公开(公告)号：CN119728233A

公开(公告)日：2025-03-28

申请号：CN202411883234.5

申请日：2024-12-19

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40

Abstract: 本申请实施例提供一种网络威胁取证方法、程序产品、电子设备及存储介质，涉及人工智能技术领域。该方法包括获取原始数据；对原始数据进行预处理，获得初始数字取证报告；对初始数字取证报告进行异常事件检测，并基于异常事件生成文本取证文件；对文本取证文件进行事件分块和向量嵌入，获得向量文件；接收用户输入的查询信息，并基于查询信息和向量文件生成取证报告。该方法能够自动检测异常事件并进行事件分块和向量嵌入，能够提取事件的关键信息，提高了威胁取证的效率和准确性，解决了现有方法威胁取证效率低的问题。

公开(公告)号：CN115225546B

公开(公告)日：2023-11-28

申请号：CN202210866486.1

申请日：2022-07-22

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L43/0876 ,  H04L41/12

Abstract: 本公开涉及一种网络流量的预测方法、装置及设备，其中方法包括：获取时域特征；采集在当前短周期内多个历史时间窗的第一流量数据文件；多个历史时间窗包括：在待预测时间之前且与待预测时间相邻的连续多个时间窗；第一流量数据文件包括：当前短周期内，各历史时间窗中的网络节点，与网络节点通信的第一通信节点，各历史时间窗相对相邻上一时间窗的流量一阶差分值；采集在目标长周期内，多个历史时间窗的第二流量数据文件；其中，目标长周期是当前短周期所在长周期的相邻前一长周期；根据第一流量数据文件和第二流量数据文件，得到待预测时间的目标流量增量预测值。本公开能够提高流量数据的预测准确性。

公开(公告)号：CN114095212B

公开(公告)日：2023-09-01

申请号：CN202111271224.2

申请日：2021-10-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40 ,  H04L61/4511 ,  H04L41/16 ,  G06F40/242 ,  G06F40/279 ,  G06N3/088

Abstract: 本发明公开了一种对抗训练DGA域名检测模型的方法及装置，包括获取DNS流量样本数据，并提取获得域名文件；基于预先构造的分词词典对域名文件中的各域名进行分割，并根据分割结果构建编码向量文件；通过预先训练的词向量模型确定编码向量文件的各域名的训练词向量集，以及利用生成模型生成DGA域名的模拟词向量；基于训练词向量集中的词向量和所生成的模拟词向量训练判别模型和生成模型。在按照本公开的方法进行训练后，能够生成低随机性的DAG域名，而无需收集恶意样本。并且基于所生成的低随机性的DAG域名训练的判别模型，能够有效地检测出由DGA算法产生的低随机性DGA域名，从根源处遏制网络攻击的发生。

公开(公告)号：CN113660210B

公开(公告)日：2023-05-12

申请号：CN202110819680.X

申请日：2021-07-20

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁 ,  潘季明

IPC: H04L9/40 ,  H04L41/14 ,  G06F18/214

Abstract: 本发明公开了一种恶意TLS加密流量检测模型训练方法、检测方法及终端，包括：获取TLS流量样本，TLS流量样本中包括若干条恶意TLS加密流量数据和若干条正常流量数据；为TLS流量样本中的各条流量数据提取其在握手阶段的不同类别的特征值；为不同类别的特征值建立相应的逻辑回归模型；通过设置的训练集来调节逻辑回归模型的超参数，使得逻辑回归模型基于验证集的效果达到最优；将训练好的逻辑回归模型作为恶意TLS加密流量检测模型。通过本发明方法，在检测阶段可以在确定该流量数据任意类别特征值符合预设条件的情况下，即可判定该流量为恶意流量。本公开的方法能够提高检测模型的泛化能力，并提高模型的检测速度。

公开(公告)号：CN115277102B

公开(公告)日：2023-04-07

申请号：CN202210764380.0

申请日：2022-06-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40 ,  H04L41/12 ,  H04L41/14

Abstract: 本公开涉及一种网络攻击检测方法、装置、电子设备及存储介质，其中，所述方法包括：采集时间窗口内的流量作为待检测流量，并从待检测流量中提取每条流量的第一类特征信息、第二类特征信息和第三类特征信息，生成特征文件；基于特征文件，生成待检测流量对应的无向拓扑图以及无向拓扑图中无向边的边特征，无向拓扑图中的节点根据第一类特征信息和第二类特征信息生成，边特征根据第三类特征信息确定；将无向拓扑图和边特征输入预先训练的网络攻击检测模型，以获取无向拓扑图中的每个节点为异常节点的预测概率；根据预测概率，从待检测流量中确定出攻击流量。由此，能够提升网络流量表征能力，从而有利于提高网络攻击检测的准确率。

