公开(公告)号：CN112632548B

公开(公告)日：2024-01-23

申请号：CN202011643298.X

申请日：2020-12-30

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 庞瑞

IPC: G06F21/56

Abstract: 本申请提供一种恶意安卓程序检测方法、装置，电子设备及存储介质。该方法包括：提取待测安卓程序的快特征；将所述快特征输入至预先训练好的分类模型中，得到所述待测安卓程序的判定结果；当所述判定结果表征所述待测安卓程序为疑似恶意安卓程序时，提取所述待测安卓程序的慢特征；通过所述慢特征对所述待测安卓程序进行检测，得到所述待测安卓程序的检测结果。通过上述方式，一来可以利用快特征对待测安卓程序进行首次判断，而无需提取详细特征，提高了检测效率，能够大幅减少检测所消耗的时间。二来再利用慢特征对疑似恶意安卓程序进行二次检测，能够降低检测误报率，改善检测性能。

公开(公告)号：CN114499923A

公开(公告)日：2022-05-13

申请号：CN202111446474.5

申请日：2021-11-30

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 庞瑞

IPC: H04L9/40 ,  H04L12/46 ,  H04L69/22 ,  G06N3/04 ,  G06N3/08

Abstract: 本申请提供一种ICMP模拟报文的生成方法及装置，涉及网络安全领域，该ICMP模拟报文的生成方法包括：获取ICMP正常报文和ICMP攻击报文；根据ICMP正常报文和ICMP攻击报文训练判别器，并根据ICMP攻击报文训练生成器；根据判别器和生成器构建生成对抗网络；通过生成对抗网络对生成器进行迭代训练，得到模拟隧道数据生成器；获取模拟隧道数据生成器生成的ICMP模拟隧道数据；根据ICMP模拟隧道数据生成ICMP模拟报文。可见，实施这种实施方式，能够生成大量ICMP模拟报文，从而解决机器学习模型训练中黑样本稀缺的问题。

公开(公告)号：CN112347478B

公开(公告)日：2021-08-24

申请号：CN202011089772.9

申请日：2020-10-13

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 李海燕 ,  庞瑞

IPC: G06F21/56 ,  G06T7/10

Abstract: 本发明实施例提供一种恶意软件检测方法及装置，涉及网络安全技术领域。该方法包括：将待检测软件转换为第一图像和第二图像，第一图像为行宽度和列宽度均为N，第二图像为行宽度和列宽度均M；将第一图像分割平均为L个第三图像；基于深度学习预测模型各图像为各个软件类别的概率；判断命中数量是否大于X，命中数量为待预测图像集中命中目标软件类别的图像的数量，待预测图像集中任一图像命中的软件类别为该图像的概率中的最大值对应的软件类别，目标软件类别为被待预测图像集中的图像命中次数最多的软件类别；若否，则输出用于为非恶意软件的指示信息。本发明实施例用于在进行恶意软件检测时减小误报率。

公开(公告)号：CN112347479A

公开(公告)日：2021-02-09

申请号：CN202011134567.X

申请日：2020-10-21

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 庞瑞

IPC: G06F21/56

Abstract: 本公开提供一种恶意软件检测的误报纠正方法、装置、设备和存储介质。该方法包括：通过对检测模型检测出的第一疑似恶意软件进行静态特征检测，得到静态特征检测结果，根据静态特征检测结果和静态特征计分规则，得到第一疑似恶意软件的得分，若第一疑似恶意软件的得分大于或者等于第一阈值，确定第一疑似恶意软件为第二疑似恶意软件，根据第二疑似恶意软件，确定第二疑似恶意软件为真实恶意软件。本公开的方法，进一步对第一疑似恶意软件进行处理，从而实现对第一疑似恶意软件进行进一步的检测，使得检测结果中的误报的疑似恶意软件被筛除，并确定出真实恶意软件，使得误报恶意软件数量减少，从而降低误报率，保证恶意软件检测模型的正常使用。

公开(公告)号：CN109359439B

公开(公告)日：2019-12-13

申请号：CN201811257390.5

申请日：2018-10-26

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 庞瑞 ,  张宏君

IPC: G06F21/12

Abstract: 本发明公开了一种软件检测方法、装置、设备及存储介质，所述方法包括：提取软件样本库中各样本所包含的数值型特征和非数值型特征；利用选定的N种非加密哈希算法对所述非数值型特征进行处理，并将处理结果转换为数值型特征；所述N为大于1的整数；根据各样本中包含的所述数值型特征和转化得到的所述数值型特征，构造特征矩阵；利用所述特征矩阵训练机器学习分类器；利用所述机器学习分类器，对目标软件进行检测。本发明可以将从恶意软件样本中提取出的复杂字符串特征转化为易于机器学习算法处理的哈希特征，从而降低了模型训练难度，显著提高了训练速度，降低了空间开销，提升了恶意软件判别精度。

