公开(公告)号：CN116522116B

公开(公告)日：2024-11-29

申请号：CN202310519517.0

申请日：2023-05-09

Applicant: 北京天融信网络安全技术有限公司

Inventor： 吴薇 ,  安晓宁

IPC: G06F18/213 ,  G06F18/20 ,  G06F18/241 ,  G06F21/56 ,  G06F8/53

Abstract: 本申请提供一种PE文件的分类特征的生成方法及电子设备、存储介质，包括：基于待分类PE文件的字节码，生成目标通道的特征矩阵；基于所述待分类PE文件的汇编代码，生成指定通道的特征矩阵；基于所述目标通道的特征矩阵和所述指定通道的特征矩阵，构建分类特征。本申请方案，可以生成包括PE文件中多种数据的分类特征，有助于优化后续的分类效果。

公开(公告)号：CN118051908A

公开(公告)日：2024-05-17

申请号：CN202311579624.9

申请日：2023-11-22

Applicant: 北京天融信网络安全技术有限公司

Inventor： 吴畑 ,  安晓宁

IPC: G06F21/56 ,  G06V10/764 ,  G06N3/0455 ,  G06N3/0895

Abstract: 本申请实施例提供一种恶意代码同源检测方法、装置、设备及存储介质，涉及网络安全技术领域。所述方法包括：获取待检测恶意代码并转化为待检测图像；将待检测图像输入至预先训练好的特征提取模型，得到特征提取模型输出的对应于待检测图像的图像特征；其中，特征提取模型为基于预设的恶意代码数据集通过自监督学习的方式进行训练得到；利用预设的分类模型对图像特征进行分类，得到对应于待检测恶意代码的同源检测结果。本申请通过基于自监督学习的方式训练特征提取模型，能够在缺乏标注数据的场景中提取得到恶意代码样本的深层特征，从而能够实现有效的恶意代码同源分析，有效提高了基于图像分类技术的恶意代码同源检测的灵活性。

公开(公告)号：CN117540382A

公开(公告)日：2024-02-09

申请号：CN202311532937.9

申请日：2023-11-16

Applicant: 王瑞琪 ,  北京天融信网络安全技术有限公司

Inventor： 王瑞琪 ,  安晓宁

IPC: G06F21/56 ,  G06T7/90 ,  G06V10/764 ,  G06V10/82 ,  G06N3/0464 ,  G06V10/56

Abstract: 本申请实施例提供一种恶意代码检测方法、装置、电子设备及存储介质，涉及应用安全技术领域。该方法包括获取待检测样本的汇编代码并从所述汇编代码中提取出操作码序列；计算所述操作码序列的局部敏感哈希值、第一马尔科夫概率转移矩阵和第二马尔科夫概率转移矩阵并对应填充到RGB图像的三个通道中，以生成RGB图像；将所述RGB图像输入预训练的图像分类模型中，以确定所述待检测样本是否为恶意代码。该方法中的RGB三通道图像能够全面展示恶意代码的行为特征和语义信息，且生成的RGB三通道图像具有标准化尺寸可直接作为模型输入，提高检测结果的准确性，解决了现有方法无法包含全面信息导致检测结果不准确的问题。

公开(公告)号：CN117521067A

公开(公告)日：2024-02-06

申请号：CN202311543712.3

申请日：2023-11-16

Applicant: 吴畑 ,  北京天融信网络安全技术有限公司

Inventor： 吴畑 ,  安晓宁

IPC: G06F21/56 ,  G06F8/53 ,  G06F18/213 ,  G06F18/24 ,  G06N3/0464 ,  G06N3/048 ,  G06N3/08

Abstract: 本申请的一些实施例提供了一种恶意代码分类的方法、装置、存储介质及电子设备，该方法包括：获取待检测恶意代码对应的二进制图像；将所述二进制图像输入至预先训练好的目标分类模型中，获取所述待检测恶意代码对应的分类结果，其中，所述目标分类模型是通过对初始特征提取网络模块和初始特征分类网络模块组成的网络结构进行训练得到的。本申请的一些实施例可以实现对恶意代码的同源性分析，分类性能较好。

公开(公告)号：CN117435915A

公开(公告)日：2024-01-23

申请号：CN202311443742.7

申请日：2023-10-31

Applicant: 刘昕仪 ,  北京天融信网络安全技术有限公司

Inventor： 刘昕仪 ,  彭国军 ,  安晓宁

IPC: G06F18/213 ,  G06F18/24 ,  G06F40/30 ,  G06N3/0455 ,  G06F21/56

Abstract: 本申请实施例提供一种恶意代码的特征提取方法、装置、电子设备及存储介质，其中，该方法包括：获取恶意代码的二进制样本数据；对所述二进制样本数据进行反汇编处理，得到反汇编基本块；根据所述反汇编基本块生成语义嵌入向量；将所述语义嵌入向量进行图分类处理，得到控制流图特征向量；对所述控制流图特征向量进行搜索迭代，得到目标特征。实施本申请实施例，可以深入提取恶意代码中的代码片段，分析恶意代码的恶意性质，提高对恶意代码的特征提取精度，便于从源头出发抑制恶意代码的产生和发展，提高对恶意代码的分析效率。

