公开(公告)号：CN119766558A

公开(公告)日：2025-04-04

申请号：CN202411967336.5

申请日：2024-12-30

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 庞瑞

IPC: H04L9/40 ,  H04L61/3015

Abstract: 本申请公开了一种用于检测恶意域名的方法、计算机设备、程序产品及介质，属于网络安全技术领域，该方法包括：获取待检测域名；基于预构建的词典类恶意域名检测模型，确定待检测域名的初始检测结果；在初始检测结果为非恶意域名的情况下，对待检测域名进行分词处理，以得到待检测域名对应的分词结果；基于预设检测策略，根据分词结果确定待检测域名的目标检测结果。本申请能够通过词典类恶意域名检测模型实现对词典类DGA恶意域名的检测，并结合预设检测策略进行二次检测，有利于提高检测结果的准确性。

公开(公告)号：CN114079579A

公开(公告)日：2022-02-22

申请号：CN202111237361.4

申请日：2021-10-21

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 王晓敏 ,  庞瑞

IPC: H04L9/40 ,  G06N20/00

Abstract: 本公开提出了一种恶意加密流量检测方法及装置，其中恶意加密流量检测方法包括：获取网络流量数据；基于网络模型对网络流量数据进行识别，并确定所述网络模型对网络流量数据的识别错误率；在所述识别错误率满足第一预设条件的情况下，记录在后获取的网络流量数据，并确定所述网络模型对在后的网络流量数据的识别错误率；在所述预设网络模型对在后的网络流量数据的识别错误率在预设时段内满足第二预设条件的情况下，基于记录的在后的网络流量数据对所述网络模型进行训练，以更新所述网络模型。本公开的方法解决了网络模型在线上使用时对数据的适用性问题，有效保证了网络模型对新型恶意流量数据的检出效果。

公开(公告)号：CN110826062B

公开(公告)日：2022-02-01

申请号：CN201910991547.5

申请日：2019-10-18

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 庞瑞 ,  张宏君

IPC: G06F21/56

Abstract: 本发明提出了一种恶意软件的检测方法及装置，方法包括：获取待检测软件的特征组合向量；基于调整信息，从预先训练的模型簇中选择预定模型；将特征组合向量输入预定模型中进行计算；输出待检测软件的检测结果。根据本发明的恶意软件的检测方法，可以通过调整信息从模型簇中选择对应的预定模型，对待检测软件进行计算检测。调整信息的引入可以更好的根据待检测软件的实际情况调整检测模型和参数，而不仅仅依赖预设参数，从而能够更好的应对实际生产环境的变化。而且，利用机器学习模型簇取代单一机器学习模型，进行检测可以更灵活的兼顾检测速率和检测精度，能应付复杂生产环境需求。

公开(公告)号：CN112347479B

公开(公告)日：2021-08-24

申请号：CN202011134567.X

申请日：2020-10-21

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 庞瑞

IPC: G06F21/56

Abstract: 本公开提供一种恶意软件检测的误报纠正方法、装置、设备和存储介质。该方法包括：通过对检测模型检测出的第一疑似恶意软件进行静态特征检测，得到静态特征检测结果，根据静态特征检测结果和静态特征计分规则，得到第一疑似恶意软件的得分，若第一疑似恶意软件的得分大于或者等于第一阈值，确定第一疑似恶意软件为第二疑似恶意软件，根据第二疑似恶意软件，确定第二疑似恶意软件为真实恶意软件。本公开的方法，进一步对第一疑似恶意软件进行处理，从而实现对第一疑似恶意软件进行进一步的检测，使得检测结果中的误报的疑似恶意软件被筛除，并确定出真实恶意软件，使得误报恶意软件数量减少，从而降低误报率，保证恶意软件检测模型的正常使用。

公开(公告)号：CN109359439A

公开(公告)日：2019-02-19

申请号：CN201811257390.5

申请日：2018-10-26

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 庞瑞 ,  张宏君

IPC: G06F21/12

Abstract: 本发明公开了一种软件检测方法、装置、设备及存储介质，所述方法包括：提取软件样本库中各样本所包含的数值型特征和非数值型特征；利用选定的N种非加密哈希算法对所述非数值型特征进行处理，并将处理结果转换为数值型特征；所述N为大于1的整数；根据各样本中包含的所述数值型特征和转化得到的所述数值型特征，构造特征矩阵；利用所述特征矩阵训练机器学习分类器；利用所述机器学习分类器，对目标软件进行检测。本发明可以将从恶意软件样本中提取出的复杂字符串特征转化为易于机器学习算法处理的哈希特征，从而降低了模型训练难度，显著提高了训练速度，降低了空间开销，提升了恶意软件判别精度。

