公开(公告)号：CN117218449A

公开(公告)日：2023-12-12

申请号：CN202311283225.8

申请日：2023-09-28

Applicant: 王瑞琪 ,  北京天融信网络安全技术有限公司

Inventor： 王瑞琪 ,  安晓宁

IPC: G06V10/764 ,  G06V10/70 ,  G06T11/00 ,  G06N7/01 ,  G06F21/56 ,  G06V10/10

Abstract: 本申请实施例提供一种基于图像分类的恶意代码检测方法、装置、设备及存储介质，涉及恶意代码检测技术领域。所述方法包括：获取待检测代码样本的字节流文件；基于三种间隔距离分别对字节流文件进行字节对提取，得到三个字节对集合；基于三个字节对集合进行计算得到对应的三个马尔可夫概率转移矩阵；基于三个马尔可夫概率转移矩阵生成待测RGB图像；将待测RGB图像输入至训练好的图像分类模型，得到恶意代码检测结果。本申请实施例通过采用三种不同的方式提取待测字节文件的字节对并计算相应的马尔可夫概率转移矩阵，作为RGB图像的三个通道输入信息以实现代码可视化，从而能够充分提取得到代码的特征及语义信息，提高对恶意代码进行检测的准确性。

公开(公告)号：CN117195056A

公开(公告)日：2023-12-08

申请号：CN202311228978.9

申请日：2023-09-21

Applicant: 宣羽泽 ,  北京天融信网络安全技术有限公司

Inventor： 宣羽泽 ,  安晓宁

IPC: G06F18/24 ,  G06F18/241 ,  G06N3/096 ,  G06F21/56

Abstract: 本申请的一些实施例提供了一种恶意软件家族分类的方法、装置、存储介质及电子设备，该方法包括：对软件样本进行反汇编和多特征提取，获取所述软件样本的特征矩阵；利用所述软件样本中的第一样本对应的第一特征矩阵对自编码器模型进行训练，获取表征模型；将所述软件样本中除所述第一样本之外的第二样本的第二特征矩阵输入至所述表征模型，得到所述第二样本对应的表征向量；利用所述第二样本对应的表征向量对初始软件家族分类器进行训练，获取所述原型网络模型和原型集，其中，所述表征模型、所述原型网络模型和所述原型集用于对恶意软件家族分类。本申请的一些实施例可以实现对恶意软件家族的准确分类。

公开(公告)号：CN118070276A

公开(公告)日：2024-05-24

申请号：CN202311355602.4

申请日：2023-10-18

Applicant: 北京天融信网络安全技术有限公司

Inventor： 陶锐 ,  杨频 ,  张磊 ,  安晓宁

IPC: G06F21/56 ,  G06F18/241 ,  G06F8/53 ,  G06F8/41 ,  G06N3/0455 ,  G06N3/042 ,  G06N3/08

Abstract: 本申请实施例提供一种恶意代码分类方法、装置、电子设备及存储介质，所述方法包括：将恶意代码的二进制文件进行反汇编，得到控制流图；提取控制流图中每个基本块的语义特征；将各基本块的语义特征与控制流图的结构信息输入基于注意力的图神经网络，输出控制流图的整图嵌入；基于整图嵌入进行恶意家族分类，得到恶意代码所属的恶意家族。在图神经网络中融合注意力机制，使得在融合各基本块的语义特征与结构信息时，可以忽略掺杂有混淆手段的无效基本块及其结构信息。整图嵌入融合了更多重要节点的语义特征及结构信息，使得在恶意家族分类时考虑的是有用的语义特征及调用关系，提高了抵抗恶意软件中的混淆手段的能力与分类准确性。

公开(公告)号：CN118012480A

公开(公告)日：2024-05-10

申请号：CN202311462337.X

申请日：2023-11-02

Applicant: 刘昕仪 ,  北京天融信网络安全技术有限公司

Inventor： 刘昕仪 ,  彭国军 ,  安晓宁

IPC: G06F8/70 ,  G06F8/40 ,  G06F8/41

Abstract: 本申请提供一种代码同源性分析方法及装置，该方法包括：获取待处理原始代码；对待处原始代码进行二进制提升处理，得到LLVM IR中间语言；基于LLVM IR中间语言进行重优化处理和预处理，得到预处理代码；基于CBOW扩展模型、SIF模型和预处理代码，生成基本块的特征向量；基于基本块向量进行基于恶意功能的匹配处理，得到目标匹配结果；基于目标匹配结果进行同源性分析，得到两个恶意二进制函数以及两个恶意二进制函数的同源性指数。可见，该方法及装置能够解决多样化编译环境干扰二进制语义提取的问题，有利于消除编译器、编译选项、架构等对语义分析产生的干扰，提升了恶意代码同源性分析准确率，提升了恶意代码识别准确率。

公开(公告)号：CN117725544A

公开(公告)日：2024-03-19

申请号：CN202311211904.4

申请日：2023-09-18

Applicant: 石文轩 ,  北京天融信网络安全技术有限公司

Inventor： 石文轩 ,  安晓宁

IPC: G06F18/25 ,  G06F18/40 ,  G06N3/045 ,  G06N3/0464 ,  G06N3/0499 ,  G06N3/09 ,  G06F40/30 ,  G06F16/35

Abstract: 本申请实施例提供一种训练语义识别模型、文件分类的方法、装置、设备及介质，该方法包括：将汇编代码文件中的词进行掩码操作，获得掩码文件，其中，所述汇编代码文件是通过待识别语义的代码文件获得的；将过程间控制流程图中的代码块进行替换，获得代码块替换文件，其中，所述代码块为所述过程间控制流程图中的节点；将所述掩码文件和所述代码块替换文件输入到待训练的语义识别模型中，通过所述待训练的语义识别模型进行多个任务的训练，获得目标语义识别模型。通过本申请的一些实施例能够实现多个任务同时训练，从而保证模型语义识别的准确性。

