买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

龙图腾网获悉西安电子科技大学申请的专利基于深度学习的Linux系统DKOM攻击检测方法获国家发明授权专利权，本发明授权专利权由国家知识产权局授予，授权公告号为：CN116127459B 。

龙图腾网通过国家知识产权局官网在2026-03-06发布的发明授权授权公告中获悉：该发明授权的专利申请号/专利号为：202310170693.8，技术领域涉及：G06F21/56；该发明授权基于深度学习的Linux系统DKOM攻击检测方法是由孙聪;陈亮;马建峰设计研发完成，并于2023-02-27向国家知识产权局提交的专利申请。

本基于深度学习的Linux系统DKOM攻击检测方法在说明书摘要公布了：本发明公开了一种基于深度学习的Linux系统DKOM攻击检测方法，用于解决现有的Linux系统DKOM攻击检测方法检测的DKOM攻击种类较少以及适用的Linux内核版本有限的问题。本发明的步骤为：1构建扩展内存图；2生成扩展内存图的节点标签；3构建图神经网络；4生成数据集；5训练图神经网络；6推测内核对象；7对待测Linux系统检测DKOM攻击。本发明对Linux内存镜像设计出了一种扩展内存图的图结构，采用图神经网络对扩展内存图的拓扑结构进行监督学习，实现识别Linux内存镜像中的各种内核对象，再分析其中是否存在被DKOM攻击隐藏的对象来检测DKOM攻击，使得本发明能够检测各种恶意隐藏内核对象的DKOM攻击并且具有很高的检测精度。

本发明授权基于深度学习的Linux系统DKOM攻击检测方法在权利要求书中公布了：1.一种基于深度学习的Linux系统DKOM攻击检测方法，其特征在于，利用节点标签出现的频率生成内核对象的所有节点标签权值，利用监督学习训练图神经网络对扩展内存图的节点进行表示学习，利用基于投票机制的对象推测算法对节点分类的结果推测内核对象地址；该方法的具体步骤包括： 步骤1，构建扩展内存图： 步骤1.1，使用内存分析框架分析Linux系统内存镜像，找到内核对象内部的所有常量的地址； 步骤1.2，遍历Linux系统内存镜像的内容，找到其中所有指针的地址； 步骤1.3，按照从小到大，将所有常量地址和所有指针地址进行排序，根据排序后的地址，将每两个相邻地址之间的Linux系统内存镜像字节序列作为一个图节点，记录所有节点组成节点集合，字节序列的起始地址就是节点的地址，节点的大小就是字节序列的长度，字节序列的内容就是节点的初始向量； 步骤1.4，对集合中的节点按照其地址从小到大排序，对所有相邻的两个左右节点，生成左节点指向右节点的边作为左邻接边，生成右节点指向左节点的边作为右邻接边；对所有相邻的两个节点之间的字段进行判断，若判断为指针，则找到该指针所指向的节点，记为dest节点，从dest节点生成一条指向左节点的边作为右指针边，从dest节点生成一条指向右节点的边作为左指针边；若为常量，则从左节点生成一条指向自身的边作为右指针边，从右节点生成一条指向自身的边作为左指针边； 步骤1.5，生成Linux系统内存镜像对应的扩展内存图G＝N,Eln,Ern,Elp,Erp，其中，N表示节点集合，Eln表示由所有左邻接边组成的集合，Ern表示由所有右邻接边组成的集合，Elp表示由所有左指针边组成的集合，Erp表示由所有右指针边组成的集合； 步骤2，生成扩展内存图的节点标签： 步骤2.1，通过内存分析框架对Linux内存镜像进行分析，获取所有内核对象的地址以及大小；遍历内存镜像所生成的扩展内存图节点，生成每个节点的标签，节点标签的内容包括节点所在的内核对象类型，节点地址在内核对象中的偏移量，节点的大小； 步骤2.2，计算每种内核对象中每个节点标签权值； 步骤2.3，将每种类型对象的所有节点标签权值最高的前20个节点标签组成该种类型对象关键节点标签集合； 步骤3，构建包括嵌入网络和分类器的图神经网络： 步骤3.1，搭建一个嵌入网络，其结构依次为：第一卷积层，第二卷积层，第三卷积层；将第一、第二、第三卷积层的大小均设置为64*64，卷积层的激活函数采用ReLU函数实现； 步骤3.2，搭建一个分类器，使用全连接网络实现分类器网络共有3层全连接层，其结构依次为：64*64,64*64,64*21，激活函数使用Softmax函数； 步骤4，生成数据集： 步骤4.1，对Linux系统采集500个内存镜像，利用步骤1的方式为每个内存镜像构造其对应的扩展内存图，可以得到500个扩展内存图；利用步骤2为每个扩展内存图的节点生成节点标签，可以为每个扩展内存图生成节点标签文件； 步骤5，训练图神经网络： 将训练集的所有扩展内存图及其对应的节点标签输入到图神经网络中进行训练，计算每次迭代时网络输出的预测节点标签与标注标签之间的交叉熵损失值，并在最小化误差的过程中更新图神经网络的权重参数，直至损失值收敛为止，得到训练好的图神经网络； 步骤6，推测内核对象： 将图神经网络输出的节点预测标签视为投票支持对象存在和对象类型的投票者，根据验证数据集和检测数据集使用内核对象推测算法，将训练好的图神经网络输出的各个节点的预测标签转化为对应内核对象的起始地址，记录这些地址得到内核对象地址集合； 步骤7，对待测Linux系统检测DKOM攻击： 步骤7.1，对待测Linux系统提取内存镜像，利用步骤1为内存镜像构建扩展内存图； 步骤7.2，使用训练好的图神经网络对待测Linux系统的内存镜像的扩展内存图进行节点标签预测，根据内核对象推测算法得到目标内核对象地址集合S1； 步骤7.3，使用内存分析框架对待测Linux系统的内存镜像进行分析，得到目标内核对象地址集合S2； 步骤7.4，比较S1和S2是否相同，若是，则判定待测Linux系统未受到DKOM攻击，否则，判定待测Linux系统受到DKOM攻击。

如需购买、转让、实施、许可或投资类似专利技术，可联系本专利的申请人或专利权人西安电子科技大学，其通讯地址为：710071 陕西省西安市雁塔区太白南路2号；或者联系龙图腾网官方客服，联系龙图腾网可拨打电话0551-65771310或微信搜索“龙图腾网”。

以上内容由龙图腾AI智能生成。