公开(公告)号：CN113987500B

公开(公告)日：2024-12-06

申请号：CN202111328921.7

申请日：2021-11-10

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 徐晓 ,  薛智慧 ,  余小军 ,  黄娜 ,  李建国

IPC: G06F21/56

Abstract: 本公开涉及一种恶意PDF文档检测方法、装置及电子设备，应用于网络安全技术领域，解决现有技术用于检测的信息完整而导致恶意PDF文档的检测结果不准确的问题，该方法包括：获取便携式文档格式PDF文档中明文对象的A个特征关键字；获取PDF文档的根节点信息；确定根节点信息所指示的流对象中包括的B个特征关键字；针对M个特征关键字，进行恶意特征关键字的识别，得到多个恶意特征关键字；将多个恶意特征关键字，确定为恶意PDF文档识别模型的训练样本。

公开(公告)号：CN112163217B

公开(公告)日：2023-10-13

申请号：CN202011029067.X

申请日：2020-09-25

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 黄娜 ,  李建国 ,  余小军

IPC: G06F21/55 ,  G06F21/56 ,  G06F18/214 ,  G06N3/0442 ,  G06N3/049

Abstract: 本申请提供一种恶意软件变种识别方法、装置、设备及计算机存储介质，其中，恶意软件变种识别方法包括：获取若干个恶意软件的属性数据的特征时间序列；根据预设时间步长对所述特征时间序列进行位移，得到预测目标特征序列；将所述特征时间序列、所述预测目标特征序列作为训练样本，以训练预设神经网络并得到变种检测模型；获取待识别软件的属性数据；根据待识别软件的属性数据和所述变种检测模型识别所述待识别软件变种后的所属恶意软件类型。本申请能够实现对未知的恶意软件变种进行预测，以提高恶意软件变种的检测准确性。

公开(公告)号：CN114912114A

公开(公告)日：2022-08-16

申请号：CN202210511534.5

申请日：2022-05-11

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 徐晓 ,  黄娜 ,  薛智慧 ,  余小军

IPC: G06F21/56

Abstract: 本公开涉及计算机技术领域，提供了一种恶意PDF文档检测方法。所述方法包括：获取待检测PDF文档的根对象、以及逻辑结构；根据根对象以及逻辑结构，确定待检测PDF文档对应的至少一个叶子对象；获取至少一个叶子对象的第一关键字中包含的第二关键字，其中，第二关键字包括第一类型关键字以及第二类型关键字，第一类型关键字包括/JS、/JavaScript、/URI、/Launch、/F中的一种或多种，第二类型关键字包括stream；根据第二关键字，确定待检测PDF文档对应的预设类型，其中，预设类型包括Javascript代码、嵌入文件、以及嵌入链接中的一种或多种；根据预设类型，检测待检测PDF文档是否为恶意PDF文档，采用该方式能够提高了对恶意PDF文档的检测准确性以及效率。

公开(公告)号：CN114422267A

公开(公告)日：2022-04-29

申请号：CN202210202225.X

申请日：2022-03-03

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波 ,  万可 ,  黄娜

IPC: H04L9/40 ,  G06K9/62

Abstract: 本公开实施例涉及一种流量检测方法、装置、设备及介质，其中该方法包括：获取待检测端的访问时序图谱；其中，访问时序图谱包括至少一个具有异常流量标识的目标图谱节点；对访问时序图谱进行图表示学习，得到访问时序图谱中每个图谱节点对应的时序向量；根据预设的聚类算法对时序向量进行聚类处理，得到多个聚类类别；从多个聚类类别中获取目标图谱节点所属的目标聚类类别，并基于目标聚类类别确定待检测端的异常流量。本公开实施例中，提高了对未知规律异常流量的检出率，保障了网络安全，并且提高了长时间周期下异常流量标注的自动化程度，降低了进行异常流量标注所消耗的人力成本。

公开(公告)号：CN114036513A

公开(公告)日：2022-02-11

申请号：CN202111203565.6

申请日：2021-10-15

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 黄娜

IPC: G06F21/56 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于Seq2Seq模型的恶意代码同源分析方法及装置。基于Seq2Seq模型的恶意代码同源分析方法包括：收集恶意代码样本，并获取每个恶意代码样本的汇编指令序列；构建seq2seq模型，并利用所有汇编指令序列训练seq2seq模型，以获取恶意代码同源分析模型；将待测恶意代码的汇编指令序列输入恶意代码同源分析模型，以确定待测恶意代码所属族群。本发明通过基于Seq2Seq模型可以实现恶意代码的自动同源分析，不需要人为标注，而且该模型能够接受任意长度的输入序列，不需要对样本的指令序列做截取或补充处理，能更准确地提取代码的语义信息。

