进行特征提取，获取加密流量的字节特征；两个子进程分别将获取的流级统计特征和字节特征输入至基于决策树的lightGBM的模型中，判断是否发生入侵检测行为。本公开解决多种特征并行检测的问题，保证了入侵检测的高准确率。

公开(公告)号：CN116340944A

公开(公告)日：2023-06-27

申请号：CN202310608993.X

申请日：2023-05-29

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院)

Inventor： 赵大伟 ,  孙晨宇 ,  杨淑棉 ,  徐丽娟 ,  李鑫 ,  张雨鑫 ,  徐庆玲

IPC: G06F21/56

Abstract: 本发明属于恶意代码分类技术领域，提出了一种基于RGB图像和轻量化模型的恶意代码分类方法及系统，包括：反编译原始恶意代码文件生成asm文件和bytes文件；提取asm文件中的操作码序列和bytes文件中的字节序列，将基于操作码序列生成的灰度图和马尔可夫图像以及基于字节序列生成的马尔可夫图像进行融合，得到融合后的RGB图像；将其输入至训练后的轻量化模型中进行分类。本发明分别提取操作码序列和字节序列，获得基于操作码频率的灰度图、基于操作码序列的马尔科夫图像、基于字节序列的马尔可夫图像；将操作码序列可视化为马尔可夫图像，最大限度地保证了提取特征的完整性，提高了模型的泛化能力。

公开(公告)号：CN115373374B

公开(公告)日：2023-01-31

申请号：CN202211314377.5

申请日：2022-10-26

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 赵大伟 ,  唐超凡 ,  徐丽娟 ,  陈川 ,  李鑫 ,  仝丰华

IPC: G05B23/02 ,  G06F18/22 ,  G06F18/214 ,  G06F18/25 ,  G06N3/048 ,  G06N3/08

Abstract: 本发明属于工业控制系统异常检测技术领域，提供了一种基于图神经和门控循环网络的工控异常检测方法及系统，首先将传感器的时序数据转化为嵌入向量的形式，显式地对不同特征的相关性进行建模，将结构学习方法与图神经网络相结合，利用门控循环网络深入挖掘多元时间序列间的潜在关系，同时结合注意力机制为检测到的异常提供可解释性；本发明能够有效实现对工业控制系统数据的异常检测，能够实现出色的检测性能。

公开(公告)号：CN115373374A

公开(公告)日：2022-11-22

申请号：CN202211314377.5

申请日：2022-10-26

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 赵大伟 ,  唐超凡 ,  徐丽娟 ,  陈川 ,  李鑫 ,  仝丰华

IPC: G05B23/02 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明属于工业控制系统异常检测技术领域，提供了一种基于图神经和门控循环网络的工控异常检测方法及系统，首先将传感器的时序数据转化为嵌入向量的形式，显式地对不同特征的相关性进行建模，将结构学习方法与图神经网络相结合，利用门控循环网络深入挖掘多元时间序列间的潜在关系，同时结合注意力机制为检测到的异常提供可解释性；本发明能够有效实现对工业控制系统数据的异常检测，能够实现出色的检测性能。

公开(公告)号：CN114595448A

公开(公告)日：2022-06-07

申请号：CN202210247513.7

申请日：2022-03-14

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 丁潇 ,  徐丽娟 ,  赵大伟 ,  周洋 ,  陈川 ,  仝丰华

IPC: G06F21/55 ,  G06V10/764 ,  G06V10/82 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明涉及一种基于相关性分析和三维卷积的工控异常检测方法、系统、设备及存储介质，该方法以工控系统传感器和执行器数据作为目标数据。计算相邻时间采集到的目标数据之间的相关性，以确定最长序列长度，进一步根据最长序列长度确定RGB图的大小，计算观测数据的相关性并与序列长度列表对比得到粗粒度异常序列；根据序列长度列表得到不同长度的序列作为输入，利用改进的三维卷积神经网络从时空两个维度学习数据特征，深度解析数据关键信息点，从细粒度分析异常数据。本发明从粗粒度和细粒度两阶段分析工控数据，可以有效检测工控过程中的异常数据，实现异常检测准确率的提升。

公开(公告)号：CN112597495B

公开(公告)日：2021-07-30

申请号：CN202011532274.7

申请日：2020-12-22

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 赵大伟 ,  吴晓明 ,  杨美红 ,  徐丽娟 ,  张磊 ,  杨淑棉 ,  唐勇伟 ,  陈川 ,  周洋

