公开(公告)号：CN115587361A

公开(公告)日：2023-01-10

申请号：CN202211264125.6

申请日：2022-10-14

Applicant: 中南大学

Inventor： 周芳芳 ,  米佳朋 ,  袁键 ,  房钰深 ,  韩非江 ,  郑天雨 ,  吕胜蓝 ,  赵颖

IPC: G06F21/56 ,  G06F21/55

Abstract: 本发明公开了一种基于词素词向量模型的恶意程序行为表征方法，包括对捕捉的恶意程序函数调用信息进行排序并抽象，提取高频序列，设置分割点；进行去冗余和去混淆，得到新的函数序列S′；获取函数名称f中的词素，得到函数对应的词素列表M，为非最大长度的词素列表填充标记符Mask，对词素和函数名称分别编号，并对函数名称、词素和占位符的编号应用独热编码，训练词向量模型；计算函数的特征向量，并计算每个函数的TF‑IDF。有效解决了动态函数调用中存在的加密、混淆问题，可以做到快速感知理解恶意程序的行为。

公开(公告)号：CN115952230A

公开(公告)日：2023-04-11

申请号：CN202211258789.1

申请日：2022-10-14

Applicant: 中南大学

Inventor： 赵颖 ,  吕胜蓝 ,  韩非江 ,  姜郦珈 ,  范毅伦 ,  陈茁 ,  袁键 ,  蒋昊瑾 ,  周芳芳

IPC: G06F16/26 ,  G06F16/22 ,  G06F16/901 ,  G06F9/448

Abstract: 本发明公开的一种动态函数调用的可视化方法，属于信息可视化技术领域，具体为获取动态函数调用数据；将原始数据转换为带索引信息的层次结构数据；基于广度优先遍历算法确定函数节点布局及设置调用连边属性；绘制层次化的函数调用概览；将函数调用的索引区间映射到节点高度上；绘制细粒度的函数调用。本发明提出了一种紧凑化和左对齐的层次化函数节点布局方法，提供了函数调用中二元、层次信息的概览；并在函数节点上进行了图元设计，简洁美观地展示了细粒度的函数调用时序信息，方便分析人员快速定位多次发生的调用、高效识别连续或周期调用模式。可以帮助他们精简工作流程，节约工作时间。

公开(公告)号：CN114036515B

公开(公告)日：2022-08-16

申请号：CN202111255079.9

申请日：2021-10-27

Applicant: 中南大学

Inventor： 周芳芳 ,  袁键 ,  陈茁 ,  王心远 ,  吕胜蓝 ,  范毅伦 ,  李影 ,  赵颖

IPC: G06F21/56

Abstract: 本发明公开了一种webshell恶意家族聚类分析方法，它涉及信息安全技术领域；它包括以下步骤：步骤1：获取Webshell运行时的函数调用信息、参数值和返回值信息；步骤2：函数调用信息进行清洗、拼接和排序；步骤3：对步骤2中的函数调用序列信息进行向量化；步骤4：计算参数值和返回值的信息熵，并按函数调用先后顺序进行排序；步骤5：根据步骤2和步骤4得到的func_seq、argv_seq和return_seq，搭建RNN模型分别对三类序列进行预测，学习代码家族特征；步骤6：将原始的序列数据和预测的序列数据经过minhash处理后，映射为像素点，形成像素图；步骤7：将步骤6得到原始像素图与预测像素图叠加，绘制最终的像素图；步骤8：使用DBSCAN聚类算法对步骤7得到的像素图进行聚类。

公开(公告)号：CN114036515A

公开(公告)日：2022-02-11

申请号：CN202111255079.9

申请日：2021-10-27

Applicant: 中南大学

Inventor： 周芳芳 ,  袁键 ,  陈茁 ,  王心远 ,  吕胜蓝 ,  范毅伦 ,  李影 ,  赵颖

IPC: G06F21/56

Abstract: 本发明公开了一种webshell恶意家族聚类分析方法，它涉及信息安全技术领域；它包括以下步骤：步骤1：获取Webshell运行时的函数调用信息、参数值和返回值信息；步骤2：函数调用信息进行清洗、拼接和排序；步骤3：对步骤2中的函数调用序列信息进行向量化；步骤4：计算参数值和返回值的信息熵，并按函数调用先后顺序进行排序；步骤5：根据步骤2和步骤4得到的func_seq、argv_seq和return_seq，搭建RNN模型分别对三类序列进行预测，学习代码家族特征；步骤6：将原始的序列数据和预测的序列数据经过minhash处理后，映射为像素点，形成像素图；步骤7：将步骤6得到原始像素图与预测像素图叠加，绘制最终的像素图；步骤8：使用DBSCAN聚类算法对步骤7得到的像素图进行聚类。

公开(公告)号：CN115982701A

公开(公告)日：2023-04-18

申请号：CN202211492400.X

申请日：2022-11-25

Applicant: 中南大学湘雅医院

Inventor： 张乐 ,  曾艺 ,  袁键 ,  王赛 ,  张雨蓬 ,  邹雪伦 ,  赵颖 ,  周芳芳

IPC: G06F21/55 ,  G06F18/23213 ,  G06F18/22

Abstract: 本发明属于一种Webshell交互式对比学习聚类方法，涉及网络安全和交互式聚类技术领域，根据Webshell在虚拟环境中的执行记录构建函数调用图。n个Webshell的FCG描述为一个无向图集合，对所有的无向图G应用两种不同的随机图结构数据增广组合，得到增广数据。对比损失函数的目标是最大化正样本对的相似度，同时最小化负样本对的相似度；图对比学习模型编码层采用GCN图神经网络；实现了Webshell高质量的向量表征和聚类，在迭代聚类过程中减少样本边界不清、划分错误等情况，同时极大减少人机交互时迭代的工作量，有效弥补数据、模型和人之间的鸿沟，为精细化的Webshell检测、分析、处置、响应和预防提供辅助决策参考。