公开(公告)号：CN117349838A

公开(公告)日：2024-01-05

申请号：CN202311394558.8

申请日：2023-10-25

Applicant: 谢雪 ,  北京天融信网络安全技术有限公司

Inventor： 谢雪 ,  安晓宁

IPC: G06F21/56 ,  G06V10/764 ,  G06V10/82 ,  G06N3/0464

Abstract: 本申请提供了一种恶意代码分类方法、装置、电子设备及计算机存储介质，其中，该方法包括：将待分类恶意代码转化为灰度图像；将所述灰度图像输入密集残差网络模型，通过所述密集残差网络模型的数据预处理层组对所述灰度图像进行特征信息提取；通过所述密集残差网络模型的卷积层组对提取的特征信息进行深度处理，所述卷积层组中包括残差连接和密集连接；通过所述密集残差网络模型的分类计算层组对深度处理后的特征信息进行分类计算，得到所述待分类恶意代码的分类概率；根据所述分类概率确定所述待分类恶意代码的分类结果。

公开(公告)号：CN117272173A

公开(公告)日：2023-12-22

申请号：CN202311229510.1

申请日：2023-09-21

Applicant: 梁靖宇 ,  北京天融信网络安全技术有限公司

Inventor： 梁靖宇 ,  胡晓艳 ,  安晓宁

IPC: G06F18/2415 ,  G06F18/214 ,  G06N3/0464 ,  G06N3/047 ,  G06N3/048 ,  G06N3/084 ,  H04L47/2441

Abstract: 本申请实施例提供一种训练流量分类模型、流量数据分类的方法、装置及介质，该方法包括：通过通用流量数据集对待训练的流量分类模型进行预训练，获得预训练流量分类模型；将所述预训练流量分类模型中的部分网络层进行冻结，保留所述预训练流量分类模型中的参数，获得调整后的流量分类模型；通过小样本流量数据集对所述调整后的流量分类模型进行训练，获得目标流量分类模型，其中，所述目标流量分类模型中所述部分网络层中的参数与所述预训练流量分类模型中相应的网络层的参数相同。通过本申请的一些实施例能够解决小样本数据集不平衡的问题，从而提高流量分类的准确性。

公开(公告)号：CN117193787A

公开(公告)日：2023-12-08

申请号：CN202311152584.X

申请日：2023-09-06

Applicant: 陶锐 ,  北京天融信网络安全技术有限公司

Inventor： 陶锐 ,  杨频 ,  张磊 ,  安晓宁

IPC: G06F8/41 ,  G06F8/53

Abstract: 本申请提供一种二进制代码分析方法、装置、电子设备和存储介质，其中，二进制代码分析方法包括：获取待分析二进制代码文件，并生成所述待分析二进制代码文件的属性控制图；将所述模型输入数据输入到第一二进制代码分析模型中，以使所述第一二进制代码分析模型基于所述模型输入数据输出所述待分析二进制代码文件的邻居节点识别结果等步骤。本申请至少能够基于模型自动实现识别二进制代码中的相邻节点，以便于分析二进制代码文件的基本块调用关系。

公开(公告)号：CN117171738A

公开(公告)日：2023-12-05

申请号：CN202310445345.7

申请日：2023-04-23

Applicant: 李亚康 ,  北京天融信网络安全技术有限公司

Inventor： 李亚康 ,  安晓宁

IPC: G06F21/56 ,  G06F18/2415 ,  G06N3/0455 ,  G06N3/088

Abstract: 本申请实施例提供一种恶意软件分析方法、装置、存储介质及设备，该方法中，针对目标恶意软件，提取基本块的特征，以此构建特征矩阵，基于自动编码器计算各基本块包含恶意代码的概率，再将该特征矩阵和该概率作为分类模型的输入，该分类模型是基于多个具有不同家族标签的恶意样本训练得到的，基于该分类模型的输出可以确定该目标恶意软件所属的家族。这一过程中，通过自动编码器得到每个基本块的可疑度，以此来指导分类模型，实现了恶意软件所属家族的自动分类，并增强了分类性能。

公开(公告)号：CN116980211A

公开(公告)日：2023-10-31

申请号：CN202310982780.3

申请日：2023-08-07

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40

Abstract: 本发明实施例提供一种网络横向移动攻击检测方法、装置、设备及存储介质，涉及网络安全技术领域。所述网络横向移动攻击检测方法包括：实时采集主机的待检测流量，结合所述待检测流量的所有行为特征，生成所述待检测流量的行为特征向量；将所述待检测流量的行为特征向量输入预先建立的孤立森林模型，得到所述待检测流量的异常分数；当所述待检测流量的异常分数大于预设分数阈值时，判定所述待检测流量为横向移动攻击流量。本发明实施例能够实现实时准确地检测网络横向移动攻击的技术效果。

