公开(公告)号：CN116186702B

公开(公告)日：2024-02-13

申请号：CN202310160409.9

申请日：2023-02-24

Applicant: 中国科学院信息工程研究所

Inventor： 刘峰 ,  鲍怀锋 ,  王文 ,  汤子贤

IPC: G06F21/56 ,  G06F18/241 ,  G06N3/0455 ,  G06N3/08 ,  G06F18/25 ,  G06F18/2415

Abstract: 以及动态协同特征表示 连接之后进行本发明公开了一种基于协同注意力的恶意 分类，得到恶意软件的分类结果。本发明可以实软件分类方法和装置，所述方法包括：获取恶意 现恶意软件的分类。软件的汇编指令序列和API调用序列；计算汇编指令序列的特征表示序列Sop和API调用序列的api op特征表示序列S ；将特征表示序列S 和特征表示序列Sapi分别输入Transformer神经网络模型，得到恶意软件的静态特征表示vop以及动态特征表示vapi，以及汇编指令序列的形式化表示Hop与apiAPI调用序列的形式化表示H ；将形式化表示Hop与形式化表示Hapi输入基于协同注意力的神经网络模型，得到该恶意软件的静态协同特征表(56)对比文件张志飞 等.一种基于深度可分离卷积和注意力机制的入侵检测方法.物联网学报.2022,第07卷(第01期),全文.Atzmuller M et al..HackerScope: TheDynamics of a Massive Hacker OnlineEcosystem. 2020 IEEE/ACM INTERNATIONALCONFERENCE ON ADVANCES IN SOCIAL NETWORKSANALYSIS AND MINING (ASONAM).2020,第361-368页.

公开(公告)号：CN116305119A

公开(公告)日：2023-06-23

申请号：CN202310165123.X

申请日：2023-02-24

Applicant: 中国科学院信息工程研究所

Inventor： 刘峰 ,  鲍怀锋 ,  王文 ,  汤子贤

IPC: G06F21/56 ,  G06F17/18

Abstract: 本发明公开了一种基于预测指导原型的APT恶意软件分类方法和装置，所述方法包括：获取恶意软件的API调用序列的全局特征编码和数值化编码序列；对数值化编码序列进行辅助功能分类任务和主要组织分类任务的特征提取后，结合全局特征编码，得到辅助功能分类任务和主要组织分类任务特征向量表示；使用辅助功能分类任务特征向量表示拟合特征空间中的功能类别高斯分布，以得到功能类别上的预测概率；结合功能类别上的预测概率，使主要组织分类任务特征向量表示拟合特征空间中组织类别多峰分布，以得到在各组织类别上的预测概率；基于恶意软件在各组织类别上的预测概率，得到恶意软件分类结果。本发明可以应对不断出现的新兴APT攻击团伙。

公开(公告)号：CN118631517A

公开(公告)日：2024-09-10

申请号：CN202410736917.1

申请日：2024-06-07

Applicant: 中国科学院信息工程研究所

Inventor： 王文 ,  刘峰 ,  赵法起 ,  李文灏 ,  鲍怀锋 ,  李兆轩 ,  周国桥

IPC: H04L9/40 ,  H04L41/14 ,  H04L41/16

Abstract: 本发明公开一种加密流量的侧信道特征补全方法和检测方法，属于加密流量检测技术领域。所述加密流量的侧信道特征补全方法包括：构建包含N个完整会话流量包的训练数据集；提取完整会话流量包的侧信道特征Sc1，并将所述侧信道特征Sc1平移和编码，以构造预训练训练集X1；在预训练训练集X1上进行掩码模型的训练，得到特征补全模型；基于特征补全模型，获取残缺会话流量包的侧信道特征补全结果。本发明旨在通过增强加密流量的表征能力，提高检测的准确率。

公开(公告)号：CN116318940A

公开(公告)日：2023-06-23

申请号：CN202310220413.X

申请日：2023-03-08

Applicant: 中国科学院信息工程研究所

Inventor： 刘峰 ,  鲍怀锋 ,  王文 ,  王强

IPC: H04L9/40 ,  H04L67/02 ,  H04L47/2441 ,  G06F18/241 ,  G06F16/901 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于负载级别图注意力网络的攻击流量分类方法和装置，所述方法包括：解析攻击流量中的HTTP协议请求，将解析得到的请求负载分割为若干子字段；构建流量负载图；使用图神经网络模型对所述流量负载图中节点的初始编码进行更新，并基于更新结果的邻接矩阵，得到所述攻击流量的分类结果。本发明实现了web攻击流量检测。

公开(公告)号：CN116186702A

公开(公告)日：2023-05-30

申请号：CN202310160409.9

申请日：2023-02-24

Applicant: 中国科学院信息工程研究所

Inventor： 刘峰 ,  鲍怀锋 ,  王文 ,  汤子贤

IPC: G06F21/56 ,  G06F18/241 ,  G06N3/0455 ,  G06N3/08 ,  G06F18/25 ,  G06F18/2415

Abstract: 本发明公开了一种基于协同注意力的恶意软件分类方法和装置，所述方法包括：获取恶意软件的汇编指令序列和API调用序列；计算汇编指令序列的特征表示序列Sop和API调用序列的特征表示序列Sapi；将特征表示序列Sop和特征表示序列Sapi分别输入Transformer神经网络模型，得到恶意软件的静态特征表示vop以及动态特征表示vapi，以及汇编指令序列的形式化表示Hop与API调用序列的形式化表示Hapi；将形式化表示Hop与形式化表示Hapi输入基于协同注意力的神经网络模型，得到该恶意软件的静态协同特征表示以及动态协同特征表示将静态特征表示vop、动态特征表示vapi、静态协同特征表示以及动态协同特征表示连接之后进行分类，得到恶意软件的分类结果。本发明可以实现恶意软件的分类。