公开(公告)号：CN111740946B

公开(公告)日：2023-04-25

申请号：CN202010387880.8

申请日：2020-05-09

Applicant: 郑州启明星辰信息安全技术有限公司 ,  北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 董颖 ,  卞超轶 ,  刘洋

IPC: H04L69/22 ,  H04L9/40 ,  H04L67/02 ,  G06F18/214 ,  G06F18/2431

Abstract: 本发明实施例公开了一种Webshell报文的检测方法及装置，其中该方法包括：根据待测HTTP报文的类型从所述待测HTTP报文中提取所述类型对应的预设报文头字段；对提取的所述类型对应的报文头字段进行特征构造，生成所述类型对应的报文头特征；根据生成的所述类型对应的报文头特征，以及所述类型对应的预先训练好的决策树模型，确定所述待测HTTP报文的Webshell检测结果。如此，基于HTTP报文的报文头特征来检测Webshell，使得Webshell检测不受代码混淆与报文加密等的影响。

公开(公告)号：CN116484943A

公开(公告)日：2023-07-25

申请号：CN202310267384.2

申请日：2023-03-14

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司 ,  北京网御星云信息技术有限公司

Inventor： 董颖 ,  卞超轶

IPC: G06N3/096 ,  G06N3/091 ,  G06N3/045 ,  G06N3/047 ,  G06F21/57 ,  H04L9/40

Abstract: 本文公开一种实现模型训练的方法、计算机存储介质及终端，包括：确定标记数据集和未标记数据集中包含的每一份数据的时间信息；根据确定的时间信息，从标记数据集和未标记数据集中选出包含第一预设组数据的第一数据；将预先训练获得的第一深度学习模型通过选出的第一数据进行训练，获得第二深度学习模型；其中，第一数据为根据时间信息确定的早于预设时刻的数据；第一数据中的每一组数据包含标记数据集中的一份数据和未标记数据集中的一份数据。本发明实施例通过确定用于模型训练的数据的时间信息，对已有的第一深度学习模型通过早于预设时刻的数据进行进一步训练，避免了模型训练时发生知识遗忘问题。

公开(公告)号：CN112035722B

公开(公告)日：2023-10-13

申请号：CN202010771233.7

申请日：2020-08-04

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 董颖 ,  卞超轶

IPC: G06F16/951 ,  G06F16/957 ,  G06F16/955

Abstract: 本发明实施例公开了一种提取动态网页信息的方法、装置及计算机可读存储介质，其中该方法，包括：确定动态网页上每个第一标签的访问路径；访问所述动态页面的种子页，进行信息提取；针对每个第一标签分别执行第一操作，所述第一操作包括：根据该第一标签的访问路径访问该第一标签以触发页面变化，对变化后的页面进行信息提取；其中，第一标签是指会触发页面变化的标签，每个第一标签的访问路径是指在所述动态网页的种子页到该第一标签之间的每层页面上需要访问的标签的索引序列组成的索引序列组合，所述动态网页的种子页是指该动态网页统一资源定位符URL对应的首页面。如此，能够实现对动态网页中功能不同但URL相同的页面进行信息提取。

公开(公告)号：CN116306909A

公开(公告)日：2023-06-23

申请号：CN202310217064.6

申请日：2023-03-02

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司 ,  北京网御星云信息技术有限公司

Inventor： 董颖 ,  卞超轶

IPC: G06N3/096 ,  G06N3/091 ,  G06N3/045 ,  G06N3/047 ,  G06F21/57 ,  H04L9/40

Abstract: 本文公开一种实现模型训练的方法、计算机存储介质及终端，包括：将从标记数据集选取的第一数据和从未标记数据集中选取的第二数据，组成训练数据；根据预设的损失函数，对在前训练获得的第一深度学习模型通过训练数据进行训练，获得第二深度学习模型；其中，标记数据集中包括：对漏洞报告中的实体和/或实体之间的关系进行标记的数据；未标记数据集中包括：未对漏洞包含中的实体和/或实体之间的关系进行标记的数据；损失函数基于第一数据和第二数据确定的交叉熵确定。本发明实施例基于第一和第二数据组成训练数据，以第一和第二数据确定的损失函数执行第一深度学习模型的训练，避免了通过第二深度学习模型对漏洞报告进行处理时发生数据偏移。

公开(公告)号：CN111737693B

公开(公告)日：2023-06-02

申请号：CN202010388744.0

申请日：2020-05-09

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 刘洋 ,  卞超轶 ,  董颖 ,  陈亘 ,  李永泉 ,  李杰