公开(公告)号：CN117313093A

公开(公告)日：2023-12-29

申请号：CN202311354676.6

申请日：2023-10-18

Applicant: 暴爽 ,  北京天融信网络安全技术有限公司

Inventor： 暴爽 ,  李丽香 ,  彭海朋 ,  安晓宁

IPC: G06F21/56 ,  G06V10/764 ,  G06V10/771 ,  G06V10/82

Abstract: 本申请提供一种恶意代码检测方法、装置、电子设备及存储介质，其中，恶意代码检测方法包括：获取待检测数据，并提取所述待检测数据的有效载荷；将所述待检测数据的有效载荷映射为灰度图；提取所述灰度图中的有效特征信息，并基于所述有效特征信息构建特征向量；将所述特征向量输入到分类器中，以使所述分类器输出恶意代码分类结果。本申请能够对检测分类恶意代码，并提高恶意代码的检测分类效率。

公开(公告)号：CN117313090A

公开(公告)日：2023-12-29

申请号：CN202311267458.9

申请日：2023-09-27

Applicant: 宣羽泽 ,  北京天融信网络安全技术有限公司

Inventor： 宣羽泽 ,  安晓宁

IPC: G06F21/56

Abstract: 本申请实施例提供一种识别恶意软件类型的方法、装置、介质及电子设备，采用本申请实施例能够深入挖掘可执行文件的内在结构和语义信息，所述方法包括：获取待识别恶意软件中的所有函数，并得到所述所有函数中各函数的程序控制流图；获取所述待识别恶意软件的函数调用图；以所述函数调用图中的边作为边结构，并以与每个程序控制流图对应的嵌入向量为节点，构建层次图；将所述层次图编码为一个目标特征向量；将所述目标特征向量输入恶意软件分类模型获取所述待识别恶意软件的类别。本申请的实施例基于分层图的图神经网络模型，能够更准确地捕捉函数内部的结构语义和不同函数之间的关联语义，有效解决了CFG和FCG层次特征表征不准确的问题。

公开(公告)号：CN117195215A

公开(公告)日：2023-12-08

申请号：CN202311255559.4

申请日：2023-09-26

Applicant: 暴爽 ,  北京天融信网络安全技术有限公司

Inventor： 暴爽 ,  李丽香 ,  彭海朋 ,  安晓宁

IPC: G06F21/56 ,  G06F18/214 ,  G06N3/0464 ,  G06F8/72

Abstract: 本申请的一些实施例提供了一种程序脱壳的方法、装置、存储介质及电子设备，该方法包括：将待脱壳代码初始文件对应的脱壳文件写入内存块并执行，并对所述执行的过程进行跟踪，得到初始可执行版本；将所述初始可执行版本输入至目标判别模型，得到文件查找结果；对所述文件查找结果进行分析重构，得到目标恶意代码文件。本申请的一些实施例适应性较广，且可以提升对代码文件的脱壳效率。

公开(公告)号：CN117114058A

公开(公告)日：2023-11-24

申请号：CN202311236388.0

申请日：2023-09-22

Applicant: 梁靖宇 ,  北京天融信网络安全技术有限公司

Inventor： 梁靖宇 ,  胡晓艳 ,  安晓宁

IPC: G06N3/0475 ,  G06N3/094 ,  G06N3/0455 ,  G06V10/30 ,  G06V10/82

Abstract: 本申请的一些实施例提供了一种生成对抗样本、训练流量检测模型的方法及装置，该方法包括：对原始流量预处理后得到的流量图像进行降噪，获取降噪后图像特征；利用影子模型和降噪后图像特征，获取梯度信息；利用所述梯度信息，生成对抗扰动；通过对所述流量图像处理后的特征权重、所述对抗扰动和影子图像进行计算，生成对抗样本，其中，所述影子图像是基于所述影子模型获得的。本申请的一些实施例可以生成高质量且迁移性较好的对抗样本，提升训练的检测模型的鲁棒性。

公开(公告)号：CN116956065A

公开(公告)日：2023-10-27

申请号：CN202310879722.8

申请日：2023-07-18

Applicant: 靳洮 ,  北京天融信网络安全技术有限公司

Inventor： 靳洮 ,  高飞 ,  安晓宁

IPC: G06F18/22 ,  G06F18/213 ,  G06F8/53 ,  G06F8/41

Abstract: 本申请的一些实施例提供了一种检测代码相似度的方法、装置、存储介质及电子设备，该方法包括：提取至少两个二进制程序文件中各个二进制程序文件的特征，得到各特征信息，其中，所述各特征信息包括：各伪代码文本和各字符串序列；将所述各特征信息输入至目标网络模型，获取所述各个二进制程序文件对应的各语义嵌入向量；确定所述各语义嵌入向量之间的相似度值。本申请的一些实施例可以获取代码结构层面的语义信息，实现对代码的相似度的准确检测。