-
公开(公告)号:CN114928501A
公开(公告)日:2022-08-19
申请号:CN202210779989.5
申请日:2022-07-04
Applicant: 南开大学
IPC: H04L9/40 , H04L51/42 , G06F40/284 , G06N20/00
Abstract: 本发明属于计算机技术领域,特别是涉及一种基于个性化联邦学习的网络钓鱼邮件检测方法。该方法包括:1)每个客户端仅从本地邮件存储路径中获取邮件样本并读取,将邮件样本拆分为头部与正文分别进行清洗;2)每个客户端对清洗后的本地邮件的头部与正文分别进行单词级的划分,并使用GloVe词向量将其转化为文本矩阵;3)每个客户端将文本矩阵放入经修改优化后的卷积神经网络模型中进行本地训练,并利用个性化联邦学习算法与服务器端进行参数交互,服务器端仅利用客户端上传的参数与每个客户端完成联合训练,为每个客户端生成个性化网络钓鱼邮件检测模型;4)上述个性化网络钓鱼邮件检测模型用于检测每个客户端对应的本地邮件是否为网络钓鱼邮件。
-
公开(公告)号:CN117093993A
公开(公告)日:2023-11-21
申请号:CN202311127343.X
申请日:2023-09-04
Applicant: 南开大学
IPC: G06F21/56 , G06F18/2113 , G06F18/243
Abstract: 本发明属于计算机技术领域,提出了一种基于硬件性能计数器的虚拟化平台异常检测方法。该方法包括:1)在样本运行过程中收集计算机资源中客户机所占用部分的硬件事件计数,将数据预处理后转储于主机;2)读取步骤1)储存于主机的数据训练随机森林分类模型,根据特征重要性计算不同硬件事件的特征重要度,分析对比各个事件特征对随机森林分类模型决策的重要程度以进行特征筛选,3)根据步骤2)筛选的硬件事件再次进行步骤1)的数据采集,训练最终的随机森林分类模型,过程获得虚拟化平台异常检测模型。4)上述虚拟化平台异常检测模型用于在虚拟化平台中检测目标程序是否会在运行中产生异常影响,从而判断该程序为恶意程序。
-
公开(公告)号:CN117892305A
公开(公告)日:2024-04-16
申请号:CN202410088252.8
申请日:2024-01-22
Applicant: 南开大学
IPC: G06F21/56 , G06F18/24 , G06N3/0442 , G06F123/02
Abstract: 本发明属于计算机技术领域,特别是涉及基于硬件性能计数器时序数据的恶意软件检测方法。使用Linux系统提供的Perf工具集提供的perf stat命令,从Linux系统的Linux容器中获取恶意软件和良性软件的硬件性能计数器时序数据;利用python程序对上一步所取得的硬件性能计数器时序数据进行预处理:将原始时序数据进行数据清洗并以csv文件形式保存。将预处理之后的硬件性能计数器时序数据输入长短期记忆递归神经网络中进行训练,获得最终的恶意软件检测模型。并使用SHAP值对恶意软件检测模型的分类结果进行解释,获取贡献度高的时间片和硬件性能计数器特征,再使用Linux系统提供的Perf工具集,从Linux系统的Linux容器中获取恶意软件和良性软件的系统调用时序数据。
-
Patent Agency Ranking
公开(公告)号:CN114928501B
公开(公告)日:2023-03-24
申请号:CN202210779989.5
申请日:2022-07-04
Applicant: 南开大学
IPC: H04L9/40 , H04L51/42 , G06F40/284 , G06N20/00
Abstract: 本发明属于计算机技术领域,特别是涉及一种基于个性化联邦学习的网络钓鱼邮件检测方法。该方法包括:1)每个客户端仅从本地邮件存储路径中获取邮件样本并读取,将邮件样本拆分为头部与正文分别进行清洗;2)每个客户端对清洗后的本地邮件的头部与正文分别进行单词级的划分,并使用GloVe词向量将其转化为文本矩阵;3)每个客户端将文本矩阵放入经修改优化后的卷积神经网络模型中进行本地训练,并利用个性化联邦学习算法与服务器端进行参数交互,服务器端仅利用客户端上传的参数与每个客户端完成联合训练,为每个客户端生成个性化网络钓鱼邮件检测模型;4)上述个性化网络钓鱼邮件检测模型用于检测每个客户端对应的本地邮件是否为网络钓鱼邮件。