公开(公告)号：CN116015873B

公开(公告)日：2023-08-29

申请号：CN202211685256.1

申请日：2022-12-27

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 庞瑞

IPC: H04L9/40 ,  H04L41/0631

Abstract: 本公开涉及一种网络安全告警处理方法、装置、设备及存储介质，其中，方法包括：获取多个安全运维终端分别对于多条告警规则的第一告警向量以及告警处置信息，并以交互评分矩阵存储；获取待排序终端对于多条告警规则的第二告警向量，以及调用交互评分矩阵以获取多个安全运维终端的第一告警向量；计算第二告警向量与各第一告警向量之间的相似度，并确定相似度最高的安全运维终端为待排序终端的最相似终端；按照所述最相似终端的告警处置信息，对所述待排序终端的告警信息进行排序推送。根据本公开的技术方案，能够从大量原始告警信息中确定亟需处置的威胁告警，并且提供个性化的告警信息排序，提高告警信息优先级排序的准确度。

公开(公告)号：CN110826062A

公开(公告)日：2020-02-21

申请号：CN201910991547.5

申请日：2019-10-18

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 庞瑞 ,  张宏君

IPC: G06F21/56

Abstract: 本发明提出了一种恶意软件的检测方法及装置，方法包括：获取待检测软件的特征组合向量；基于调整信息，从预先训练的模型簇中选择预定模型；将特征组合向量输入预定模型中进行计算；输出待检测软件的检测结果。根据本发明的恶意软件的检测方法，可以通过调整信息从模型簇中选择对应的预定模型，对待检测软件进行计算检测。调整信息的引入可以更好的根据待检测软件的实际情况调整检测模型和参数，而不仅仅依赖预设参数，从而能够更好的应对实际生产环境的变化。而且，利用机器学习模型簇取代单一机器学习模型，进行检测可以更灵活的兼顾检测速率和检测精度，能应付复杂生产环境需求。

公开(公告)号：CN110765459A

公开(公告)日：2020-02-07

申请号：CN201910991553.0

申请日：2019-10-18

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 庞瑞 ,  张宏君

IPC: G06F21/56 ,  G06N20/00

Abstract: 本发明提出了一种恶意脚本检测方法、装置和存储介质，用以针对未知恶意脚本进行检测，提高恶意脚本检测方法的通用性。恶意脚本检测方法，包括：获取待检测样本；利用恶意脚本检测模型对待检测样本进行处理得到所述待检测样本对应的第一检测值，所述恶意脚本检测模型为利用预设机器学习算法对训练样本集进行学习得到的；判断所述第一检测值是否大于恶意脚本检测阈值，所述恶意脚本检测阈值为根据利用所述恶意脚本检测模型对测试样本集中包含的测试样本进行处理得到的；如果所述第一检测值大于所述恶意脚本检测阈值，则确定所述待检测样本是恶意脚本，如果所述第一检测值不大于所述恶意脚本检测阈值，则确定所述待检测样本不是恶意脚本。

公开(公告)号：CN119766557A

公开(公告)日：2025-04-04

申请号：CN202411967328.0

申请日：2024-12-30

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 庞瑞

IPC: H04L9/40 ,  G06F16/953 ,  G06F16/958 ,  G06N5/025

Abstract: 本申请公开了一种网络流量检测方法、装置、存储介质及计算机程序产品，方法包括：确定网络流量的文件还原样本；第一分析智能体对文件还原样本进行处理，以得到文件还原样本中的敏感信息；第一分析智能体根据敏感信息生成与外部查询工具对应的查询语句；根据查询语句调用外部查询工具，将外部查询工具输出的与查询语句对应的查询结果返回至第一分析智能体；第一分析智能体将查询结果和文件还原样本传输至第二分析智能体；第二分析智能体确定与查询结果对应的检测决策，以根据检测决策确定是否对文件还原样本进行沙箱检测。上述方案，可以减少真正违规样本漏报的概率。

公开(公告)号：CN114079579B

公开(公告)日：2024-03-15

申请号：CN202111237361.4

申请日：2021-10-21

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 王晓敏 ,  庞瑞

IPC: H04L9/40 ,  G06N20/00

Abstract: 本公开提出了一种恶意加密流量检测方法及装置，其中恶意加密流量检测方法包括：获取网络流量数据；基于网络模型对网络流量数据进行识别，并确定所述网络模型对网络流量数据的识别错误率；在所述识别错误率满足第一预设条件的情况下，记录在后获取的网络流量数据，并确定所述网络模型对在后的网络流量数据的识别错误率；在所述预设网络模型对在后的网络流量数据的识别错误率在预设时段内满足第二预设条件的情况下，基于记录的在后的网络流量数据对所述网络模型进行训练，以更新所述网络模型。本公开的方法解决了网络模型在线上使用时对数据的适用性问题，有效保证了网络模型对新型恶意流量数据的检出效果。