公开(公告)号：CN110532480B

公开(公告)日：2022-06-17

申请号：CN201910634014.1

申请日：2019-07-15

Applicant: 中国科学院信息工程研究所

Inventor： 都鸣 ,  姜政伟 ,  江钧 ,  卢志刚 ,  刘宝旭

IPC: G06F16/9536 ,  G06F16/36 ,  G06F16/35

Abstract: 本发明公开了一种用于人读威胁情报推荐的知识图谱构建方法及威胁情报推荐方法。本发明通过爬取微博安全大V发布的人读威胁情报等作为原始数据，构建了用于人读威胁情报推荐的知识图谱，然后将知识图谱中的实体和实体关系抽象成低维度的向量表示e；对于每一条人读威胁情报Ii，生成人读威胁情报向量e(Ij)；将用户向量e(u)归一化结果和向量e(Ij)归一化结果拼接并添加对应的标记值，作为网络输入，训练该长短期记忆神经网络；对于一候选人读威胁情报，生成其对应的人读威胁情报向量并与用户u的用户向量拼接，然后输入网络，得出用户u是否会点击该候选人读威胁情报，根据判断结果确定是否将其推荐给用户u。

公开(公告)号：CN112926327B

公开(公告)日：2022-05-20

申请号：CN202110230354.5

申请日：2021-03-02

Applicant: 首都师范大学 ,  中国科学院信息工程研究所

Inventor： 王旭仁 ,  刘润时 ,  何松恒 ,  熊子晗 ,  姜政伟 ,  施智平 ,  江钧 ,  凌志婷 ,  李小萌

IPC: G06F40/295 ,  G06F40/30 ,  G06N3/04 ,  G06N3/08

Abstract: 本申请提供了一种实体识别方法、装置、设备及存储介质，该方法包括：获取原始威胁情报文本；针对每一原始威胁情报文本，按照分词所属实体的实体类型，对该原始威胁情报文本中的每一个分词进行标记，得到训练样本；将训练样本输入实体识别模型，利用该训练样本中的每一个分词以及该分词对应的所述实体标记，对该实体识别模型进行训练，得到训练好的实体识别模型，其中，实体识别模型在训练过程中使用的损失函数用于减小所属实体标记相同的分词之间的空间距离以及增大所属实体标记不同的分词之间的空间距离；将待识别的威胁情报文本输入训练好的实体识别模型中，得到实体识别结果。可以提高对威胁情报领域内特定类型实体的识别准确度。

公开(公告)号：CN111859966B

公开(公告)日：2022-04-15

申请号：CN202010535333.X

申请日：2020-06-12

Applicant: 中国科学院信息工程研究所

Inventor： 苏长鑫 ,  江钧 ,  杨沛安 ,  姜政伟 ,  李小萌 ,  王旭仁

IPC: G06F40/295 ,  G06F40/211 ,  G06F16/955

Abstract: 本发明提供一种面向网络威胁情报的标注语料生成方法及电子装置，包括：提取结构化威胁情报数据训练集中的安全实体，将各结构化威胁情报数据映射为 三元组，得到头实体集合与尾实体集合；提取待标注文本中的安全实体，获取包含至少一个属于头实体集合的安全实体与至少一个属于尾实体集合的安全实体的句子；判断句子中包含的关系类型；对所有句子的各 三元组进行标注，得到初始标注数据集，进而得到去噪标注数据集。本发明根据远程监督理论，利用已有结构化网络威胁情报数据对未标注语料进行标注，生成大规模训练语料，并提出自动去噪和交叉校验方法解决标注语料存在噪音数据的问题。

公开(公告)号：CN109672674A

公开(公告)日：2019-04-23

申请号：CN201811554318.9

申请日：2018-12-19

Applicant: 中国科学院信息工程研究所

Inventor： 杜翔宇 ,  姜政伟 ,  韩瑶鹏 ,  江钧 ,  宋秉华 ,  刘宝旭

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种网络威胁情报可信度识别方法，本发明步骤包括：1)构建网络威胁情报的关联图模型，图上的节点是网络威胁指标；2)每个网络威胁指标都有一个初始信誉值，计算出每个网络威胁指标的初始信誉值作为该指标的最终的威胁信誉值的一部分；3)为关联图模型中的每一个边计算权重；4)借助图传播算法的思想设计威胁传播算法使威胁信誉值在节点和相邻节点中逐级传播，进而与每个网络威胁指标的初始信誉值结合计算得到最终信誉值；5)根据网络威胁指标的最终信誉值确定网络威胁情报可信度。本发明能够更好的评估网络威胁情报质量。

公开(公告)号：CN116346407A

公开(公告)日：2023-06-27

申请号：CN202310085192.X

申请日：2023-01-17

Applicant: 中国科学院信息工程研究所

Inventor： 江钧 ,  李银霞 ,  凌志婷 ,  张开 ,  姜政伟 ,  董放明

IPC: H04L9/40 ,  G06F16/33 ,  G06F16/35 ,  G06F16/951

Abstract: 本发明提出一种面向社交短文本的安全账号识别方法，涉及计算机网络安全领域。通过收集安全领域种子账号，采集种子账号的列表信息，提取关键词，若关键词属于安全词汇，则将种子账号归入安全账号候选集；采集安全账号候选集中的账号的属性信息、推文信息和关系信息，并存入数据库中；构建和训练基于深度学习的安全特征提取模型，提取安全领域特征、属性特征、行为特征和内容特征；构建并训练基于机器学习的安全账号分类模型，判断所述数据库中的账号是否为安全账号。