IPC: G06F21/56 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明涉及一种恶意代码检测方法、系统、设备及存储介质。该方法包括；(1)训练阶段：利用已知软件样本训练多模态深度神经网络模型；(2)检测阶段：利用训练阶段训练好的多模态深度神经网络模型对未知软件样本进行检测。本发明可以将任意不同大小的软件样本转换为相同大小的灰度图像，便于应用于卷积神经网络；本发明同时使用了API函数调用序列、指令序列、字节流三个典型特征，克服了单一特征检测的局限，本发明多模态深度学习将静态特征与动态特征进行融合决策，能获得更全面且准确的恶意代码检测结果。

公开(公告)号：CN105786596A

公开(公告)日：2016-07-20

申请号：CN201610159574.2

申请日：2016-03-21

Applicant: 山东省计算中心(国家超级计算济南中心)

Inventor： 徐丽娟 ,  王连海 ,  赵大伟 ,  葛亮

IPC: G06F9/46 ,  G06F12/02

CPC classification number: G06F9/467 ,  G06F12/0292 ,  G06F2212/286

Abstract: 本发明的从64位Windows10操作系统的内存镜像文件中获取对象信息的方法，包括：a).查找非系统进程；b).获取对象句柄表的值；c).获取对象句柄表的位置；d).获取对象头指针的地址；e).获取对象类型；f).对于不是File和IoCompletion的对象，获取其nameInfo结构体；g).根据nameInfo结构体，遍历对象链表，获取链表中对象的名称及类型。本发明的方法中的对象类型的获取方式，与Windows 8.1以下版本的获取方式完全不同，是获取对象信息的重点与难点；对象类型索引表地址的确定，与以往各操作系统版本位置均不同，是成功获取对象信息的关键所在。

公开(公告)号：CN119067225B

公开(公告)日：2025-05-16

申请号：CN202411569749.8

申请日：2024-11-06

Applicant: 齐鲁工业大学(山东省科学院) ,  山东省计算中心(国家超级计算济南中心)

Inventor： 赵大伟 ,  李浩然 ,  徐丽娟 ,  于福强 ,  周洋

IPC: G06N5/045 ,  G06N3/0455 ,  G06N3/045 ,  G06N3/048 ,  G06N3/084

Abstract: 本发明涉及基于生成式反事实样本差异性的工控异常解释方法及系统，属于工业控制系统异常检测研究技术领域，包括：根据工控异常检测模型预测异常得分结果，通过异常得分结果以及多传感器时间序列数据集，获取工控混合数据集，并进行预处理；将原始时间序列数据集作为输入，工控异常检测模型输出的异常得分作为条件，输入到条件变分自编码器进行训练；收集工控异常检测模型对数据集进行预测时输出的异常阈值，通过改变条件变分自编码器中阈值大小生成反事实样本；通过比较反事实样本与原始收集的多传感器时间序列样本来获得特征重要性分数。本发明提高了工控系统中异常检测和解释的实用性，为系统管理员和操作人员提供了更有力的决策支持工具。

公开(公告)号：CN119336821A

公开(公告)日：2025-01-21

申请号：CN202411873970.2

申请日：2024-12-19

Applicant: 齐鲁工业大学(山东省科学院) ,  山东省计算中心(国家超级计算济南中心)

Inventor： 李浩然 ,  赵大伟 ,  徐丽娟 ,  于福强 ,  周洋

IPC: G06F16/2458 ,  G06F18/25

Abstract: 本发明公开的基于扁平化注意力机制的时序数据异常检测方法及系统，属于时序数据异常检测技术领域，所述方法包括：获取时序数据；对时序数据进行时间块划分，获得时间块内嵌入和时间块间嵌入；计算每种嵌入的扁平化注意力值和自注意力值；将每种嵌入的扁平化注意力值和自注意力值进行加权融合，获得每种嵌入的注意力加权融合结果；将每种嵌入的注意力加权融合结果进行上采样，获得每种嵌入的上采样后结果；根据每种嵌入的上采样后结果，计算获得时序数据的异常得分；根据时序数据的异常得分，确定时序数据的异常检测结果。提高了时序数据异常检测的准确率，解决了当前对时序数据异常检测准确率偏低的问题。