-
公开(公告)号:CN118349999A
公开(公告)日:2024-07-16
申请号:CN202410523540.1
申请日:2024-04-28
Applicant: 哈尔滨理工大学
IPC: G06F21/56 , G06F21/55 , G06N3/0455 , G06N3/0442 , G06N3/049 , G06N3/084
Abstract: 本发明专利涉及一种基于API调用序列的勒索软件早期检测方法。包括监控和记录进程运行早期API序列的监控模块、使用Bert‑TextCNN‑BiLSTM深度学习模型对API序列评估恶意分的检测模块、终止勒索软件进程并提醒用户的交互模块。当某一进程恶意分超过阈值则判断为勒索软件,此时终止勒索软件进程并提醒用户。本发明专利中,监控模块会对计算机win32API进行hook处理,记录新进程运行初期的API调用情况;然后利用Bert‑TextCNN‑BiLSTM深度学习模型构建的检测模块对所记录的API调用序列进行评估打分,若分数没有超过阈值则判定为良性软件,超过阈值则终止进程并触发交互模块告知用户处理或加入白名单。该交互模块包含了手动添加白名单、弹窗警示等功能。本发明的勒索软件早期检测方法能够有效检测进程是否含有勒索软件行为特征,综合了安全需求和程序运行需求,保护个人和企业的信息安全,避免巨大的经济损失和隐私泄露风险。
-
公开(公告)号:CN113590081A
公开(公告)日:2021-11-02
申请号:CN202110899509.4
申请日:2021-08-06
Applicant: 哈尔滨理工大学
IPC: G06F7/491
Abstract: 本发明是一种带窗口的三进制标量乘的方法。提供一种降低椭圆曲线标量乘复杂度的算法,实现该算法的步骤如下:第一步,输入标量K和窗口宽度w;第二步,预计算出第三步,基于三进制标量乘算法确定K链中的值,判断K对3取的余数b1是否为0,若b1不为0则标量K对3w进行取余,余数为b2,判断余数b2是否大于如果大于如果小于若b1为0时则ei=0;第四步,通过第三步得到的K链进行标量乘计算Q=K*P得到标量乘Q。相比较传统的二进制和三进制标量乘算法,此算法降低了计算复杂度,有助于椭圆曲线密码系统的有效实现。
-
公开(公告)号:CN115509960A
公开(公告)日:2022-12-23
申请号:CN202211250306.3
申请日:2022-10-13
Applicant: 哈尔滨理工大学
IPC: G06F12/1009
Abstract: 本发明涉及一种基于页表条目的shellcode注入检测方法。本发明首先对计算机物理内存提取镜像文件;然后利用Volatility取证框架获取操作系统版本和配置文件信息;通过遍历进程PML4、页目录指针表、页目录表和页表的方式获取进程PTE;如果PTE中出现具有可执行权限的指标,那么对应页面作为可疑页面输出。本发明的shellcode注入检测方法能够有效检测进程内存中是否包含shellcode,辅助取证分析人员提取被感染系统中的恶意代码。
-
公开(公告)号:CN116781326A
公开(公告)日:2023-09-19
申请号:CN202310576486.2
申请日:2023-05-20
Applicant: 哈尔滨理工大学
IPC: H04L9/40 , G06F21/56 , G06F18/214 , G06F18/243 , G06N20/00
Abstract: 本发明提出了一种融合机器学习的行为勒索软件检测模型。该模型使用混合系统,结合本地动态行为特征,即API调用、注册表键值操作和文件操作行为等特征,同时使用基于会话的网络行为特征。本检测模型能够进行有效的特征提取,具有较高的检测准确率、较低的误报率,能够有效地跟踪和检测勒索软件行为活动。
-
公开(公告)号:CN116432170A
公开(公告)日:2023-07-14
申请号:CN202310223576.3
申请日:2023-03-09
Applicant: 哈尔滨理工大学
Abstract: 本发明涉及一种基于Glibc堆实现的堆信息提取方法。本发明首先对计算机物理内存建立转储文件;然后利用Rekall取证框架获取操作系统版本和配置文件信息;在操作系统版本和配置文件信息支持下使用内存取证框架内置的扫描技术扫描内核空间并定位到task结构体;如果定位到task结构体,则遍历VMA结构,获取glibc库在内存中的位置,提取glibc库中main‑arena的位置;根据内存对象vtype描述信息中字段偏移定位glibc堆的相关数据结构并提取堆的相关信息。本发明的堆信息提取方法能够有效提取Linux系统中用户空间进程堆内部含有的信息。
