公开(公告)号：CN117874757A

公开(公告)日：2024-04-12

申请号：CN202311649954.0

申请日：2023-12-04

Applicant: 高昊 ,  北京天融信网络安全技术有限公司

Inventor： 高昊 ,  安晓宁

IPC: G06F21/56 ,  G06N5/02 ,  G06N3/042 ,  G06N3/0464 ,  G06N3/0455

Abstract: 本申请实施例提供一种恶意代码的同源检测方法、装置、电子设备及存储介质，涉及应用安全技术领域。该方法包括获取二进制函数代码以及对应的二进制控制流程图；对所述二进制控制流程图进行基于基本块的语义与结构信息提取，以获得函数向量；基于函数向量和所述二进制控制流程图获得函数调用图；基于所述函数调用图并利用MPNN网络模型、CNN网络分别获得函数调用图的语义表征、顺序感知表征，并利用MLP函数获得二进制函数表征；利用语义表征和顺序感知表征计算相似性得分。该方法利用图神经网络进行控制流程图和函数调用图的结构信息的获取，从而提高识别精度和准确度，解决了现有方法由于缺少结构信息导致结果不准确的问题。

公开(公告)号：CN117668544A

公开(公告)日：2024-03-08

申请号：CN202311621714.X

申请日：2023-11-29

Applicant: 杨葛英 ,  北京天融信网络安全技术有限公司

Inventor： 王清浩 ,  安晓宁 ,  杨葛英 ,  王丽娜 ,  刘晓稳

IPC: G06F18/214 ,  G06F18/241 ,  G06N3/0455 ,  G06N3/0464 ,  H04L9/40

Abstract: 本申请提供一种模型训练方法、异常流量检测方法、装置和电子设备，该模型训练方法包括：获取样本流量以及待训练模型；待训练模型包括一维卷积堆叠自编码器；所述一维卷积堆叠自编码器包括多个堆叠的一维卷积自编码器的编码层；多个堆叠的一维卷积自编码器的编码层通过逐层贪婪预训练得到；将样本流量作为一维卷积堆叠自编码器的输入，以及将样本流量的真实标签作为期望输出训练待训练模型；真实标签表征样本流量的实际异常情况；在所述待训练模型的输出结果与样本流量的真实标签之间的损失值小于预设损失值阈值的情况下，确定待训练模型收敛。该方法可以缩短待训练模型的训练时长，并提高预测准确性。

公开(公告)号：CN117218449A

公开(公告)日：2023-12-12

申请号：CN202311283225.8

申请日：2023-09-28

Applicant: 王瑞琪 ,  北京天融信网络安全技术有限公司

Inventor： 王瑞琪 ,  安晓宁

IPC: G06V10/764 ,  G06V10/70 ,  G06T11/00 ,  G06N7/01 ,  G06F21/56 ,  G06V10/10

Abstract: 本申请实施例提供一种基于图像分类的恶意代码检测方法、装置、设备及存储介质，涉及恶意代码检测技术领域。所述方法包括：获取待检测代码样本的字节流文件；基于三种间隔距离分别对字节流文件进行字节对提取，得到三个字节对集合；基于三个字节对集合进行计算得到对应的三个马尔可夫概率转移矩阵；基于三个马尔可夫概率转移矩阵生成待测RGB图像；将待测RGB图像输入至训练好的图像分类模型，得到恶意代码检测结果。本申请实施例通过采用三种不同的方式提取待测字节文件的字节对并计算相应的马尔可夫概率转移矩阵，作为RGB图像的三个通道输入信息以实现代码可视化，从而能够充分提取得到代码的特征及语义信息，提高对恶意代码进行检测的准确性。

公开(公告)号：CN117195056A

公开(公告)日：2023-12-08

申请号：CN202311228978.9

申请日：2023-09-21

Applicant: 宣羽泽 ,  北京天融信网络安全技术有限公司

Inventor： 宣羽泽 ,  安晓宁

IPC: G06F18/24 ,  G06F18/241 ,  G06N3/096 ,  G06F21/56

Abstract: 本申请的一些实施例提供了一种恶意软件家族分类的方法、装置、存储介质及电子设备，该方法包括：对软件样本进行反汇编和多特征提取，获取所述软件样本的特征矩阵；利用所述软件样本中的第一样本对应的第一特征矩阵对自编码器模型进行训练，获取表征模型；将所述软件样本中除所述第一样本之外的第二样本的第二特征矩阵输入至所述表征模型，得到所述第二样本对应的表征向量；利用所述第二样本对应的表征向量对初始软件家族分类器进行训练，获取所述原型网络模型和原型集，其中，所述表征模型、所述原型网络模型和所述原型集用于对恶意软件家族分类。本申请的一些实施例可以实现对恶意软件家族的准确分类。

公开(公告)号：CN115622793A

公开(公告)日：2023-01-17

申请号：CN202211419857.8

申请日：2022-11-14

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40 ,  H04L41/0631 ,  H04L41/069 ,  H04L41/147 ,  H04L41/16

Abstract: 本申请提供一种攻击类型识别方法、装置、电子设备及存储介质，该方法包括：从待处理的多条告警日志的每条告警日志中提取出多个特征属性值，获得多组特征属性值；以告警日志为节点，以多组特征属性值之间的相似程度为边，构建图结构；对多条告警日志中的每条告警日志进行编码，获得节点的编码向量；使用图注意力网络模型根据节点的编码向量对图结构进行类型识别，获得图结构的攻击类型。由于图注意力网络模型在训练过程中已经学习了所有历史告警日志的规则，无需人工编写新规则，所以使用图注意力网络模型能够有效地预测出未知攻击。

