公开(公告)号：CN104331664A

公开(公告)日：2015-02-04

申请号：CN201410696330.9

申请日：2014-11-27

Applicant: 南京大学

Inventor： 伏晓 ,  端一恒 ,  骆斌

IPC: G06F21/56

CPC classification number: G06F21/563

Abstract: 本发明提供了一种在取证场景下自动分析未知恶意程序特征的方法；包括下列步骤：1)选择关键动态链接库并建立动态链接库数据模型；2)对恶意软件进程进行聚类分析得到分类；3)获取恶意软件进程特征并进行取证分析。与现有的恶意软件分析取证方法相比，本发明通过对动态链接库数据进行聚类实现了在无先验知识的情况下基于恶意软件进程自身特点的自动分类，并能够通过频繁项集挖掘的方式，在高层语义上对恶意软件行为进行解释；此外，本发明还能为恶意软件取证提供信息和线索；本发明特别适用于无先验知识和大规模自动化取证的场景；实践证明在常规应用场景下，本方法能达到超过百分之九十以上的准确率而时间消耗仅为数秒。

公开(公告)号：CN104331664B

公开(公告)日：2017-08-08

申请号：CN201410696330.9

申请日：2014-11-27

Applicant: 南京大学

Inventor： 伏晓 ,  端一恒 ,  骆斌

IPC: G06F21/56

Abstract: 本发明提供了一种在取证场景下自动分析未知恶意程序特征的方法；包括下列步骤：1)选择关键动态链接库并建立动态链接库数据模型；2)对恶意软件进程进行聚类分析得到分类；3)获取恶意软件进程特征并进行取证分析。与现有的恶意软件分析取证方法相比，本发明通过对动态链接库数据进行聚类实现了在无先验知识的情况下基于恶意软件进程自身特点的自动分类，并能够通过频繁项集挖掘的方式，在高层语义上对恶意软件行为进行解释；此外，本发明还能为恶意软件取证提供信息和线索；本发明特别适用于无先验知识和大规模自动化取证的场景；实践证明在常规应用场景下，本方法能达到超过百分之九十以上的准确率而时间消耗仅为数秒。

公开(公告)号：CN104376261B

公开(公告)日：2017-04-05

申请号：CN201410705875.1

申请日：2014-11-27

Applicant: 南京大学

Inventor： 伏晓 ,  端一恒 ,  骆斌

IPC: G06F21/56

Abstract: 本发明提供了一种在取证场景下基于进程的动态链接库数据自动检测恶意进程的方法。方法包括下列步骤：1)建立从动态链接库数据到N元元组的映射方式；2)根据贪婪算法计算相对最优的关键动态链接库集；3)采用隐藏朴素贝叶斯方法建立识别模型并进行检测。与现有的恶意软件检测方法相比，本发明实现了在无恶意软件特征码库无相关经验的情况下在众多未知进程中对恶意软件进程的自动识别，并能够在训练集和待识别集来源不一致时采用确认集进行校正。此外，本发明可以处理来自不同来源的原始动态链接库数据。本发明特别适用于无先验知识和大规模自动化恶意进程检测的场景。

公开(公告)号：CN103617576B

公开(公告)日：2015-03-04

申请号：CN201310591494.0

申请日：2013-11-21

Applicant: 南京大学 ,  中国人民解放军73921部队

Inventor： 伏晓 ,  端一恒 ,  崔玉玲 ,  赵毅 ,  周业茂 ,  骆斌 ,  金华 ,  胡星

IPC: G06F11/00 ,  G06F17/00

Abstract: 本发明公开了一种通用设备故障检测维修方法，包括下列步骤：建模设备故障维修知识；基于模型自动检测及诊断故障并辅助维修；基于模型模拟维修训练；维修训练过程中实时优化经验知识模型；维修训练过程中实时同步维修信息与经验知识模型信息。与现有设备维修方法相比，本发明实现了设备维修经验知识的积累与共享以及设备故障的自动诊断，并能够通过对维修记录信息的分析挖掘，为维修相关决策提供帮助。此外，方法还通过模拟训练步骤实现了专家经验向初级维修者的有效传输。本发明特别适用于防化部队等需要频繁维修大量复杂设备且维修人员流动率高的场合。实践证明本方法能够显著提高设备维修效率、提升维修水平、改善维修质量。

公开(公告)号：CN104376261A

公开(公告)日：2015-02-25

申请号：CN201410705875.1

申请日：2014-11-27

Applicant: 南京大学

Inventor： 伏晓 ,  端一恒 ,  骆斌

IPC: G06F21/56

CPC classification number: G06F21/566

Abstract: 本发明提供了一种在取证场景下基于进程的动态链接库数据自动检测恶意进程的方法。方法包括下列步骤：1)建立从动态链接库数据到N元元组的映射方式；2)根据贪婪算法计算相对最优的关键动态链接库集；3)采用隐藏朴素贝叶斯方法建立识别模型并进行检测。与现有的恶意软件检测方法相比，本发明实现了在无恶意软件特征码库无相关经验的情况下在众多未知进程中对恶意软件进程的自动识别，并能够在训练集和待识别集来源不一致时采用确认集进行校正。此外，本发明可以处理来自不同来源的原始动态链接库数据。本发明特别适用于无先验知识和大规模自动化恶意进程检测的场景。

公开(公告)号：CN103617576A

公开(公告)日：2014-03-05

申请号：CN201310591494.0

申请日：2013-11-21

Applicant: 南京大学 ,  中国人民解放军73921部队

Inventor： 伏晓 ,  端一恒 ,  崔玉玲 ,  赵毅 ,  周业茂 ,  骆斌 ,  金华 ,  胡星

IPC: G06Q50/10 ,  G06Q10/04 ,  G06F11/22

Abstract: 本发明公开了一种通用设备故障检测维修方法，包括下列步骤：建模设备故障维修知识；基于模型自动检测及诊断故障并辅助维修；基于模型模拟维修训练；维修训练过程中实时优化经验知识模型；维修训练过程中实时同步维修信息与经验知识模型信息。与现有设备维修方法相比，本发明实现了设备维修经验知识的积累与共享以及设备故障的自动诊断，并能够通过对维修记录信息的分析挖掘，为维修相关决策提供帮助。此外，方法还通过模拟训练步骤实现了专家经验向初级维修者的有效传输。本发明特别适用于防化部队等需要频繁维修大量复杂设备且维修人员流动率高的场合。实践证明本方法能够显著提高设备维修效率、提升维修水平、改善维修质量。