公开(公告)号：CN117150490A

公开(公告)日：2023-12-01

申请号：CN202311126247.3

申请日：2023-09-01

Applicant: 张伯瑜 ,  北京天融信网络安全技术有限公司

Inventor： 张乾坤 ,  安晓宁 ,  张伯瑜

IPC: G06F21/56 ,  G06F21/57 ,  G06F18/241

Abstract: 本申请实施例提供一种恶意软件分类的方法、装置、设备及介质，该方法包括：提取待分类恶意软件中的函数调用关系和多个恶意功能相关接口函数，其中，多个恶意功能相关接口函数为函数调用关系中的节点；计算多个恶意功能相关接口函数中的各恶意功能相关接口函数在函数调用关系中的重要程度，获得与各恶意功能相关接口函数相应的重要程度数值，其中，重要程度通过恶意功能相关接口函数在函数调用关系中的中心性来表征；将重要程度数值输入到恶意软件分类模型中，获得待分类恶意软件所属的家族类别。通过本申请的一些实施例能够明确各恶意功能相关接口函数在整体函数调用关系中的重要性，从而提高分类效率和准确性。

公开(公告)号：CN115225546B

公开(公告)日：2023-11-28

申请号：CN202210866486.1

申请日：2022-07-22

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L43/0876 ,  H04L41/12

Abstract: 本公开涉及一种网络流量的预测方法、装置及设备，其中方法包括：获取时域特征；采集在当前短周期内多个历史时间窗的第一流量数据文件；多个历史时间窗包括：在待预测时间之前且与待预测时间相邻的连续多个时间窗；第一流量数据文件包括：当前短周期内，各历史时间窗中的网络节点，与网络节点通信的第一通信节点，各历史时间窗相对相邻上一时间窗的流量一阶差分值；采集在目标长周期内，多个历史时间窗的第二流量数据文件；其中，目标长周期是当前短周期所在长周期的相邻前一长周期；根据第一流量数据文件和第二流量数据文件，得到待预测时间的目标流量增量预测值。本公开能够提高流量数据的预测准确性。

公开(公告)号：CN117076925A

公开(公告)日：2023-11-17

申请号：CN202311035448.2

申请日：2023-08-17

Applicant: 党张轩 ,  北京天融信网络安全技术有限公司

Inventor： 党张轩 ,  安晓宁 ,  郑昱 ,  王家辉 ,  练兴林 ,  荆久耀 ,  孙雅霖

IPC: G06F18/214 ,  G06F18/213 ,  G06F18/241 ,  G06N3/094 ,  G06N20/00 ,  H04L9/40

Abstract: 本申请提供一种加密流量检测模型的训练方法、加密流量检测方法，涉及网络安全的技术领域。加密流量检测模型的训练方法包括：通过所述特征提取器从多个未加密流量数据中提取出第一训练数据集，所述第一训练数据集中包括所述多个未加密流量数据各自对应的第一特征向量；基于预设的噪声向量对所述第一训练数据集中的至少部分第一特征向量分别进行偏移处理，得到第二训练数据集，所述第二训练数据集包括多个第二特征向量；其中，所述噪声向量中的每一位数字在第一预设区间内的概率大于在其它区间内的概率；基于所述第一训练数据集和所述第二训练数据集对所述分类器进行训练，得到训练好的所述分类器。

公开(公告)号：CN116992445A

公开(公告)日：2023-11-03

申请号：CN202311013855.3

申请日：2023-08-11

Applicant: 谢雪 ,  北京天融信网络安全技术有限公司

Inventor： 谢雪 ,  安晓宁 ,  陈正嘉 ,  储琪 ,  俞能海

IPC: G06F21/56 ,  G06F16/16 ,  G06F18/241

Abstract: 本申请实施例提供一种获取恶意代码文件分类模型的方法及文件分类方法，所述方法包括：将二进制恶意代码样本文件转换为一张灰度图像，得到初始样本灰度图像；根据所述初始样本灰度图像得到样本灰度共生矩阵；将所述样本灰度共生矩阵转换为样本共生矩阵灰度图像，并对所述样本共生矩阵灰度图中每个像素值乘以一个增强比例系数，得到目标样本灰度图像；重复上述过程得到多张目标样本灰度图像，并将所述多张目标样本灰度图像作为训练数据对深度学习网络进行训练，得到恶意代码文件分类模型。采用本申请实施例可提高得到的灰度图像的可视化效果与纹理特征进而提升分类结果的准确性。

公开(公告)号：CN114095212B

公开(公告)日：2023-09-01

申请号：CN202111271224.2

申请日：2021-10-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40 ,  H04L61/4511 ,  H04L41/16 ,  G06F40/242 ,  G06F40/279 ,  G06N3/088

Abstract: 本发明公开了一种对抗训练DGA域名检测模型的方法及装置，包括获取DNS流量样本数据，并提取获得域名文件；基于预先构造的分词词典对域名文件中的各域名进行分割，并根据分割结果构建编码向量文件；通过预先训练的词向量模型确定编码向量文件的各域名的训练词向量集，以及利用生成模型生成DGA域名的模拟词向量；基于训练词向量集中的词向量和所生成的模拟词向量训练判别模型和生成模型。在按照本公开的方法进行训练后，能够生成低随机性的DAG域名，而无需收集恶意样本。并且基于所生成的低随机性的DAG域名训练的判别模型，能够有效地检测出由DGA算法产生的低随机性DGA域名，从根源处遏制网络攻击的发生。