公开(公告)号：CN111580954B

公开(公告)日：2021-09-14

申请号：CN202010250430.4

申请日：2020-04-01

Applicant: 中国科学院信息工程研究所

Inventor： 姜政伟 ,  江钧 ,  李仲举 ,  贺义通

IPC: G06F9/50 ,  G06F9/54 ,  G06F16/951

Abstract: 本发明涉及一种可扩展的分布式数据采集方法和系统。该方法包括：部署主节点、工作节点和中间节点；主节点根据数据库中的定时任务定时生成采集任务，发布到消息队列的任务队列中；工作节点定时从任务队列读取采集任务并根据本地服务器的状态决定是否申请执行该采集任务；主节点从申请执行同一采集任务的工作节点中选取一个最佳的工作节点执行该采集任务，并将该采集任务从任务队列中移除；工作节点根据采集任务生成并执行采集进程，将采集的数据置入中间节点的消息队列中的数据队列；工作节点监控采集进程的运行状态并记录相关数据。本发明解决了现有数据采集系统易用性、通用性以及可管理性之间的矛盾以及分布式部署中任务分配不合理的难题。

公开(公告)号：CN110362996B

公开(公告)日：2021-03-09

申请号：CN201910478849.2

申请日：2019-06-03

Applicant: 中国科学院信息工程研究所

Inventor： 姜荣霞 ,  刘宝旭 ,  姜政伟 ,  汪秋云 ,  江钧 ,  辛丽玲

IPC: G06F21/56

Abstract: 本发明提供了一种离线的PowerShell恶意软件检测方法与系统。该方法包括的步骤有：利用PowerShell软件的抽象语法树进行PowerShell软件静态混淆去除；提取PowerShell软件的统计特征、结构特征及行为特征作为基础特征；利用距离相关系数对基础特征进行筛选，得到关键特征；利用关键特征训练基于多变量决策树的随机森林检测模型MRF，用于检测PowerShell恶意软件；利用训练好的MRF离线检测PowerShell软件是否恶意，输出检测结果。该系统包括数据预处理模块、特征提取模块、MRF模块、模型训练模块、外部接口调用模块。本发明通过训练基于多变量决策树的随机森林检测模型MRF，实现对PowerShell恶意软件的离线检测。

公开(公告)号：CN112187716A

公开(公告)日：2021-01-05

申请号：CN202010870776.4

申请日：2020-08-26

Applicant: 中国科学院信息工程研究所

Inventor： 汪秋云 ,  靖蓉琦 ,  汪姝玮 ,  姜政伟 ,  江钧

IPC: H04L29/06

Abstract: 本发明公开了一种网络攻击中恶意代码的知识图谱展示方法，其步骤包括：1)基于OWL本体语言对目标恶意代码图谱进行建模，得到OWL本体库；然后结合OWL规则库对该OWL本体库进行OWL推理，得到新内容并确定该新内容的分类、属性和实例信息；2)根据得到的分类、属性和实例计算目标恶意代码图谱的通用度量，并根据度量结果计算各节点的重要性对目标恶意代码图谱过滤；然后对目标恶意代码图谱进行不同实体间的关联分析，计算关联度；并计算恶意代码间的相似度；3)对目标恶意代码图谱中的恶意代码进行家族分类，然后在分类信息更新后的目标恶意代码图谱上进行恶意代码评估值计算；然后对目标恶意代码图谱进行分层的布局和渲染展示。

公开(公告)号：CN110532480A

公开(公告)日：2019-12-03

申请号：CN201910634014.1

申请日：2019-07-15

Applicant: 中国科学院信息工程研究所

Inventor： 都鸣 ,  姜政伟 ,  江钧 ,  卢志刚 ,  刘宝旭

IPC: G06F16/9536 ,  G06F16/36 ,  G06F16/35

Abstract: 本发明公开了一种用于人读威胁情报推荐的知识图谱构建方法及威胁情报推荐方法。本发明通过爬取微博安全大V发布的人读威胁情报等作为原始数据，构建了用于人读威胁情报推荐的知识图谱，然后将知识图谱中的实体和实体关系抽象成低维度的向量表示e；对于每一条人读威胁情报Ii，生成人读威胁情报向量e(Ij)；将用户向量e(u)归一化结果和向量e(Ij)归一化结果拼接并添加对应的标记值，作为网络输入，训练该长短期记忆神经网络；对于一候选人读威胁情报，生成其对应的人读威胁情报向量并与用户u的用户向量拼接，然后输入网络，得出用户u是否会点击该候选人读威胁情报，根据判断结果确定是否将其推荐给用户u。

公开(公告)号：CN110362996A

公开(公告)日：2019-10-22

申请号：CN201910478849.2

申请日：2019-06-03

Applicant: 中国科学院信息工程研究所

Inventor： 姜荣霞 ,  刘宝旭 ,  姜政伟 ,  汪秋云 ,  江钧 ,  辛丽玲

IPC: G06F21/56

Abstract: 本发明提供了一种离线的PowerShell恶意软件检测方法与系统。该方法包括的步骤有：利用PowerShell软件的抽象语法树进行PowerShell软件静态混淆去除；提取PowerShell软件的统计特征、结构特征及行为特征作为基础特征；利用距离相关系数对基础特征进行筛选，得到关键特征；利用关键特征训练基于多变量决策树的随机森林检测模型MRF，用于检测PowerShell恶意软件；利用训练好的MRF离线检测PowerShell软件是否恶意，输出检测结果。该系统包括数据预处理模块、特征提取模块、MRF模块、模型训练模块、外部接口调用模块。本发明通过训练基于多变量决策树的随机森林检测模型MRF，实现对PowerShell恶意软件的离线检测。