公开(公告)号：CN120012081A

公开(公告)日：2025-05-16

申请号：CN202411873543.4

申请日：2024-12-18

Applicant: 清华大学

Inventor： 郭礼华 ,  侯伊为 ,  周炽金 ,  张泉 ,  刘闻欢 ,  姜宇

IPC: G06F21/56 ,  G06F21/60 ,  G06F18/2413 ,  G06F18/214

Abstract: 本发明提供一种勒索软件的检测方法、装置、电子设备及存储介质，涉及计算机软件安全技术领域。所述方法包括：通过对待检测进程的硬件数据进行加密行为检测，确定可疑进程，对待检测进程的文件操作数据中所述可疑进程的文件操作数据进行量化分析，得到可疑进程的文件操作特征，根据所述可疑进程的硬件数据与所述可疑进程的文件操作特征之间是否存在时序关联关系，确定所述可疑进程是否为勒索软件。该方法能够避免勒索软件逃脱检测策略，提升了勒索软件检测的准确性。

公开(公告)号：CN111652290A

公开(公告)日：2020-09-11

申请号：CN202010413738.6

申请日：2020-05-15

Applicant: 深圳前海微众银行股份有限公司 ,  清华大学

Inventor： 张泉 ,  袁敏 ,  冯庆磊 ,  贾永香 ,  郭旭阳 ,  赵越 ,  姜宇 ,  顾明 ,  孙家广

IPC: G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  G06Q40/02

Abstract: 本发明公开了一种对抗样本的检测方法及装置，其中方法为：根据待测图片的像素信息，按照预设格式，生成所述待测图片的像素特征数据，作为待测样本；将待测样本输入至特定样本重构模型，获得所述待测样本的重构样本；将所述待测样本的重构样本输入至所述特定预估模型，获得所述待测样本的重构样本的中间层输出值；将所述待测样本的重构样本的中间层输出值输入至特定分类模型，确定所述待测样本是否为对抗样本。上述方法应用于金融科技(Fintech)时，正常样本和对抗样本经特定样本重构模型转换后，正常样本和对抗样本的区分度会更大，确定所述待测样本是否为对抗样本的结果更加明显，更准确地发现所述待测样本是否为对抗样本。

公开(公告)号：CN111652290B

公开(公告)日：2024-03-15

申请号：CN202010413738.6

申请日：2020-05-15

Applicant: 深圳前海微众银行股份有限公司 ,  清华大学

Inventor： 张泉 ,  袁敏 ,  冯庆磊 ,  贾永香 ,  郭旭阳 ,  赵越 ,  姜宇 ,  顾明 ,  孙家广

IPC: G06V10/82 ,  G06V10/774 ,  G06V10/764 ,  G06N3/0455 ,  G06N3/084 ,  G06N3/094 ,  G06Q40/03 ,  G06Q40/08

Abstract: 本发明公开了一种对抗样本的检测方法及装置，其中方法为：根据待测图片的像素信息，按照预设格式，生成所述待测图片的像素特征数据，作为待测样本；将待测样本输入至特定样本重构模型，获得所述待测样本的重构样本；将所述待测样本的重构样本输入至所述特定预估模型，获得所述待测样本的重构样本的中间层输出值；将所述待测样本的重构样本的中间层输出值输入至特定分类模型，确定所述待测样本是否为对抗样本。上述方法应用于金融科技(Fintech)时，正常样本和对抗样本经特定样本重构模型转换后，正常样本和对抗样本的区分度会更大，确定所述待测样本是否为对抗样本的结果更加明显，更准确地发现所述待测样本是否为对抗样本。

公开(公告)号：CN119918048A

公开(公告)日：2025-05-02

申请号：CN202411882687.6

申请日：2024-12-19

Applicant: 清华大学

Inventor： 侯伊为 ,  郭礼华 ,  周炽金 ,  张泉 ,  刘闻欢 ,  姜宇

IPC: G06F21/56 ,  G06F18/23

Abstract: 本发明提供一种勒索软件检测方法、装置、设备、存储介质及产品，从Windows系统中所有可用的事件提供者中筛选获得风险事件提供者，并收集风险事件提供者提供的事件数据；其中，风险事件提供者是与卷影副本删除事件相关的事件提供者；基于预先设置的卷影副本删除行为识别模版，从事件数据中筛选获得卷影副本删除事件，并获取卷影副本删除事件对应的待处理进程；对待处理进程进行进程追踪溯源，确定待处理进程是否是与勒索软件相关的进程；若是，则停止执行待处理进程，否则，则继续执行待处理进程。本发明的方案，提高了勒索软件检测的效率和准确性，从而提高了计算机系统的安全性和可靠性。