公开(公告)号：CN114003275B

公开(公告)日：2025-01-24

申请号：CN202111346632.X

申请日：2021-11-15

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 黄娜

IPC: G06F8/75

Abstract: 本发明提供了一种代码克隆的检测方法、装置及存储介质，代码克隆的检测方法包括：获取代码文本；根据所述代码文本中的代码语句的执行顺序生成控制流程图；基于所述控制流程图中目标代码语句与其他代码语句的关联程度，确定目标代码语句的权重；基于确定的各个代码语句的权重计算出与所述代码文本对应的哈希值；根据各代码文本对应的哈希值确定代码文本之间的克隆关系。上述代码克隆的检测方法通过确定代码语句的权重，使得计算得到的与代码文本对应的哈希值包含了代码语句的重要性，从而有效地提高了代码克隆检测的准确性。

公开(公告)号：CN115577356A

公开(公告)日：2023-01-06

申请号：CN202211101570.0

申请日：2022-09-09

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 徐晓 ,  薛智慧 ,  余小军 ,  黄娜

IPC: G06F21/56

Abstract: 本申请提供一种恶意文件检测方法、装置、电子设备及存储介质。该方法包括：获取待检测文件的宏代码；对宏代码中的函数进行标记，获得每个函数对应的标签；根据每个函数分别对应的标签及函数之间的调用关系生成第一调用序列矩阵，其中，第一调用序列矩阵中每个元素表示元素所在的行标签对应的函数和列标签对应函数之间是否存在调用关系；将第一调用序列矩阵与恶意样本对应的第二调用序列矩阵进行匹配，以获得待检测文件是否为恶意文件的结果。本申请通过对函数进行标签标记，因此即便利用了混淆技术使得函数名毫无意义，也能够提取到有效的标签，并且，利用标签代替复杂多变的原始函数调用序列，使得调用序列归一化，提高了恶意样本检测的准确性。

公开(公告)号：CN114969772B

公开(公告)日：2022-11-29

申请号：CN202210203568.8

申请日：2022-03-03

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 张朝潞 ,  黄娜

IPC: G06F21/60 ,  G06F21/62 ,  G06F21/56 ,  G06F11/14

Abstract: 本公开涉及计算机安全技术领域，提供了一种加密文件的恢复方法、装置、电子设备和存储介质。所述方法包括：本实施例通过获取待保护文件，在确定待保护文件被勒索病毒进行加密时，从预设保护区获取待保护文件的备份文件，其中，预设保护区包括第一预设保护区、第二预设保护区以及第三预设保护区，第一预设保护区用来存储待保护文件的文件标识、初始路径、以及备份文件在第三预设保护区的第一编址，第二预设保护区用来存储待保护文件在预设数据区的第二编址，第三预设保护区用来存储所述备份文件；基于备份文件，对待保护文件进行恢复。采用该方式能够节省系统资源消耗，提高对待保护文件的恢复效率。

公开(公告)号：CN115146267A

公开(公告)日：2022-10-04

申请号：CN202210712110.5

申请日：2022-06-22

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 黄娜 ,  张朝潞 ,  鲍青波

IPC: G06F21/56

Abstract: 本公开涉及一种Office文档中宏病毒的检测方法、装置、电子设备及存储介质，其中，所述方法包括：从待检测Office文档中提取宏代码；根据预设的词法标注库，对所述宏代码中的各分词及各语句进行词法标注，生成标注宏代码；对所述标注宏代码进行语法分析，生成抽象语法树；对所述抽象语法树中的每个节点进行向量化，得到所述每个节点对应的向量序列；将所述抽象语法树以及所述每个节点对应的向量序列输入预先训练的语义提取模型，以获取所述宏代码对应的语义特征；将所述语义特征输入预先训练的分类器中，根据所述分类器的输出结果确定所述待检测Office文档是否携带宏病毒。由此，能够提高Office文档中宏病毒检测的准确性。

公开(公告)号：CN114969772A

公开(公告)日：2022-08-30

申请号：CN202210203568.8

申请日：2022-03-03

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 张朝潞 ,  黄娜

IPC: G06F21/60 ,  G06F21/62 ,  G06F21/56 ,  G06F11/14

Abstract: 本公开涉及计算机安全技术领域，提供了一种加密文件的恢复方法、装置、电子设备和存储介质。所述方法包括：本实施例通过获取待保护文件，在确定待保护文件被勒索病毒进行加密时，从预设保护区获取待保护文件的备份文件，其中，预设保护区包括第一预设保护区、第二预设保护区以及第三预设保护区，第一预设保护区用来存储待保护文件的文件标识、初始路径、以及备份文件在第三预设保护区的第一编址，第二预设保护区用来存储待保护文件在预设数据区的第二编址，第三预设保护区用来存储所述备份文件；基于备份文件，对待保护文件进行恢复。采用该方式能够节省系统资源消耗，提高对待保护文件的恢复效率。