公开(公告)号：CN117406998A

公开(公告)日：2024-01-16

申请号：CN202311406940.6

申请日：2023-10-26

Applicant: 寇竞 ,  北京天融信网络安全技术有限公司

Inventor： 寇竞 ,  安晓宁 ,  王娜

IPC: G06F8/41 ,  G06V30/162 ,  G06V30/19 ,  G06V30/41 ,  G06V10/82 ,  G06N3/0464 ,  G06N3/048 ,  G06N3/084

Abstract: 本申请提供代码同源分析方法、电子设备和存储介质。该方法包括：通过对待分析代码进行解析，以生成待分析代码的灰度值矩阵；利用自适应掩膜矩阵对灰度值矩阵进行处理；利用非线性激活函数对处理后的灰度值矩阵中的各个元素进行激活，并将激活后的各个元素映射至预设像素空间，以得到元素映射后的灰度值矩阵；将元素映射后的灰度值矩阵转化为灰度图像；通过对灰度图像进行图像识别，以确定待分析代码所属的代码家族。该方法由于利用自适应掩膜矩阵对灰度值矩阵进行了处理，然后利用非线性激活函数对处理后的灰度值矩阵中的各个元素进行激活和元素映射，因此能够对待分析代码中不相关特征所生成的数据进行筛除，从而提高对分析结果的准确率。

公开(公告)号：CN117173512A

公开(公告)日：2023-12-05

申请号：CN202311160216.X

申请日：2023-09-08

Applicant: 罗雨 ,  北京天融信网络安全技术有限公司

Inventor： 韦棋钧 ,  罗雨 ,  安晓宁

IPC: G06V10/774 ,  G06V10/764 ,  G06V10/82 ,  G06N3/0475 ,  G06N3/094 ,  G06N3/096 ,  H04L9/40

Abstract: 本申请的一些实施例提供了一种训练流量检测模型、流量检测的方法、装置及电子设备，该方法包括：利用源域数据集对初始图像分类模型训练，获取目标图像分类模型；将目标图像分类模型的模型参数加载至生成对抗网络模型中，并利用目标域数据集对生成对抗网络模型训练，获取图像生成模型；将目标域生成器加载至初始强化模型中，并利用目标域数据集对初始强化模型训练，获取目标流量检测模型。本申请的一些实施例可以在较少的数据量情况下提升训练模型的检测精度。

公开(公告)号：CN117150490A

公开(公告)日：2023-12-01

申请号：CN202311126247.3

申请日：2023-09-01

Applicant: 张伯瑜 ,  北京天融信网络安全技术有限公司

Inventor： 张乾坤 ,  安晓宁 ,  张伯瑜

IPC: G06F21/56 ,  G06F21/57 ,  G06F18/241

Abstract: 本申请实施例提供一种恶意软件分类的方法、装置、设备及介质，该方法包括：提取待分类恶意软件中的函数调用关系和多个恶意功能相关接口函数，其中，多个恶意功能相关接口函数为函数调用关系中的节点；计算多个恶意功能相关接口函数中的各恶意功能相关接口函数在函数调用关系中的重要程度，获得与各恶意功能相关接口函数相应的重要程度数值，其中，重要程度通过恶意功能相关接口函数在函数调用关系中的中心性来表征；将重要程度数值输入到恶意软件分类模型中，获得待分类恶意软件所属的家族类别。通过本申请的一些实施例能够明确各恶意功能相关接口函数在整体函数调用关系中的重要性，从而提高分类效率和准确性。

公开(公告)号：CN117076925A

公开(公告)日：2023-11-17

申请号：CN202311035448.2

申请日：2023-08-17

Applicant: 党张轩 ,  北京天融信网络安全技术有限公司

Inventor： 党张轩 ,  安晓宁 ,  郑昱 ,  王家辉 ,  练兴林 ,  荆久耀 ,  孙雅霖

IPC: G06F18/214 ,  G06F18/213 ,  G06F18/241 ,  G06N3/094 ,  G06N20/00 ,  H04L9/40

Abstract: 本申请提供一种加密流量检测模型的训练方法、加密流量检测方法，涉及网络安全的技术领域。加密流量检测模型的训练方法包括：通过所述特征提取器从多个未加密流量数据中提取出第一训练数据集，所述第一训练数据集中包括所述多个未加密流量数据各自对应的第一特征向量；基于预设的噪声向量对所述第一训练数据集中的至少部分第一特征向量分别进行偏移处理，得到第二训练数据集，所述第二训练数据集包括多个第二特征向量；其中，所述噪声向量中的每一位数字在第一预设区间内的概率大于在其它区间内的概率；基于所述第一训练数据集和所述第二训练数据集对所述分类器进行训练，得到训练好的所述分类器。

公开(公告)号：CN116992445A

公开(公告)日：2023-11-03

申请号：CN202311013855.3

申请日：2023-08-11

Applicant: 谢雪 ,  北京天融信网络安全技术有限公司

Inventor： 谢雪 ,  安晓宁 ,  陈正嘉 ,  储琪 ,  俞能海

IPC: G06F21/56 ,  G06F16/16 ,  G06F18/241

Abstract: 本申请实施例提供一种获取恶意代码文件分类模型的方法及文件分类方法，所述方法包括：将二进制恶意代码样本文件转换为一张灰度图像，得到初始样本灰度图像；根据所述初始样本灰度图像得到样本灰度共生矩阵；将所述样本灰度共生矩阵转换为样本共生矩阵灰度图像，并对所述样本共生矩阵灰度图中每个像素值乘以一个增强比例系数，得到目标样本灰度图像；重复上述过程得到多张目标样本灰度图像，并将所述多张目标样本灰度图像作为训练数据对深度学习网络进行训练，得到恶意代码文件分类模型。采用本申请实施例可提高得到的灰度图像的可视化效果与纹理特征进而提升分类结果的准确性。