公开(公告)号：CN112214764B

公开(公告)日：2024-01-09

申请号：CN202010935440.1

申请日：2020-09-08

Applicant: 中国科学院信息工程研究所

Inventor： 石志鑫 ,  殷其雷 ,  姜建国 ,  黄伟庆 ,  吕彬 ,  康肖钰

IPC: G06F21/56 ,  G06F21/64 ,  G06F18/241 ,  G06F18/22 ,  G06F18/214 ,  H04L9/40 ,  H04L9/32

Abstract: 本发明实施例提供一种面向复杂网络恶意程序分类方法及系统，该方法包括：获取网络恶意程序在预设时间内的完整网络流量，将所述完整网络流量划分为若干网络活动，对所述若干网络活动进行网络活动刻画，得到网络综合行为画像模型；通过行为距离度量函数和预设聚类算法，将所述网络综合行为画像模型中获取的样本网络行为特点生成行为签名；基于所述行为签名分别对已知恶意网络训练样本和未知测试样本进行整体相似度计算，得到未知网络恶意程序的类别归属。本发明实施例通过对网络恶意程序进行综合行为画像分类，细致全面地刻画复杂网络恶意程序的行为特点，进而做出正确的类别归属判断，且该分类方法不针对特定网络活动、协议及格式，适用性强。

公开(公告)号：CN113037749B

公开(公告)日：2022-06-03

申请号：CN202110252226.0

申请日：2021-03-08

Applicant: 中国科学院信息工程研究所

Inventor： 黄伟庆 ,  姜建国 ,  石志鑫 ,  殷其雷 ,  吕彬 ,  康肖钰

IPC: H04L9/40

Abstract: 本发明提供一种C&C信道判别方法及系统，包括：获取待识别流量；基于行为刻画对所述待识别流量进行分类，得到具有预设种类个数和预设行为特征个数的若干个原始特征；对所述若干个原始特征进行特征选择，得到待判断行为特征；基于预设机器学习算法识别所述待判断行为特征，得到时间槽信道类型推断结果；根据预设C&C信道特征对所述时间槽信道类型推断结果进行综合判定，得到C&C信道架构类型判定结果。本发明通过监控单一主机网络流量，提出的行为特征、时间槽划分、推理和综合判断的机制适用于具备复杂网络行为的恶意程序，且运用特征选择方法在确保判别正确性的前提下有效提升了信道架构类型分析的速度。

公开(公告)号：CN113037749A

公开(公告)日：2021-06-25

申请号：CN202110252226.0

申请日：2021-03-08

Applicant: 中国科学院信息工程研究所

Inventor： 黄伟庆 ,  姜建国 ,  石志鑫 ,  殷其雷 ,  吕彬 ,  康肖钰

IPC: H04L29/06

Abstract: 本发明提供一种C&C信道判别方法及系统，包括：获取待识别流量；基于行为刻画对所述待识别流量进行分类，得到具有预设种类个数和预设行为特征个数的若干个原始特征；对所述若干个原始特征进行特征选择，得到待判断行为特征；基于预设机器学习算法识别所述待判断行为特征，得到时间槽信道类型推断结果；根据预设C&C信道特征对所述时间槽信道类型推断结果进行综合判定，得到C&C信道架构类型判定结果。本发明通过监控单一主机网络流量，提出的行为特征、时间槽划分、推理和综合判断的机制适用于具备复杂网络行为的恶意程序，且运用特征选择方法在确保判别正确性的前提下有效提升了信道架构类型分析的速度。

公开(公告)号：CN116401728A

公开(公告)日：2023-07-07

申请号：CN202310189703.2

申请日：2023-02-27

Applicant: 中国科学院信息工程研究所

Inventor： 石志鑫 ,  吴光磊 ,  张萌 ,  康肖钰 ,  翁腾凡 ,  黄伟庆

IPC: G06F30/12 ,  G06F16/26 ,  G06F16/27 ,  G06F8/34 ,  G06F111/20

Abstract: 本发明提供的面向电磁数据的可视化建模分析方法及平台，属于数据处理技术领域，应用于面向电磁数据的可视化建模分析平台，包括：获取至少一个目标电磁数据；根据对每个目标电磁数据的处理需求，确定所述每个目标电磁数据的目标模型；每个目标模型是基于可视化建模生成的；将所述每个目标电磁数据输入至所述每个目标电磁数据的目标模型，获取由所述目标模型输出的符合所述每个目标电磁数据的处理需求的分析结果。本发明提供的面向电磁数据的可视化建模分析方法及平台，通过电磁数据的处理需求，构建或调用分析模型作为分析工具，并利用分析模型对电磁数据进行实时并行分析和处理，实现对海量不同处理需求的电磁数据的实时监测。

公开(公告)号：CN115002823A

公开(公告)日：2022-09-02

申请号：CN202210509211.2

申请日：2022-05-10

Applicant: 中国科学院信息工程研究所

Inventor： 黄伟庆 ,  刘璋璞 ,  李梅梅 ,  石志鑫 ,  张萌 ,  魏冬 ,  王文 ,  康肖钰 ,  翁腾凡

IPC: H04W24/08 ,  H04W24/10 ,  H04L41/142 ,  H04L41/14 ,  H04L41/12 ,  H04L43/028 ,  H04L43/06 ,  H04W84/12 ,  H04L101/622

Abstract: 本申请提供一种无线网络分析方法、装置、电子设备及存储介质，该方法包括：接收各个监测采集终端传输的无线网络数据包，并将各个无线网络数据包进行解析过滤，得到目标分析数据；将目标分析数据进行分布式存储，得到数据信息库，其中，数据信息库包括无线热点库和终端设备库；根据无线热点库和终端设备库构建无线网络拓扑图；根据目标分析数据对无线网络进行行为分析，根据无线网络拓扑图对无线网络进行监测分析。本申请实施例提供的无线网络分析方法通过目标分析数据得到无线热点库和终端设备库，通过无线热点库和终端设备库对无线网络进行监测分析，通过目标分析数据对无线网络进行行为分析，实现了对无线网络的行为分析和监测分析。

公开(公告)号：CN112214764A

公开(公告)日：2021-01-12

申请号：CN202010935440.1

申请日：2020-09-08

Applicant: 中国科学院信息工程研究所

Inventor： 石志鑫 ,  殷其雷 ,  姜建国 ,  黄伟庆 ,  吕彬 ,  康肖钰

IPC: G06F21/56 ,  G06F21/64 ,  G06K9/62 ,  H04L9/32 ,  H04L29/06

Abstract: 本发明实施例提供一种面向复杂网络恶意程序分类方法及系统，该方法包括：获取网络恶意程序在预设时间内的完整网络流量，将所述完整网络流量划分为若干网络活动，对所述若干网络活动进行网络活动刻画，得到网络综合行为画像模型；通过行为距离度量函数和预设聚类算法，将所述网络综合行为画像模型中获取的样本网络行为特点生成行为签名；基于所述行为签名分别对已知恶意网络训练样本和未知测试样本进行整体相似度计算，得到未知网络恶意程序的类别归属。本发明实施例通过对网络恶意程序进行综合行为画像分类，细致全面地刻画复杂网络恶意程序的行为特点，进而做出正确的类别归属判断，且该分类方法不针对特定网络活动、协议及格式，适用性强。