公开(公告)号：CN113660210B

公开(公告)日：2023-05-12

申请号：CN202110819680.X

申请日：2021-07-20

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁 ,  潘季明

IPC: H04L9/40 ,  H04L41/14 ,  G06F18/214

Abstract: 本发明公开了一种恶意TLS加密流量检测模型训练方法、检测方法及终端，包括：获取TLS流量样本，TLS流量样本中包括若干条恶意TLS加密流量数据和若干条正常流量数据；为TLS流量样本中的各条流量数据提取其在握手阶段的不同类别的特征值；为不同类别的特征值建立相应的逻辑回归模型；通过设置的训练集来调节逻辑回归模型的超参数，使得逻辑回归模型基于验证集的效果达到最优；将训练好的逻辑回归模型作为恶意TLS加密流量检测模型。通过本发明方法，在检测阶段可以在确定该流量数据任意类别特征值符合预设条件的情况下，即可判定该流量为恶意流量。本公开的方法能够提高检测模型的泛化能力，并提高模型的检测速度。

公开(公告)号：CN115277102B

公开(公告)日：2023-04-07

申请号：CN202210764380.0

申请日：2022-06-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40 ,  H04L41/12 ,  H04L41/14

Abstract: 本公开涉及一种网络攻击检测方法、装置、电子设备及存储介质，其中，所述方法包括：采集时间窗口内的流量作为待检测流量，并从待检测流量中提取每条流量的第一类特征信息、第二类特征信息和第三类特征信息，生成特征文件；基于特征文件，生成待检测流量对应的无向拓扑图以及无向拓扑图中无向边的边特征，无向拓扑图中的节点根据第一类特征信息和第二类特征信息生成，边特征根据第三类特征信息确定；将无向拓扑图和边特征输入预先训练的网络攻击检测模型，以获取无向拓扑图中的每个节点为异常节点的预测概率；根据预测概率，从待检测流量中确定出攻击流量。由此，能够提升网络流量表征能力，从而有利于提高网络攻击检测的准确率。

公开(公告)号：CN115225369A

公开(公告)日：2022-10-21

申请号：CN202210837531.0

申请日：2022-07-15

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40

Abstract: 本公开涉及一种僵尸网络的检测方法、装置及设备，其中，该方法包括：采集网络中各主机节点在预设的时间窗内的流量数据，得到如下特征文件：源IP、源端口、目的IP和目的端口，流量行为统计特征以及包长序列；根据流量行为统计特征，检测第一主机节点与其他剩余主机节点的相似性分数；根据源IP和源端口，目的IP和目的端口，以及流量行为统计特征，构建第一主机节点的第一自我中心网络；通过预设的图注意力网络，检测第一自我中心网络对应的平均预测误差；基于各主机节点对应的相似性分数、平稳性分数和平均预测误差，检测网络中的C&C节点和僵尸主机。本公开能够提高僵尸网络中C&C节点和僵尸主机的检测准确性。

公开(公告)号：CN114095212A

公开(公告)日：2022-02-25

申请号：CN202111271224.2

申请日：2021-10-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40 ,  H04L61/4511 ,  H04L41/16 ,  G06F40/242 ,  G06F40/279 ,  G06N3/08

Abstract: 本发明公开了一种对抗训练DGA域名检测模型的方法及装置，包括获取DNS流量样本数据，并提取获得域名文件；基于预先构造的分词词典对域名文件中的各域名进行分割，并根据分割结果构建编码向量文件；通过预先训练的词向量模型确定编码向量文件的各域名的训练词向量集，以及利用生成模型生成DGA域名的模拟词向量；基于训练词向量集中的词向量和所生成的模拟词向量训练判别模型和生成模型。在按照本公开的方法进行训练后，能够生成低随机性的DAG域名，而无需收集恶意样本。并且基于所生成的低随机性的DAG域名训练的判别模型，能够有效地检测出由DGA算法产生的低随机性DGA域名，从根源处遏制网络攻击的发生。

公开(公告)号：CN114095176A

公开(公告)日：2022-02-25

申请号：CN202111272225.9

申请日：2021-10-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁 ,  潘季明

IPC: H04L9/32 ,  H04L9/40 ,  H04L41/16 ,  H04L61/4511 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种恶意域名检测方法及装置，包括：获取待检测的域名，并基于所述待检测各域名基于预先构建的二分图集生成该域名的二分图；基于该域名的二分图生成该域名的编码向量；将所述编码向量输入训练好的检测模型；基于所述检测模型的输出结果确定该域名是否为恶意域名。本公开的方法将域名的连接关系转换为该域名的二分图，并基于相应的二分图来生成待检测域名节点的编码向量，并使用训练好的检测模型对域名进行分类，有效提高恶意域名的识别效果。