公开(公告)号：CN111737693B

公开(公告)日：2023-06-02

申请号：CN202010388744.0

申请日：2020-05-09

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 刘洋 ,  卞超轶 ,  董颖 ,  陈亘 ,  李永泉 ,  李杰

IPC: G06F21/56 ,  G06F18/22 ,  G06F16/951 ,  G06F16/903

Abstract: 本发明实施例公开了一种确定恶意软件特征的方法、恶意软件的检测方法及装置，其中方法之一包括：根据最长公共子串算法确定一个或者多个字符串二元组中每一个字符串二元组中的最长公共子串，根据确定出的一个或者多个最长公共子串确定所述恶意软件的特征。如此，能够自动提取恶意软件的特征，大大提升了工作效率。

公开(公告)号：CN114548305A

公开(公告)日：2022-05-27

申请号：CN202210187808.X

申请日：2022-02-28

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 刘洋 ,  卞超轶 ,  陈亘 ,  金珂

IPC: G06K9/62 ,  G06N20/00 ,  G06F21/56 ,  G06F8/53 ,  G06F17/18

Abstract: 本申请提供一种在类别样本数量不均衡情况下的恶意样本检测方法，其步骤包括：对类别样本数量不均衡的原始样本进行特征提取，得到特征提取后的样本作为训练数据；使用分类算法得到训练数据的至少两个分类预测结果；其中，所述训练数据包括未标记数据；设置采样参数组集，所述采样参数组集由若干采样参数组构成，每个采样参数组包括对训练数据中各类别样本进行采样时使用的采样参数；将采样参数组集中，使得所有分类预测结果之间相似度最高的采样参数组作为最优采样参数组；根据最优采样参数组对训练数据进行采样。使用本申请能够同时对多数类进行降采样以及对少数类的进行过采样，达到提高了检测的泛化能力。

公开(公告)号：CN111737693A

公开(公告)日：2020-10-02

申请号：CN202010388744.0

申请日：2020-05-09

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 刘洋 ,  卞超轶 ,  董颖 ,  陈亘 ,  李永泉 ,  李杰

IPC: G06F21/56 ,  G06K9/62 ,  G06F16/951 ,  G06F16/903

Abstract: 本发明实施例公开了一种确定恶意软件特征的方法、恶意软件的检测方法及装置，其中方法之一包括：根据最长公共子串算法确定一个或者多个字符串二元组中每一个字符串二元组中的最长公共子串，根据确定出的一个或者多个最长公共子串确定所述恶意软件的特征。如此，能够自动提取恶意软件的特征，大大提升了工作效率。

公开(公告)号：CN106650453B

公开(公告)日：2019-11-05

申请号：CN201611263964.0

申请日：2016-12-30

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 刘洋 ,  陈亘 ,  李永泉 ,  谢瑞璇

IPC: G06F21/56

Abstract: 本申请提供了一种检测方法和装置，本发明中没有像现有技术中一样，直接查找是否具有恶意的字节，即没有直接对二进制形式的代码进行分析，而是将具有二进制形式的代码的格式转换成具有字符串形式的代码，进而对具有字符串形式的代码进行特征分析，由于现有技术中形式改变后的恶意的字节对应的具有字符串形式的代码是不变的，采用本发明中的方案就能够避免恶意的字节的形式改变后，采用特征码和人工规则的识别方法来检测flash文件中是否携带有恶意代码时，不能判断flash文件是否是恶意文件的问题。

公开(公告)号：CN106650451A

公开(公告)日：2017-05-10

申请号：CN201611260003.4

申请日：2016-12-30

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 刘洋 ,  陈亘 ,  李杰 ,  李永泉

IPC: G06F21/56

CPC classification number: G06F21/563

Abstract: 本申请提供了一种检测方法和装置，本发明中没有像现有技术中一样，直接查找是否具有恶意的字节，即没有直接对二进制形式的宏代码进行分析，而是将具有二进制形式的宏代码解码成具有字符串形式的宏代码，进而对具有字符串形式的宏代码进行特征分析，由于现有技术中形式改变后的恶意的字节对应的具有字符串形式的宏代码是不变的，采用本发明中的方案就能够避免恶意的字节的形式改变后，采用特征码和人工规则的识别方法来检测office文件中是否携带有恶意的宏代码时，不能判断office文件是否是恶意文件的问题。

公开(公告)号：CN115204296A

公开(公告)日：2022-10-18

申请号：CN202210844477.2

申请日：2022-07-18

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 董颖 ,  卞超轶 ,  陈亘 ,  钟逸凡

IPC: G06K9/62 ,  G06N20/00

Abstract: 本申请提供一种机器学习数据增强方法，步骤包括：设置训练集样本的特征中，使样本能够被正确预测的特征为已增强特征，导致样本被预测错误的特征为待增强特征，通过特征识别方法获得训练集样本的待增强特征；将具有待增强特征的样本设置为增强样本，从数据集中获得增强样本，将获得的增强样本加入训练集；将增强样本加入训练集后，重新对训练集进行训练与测试，直到在验证集上的分类性能达到最优。本申请增加了样本特征多样性，提高了分类准确度。

公开(公告)号：CN106650453A

公开(公告)日：2017-05-10

申请号：CN201611263964.0

申请日：2016-12-30

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 刘洋 ,  陈亘 ,  李永泉 ,  谢瑞璇

IPC: G06F21/56

Abstract: 本申请提供了一种检测方法和装置，本发明中没有像现有技术中一样，直接查找是否具有恶意的字节，即没有直接对二进制形式的代码进行分析，而是将具有二进制形式的代码的格式转换成具有字符串形式的代码，进而对具有字符串形式的代码进行特征分析，由于现有技术中形式改变后的恶意的字节对应的具有字符串形式的代码是不变的，采用本发明中的方案就能够避免恶意的字节的形式改变后，采用特征码和人工规则的识别方法来检测flash文件中是否携带有恶意代码时，不能判断flash文件是否是恶意文件的问题。

公开(公告)号：CN115701020A

公开(公告)日：2023-02-07

申请号：CN202110797366.6

申请日：2021-07-14

Applicant: 国家计算机网络与信息安全管理中心 ,  北京启明星辰信息安全技术有限公司

Inventor： 何清林 ,  邢燕祯 ,  罗冰 ,  张翀 ,  刘洋 ,  陈亘 ,  陈曦 ,  方太辉

IPC: H04L9/40

Abstract: 本申请提供了一种基于HTTP协议的网络流量的漏洞特征提取系统，其特征在于，包括采集模块、聚类模块、特征提取模块以及转换模块；所述采集模块用于获取到payload数据；所述聚类模块用于得到属于同一漏洞的payload数据集合；所述特征提取模块用于提取到所述漏洞的有效特征字符串；所述转换模块用于将所述有效特征字符串及其相关信息转换成对应的Yara规则。本申请还提供一种基于HTTP协议的网络流量的漏洞特征提取系统的提取方法，其步骤为：获取到payload数据，进行聚类，得到属于同一漏洞的payload数据集合；提取到有效特征字符串；获得有效特征字符串的相关信息，将所述有效特征字符串及其相关信息转换成对应的Yara规则。本申请提高了提取效率。