公开(公告)号：CN116192444A

公开(公告)日：2023-05-30

申请号：CN202211623082.6

申请日：2022-12-16

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司 ,  北京网御星云信息技术有限公司

Inventor： 范敏 ,  陈亘

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本申请提供了一种基于局部敏感哈希算法的伴随域名检测方法，其包括以下步骤：利用局部敏感哈希算法计算时空伴随对，筛选出交集时空伴随对；计算交集时空伴随对中的真实C‑Rank得分并进行排序；通过对目标域名进行归组，将相似度大于相似度阈值的目标域名的伴随对作为最终的时间伴随对。本申请在工业级的海量数据场景下，基于域名请求伴随关系，能够利用局部敏感哈希算法在线性时间复杂度下快速计算出域名伴随对。

公开(公告)号：CN115204296A

公开(公告)日：2022-10-18

申请号：CN202210844477.2

申请日：2022-07-18

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 董颖 ,  卞超轶 ,  陈亘 ,  钟逸凡

IPC: G06K9/62 ,  G06N20/00

Abstract: 本申请提供一种机器学习数据增强方法，步骤包括：设置训练集样本的特征中，使样本能够被正确预测的特征为已增强特征，导致样本被预测错误的特征为待增强特征，通过特征识别方法获得训练集样本的待增强特征；将具有待增强特征的样本设置为增强样本，从数据集中获得增强样本，将获得的增强样本加入训练集；将增强样本加入训练集后，重新对训练集进行训练与测试，直到在验证集上的分类性能达到最优。本申请增加了样本特征多样性，提高了分类准确度。

公开(公告)号：CN106650453A

公开(公告)日：2017-05-10

申请号：CN201611263964.0

申请日：2016-12-30

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 刘洋 ,  陈亘 ,  李永泉 ,  谢瑞璇

IPC: G06F21/56

Abstract: 本申请提供了一种检测方法和装置，本发明中没有像现有技术中一样，直接查找是否具有恶意的字节，即没有直接对二进制形式的代码进行分析，而是将具有二进制形式的代码的格式转换成具有字符串形式的代码，进而对具有字符串形式的代码进行特征分析，由于现有技术中形式改变后的恶意的字节对应的具有字符串形式的代码是不变的，采用本发明中的方案就能够避免恶意的字节的形式改变后，采用特征码和人工规则的识别方法来检测flash文件中是否携带有恶意代码时，不能判断flash文件是否是恶意文件的问题。

公开(公告)号：CN115085992B

公开(公告)日：2023-08-15

申请号：CN202210649186.8

申请日：2022-06-09

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京网御星云信息技术有限公司

Inventor： 陈亘 ,  刘敦辉 ,  黄质 ,  徐飞 ,  罗元沙 ,  赵宇 ,  余乐临 ,  刘洋

IPC: H04L9/40 ,  H04L67/02

Abstract: 本申请提供一种恶意HTTPS隐秘通道的检测系统及其检测方法，包括流量模块、HTTPS模块和安全检测模块；所述流量模块存储有流量信息，所述流量信息包括会话信息和历史流量信息；所述HTTPS模块能够根据获得的流量信息得到HTTPS隐蔽通道信息；所述HTTPS隐蔽通道信息包括HTTPS元数据、SSL元数据和SNI元数据；所述安全检测模块包括心跳检测模块、证书检测模块、指纹检测模块和SNI检测模块，根据安全检测模块获得的心跳异常五元组、证书异常五元组、指纹异常五元组和SNI异常五元组的信息，综合判断是否为恶意HTTPS隐秘通道。本申请提高了网络安全性，能够对恶意HTTPS隐秘通道进行及时报警。