-
公开(公告)号:CN119989346A
公开(公告)日:2025-05-13
申请号:CN202510064627.1
申请日:2025-01-15
Applicant: 南开大学
IPC: G06F21/56 , G06F9/455 , G06F18/10 , G06F18/213 , G06F18/2433 , G06N3/0442 , G06N3/045 , G06F123/02
Abstract: 本发明属于计算机技术领域,提出一种基于硬件性能计数器的容器异常行为检测方法。首先,本发明基于Docker容器搭建了一个实验平台,并在该平台内部署了Linux容器,通过将良性软件和恶意软件样本挂载到容器中,利用自动化脚本框架实现样本的自动化运行,结合容器外部宿主机操作系统提供的Perf工具,收集容器运行时的硬件性能计数器时序数据,从而实现对容器异常行为的高效、精准检测;然后,本发明对收集到的数据进行系统的预处理,剔除干扰项并提取有效信息,将处理后的数据保存以便进一步用作深度学习模型的训练;最后,本发明设计并构建了一种融合注意力机制的双向长短期记忆网络,将预处理后的数据作为模型的输入进行训练,得到异常行为检测模型。
-
公开(公告)号:CN119989343A
公开(公告)日:2025-05-13
申请号:CN202510065287.4
申请日:2025-01-16
Applicant: 南开大学
Abstract: 本发明属于计算机技术领域,特别是涉及基于GPU硬件性能计数器时序数据的面向深度学习模型攻击的检测方法。该方法包括:1)在GPU平台上训练深度学习模型,每次对初始的深度学习模型输入正常数据集或投毒攻击数据集或后门攻击数据集,进行训练并收集对应GPU的数据集。具体是,使用Nsight工具采集训练全程的GPU硬件性能计数器数据作为初始数据。而后对初始数据进行处理,通过信息增益方法筛选特征,根据处理与筛选后的结果生成用于训练攻击检测模型的数据集。2)以朴素贝叶斯法作为机器学习分类器,利用步骤1)生成的数据集训练,获得面向深度学习模型攻击的检测模型。对深度学习模型训练中产生的GPU硬件性能计数器数据,输入攻击检测模型进行检测,获取检测结果。
-
公开(公告)号:CN117992959A
公开(公告)日:2024-05-07
申请号:CN202410315121.9
申请日:2024-03-19
Applicant: 南开大学
IPC: G06F21/56 , G06N3/0442 , G06N3/0464 , G06F9/455 , G06F18/24 , G06F18/25
Abstract: 本发明属于计算机技术领域,特别是涉及一种基于Xen虚拟机带外特征的恶意软件检测方法。使用libxc库确定虚拟机与页表相关的配置后,利用libvmi库以及对Windows Eprocess的结构化分析,获取对应进程的页表基地址,并结合页表相关的配置和标志位,遍历页表以获得该进程访问的全部内存,作为该程序运行时的特征数据,用以区分良性软件和恶意软件。
-
公开(公告)号:CN112231060A
公开(公告)日:2021-01-15
申请号:CN202011117499.6
申请日:2020-10-19
Applicant: 南开大学
Abstract: 一种基于虚拟化平台的虚拟机异常行为检测方法。其包括从虚拟机平台中的虚拟机管理器层获取客户虚拟机的内存转储文件;使用图像方法描述内存转储文件中数据特征,并获得包含数据特征的灰度图像;将客户虚拟机正常运行下包含内存转储文件中数据特征的灰度图像与存在异常行为时包含内存转储文件中数据特征的灰度图像输入卷积神经网络模型进行训练,得到训练后的卷积神经网络模型;利用训练后的卷积神经网络模型检测客户虚拟机是否存在异常行为等步骤。本发明效果:能从虚拟机平台内存转储文件中提取信息,减少对客户虚拟机运行过程中干预,无需进行内核分析、逆向分析等操作,可移植性强、适用范围广,有助于提升云计算平台的安全保障能力。
-
-
-
-
-
-
-
Search Results
8
records
(took 0.027 seconds)
