公开(公告)号：CN118070279A

公开(公告)日：2024-05-24

申请号：CN202410132631.2

申请日：2024-01-30

Applicant: 中国科学院信息工程研究所 ,  中国人民解放军61932部队

Inventor： 马延鹏 ,  王妍 ,  穆源 ,  李策 ,  宋晓兵 ,  吕遒健 ,  程冉 ,  张琪 ,  魏兴源

IPC: G06F21/56 ,  G06F18/213 ,  G06F18/24 ,  G06N3/0442 ,  G06N3/048 ,  G06N3/08

Abstract: 本发明提供一种基于API序列内在特征的恶意软件检测方法和装置，其方法包括：获取执行待测软件获得的API调用序列；采用词嵌入，分别将API调用序列中用于完成同一软件行为的多个API函数通过大小适配的卷积块进行编码，得到第一特征矩阵；基于预设语义链组，提取API调用序列中各API函数对应的语义特征并进行卷积编码，得到第二特征矩阵；基于分析预测层，对目标特征矩阵进行API函数关联关系的分析，确定目标特征矩阵为恶意软件的概率。本发明通过对执行待测软件获取的API调度序列所体现的软件时序行为以及API序列的语义特征进行特征提取，并分析API调用序列中API函数之间的上下文关联性，从而提高预测结果准确度。

公开(公告)号：CN110674498B

公开(公告)日：2022-06-03

申请号：CN201910770785.3

申请日：2019-08-20

Applicant: 中国科学院信息工程研究所

Inventor： 李梅梅 ,  刘美辰 ,  吕彬 ,  张琪 ,  刘鹏程 ,  王云涛

IPC: G06F21/56 ,  G06K9/62

Abstract: 本发明实施例提供一种基于多维度文件活动的内部威胁检测方法及系统。该方法包括：获取待检测的单个文件，基于单个文件的历史活动规律检测单个文件，得到单文件检测结果；获取文件社区模型，基于文件社区模型检测单个文件，得到文件社区检测结果；其中文件社区模型是基于包含单个文件的文件集合，采用最近邻算法得到的；基于熵权法将单文件检测结果和文件社区检测结果进行融合计算，得出具有潜在威胁文件检测结果。本发明实施例通过从数据角度对内部威胁进行维度检测，能够更全面和更精确的识别受威胁文件，相比传统的检测方法，覆盖率更高，识别结果有更高的鲁棒性。

公开(公告)号：CN113721837A

公开(公告)日：2021-11-30

申请号：CN202110795753.6

申请日：2021-07-14

Applicant: 中国科学院信息工程研究所

Inventor： 毛锐 ,  王妍 ,  张琪 ,  王晓宇

IPC: G06F3/06

Abstract: 本发明提供一种基于BIOS的存储介质信息消除方法和装置，方法包括获取待消除存储介质的起始地址；自起始地址起，以消除信息对每一地址进行写覆盖，直至写覆盖的应用地址不存在。本发明通过在基本输入输出系统BIOS中集成信息消除模块，能够在系统启动前通过固化在BIOS内的信息消除模块消除存储介质信息，省去了现有技术中，外接消除设备的步骤，能够对包括操作系统本身在内的全盘信息进行删除。

公开(公告)号：CN110674498A

公开(公告)日：2020-01-10

申请号：CN201910770785.3

申请日：2019-08-20

Applicant: 中国科学院信息工程研究所

Inventor： 李梅梅 ,  刘美辰 ,  吕彬 ,  张琪 ,  刘鹏程 ,  王云涛

IPC: G06F21/56 ,  G06K9/62

Abstract: 本发明实施例提供一种基于多维度文件活动的内部威胁检测方法及系统。该方法包括：获取待检测的单个文件，基于单个文件的历史活动规律检测单个文件，得到单文件检测结果；获取文件社区模型，基于文件社区模型检测单个文件，得到文件社区检测结果；其中文件社区模型是基于包含单个文件的文件集合，采用最近邻算法得到的；基于熵权法将单文件检测结果和文件社区检测结果进行融合计算，得出具有潜在威胁文件检测结果。本发明实施例通过从数据角度对内部威胁进行维度检测，能够更全面和更精确的识别受威胁文件，相比传统的检测方法，覆盖率更高，识别结果有更高的鲁棒性。