公开(公告)号：CN115051845A

公开(公告)日：2022-09-13

申请号：CN202210639313.6

申请日：2022-06-08

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京网御星云信息技术有限公司

Inventor： 陈亘 ,  刘敦辉

IPC: H04L9/40

Abstract: 本发明所提供的可疑流量识别方法，可以基于历史访问数据构建预设时间段的网络访问白名单，然后从当前访问数据中筛选出局域网络访问外部网络的访问流量。获取访问流量中的超文本传输协议流量，并将从超文本传输协议流量中提取出的超文本传输请求的HOST字段和目的IP地址，与域名白名单和超文本传输协议白名单分别进行碰撞，得到不符合域名白名单和超文本传输协议白名单的可疑流量。并将从超文本安全传输协议流量中提取出的超文本安全传输请求的服务器名称和目的IP地址，与域名白名单和所述超文本安全传输协议白名单分别进行碰撞，得到不符合域名白名单和超文本安全传输协议白名单的可疑流量。该流量过滤方法提高了对恶意流量过滤的精准度。

公开(公告)号：CN118246006A

公开(公告)日：2024-06-25

申请号：CN202410433615.7

申请日：2024-04-11

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京网御星云信息技术有限公司

Inventor： 陈曦 ,  焦晨霈 ,  陈亘

IPC: G06F21/53 ,  G06F21/55 ,  G06F8/41

Abstract: 本申请提供的一种文档文件的行为检测方法、装置、设备及存储介质，在一种文档文件的行为检测方法中，获取待检测文档文件；解析所述待检测文档文件，确定所述待检测文档文件的预设检测环境以及经过编译的宏代码；在所述预设检测环境中检测所述待检测文档文件，包括：绕过版本号验证，执行对所述经过编译的宏代码，得到宏代码执行结果；根据宏代码执行结果确定所述文档文件的行为检测结果。通过上述方法，可以在沙箱系统中，在预设检测环境下进行解析执行待检测文档文件，并且在检测过程中会绕过版本号验证，避免重新编译原始宏代码导致覆盖经过编译的宏代码,提高文档文件的行为检测的检测效率和准确性。

公开(公告)号：CN115701020A

公开(公告)日：2023-02-07

申请号：CN202110797366.6

申请日：2021-07-14

Applicant: 国家计算机网络与信息安全管理中心 ,  北京启明星辰信息安全技术有限公司

Inventor： 何清林 ,  邢燕祯 ,  罗冰 ,  张翀 ,  刘洋 ,  陈亘 ,  陈曦 ,  方太辉

IPC: H04L9/40

Abstract: 本申请提供了一种基于HTTP协议的网络流量的漏洞特征提取系统，其特征在于，包括采集模块、聚类模块、特征提取模块以及转换模块；所述采集模块用于获取到payload数据；所述聚类模块用于得到属于同一漏洞的payload数据集合；所述特征提取模块用于提取到所述漏洞的有效特征字符串；所述转换模块用于将所述有效特征字符串及其相关信息转换成对应的Yara规则。本申请还提供一种基于HTTP协议的网络流量的漏洞特征提取系统的提取方法，其步骤为：获取到payload数据，进行聚类，得到属于同一漏洞的payload数据集合；提取到有效特征字符串；获得有效特征字符串的相关信息，将所述有效特征字符串及其相关信息转换成对应的Yara规则。本申请提高了提取效率。

公开(公告)号：CN115085992A

公开(公告)日：2022-09-20

申请号：CN202210649186.8

申请日：2022-06-09

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京网御星云信息技术有限公司

Inventor： 陈亘 ,  刘敦辉 ,  黄质 ,  徐飞 ,  罗元沙 ,  赵宇 ,  余乐临 ,  刘洋

IPC: H04L9/40 ,  H04L67/02

Abstract: 本申请提供一种恶意HTTPS隐秘通道的检测系统及其检测方法，包括流量模块、HTTPS模块和安全检测模块；所述流量模块存储有流量信息，所述流量信息包括会话信息和历史流量信息；所述HTTPS模块能够根据获得的流量信息得到HTTPS隐蔽通道信息；所述HTTPS隐蔽通道信息包括HTTPS元数据、SSL元数据和SNI元数据；所述安全检测模块包括心跳检测模块、证书检测模块、指纹检测模块和SNI检测模块，根据安全检测模块获得的心跳异常五元组、证书异常五元组、指纹异常五元组和SNI异常五元组的信息，综合判断是否为恶意HTTPS隐秘通道。本申请提高了网络安全性，能够对恶意HTTPS隐秘通道进行及时报警。