公开(公告)号：CN119989346A

公开(公告)日：2025-05-13

申请号：CN202510064627.1

申请日：2025-01-15

Applicant: 南开大学

Inventor： 张健 ,  林发鑫 ,  王柏韬 ,  田心宁 ,  王湘懿 ,  孟铮 ,  邢凌凯 ,  贾乐昕

IPC: G06F21/56 ,  G06F9/455 ,  G06F18/10 ,  G06F18/213 ,  G06F18/2433 ,  G06N3/0442 ,  G06N3/045 ,  G06F123/02

Abstract: 本发明属于计算机技术领域，提出一种基于硬件性能计数器的容器异常行为检测方法。首先，本发明基于Docker容器搭建了一个实验平台，并在该平台内部署了Linux容器，通过将良性软件和恶意软件样本挂载到容器中，利用自动化脚本框架实现样本的自动化运行，结合容器外部宿主机操作系统提供的Perf工具，收集容器运行时的硬件性能计数器时序数据，从而实现对容器异常行为的高效、精准检测；然后，本发明对收集到的数据进行系统的预处理，剔除干扰项并提取有效信息，将处理后的数据保存以便进一步用作深度学习模型的训练；最后，本发明设计并构建了一种融合注意力机制的双向长短期记忆网络，将预处理后的数据作为模型的输入进行训练，得到异常行为检测模型。

公开(公告)号：CN117892305A

公开(公告)日：2024-04-16

申请号：CN202410088252.8

申请日：2024-01-22

Applicant: 南开大学

Inventor： 张健 ,  孟铮 ,  王湘懿 ,  杨铭 ,  郑禄鑫 ,  弋晓洋 ,  林发鑫 ,  邢凌凯 ,  秦一方

IPC: G06F21/56 ,  G06F18/24 ,  G06N3/0442 ,  G06F123/02

Abstract: 本发明属于计算机技术领域，特别是涉及基于硬件性能计数器时序数据的恶意软件检测方法。使用Linux系统提供的Perf工具集提供的perf stat命令，从Linux系统的Linux容器中获取恶意软件和良性软件的硬件性能计数器时序数据；利用python程序对上一步所取得的硬件性能计数器时序数据进行预处理：将原始时序数据进行数据清洗并以csv文件形式保存。将预处理之后的硬件性能计数器时序数据输入长短期记忆递归神经网络中进行训练，获得最终的恶意软件检测模型。并使用SHAP值对恶意软件检测模型的分类结果进行解释，获取贡献度高的时间片和硬件性能计数器特征，再使用Linux系统提供的Perf工具集，从Linux系统的Linux容器中获取恶意软件和良性软件的系统调用时序数据。

公开(公告)号：CN117093993A

公开(公告)日：2023-11-21

申请号：CN202311127343.X

申请日：2023-09-04

Applicant: 南开大学

Inventor： 张健 ,  邢凌凯 ,  王湘懿 ,  弋晓洋 ,  杨铭 ,  孟铮 ,  林发鑫

IPC: G06F21/56 ,  G06F18/2113 ,  G06F18/243

Abstract: 本发明属于计算机技术领域，提出了一种基于硬件性能计数器的虚拟化平台异常检测方法。该方法包括：1)在样本运行过程中收集计算机资源中客户机所占用部分的硬件事件计数，将数据预处理后转储于主机；2)读取步骤1)储存于主机的数据训练随机森林分类模型，根据特征重要性计算不同硬件事件的特征重要度，分析对比各个事件特征对随机森林分类模型决策的重要程度以进行特征筛选，3)根据步骤2)筛选的硬件事件再次进行步骤1)的数据采集，训练最终的随机森林分类模型，过程获得虚拟化平台异常检测模型。4)上述虚拟化平台异常检测模型用于在虚拟化平台中检测目标程序是否会在运行中产生异常影响，从而判断该程序为恶意程序。