公开(公告)号：CN114547491B

公开(公告)日：2025-05-16

申请号：CN202210204857.X

申请日：2022-03-03

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波 ,  万可 ,  黄娜

IPC: G06F16/9537 ,  G06F16/957

Abstract: 本公开实施例涉及一种时序图谱构建方法、装置、设备及介质，其中该方法包括：获取预设时间段内的流量数据信息；基于流量数据信息，构建原始序列；对原始序列进行采样处理获得多个子序列，基于每个子序列与原始序列的距离分布，确定每个子序列的信息增益；将各个子序列的信息增益进行比较，并基于比较结果从多个子序列中获得目标序列；将目标序列作为时序图谱的节点，以及将目标序列在同一原始序列中的时序关系作为时序图谱的边，构建时序图谱。本公开实施例中，将时序的网络安全攻击或访问路径转化为了时序图谱的表现形式，能够将设备探针无法检测到的网络攻击反馈在时序图谱上，从而提高了时序图谱的准确性。

公开(公告)号：CN113935032B

公开(公告)日：2024-12-06

申请号：CN202110825704.2

申请日：2021-07-21

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 黄娜

IPC: G06F21/56 ,  G06F18/23213 ,  G06F18/241 ,  G06F18/214 ,  G06N20/10

Abstract: 本发明公开了一种恶意代码的同源分析方法、装置及可读存储介质，包括：获取恶意代码样本，其中恶意代码样本中包括不同类型的恶意代码；反汇编恶意代码样本，以确定对应的汇编指令序列，汇编指令序列中包括若干指令，且若干指令的长度可以不同；基于子序列在前的指令和在后的指令对应的向量以及所述恶意代码样本对应的向量，输入特征提取模型进行预测训练；将训练完成后的特征提取模型来提取未知的恶意代码数据的语义特征，以进行恶意代码的同源分析。本公开的方法能够适用于不同长度的恶意代码的同源分析，解决现有技术由于代码中指令数量不同而产生的输入长度不一致问题。

公开(公告)号：CN114036513B

公开(公告)日：2024-10-15

申请号：CN202111203565.6

申请日：2021-10-15

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 黄娜

IPC: G06F21/56 ,  G06N3/044 ,  G06N3/08

Abstract: 本发明公开了一种基于Seq2Seq模型的恶意代码同源分析方法及装置。基于Seq2Seq模型的恶意代码同源分析方法包括：收集恶意代码样本，并获取每个恶意代码样本的汇编指令序列；构建seq2seq模型，并利用所有汇编指令序列训练seq2seq模型，以获取恶意代码同源分析模型；将待测恶意代码的汇编指令序列输入恶意代码同源分析模型，以确定待测恶意代码所属族群。本发明通过基于Seq2Seq模型可以实现恶意代码的自动同源分析，不需要人为标注，而且该模型能够接受任意长度的输入序列，不需要对样本的指令序列做截取或补充处理，能更准确地提取代码的语义信息。

公开(公告)号：CN114422267B

公开(公告)日：2024-02-06

申请号：CN202210202225.X

申请日：2022-03-03

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波 ,  万可 ,  黄娜

IPC: H04L9/40 ,  G06F18/23

Abstract: 本公开实施例涉及一种流量检测方法、装置、设备及介质，其中该方法包括：获取待检测端的访问时序图谱；其中，访问时序图谱包括至少一个具有异常流量标识的目标图谱节点；对访问时序图谱进行图表示学习，得到访问时序图谱中每个图谱节点对应的时序向量；根据预设的聚类算法对时序向量进行聚类处理，得到多个聚类类别；从多个聚类类别中获取目标图谱节点所属的目标聚类类别，并基于目标聚类类别确定待检测端的异常流量。本公开实施例中，提高了对未知规律异常流量的检出率，保障了网络安全，并且提高了长时间周期下异常流量标注的自动化程度，降低了进行异常流量标注所消耗的人力成本。

公开(公告)号：CN113190851B

公开(公告)日：2023-07-18

申请号：CN202110578295.0

申请日：2021-05-26

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 黄娜

IPC: G06F21/56 ,  G06N20/00 ,  G06F18/23

Abstract: 本申请公开了一种恶意文档检测模型的主动学习方法、电子设备及存储介质，该方法包括：获取包含多个未标注的样本的样本集，并确定所述样本的差异性、不确定度和估计风险；基于所述差异性、所述不确定度和所述估计风险对所述样本的训练价值进行评估；选取训练价值符合预设条件的所述样本构建训练集，通过所述训练集对所述恶意文档检测模型进行训练，并更新所述恶意文档检测模型。该方法能够选取出训练价值较高的样本对恶意文档检测模型进行训练，不仅能够过滤掉冗余样本，减少标记工作，且能够排出干扰信息，有助于提高恶意文档检测模型的准确性。