公开(公告)号：CN115603960A

公开(公告)日：2023-01-13

申请号：CN202211195681.2

申请日：2022-09-28

Applicant: 北京天融信网络安全技术有限公司(CN) ,  北京天融信科技有限公司(CN) ,  北京天融信软件有限公司(CN)

Inventor： 安晓宁

IPC: H04L9/40 ,  H04L9/08

Abstract: 本申请提供一种加密流量检测方法及装置，该方法包括：对网络流量进行采集，得到流量数据；对流量数据进行特征提取，得到数据特征；数据特征包括全局数据特征和局部数据特征；通过特征向量提取模型组对数据特征进行提取，得到特征向量；通过多级特征融合模型对特征向量进行加密流量检测，得到加密流量检测结果。可见，该方法能够提高加密流量检测的准确性。

公开(公告)号：CN115277102A

公开(公告)日：2022-11-01

申请号：CN202210764380.0

申请日：2022-06-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40 ,  H04L41/12 ,  H04L41/14

Abstract: 本公开涉及一种网络攻击检测方法、装置、电子设备及存储介质，其中，所述方法包括：采集时间窗口内的流量作为待检测流量，并从待检测流量中提取每条流量的第一类特征信息、第二类特征信息和第三类特征信息，生成特征文件；基于特征文件，生成待检测流量对应的无向拓扑图以及无向拓扑图中无向边的边特征，无向拓扑图中的节点根据第一类特征信息和第二类特征信息生成，边特征根据第三类特征信息确定；将无向拓扑图和边特征输入预先训练的网络攻击检测模型，以获取无向拓扑图中的每个节点为异常节点的预测概率；根据预测概率，从待检测流量中确定出攻击流量。由此，能够提升网络流量表征能力，从而有利于提高网络攻击检测的准确率。

公开(公告)号：CN118070276A

公开(公告)日：2024-05-24

申请号：CN202311355602.4

申请日：2023-10-18

Applicant: 北京天融信网络安全技术有限公司

Inventor： 陶锐 ,  杨频 ,  张磊 ,  安晓宁

IPC: G06F21/56 ,  G06F18/241 ,  G06F8/53 ,  G06F8/41 ,  G06N3/0455 ,  G06N3/042 ,  G06N3/08

Abstract: 本申请实施例提供一种恶意代码分类方法、装置、电子设备及存储介质，所述方法包括：将恶意代码的二进制文件进行反汇编，得到控制流图；提取控制流图中每个基本块的语义特征；将各基本块的语义特征与控制流图的结构信息输入基于注意力的图神经网络，输出控制流图的整图嵌入；基于整图嵌入进行恶意家族分类，得到恶意代码所属的恶意家族。在图神经网络中融合注意力机制，使得在融合各基本块的语义特征与结构信息时，可以忽略掺杂有混淆手段的无效基本块及其结构信息。整图嵌入融合了更多重要节点的语义特征及结构信息，使得在恶意家族分类时考虑的是有用的语义特征及调用关系，提高了抵抗恶意软件中的混淆手段的能力与分类准确性。

公开(公告)号：CN118012480A

公开(公告)日：2024-05-10

申请号：CN202311462337.X

申请日：2023-11-02

Applicant: 刘昕仪 ,  北京天融信网络安全技术有限公司

Inventor： 刘昕仪 ,  彭国军 ,  安晓宁

IPC: G06F8/70 ,  G06F8/40 ,  G06F8/41

Abstract: 本申请提供一种代码同源性分析方法及装置，该方法包括：获取待处理原始代码；对待处原始代码进行二进制提升处理，得到LLVM IR中间语言；基于LLVM IR中间语言进行重优化处理和预处理，得到预处理代码；基于CBOW扩展模型、SIF模型和预处理代码，生成基本块的特征向量；基于基本块向量进行基于恶意功能的匹配处理，得到目标匹配结果；基于目标匹配结果进行同源性分析，得到两个恶意二进制函数以及两个恶意二进制函数的同源性指数。可见，该方法及装置能够解决多样化编译环境干扰二进制语义提取的问题，有利于消除编译器、编译选项、架构等对语义分析产生的干扰，提升了恶意代码同源性分析准确率，提升了恶意代码识别准确率。

公开(公告)号：CN117725544A

公开(公告)日：2024-03-19

申请号：CN202311211904.4

申请日：2023-09-18

Applicant: 石文轩 ,  北京天融信网络安全技术有限公司

Inventor： 石文轩 ,  安晓宁

IPC: G06F18/25 ,  G06F18/40 ,  G06N3/045 ,  G06N3/0464 ,  G06N3/0499 ,  G06N3/09 ,  G06F40/30 ,  G06F16/35

Abstract: 本申请实施例提供一种训练语义识别模型、文件分类的方法、装置、设备及介质，该方法包括：将汇编代码文件中的词进行掩码操作，获得掩码文件，其中，所述汇编代码文件是通过待识别语义的代码文件获得的；将过程间控制流程图中的代码块进行替换，获得代码块替换文件，其中，所述代码块为所述过程间控制流程图中的节点；将所述掩码文件和所述代码块替换文件输入到待训练的语义识别模型中，通过所述待训练的语义识别模型进行多个任务的训练，获得目标语义识别模型。通过本申请的一些实施例能够实现多个任务同时训练，从而保证模型语义识别的准确性。