公开(公告)号：CN108563491B

公开(公告)日：2022-03-29

申请号：CN201810344939.8

申请日：2018-04-17

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 邹学强 ,  叶麟 ,  余翔湛 ,  袁庆升 ,  詹东阳 ,  包秀国

IPC: G06F9/455

Abstract: 本发明提供一种基于虚拟机的自省自动化管理、配置与自省方法包括1)根据操作系统的操作进程的调用执行过程，筛选出需复用的系统调用从而形成傀儡系统调用，所述傀儡系统调用由目标虚拟机执行；所述目标虚拟机包括控制模块、数据交换模块以及系统调用控制模块；2)注入目标虚拟机系统调用3)保护虚拟机系统调用执行，4)隔离虚拟机内存，包括：从目标虚拟机外部跟踪目标虚拟机的VCPU调度和操作目标虚拟机内存；本方法能更加加大加强安全性，目标虚拟机执行的傀儡系统调用代码取自安全的内核镜像，复用的傀儡系统不需要依赖目标虚拟机的内核完整性。

公开(公告)号：CN108469984B

公开(公告)日：2021-07-30

申请号：CN201810346504.7

申请日：2018-04-17

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 邹学强 ,  叶麟 ,  余翔湛 ,  包秀国 ,  詹东阳 ,  郭镔 ,  袁庆升

IPC: G06F9/455

Abstract: 本发明一种基于虚拟机自省函数级虚拟机内核动态检测系统与方法属于云安全领域；装置包括硬件为安全虚拟机、目标虚拟机和虚拟机管理层提供硬件基础，安全虚拟机包括监控框架，安全虚拟机与目标虚拟机通过虚拟机管理层交互，虚拟机管理层连接提取模块,提取模块通过页面执行信息分别连接学习模块和监控模块；方法包括监控开启；提取模块对目标虚拟机注入监控点从而让虚拟机管理层能够监听调用中的子函数，利用静态内存分析的方法和动态跟踪，再次进行静态分析得到其后的子函数地址进行监听，循环执行，直到系统调用返回；通过三种学习方法对执行信息进行建模；从而检测内核控制流的完整性，防止被攻击者检测到甚至于攻破。

公开(公告)号：CN108563491A

公开(公告)日：2018-09-21

申请号：CN201810344939.8

申请日：2018-04-17

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 邹学强 ,  叶麟 ,  余翔湛 ,  袁庆升 ,  詹东阳 ,  包秀国

IPC: G06F9/455

Abstract: 本发明提供一种基于虚拟机的自省自动化管理、配置与自省方法包括1)根据操作系统的操作进程的调用执行过程，筛选出需复用的系统调用从而形成傀儡系统调用，所述傀儡系统调用由目标虚拟机执行；所述目标虚拟机包括控制模块、数据交换模块以及系统调用控制模块；2)注入目标虚拟机系统调用3)保护虚拟机系统调用执行，4)隔离虚拟机内存，包括：从目标虚拟机外部跟踪目标虚拟机的VCPU调度和操作目标虚拟机内存；本方法能更加加大加强安全性，目标虚拟机执行的傀儡系统调用代码取自安全的内核镜像，复用的傀儡系统不需要依赖目标虚拟机的内核完整性。

公开(公告)号：CN108469984A

公开(公告)日：2018-08-31

申请号：CN201810346504.7

申请日：2018-04-17

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 邹学强 ,  叶麟 ,  余翔湛 ,  包秀国 ,  詹东阳 ,  郭镔 ,  袁庆升

IPC: G06F9/455

Abstract: 本发明一种基于虚拟机自省函数级虚拟机内核动态检测系统与方法属于云安全领域；装置包括硬件为安全虚拟机、目标虚拟机和虚拟机管理层提供硬件基础，安全虚拟机包括监控框架，安全虚拟机与目标虚拟机通过虚拟机管理层交互，虚拟机管理层连接提取模块,提取模块通过页面执行信息分别连接学习模块和监控模块；方法包括监控开启；提取模块对目标虚拟机注入监控点从而让虚拟机管理层能够监听调用中的子函数，利用静态内存分析的方法和动态跟踪，再次进行静态分析得到其后的子函数地址进行监听，循环执行，直到系统调用返回；通过三种学习方法对执行信息进行建模；从而检测内核控制流的完整性，防止被攻击者检测到甚至于攻破。

公开(公告)号：CN119996065A

公开(公告)日：2025-05-13

申请号：CN202510401906.2

申请日：2025-04-01

Applicant: 哈尔滨工业大学

Inventor： 谢润泽 ,  叶麟 ,  周瀚文 ,  史玉申 ,  万梦丹 ,  樊骐瑞 ,  代洪千 ,  詹东阳 ,  张宏莉

IPC: H04L9/40 ,  H04L61/4511 ,  G06N3/088

Abstract: 本发明公开了一种DNS隧道检测方法，属于安全通信技术领域。解决了现有技术中传统的DNS隧道检测方法难以检测低吞吐DNS隧道和分布式DNS隧道的问题；本发明使用设定的第一聚合键对数据包进行聚合，并使用自编码器进行初步检测与评分，对常规DNS隧道进行检测；使用设定的第二聚合键和第三聚合键分别对一阶聚合的元数据再次进行聚合，分别从通信对象与域名维度对低吞吐DNS隧道和分布式DNS隧道进行检测；将三个自编码器的评分送入一个作为非线性投票机制的自编码器，最后非线性投票机制根据三个聚合键下数据的评分做出最终判断，得到检测结果。本发明有效提升了DNS隧道检测的全面性，可以应用于检测分布式DNS隧道。