公开(公告)号：CN116015909A

公开(公告)日：2023-04-25

申请号：CN202211711588.2

申请日：2022-12-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 庞瑞

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本申请提供一种恶意DGA域名检测的误报处理方法及装置，该方法包括：获取待检测DNS日志；对待检测DNS日志进行检测，得到与疑似DGA域名相对应的疑似DNS日志；对疑似DNS日志进行解析，得到日志解析特征；对日志解析特征进行数值化处理，得到解析特征值；对解析特征值进行归一化处理，得到归一化特征值；基于DGA域名信誉评估算法和归一化特征值进行计算，得到疑似DGA域名的信誉评估分；判断信誉评估分是否小于预设评估分阈值；当信誉评估分小于预设评估分阈值时，确定疑似DGA域名为恶意DGA域名。可见，该方法及装置能够有效地检测出恶意DGA域名，从而有效的从大量误报DGA域名中检出真实DGA域名，同时还能够保障对恶意DGA域名的防范效果。

公开(公告)号：CN116015873A

公开(公告)日：2023-04-25

申请号：CN202211685256.1

申请日：2022-12-27

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 庞瑞

IPC: H04L9/40 ,  H04L41/0631

Abstract: 本公开涉及一种网络安全告警处理方法、装置、设备及存储介质，其中，方法包括：获取多个安全运维终端分别对于多条告警规则的第一告警向量以及告警处置信息，并以交互评分矩阵存储；获取待排序终端对于多条告警规则的第二告警向量，以及调用交互评分矩阵以获取多个安全运维终端的第一告警向量；计算第二告警向量与各第一告警向量之间的相似度，并确定相似度最高的安全运维终端为待排序终端的最相似终端；按照所述最相似终端的告警处置信息，对所述待排序终端的告警信息进行排序推送。根据本公开的技术方案，能够从大量原始告警信息中确定亟需处置的威胁告警，并且提供个性化的告警信息排序，提高告警信息优先级排序的准确度。

公开(公告)号：CN114048836A

公开(公告)日：2022-02-15

申请号：CN202111182875.4

申请日：2021-10-11

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 庞瑞

IPC: G06N3/04 ,  G06N3/08 ,  G06N20/00 ,  H04L12/46 ,  H04L61/4511

Abstract: 本发明公开了一种DNS隧道流量模拟方法、装置及检测方法，包括：利用训练获得的生成器来生成所需的DNS隧道流量；其中，通过如下步骤训练生成器：通过生成器生成模拟DNS隧道流量，生成器的输入为随机向量，其输出为指定长度的模拟DNS隧道流量，且指定长度是根据DNS流量样本确定的；通过判别器对模拟DNS隧道流量进行判定，并输出二分类的判别结果，判别器基于DNS流量样本训练获得；训练生成器和判别器，判别器被配置为在训练过程中将模拟DNS隧道流量判别为真实隧道流量的数量越多，生成器的性能越好。本实施例通过基于生成对抗网络训练获得的生成器能够大量生成模拟的DNS隧道流量，从而提高机器学习模型的识别效果。

公开(公告)号：CN112347478A

公开(公告)日：2021-02-09

申请号：CN202011089772.9

申请日：2020-10-13

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 李海燕 ,  庞瑞

IPC: G06F21/56 ,  G06T7/10

Abstract: 本发明实施例提供一种恶意软件检测方法及装置，涉及网络安全技术领域。该方法包括：将待检测软件转换为第一图像和第二图像，第一图像为行宽度和列宽度均为N，第二图像为行宽度和列宽度均M；将第一图像分割平均为L个第三图像；基于深度学习预测模型各图像为各个软件类别的概率；判断命中数量是否大于X，命中数量为待预测图像集中命中目标软件类别的图像的数量，待预测图像集中任一图像命中的软件类别为该图像的概率中的最大值对应的软件类别，目标软件类别为被待预测图像集中的图像命中次数最多的软件类别；若否，则输出用于为非恶意软件的指示信息。本发明实施例用于在进行恶意软件检测时减小误报率。

公开(公告)号：CN109684845A

公开(公告)日：2019-04-26

申请号：CN201811614491.3

申请日：2018-12-27

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 庞瑞 ,  张宏君

IPC: G06F21/56 ,  G06K9/62

CPC classification number: G06F21/566 ,  G06K9/6269

Abstract: 本申请提供了一种检测方法和装置，所述方法包括：获取第一待检测样本；将所述第一待检测样本输入塔式沙箱组获取第一检测结果。本申请利用所述塔式沙箱组对样本进行检测，比仅依靠静态代码分析，或者依靠浏览器内核动态执行等检测手段检出率高，误报率小。同时，提出的审查机制和审查模块能够最大程度保证检出率，降低误报率，且可以大幅度提高检测效率，满足大流量下在线实时监控和检测的需要。