IPC: G06F21/56 ,  G06F18/22 ,  G06F16/951 ,  G06F16/903

Abstract: 本发明实施例公开了一种确定恶意软件特征的方法、恶意软件的检测方法及装置，其中方法之一包括：根据最长公共子串算法确定一个或者多个字符串二元组中每一个字符串二元组中的最长公共子串，根据确定出的一个或者多个最长公共子串确定所述恶意软件的特征。如此，能够自动提取恶意软件的特征，大大提升了工作效率。

公开(公告)号：CN111740946A

公开(公告)日：2020-10-02

申请号：CN202010387880.8

申请日：2020-05-09

Applicant: 郑州启明星辰信息安全技术有限公司 ,  北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 董颖 ,  卞超轶 ,  刘洋

IPC: H04L29/06 ,  H04L29/08 ,  G06K9/62

Abstract: 本发明实施例公开了一种Webshell报文的检测方法及装置，其中该方法包括：根据待测HTTP报文的类型从所述待测HTTP报文中提取所述类型对应的预设报文头字段；对提取的所述类型对应的报文头字段进行特征构造，生成所述类型对应的报文头特征；根据生成的所述类型对应的报文头特征，以及所述类型对应的预先训练好的决策树模型，确定所述待测HTTP报文的Webshell检测结果。如此，基于HTTP报文的报文头特征来检测Webshell，使得Webshell检测不受代码混淆与报文加密等的影响。

公开(公告)号：CN111737693A

公开(公告)日：2020-10-02

申请号：CN202010388744.0

申请日：2020-05-09

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 刘洋 ,  卞超轶 ,  董颖 ,  陈亘 ,  李永泉 ,  李杰

IPC: G06F21/56 ,  G06K9/62 ,  G06F16/951 ,  G06F16/903

Abstract: 本发明实施例公开了一种确定恶意软件特征的方法、恶意软件的检测方法及装置，其中方法之一包括：根据最长公共子串算法确定一个或者多个字符串二元组中每一个字符串二元组中的最长公共子串，根据确定出的一个或者多个最长公共子串确定所述恶意软件的特征。如此，能够自动提取恶意软件的特征，大大提升了工作效率。

公开(公告)号：CN116305149A

公开(公告)日：2023-06-23

申请号：CN202310179365.4

申请日：2023-02-16

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司 ,  北京网御星云信息技术有限公司

Inventor： 董颖 ,  卞超轶

IPC: G06F21/57 ,  G06F16/901

Abstract: 本文公开一种生成漏洞传播图谱的方法、计算机存储介质及终端，包括：从一个以上漏洞数据源中提取每一个漏洞报告中包含的漏洞信息，并将提取的漏洞信息存储为第一三元组；从软件供应链图谱中，提取与存储与第一三元组包含相同实体对的第二三元组；根据第一三元组的第一置信度和第二三元组的第二置信度确定第一三元组的可信度；根据确定的第一三元组可信度，执行添加第一三元组到漏洞传播图谱的判断处理。本发明实施例通过对漏洞数据源的漏洞信息的提取和软件供应链图谱中第二三元组的提取，实现了传播图谱的生成，为用户及时获得漏洞信息提供了技术支持。

公开(公告)号：CN115204296A

公开(公告)日：2022-10-18

申请号：CN202210844477.2

申请日：2022-07-18

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 董颖 ,  卞超轶 ,  陈亘 ,  钟逸凡

IPC: G06K9/62 ,  G06N20/00

Abstract: 本申请提供一种机器学习数据增强方法，步骤包括：设置训练集样本的特征中，使样本能够被正确预测的特征为已增强特征，导致样本被预测错误的特征为待增强特征，通过特征识别方法获得训练集样本的待增强特征；将具有待增强特征的样本设置为增强样本，从数据集中获得增强样本，将获得的增强样本加入训练集；将增强样本加入训练集后，重新对训练集进行训练与测试，直到在验证集上的分类性能达到最优。本申请增加了样本特征多样性，提高了分类准确度。

公开(公告)号：CN112035722A

公开(公告)日：2020-12-04

申请号：CN202010771233.7

申请日：2020-08-04

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 董颖 ,  卞超轶

IPC: G06F16/951 ,  G06F16/957 ,  G06F16/955

Abstract: 本发明实施例公开了一种提取动态网页信息的方法、装置及计算机可读存储介质，其中该方法，包括：确定动态网页上每个第一标签的访问路径；访问所述动态页面的种子页，进行信息提取；针对每个第一标签分别执行第一操作，所述第一操作包括：根据该第一标签的访问路径访问该第一标签以触发页面变化，对变化后的页面进行信息提取；其中，第一标签是指会触发页面变化的标签，每个第一标签的访问路径是指在所述动态网页的种子页到该第一标签之间的每层页面上需要访问的标签的索引序列组成的索引序列组合，所述动态网页的种子页是指该动态网页统一资源定位符URL对应的首页面。如此，能够实现对动态网页中功能不同但URL相同的页面进行信息提取。