公开(公告)号：CN114692154A

公开(公告)日：2022-07-01

申请号：CN202210423677.0

申请日：2022-04-21

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 黄娜 ,  鲍青波 ,  张朝潞

IPC: G06F21/56 ,  G06F16/903

Abstract: 本申请提供了一种恶意代码同源分析方法及装置，涉及数据安全技术领域。该方法包括：获取第一控制流程图和第二控制流程图；分别拆分所述第一控制流程图与所述第二控制流程图，获取所述第一控制流程图拆分后的第一子图数量与所述第二控制流程图拆分后的第二子图数量；将所述第一控制流程图的子图与所述第二控制流程图的子图相互进行节点代码匹配，获取第一匹配数量和第二匹配数量；根据第一子图数量、第二子图数量、第一匹配数量以及第二匹配数量，确定第一待分析程序与第二待分析程序的相似度；根据所述相似度确定第一待分析程序与第二待分析程序是否同源。采用本方法能够提高恶意代码同源性分析的准确性。

公开(公告)号：CN113190851A

公开(公告)日：2021-07-30

申请号：CN202110578295.0

申请日：2021-05-26

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 黄娜

IPC: G06F21/56 ,  G06N20/00 ,  G06K9/62

Abstract: 本申请公开了一种恶意文档检测模型的主动学习方法、电子设备及存储介质，该方法包括：获取包含多个未标注的样本的样本集，并确定所述样本的差异性、不确定度和估计风险；基于所述差异性、所述不确定度和所述估计风险对所述样本的训练价值进行评估；选取训练价值符合预设条件的所述样本构建训练集，通过所述训练集对所述恶意文档检测模型进行训练，并更新所述恶意文档检测模型。该方法能够选取出训练价值较高的样本对恶意文档检测模型进行训练，不仅能够过滤掉冗余样本，减少标记工作，且能够排出干扰信息，有助于提高恶意文档检测模型的准确性。

公开(公告)号：CN111988327A

公开(公告)日：2020-11-24

申请号：CN202010867322.1

申请日：2020-08-25

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 黄娜 ,  李建国 ,  余小军

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/26

Abstract: 本申请提供一种威胁行为检测和模型建立方法、装置、电子设备及存储介质，涉及网络安全技术领域。威胁行为检测模型建立方法包括：基于用户数据集中的属性特征和行为特征创建训练集和验证集；调用LGBMClassifier接口实例化模型，并设置该接口实例化模型的模型参数；基于训练集和验证集对接口实例化模型进行训练，获得基于LightGBM的威胁行为检测模型，该检测模型用于基于输入的检测特征输出不合法的概率，检测特征包括待检测用户的属性特征和行为特征。通过威胁行为检测模型进行威胁行为检测不需要对每个用户设置单独检测模型，且LightGBM算法具有并行计算的特性，提高检测的效率，降低了其对计算资源的消耗。

公开(公告)号：CN111797978A

公开(公告)日：2020-10-20

申请号：CN202010654359.6

申请日：2020-07-08

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 黄娜

IPC: G06N3/04 ,  G06N3/08

Abstract: 本申请提供一种内部威胁检测方法、装置、电子设备及存储介质。方法包括：获取待检测用户终端的多条用户日志数据，对所述用户日志数据进行特征提取，获得对应的特征向量；将所述特征向量输入预先构建的检测模型中，获得所述检测模型输出的检测结果；其中，所述检测模型为包括注意力机制的长短期记忆人工神经网络构成；所述检测结果用于表征所述待检测用户是否存在内部威胁行为。本申请实施例通过包含注意力机制的神经网络构成的检测模型对用户日志数据进行分析，从而判断该用户是否存在内部威胁行为，由于包含注意力机制的神经网络能够通过注意力机制进行权重的分配，使得模型能够获取到有用的信息，从而提高了检测的准确性。

公开(公告)号：CN113987500B

公开(公告)日：2024-12-06

申请号：CN202111328921.7

申请日：2021-11-10

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 徐晓 ,  薛智慧 ,  余小军 ,  黄娜 ,  李建国

IPC: G06F21/56

Abstract: 本公开涉及一种恶意PDF文档检测方法、装置及电子设备，应用于网络安全技术领域，解决现有技术用于检测的信息完整而导致恶意PDF文档的检测结果不准确的问题，该方法包括：获取便携式文档格式PDF文档中明文对象的A个特征关键字；获取PDF文档的根节点信息；确定根节点信息所指示的流对象中包括的B个特征关键字；针对M个特征关键字，进行恶意特征关键字的识别，得到多个恶意特征关键字；将多个恶意特征关键字，确定为恶意PDF文档识别模型的训练样本。