公开(公告)号：CN114866297B

公开(公告)日：2023-11-24

申请号：CN202210420670.3

申请日：2022-04-20

Applicant: 中国科学院信息工程研究所

Inventor： 王妍 ,  吕遒健 ,  王蕾祺 ,  管昊 ,  张琪 ,  宗扬扬

IPC: H04L9/40 ,  G06F18/214 ,  G06F18/2415

Abstract: 本发明提供一种网络数据检测方法、装置、电子设备及存储介质，所述方法包括：获取待检测网络数据；基于威胁检测模型，对待检测网络数据进行检测，获取检测结果，检测结果用于表征待检测网络数据对应的网络行为对网络系统的威胁情况；威胁检测模型是基于目标数据样本集训练获取的，目标数据样本集是基于注意力机制对网络系统的历史网络数据进行过采样获取的，目标数据样本集中正样本的数量与负样本的数量相等。本发明实施例通过注意力机制对历史网络数据进行过采样，可以减少过采样过程中的冗余数据并避免数据丢失，进而基于目标数据样本集可以训练获取威胁检测模型，可以提高威胁检测模型在真实网络环境中检测效率和识别能力。

公开(公告)号：CN113721837B

公开(公告)日：2024-06-11

申请号：CN202110795753.6

申请日：2021-07-14

Applicant: 中国科学院信息工程研究所

Inventor： 毛锐 ,  王妍 ,  张琪 ,  王晓宇

IPC: G06F3/06

Abstract: 本发明提供一种基于BIOS的存储介质信息消除方法和装置，方法包括获取待消除存储介质的起始地址；自起始地址起，以消除信息对每一地址进行写覆盖，直至写覆盖的应用地址不存在。本发明通过在基本输入输出系统BIOS中集成信息消除模块，能够在系统启动前通过固化在BIOS内的信息消除模块消除存储介质信息，省去了现有技术中，外接消除设备的步骤，能够对包括操作系统本身在内的全盘信息进行删除。

公开(公告)号：CN114866297A

公开(公告)日：2022-08-05

申请号：CN202210420670.3

申请日：2022-04-20

Applicant: 中国科学院信息工程研究所

Inventor： 王妍 ,  吕遒健 ,  王蕾祺 ,  管昊 ,  张琪 ,  宗扬扬

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明提供一种网络数据检测方法、装置、电子设备及存储介质，所述方法包括：获取待检测网络数据；基于威胁检测模型，对待检测网络数据进行检测，获取检测结果，检测结果用于表征待检测网络数据对应的网络行为对网络系统的威胁情况；威胁检测模型是基于目标数据样本集训练获取的，目标数据样本集是基于注意力机制对网络系统的历史网络数据进行过采样获取的，目标数据样本集中正样本的数量与负样本的数量相等。本发明实施例通过注意力机制对历史网络数据进行过采样，可以减少过采样过程中的冗余数据并避免数据丢失，进而基于目标数据样本集可以训练获取威胁检测模型，可以提高威胁检测模型在真实网络环境中检测效率和识别能力。

公开(公告)号：CN113722774A

公开(公告)日：2021-11-30

申请号：CN202110796923.2

申请日：2021-07-14

Applicant: 中国科学院信息工程研究所

Inventor： 毛锐 ,  王妍 ,  张琪 ,  王晓宇

IPC: G06F21/80 ,  G06F21/62 ,  G06F21/60

Abstract: 本发明提供一种基于授权及鉴权的信息消除方法、系统、设备及存储介质，基于授权及鉴权的信息消除方法，包括：对用户进行授权身份验证，并将验证通过的授权用户选择的待消除计算机存储介质信息，导出为加密文件；基于基本输入输出系统识别加密文件，并根据加密文件对待消除计算机存储介质信息进行消除。本发明通过对用户进行授权身份认证以及对导出的信息进行加密，以避免信息被恶意删除、意外删除或漏删的情形，提高了整个消息消除过程中的安全性，减少了增加额外设备的成本；此外，根据导出的信息对待消除信息进行消除，以实现对整个磁盘数据信息彻底完整地消除。