公开(公告)号：CN116975739A

公开(公告)日：2023-10-31

申请号：CN202310974954.1

申请日：2023-08-02

Applicant: 熊嘉琦 ,  北京天融信网络安全技术有限公司

Inventor： 熊嘉琦 ,  陈国强 ,  安晓宁

IPC: G06F18/2415 ,  G06F18/214 ,  G06F40/30 ,  G06N3/042 ,  G06N3/0464 ,  G06N3/0455 ,  G06N3/088 ,  G06F21/56

Abstract: 本申请实施例提供一种软件分类模型训练方法、分类方法、装置、模型及设备，该方法包括：获取第一二进制样本中函数的第一控制流图、第二二进制样本中函数的第二控制流图、以及第三二进制样本中函数的第三控制流图；利用第一控制流图包括的汇编指令对语义嵌入子模型进行训练；利用已训练的语义嵌入子模型提取第二控制流图与第三控制流图的语义特征，得到携带语义特征的第二属性控制流图与第三属性控制流图；利用第二属性控制流图对函数分类器进行训练；利用已训练的函数分类器对第三属性控制流图进行分类，得到函数的分类标签，并将携带分类标签的第三属性控制流图对恶意家族分类器进行训练，得到已训练的软件分类模型。

公开(公告)号：CN116915447A

公开(公告)日：2023-10-20

申请号：CN202310763918.0

申请日：2023-06-26

Applicant: 党张轩 ,  北京天融信网络安全技术有限公司

Inventor： 党张轩 ,  安晓宁 ,  郑昱 ,  王家辉 ,  练兴林 ,  荆久耀 ,  孙雅霖

IPC: H04L9/40

Abstract: 本申请提供一种网络流量异常检测方法、装置、电子设备及存储介质。该方法包括：利用特征提取器对待测网络流量数据进行特征提取，获得第一特征向量；其中，特征提取器为利用正常网络流量数据进行训练获得；根据第一特征向量，生成对应的服从标准正态分布的第二特征向量；计算第二特征向量与标准正态分布的距离；基于距离确定待测网络流量数据是否为异常流量。在本申请实施例中，特征提取器只需要使用正常网络流量数据进行训练即可，因此特征提取不依赖异常网络流量，并且将提取的第一特征向量映射成服从标准正态分布的第二特征向量，计算第二特征向量与标准正态分布的距离，基于该距离确定待测网络流量是否异常，可以提高网络流量检测的准确性。

公开(公告)号：CN116704263A

公开(公告)日：2023-09-05

申请号：CN202310835025.2

申请日：2023-07-07

Applicant: 吴薇 ,  北京天融信网络安全技术有限公司

Inventor： 吴薇 ,  安晓宁

IPC: G06V10/764 ,  G06V10/82 ,  G06N3/0464 ,  G06N3/08

Abstract: 本申请提供一种软件分类方法、系统、电子设备及存储介质，该方法包括：将待处理软件转换为灰度图像；对灰度图像进行压缩感知采样，得到采样矩阵，采样矩阵中的采样向量表征灰度图像中采样的稀疏程度；对采样矩阵进行分类，得到待处理软件的分类结果。在上述方案的实现过程中，通过将待处理软件转换为灰度图像，并对灰度图像进行压缩感知采样，使得软件的尺寸被大幅度压缩成稀疏的采样矩阵，便于使用采样矩阵来进行高效地分类，从而提高了对软件进行分类的效率。

公开(公告)号：CN116522116A

公开(公告)日：2023-08-01

申请号：CN202310519517.0

申请日：2023-05-09

Applicant: 吴薇 ,  北京天融信网络安全技术有限公司

Inventor： 吴薇 ,  安晓宁

IPC: G06F18/213 ,  G06F18/20 ,  G06F18/241 ,  G06F21/56 ,  G06F8/53

Abstract: 本申请提供一种PE文件的分类特征的生成方法及电子设备、存储介质，包括：基于待分类PE文件的字节码，生成目标通道的特征矩阵；基于所述待分类PE文件的汇编代码，生成指定通道的特征矩阵；基于所述目标通道的特征矩阵和所述指定通道的特征矩阵，构建分类特征。本申请方案，可以生成包括PE文件中多种数据的分类特征，有助于优化后续的分类效果。

公开(公告)号：CN115694968A

公开(公告)日：2023-02-03

申请号：CN202211334669.5

申请日：2022-10-28

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40

Abstract: 本申请提供一种流量检测方法及装置，应用于网络安全技术领域，其中，流量检测方法包括：获取多条待检测流量中每条待检测流量对应的字段信息以及目的IP信息；其中，字段信息为根据握手消息提取得到的；根据目的IP信息将多条待检测流量划分为多个流量组；其中，每个流量组中的待检测流量的数量以及待检测流量的目的IP信息相同；针对每个流量组，提取该流量组中多条待检测流量对应的字段信息的特征，作为与流量组的目的IP信息对应的通信特征；根据通信特征对流量组中的待检测流量进行流量检测。可以基于通信通道中的多条待检测流量提取通信通道的一致性特征，有效地表征恶意行为，因此，可以提高进行流量检测的准确率。