-
Patent Agency Ranking
公开(公告)号:CN118193949A
公开(公告)日:2024-06-14
申请号:CN202410346060.2
申请日:2024-03-26
Applicant: 哈尔滨理工大学
IPC: G06F18/10 , G06F18/213 , G06F18/25 , G06F18/24 , G06N3/0464 , G06N3/045 , G06N3/0442 , G06N3/047 , G06N3/084 , G06F16/955 , G06F21/55
Abstract: 本发明涉及一种基于注意力机制的双卷积通道的web命令注入攻击检测方法。本发明使用深度学习技术,提出了一种新的web命令注入攻击检测模型。通过结合web命令注入攻击的相关特征,使用双CNN卷积通道进行混合特征提取,使用BILSTM网络对提取到的语句序列特征进行双向识别,再结合注意力机制对关键字特征进行权重分配。本发明在数据集上进行训练与测试,与当前领域其他检测方法进行对比。实验结果表明,与其他传统检测相比,本发明可以更有效地识别web命令注入攻击。
-
公开(公告)号:CN114826706A
公开(公告)日:2022-07-29
申请号:CN202210385359.X
申请日:2022-04-13
Applicant: 哈尔滨理工大学
IPC: H04L9/40
Abstract: 本发明涉及一种基于计算机内存取证技术的恶意流量检测方法。本发明首先对计算机物理内存建立转储文件;然后利用Volatility取证框架获取操作系统版本和配置文件信息;在操作系统版本和配置文件信息支持下提取物理内存中的流量数据包,应用回归模型来分析流量数据并检测与可疑活动相关的异常模式,方法能够根据不同需求设置不同异常模式,最后通过决策器决定各个异常模式是否触发并对流量是否恶意作出判断,辅助取证分析人员检测和提取被害主机中存留的恶意流量。
-
公开(公告)号:CN113761595A
公开(公告)日:2021-12-07
申请号:CN202111069279.5
申请日:2021-09-13
Applicant: 哈尔滨理工大学
Abstract: 本发明涉及一种基于计算机内存取证技术的代码签名验证方法。本发明首先对计算机物理内存建立转储文件;然后利用Volatility取证框架获取操作系统版本和配置文件信息;在操作系统版本和配置文件信息支持下识别内存可移植可执行(Portable Executable,PE)文件;如果识别出的PE文件中包含数字证书,则验证证书。本发明的内存代码签名验证方法能够有效验证内存中的代码签名,辅助取证分析人员验证内存中PE文件的可靠性。
-
公开(公告)号:CN119496634A
公开(公告)日:2025-02-21
申请号:CN202411496320.0
申请日:2024-10-25
Applicant: 哈尔滨理工大学
Abstract: 本发明涉及一种基于深度学习与可视化的堆喷攻击检测方法,属于网络安全领域。该方法包括获取指定应用程序的内存分配、对进程内存数据进行可视化预处理、并利用训练好的堆喷攻击检测模型对生成的图像进行分类检测;具体步骤如下:通过对GRAFFITI监控框架进行修改,添加内存转储功能,当进程内存分配超过预设阈值时,执行内存转储操作;将转储的二进制文件转换为RGB图像和熵灰度图像;采用改进的VGG16模型对这两类图像进行特征提取,并通过注意力机制有效融合提取的特征,随后进行检测与分类;当判定进程遭受堆喷攻击时,系统将弹窗提示用户;本方法能够有效识别进程中的堆喷攻击行为,克服了现有技术在应对不同攻击变体时的不足,提升了信息安全防护能力。
-
公开(公告)号:CN114826706B
公开(公告)日:2024-01-30
申请号:CN202210385359.X
申请日:2022-04-13
Applicant: 哈尔滨理工大学
IPC: H04L9/40
Abstract: 本发明涉及一种基于计算机内存取证技术的恶意流量检测方法。本发明首先对计算机物理内存建立转储文件;然后利用Volatility取证框架获取操作系统版本和配置文件信息;在操作系统版本和配置文件信息支持下提取物理内存中的流量数据包,应用回归模型来分析流量数据并检测与可疑活动相关的异常模式,方法能够根据不同需求设置不同异常模式,最后通过决策器决定各个异常模式是否触发并对流量是否恶意作出判断,辅助取证分析人员检测和提取被害主机中存留的恶意流量。
-
-
-
-
-
-
-
-
-
Search Results
33
records
(took 0.025 seconds)