公开(公告)号：CN104636189B

公开(公告)日：2018-03-30

申请号：CN201510087347.9

申请日：2015-02-25

Applicant: 哈尔滨工业大学

Inventor： 何慧 ,  张宏莉 ,  叶麟 ,  詹东阳 ,  赵尚杰 ,  郭俊武 ,  李明哲 ,  胡西祥

IPC: G06F9/455 ,  G06F17/30

Abstract: 基于Xen的虚拟机部署系统及方法，属于虚拟机快速部署系统领域。现有的Xen虚拟机快速部署系统无法应用于大规模云环境需求，并且无法动态改变虚拟机的软件环境和IP地址的问题。本发明根据用户需求，采用JSP网页服务器、Tomcat网页服务器、MySQL数据库的组合作为前端系统的前端和管理系统，前端服务器与用户交互，并根据交互获得的用户需求的配置参数信息，采用Libvirt控制库的通信形式向负载服务器发出不同指令，前端系统选取镜像模板库中的增量镜像采用增量虚拟机的部署方式一键化部署不同操作系统、一键化部署不同应用的虚拟机；根据用户需求信息自动化配置虚拟机IP地址；基于部署的不同操作系统、部署的不同应用的虚拟机，能够让用户控制虚拟机的生命周期；还能够动态改变虚拟机的软件环境。

公开(公告)号：CN104615936A

公开(公告)日：2015-05-13

申请号：CN201510096203.X

申请日：2015-03-04

Applicant: 哈尔滨工业大学

Inventor： 何慧 ,  余翔湛 ,  叶麟 ,  张宏莉 ,  詹东阳 ,  赵尚杰 ,  董玲 ,  郭俊武 ,  李明哲

IPC: G06F21/56 ,  G06F9/455

CPC classification number: G06F21/57

Abstract: 云平台VMM层行为监控方法，本发明涉及云平台VMM层行为监控方法。本发明是要解决现有技术的问题主要在于：运行环境不安全，可能被攻破、算法安全监控程序占用的系统资源大、识别异常率不高的问题。云平台VMM层行为监控方法，它包括：用于VMM层劫持系统调用并获得系统调用序列的System Call Interpcepter步骤；用于分析系统调用序列并判断进程异常与否的System Call Analyze步骤；用于接收System Call Analyzer模块的分析结果并发出警报提醒操作系统的System Call Handler步骤。本发明应用于云平台领域。

公开(公告)号：CN104615935A

公开(公告)日：2015-05-13

申请号：CN201510096205.9

申请日：2015-03-04

Applicant: 哈尔滨工业大学

Inventor： 何慧 ,  张伟哲 ,  叶麟 ,  张宏莉 ,  李琛轩 ,  詹东阳 ,  赵尚杰

IPC: G06F21/55

Abstract: 一种面向Xen虚拟化平台的隐藏方法，本发明涉及Xen虚拟化平台的隐藏方法。本发明为了解决现有技术中基于Xen的蜜罐收集黑客攻击行为信息的准确率低的问题。通过以下三个步骤进行：一、通过重写运行有Xen虚拟化平台的Linux系统的命令，从命令级别隐藏了Xen虚拟化信息；二、通过对运行有Xen虚拟化平台的Linux系统日志/var/log/下文件进行加密，从日志级别隐藏了Xen虚拟化信息；三、通过对运行有Xen虚拟化平台的Linux系统的内核代码procfs下文件和sysfs下文件读取函数进行修改，隐藏了Xen虚拟化信息；至此，完成了对Xen虚拟化平台的隐藏。本发明应用于信息安全领域。

公开(公告)号：CN113992730B

公开(公告)日：2024-09-06

申请号：CN202111254268.4

申请日：2021-10-27

Applicant: 哈尔滨工业大学 ,  上海浦东发展银行股份有限公司

Inventor： 詹东阳 ,  巫祺炜 ,  崔兆栋 ,  张宏莉 ,  许聪 ,  余兆丰 ,  谭凯

IPC: H04L67/1396 ,  G06N3/08 ,  G06N3/0455

Abstract: 本发明提出一种基于知识构建的用户行为模拟方法、模拟系统、定制系统、计算机及存储介质，属于行为模拟技术领域。首先，捕获网络节点用户行为数据；所述用户行为数据包括采集键鼠操作数据和应用程序事件操作数据；其次，根据键鼠操作数据和应用程序事件操作数据生成状态‑操作元序列，学习状态‑操作元序列生成用户行为模拟操作序列；最后，根据用户行为模拟操作序列模拟键鼠操作，生成键鼠操作模拟程序。本发明解决现有技术中存在的网络流量模拟的真实性不足的技术问题。实现了对真实网络用户的行为模拟，从而生成仿真度高的网络流量。

公开(公告)号：CN114785606A

公开(公告)日：2022-07-22

申请号：CN202210466869.X

申请日：2022-04-27

Applicant: 哈尔滨工业大学 ,  奇安信科技集团股份有限公司

Inventor： 詹东阳 ,  齐向东 ,  谭凯 ,  冯词童 ,  高晓红 ,  谢慧昭 ,  叶麟 ,  余翔湛

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明提出一种基于预训练LogXLNet模型的日志异常检测方法、电子设备及存储介质，属于日志异常检测技术领域。包括以下步骤：S1.将日志消息进行预处理，将日志消息拆分为字符标记和数字标记；S2.将日志消息标识化；S3.将日志消息进行词集表示，从日志消息中获取词序列，将词序列编码为向量；S4.将日志消息进行数字值表示后将日志消息表示为语义向量；S5.基于Transformer的分类模型进行异常检测。本发明使用了transformer模型来捕获日志序列的上下文依赖关系并检测异常b能够稳健地表示日志消息，有效提高检测精度；解决了现有技术中存在的概念漂移引起的误报、日志解析错误、日志信息利用不足的技术问题。