公开(公告)号：CN115225369A

公开(公告)日：2022-10-21

申请号：CN202210837531.0

申请日：2022-07-15

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40

Abstract: 本公开涉及一种僵尸网络的检测方法、装置及设备，其中，该方法包括：采集网络中各主机节点在预设的时间窗内的流量数据，得到如下特征文件：源IP、源端口、目的IP和目的端口，流量行为统计特征以及包长序列；根据流量行为统计特征，检测第一主机节点与其他剩余主机节点的相似性分数；根据源IP和源端口，目的IP和目的端口，以及流量行为统计特征，构建第一主机节点的第一自我中心网络；通过预设的图注意力网络，检测第一自我中心网络对应的平均预测误差；基于各主机节点对应的相似性分数、平稳性分数和平均预测误差，检测网络中的C&C节点和僵尸主机。本公开能够提高僵尸网络中C&C节点和僵尸主机的检测准确性。

公开(公告)号：CN114095212A

公开(公告)日：2022-02-25

申请号：CN202111271224.2

申请日：2021-10-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40 ,  H04L61/4511 ,  H04L41/16 ,  G06F40/242 ,  G06F40/279 ,  G06N3/08

Abstract: 本发明公开了一种对抗训练DGA域名检测模型的方法及装置，包括获取DNS流量样本数据，并提取获得域名文件；基于预先构造的分词词典对域名文件中的各域名进行分割，并根据分割结果构建编码向量文件；通过预先训练的词向量模型确定编码向量文件的各域名的训练词向量集，以及利用生成模型生成DGA域名的模拟词向量；基于训练词向量集中的词向量和所生成的模拟词向量训练判别模型和生成模型。在按照本公开的方法进行训练后，能够生成低随机性的DAG域名，而无需收集恶意样本。并且基于所生成的低随机性的DAG域名训练的判别模型，能够有效地检测出由DGA算法产生的低随机性DGA域名，从根源处遏制网络攻击的发生。

公开(公告)号：CN114095176A

公开(公告)日：2022-02-25

申请号：CN202111272225.9

申请日：2021-10-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁 ,  潘季明

IPC: H04L9/32 ,  H04L9/40 ,  H04L41/16 ,  H04L61/4511 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种恶意域名检测方法及装置，包括：获取待检测的域名，并基于所述待检测各域名基于预先构建的二分图集生成该域名的二分图；基于该域名的二分图生成该域名的编码向量；将所述编码向量输入训练好的检测模型；基于所述检测模型的输出结果确定该域名是否为恶意域名。本公开的方法将域名的连接关系转换为该域名的二分图，并基于相应的二分图来生成待检测域名节点的编码向量，并使用训练好的检测模型对域名进行分类，有效提高恶意域名的识别效果。

公开(公告)号：CN117874757A

公开(公告)日：2024-04-12

申请号：CN202311649954.0

申请日：2023-12-04

Applicant: 高昊 ,  北京天融信网络安全技术有限公司

Inventor： 高昊 ,  安晓宁

IPC: G06F21/56 ,  G06N5/02 ,  G06N3/042 ,  G06N3/0464 ,  G06N3/0455

Abstract: 本申请实施例提供一种恶意代码的同源检测方法、装置、电子设备及存储介质，涉及应用安全技术领域。该方法包括获取二进制函数代码以及对应的二进制控制流程图；对所述二进制控制流程图进行基于基本块的语义与结构信息提取，以获得函数向量；基于函数向量和所述二进制控制流程图获得函数调用图；基于所述函数调用图并利用MPNN网络模型、CNN网络分别获得函数调用图的语义表征、顺序感知表征，并利用MLP函数获得二进制函数表征；利用语义表征和顺序感知表征计算相似性得分。该方法利用图神经网络进行控制流程图和函数调用图的结构信息的获取，从而提高识别精度和准确度，解决了现有方法由于缺少结构信息导致结果不准确的问题。

公开(公告)号：CN117668544A

公开(公告)日：2024-03-08

申请号：CN202311621714.X

申请日：2023-11-29

Applicant: 杨葛英 ,  北京天融信网络安全技术有限公司

Inventor： 王清浩 ,  安晓宁 ,  杨葛英 ,  王丽娜 ,  刘晓稳

IPC: G06F18/214 ,  G06F18/241 ,  G06N3/0455 ,  G06N3/0464 ,  H04L9/40

Abstract: 本申请提供一种模型训练方法、异常流量检测方法、装置和电子设备，该模型训练方法包括：获取样本流量以及待训练模型；待训练模型包括一维卷积堆叠自编码器；所述一维卷积堆叠自编码器包括多个堆叠的一维卷积自编码器的编码层；多个堆叠的一维卷积自编码器的编码层通过逐层贪婪预训练得到；将样本流量作为一维卷积堆叠自编码器的输入，以及将样本流量的真实标签作为期望输出训练待训练模型；真实标签表征样本流量的实际异常情况；在所述待训练模型的输出结果与样本流量的真实标签之间的损失值小于预设损失值阈值的情况下，确定待训练模型收敛。该方法可以缩短待训练模型的训练时长，并提高预测准确性。