公开(公告)号：CN110020190B

公开(公告)日：2021-06-01

申请号：CN201810727300.8

申请日：2018-07-05

Applicant: 中国科学院信息工程研究所

Inventor： 柳厅文 ,  张盼盼 ,  亚静 ,  李全刚 ,  时金桥

IPC: G06F16/9535 ,  G06F40/30 ,  G06F40/284 ,  G06F40/289 ,  G06N3/04

Abstract: 本发明公开了一种基于多示例学习的可疑威胁指标验证方法及系统。本方法为：对各可疑威胁指标相关的情报信息文本内容进行处理，生成含有原语义信息的词序列；对于每一所述可疑威胁指标，选择该可疑威胁指标对应的多个处理后的词序列，应用多示例学习算法对选取的各所述可疑指标对应的词序列进行训练并生成一多示例学习验证模型；采用自然语言处理技术对待测可疑威胁指标的情报信息文本进行处理，生成该待测可以威胁指标对应的词序列；然后利用所述多示例学习验证模型对该待测可疑威胁指标对应的词序列进行预测验证，确定该待预测可疑威胁指标是否为恶意威胁指标。本发明可高效准确地完成对可疑威胁指标的验证。

公开(公告)号：CN107798080B

公开(公告)日：2020-05-22

申请号：CN201710952357.3

申请日：2017-10-13

Applicant: 中国科学院信息工程研究所

Inventor： 时金桥 ,  亚静 ,  柳厅文 ,  舒晓波 ,  张振宇 ,  张盼盼 ,  郭莉

IPC: G06F16/955

Abstract: 本发明提供一种面向钓鱼URL检测的相似样本集构造方法，其步骤包括：提取已知样本集中的若干钓鱼URL分割为单词序列；以单词序列为列，网络钓鱼URL为行构造URL单词矩阵；从URL单词矩阵中选取部分能覆盖前述若干钓鱼URL的单词作为特征词；以特征词为关键词搜索URL，并验证搜索到的URL是否正常，如是，则添加至训练样本集。构造与钓鱼URL强相似的正常URL，而不是从公开平台随机选取合法URL作为训练样本。不依赖于任何先验知识，可以得到与已知钓鱼URL相近的正常URL训练样本集。从而，解决背景技术中提到的机器学习或深度学习的训练样本两极分化十分严重的问题。

公开(公告)号：CN109194605A

公开(公告)日：2019-01-11

申请号：CN201810709596.0

申请日：2018-07-02

Applicant: 中国科学院信息工程研究所

Inventor： 亚静 ,  张盼盼 ,  柳厅文 ,  王玉斌 ,  李全刚 ,  王学宾 ,  时金桥

IPC: H04L29/06

Abstract: 本发明涉及一种基于开源信息的可疑威胁指标主动验证方法和系统。该方法包括以下步骤：1)设计特定查询语句，所述特定查询语句是可疑威胁指标与特定场景的组合；2)收集和爬取根据所述特定查询语句在互联网上检索得到的结果信息；3)将所述结果信息中的相关开源信息进行结构化处理，得到结构化数据；4)利用所述结构化数据，充分学习其中的隐藏特征，训练相应的分类模型；5)利用所述分类模型验证在特定场景下的可疑威胁指标的恶意性，从而识别网络威胁。该系统包括查询设计模块、信息采集模块、数据处理模块、模型训练模块、指标验证模块。本发明能够高效准确地完成对可疑威胁指标的验证，帮助人们识别高级威胁攻击，保证网络安全。

公开(公告)号：CN109101527A

公开(公告)日：2018-12-28

申请号：CN201810642159.1

申请日：2018-06-21

Applicant: 中国科学院信息工程研究所

Inventor： 亚静 ,  柳厅文 ,  李全刚 ,  张盼盼 ,  时金桥

IPC: G06F17/30 ,  G06N3/04 ,  H04L29/06

Abstract: 本发明公开了一种海量安全日志信息过滤方法及装置。本方法为：1)提取安全日志信息的特征序列；2)根据黑白名单对所述特征序列进行标注，利用标注好的特征序列训练向量表示模型；其中，将根据黑白名单无法标注的特征序列称为灰度数据；3)利用训练好的向量表示模型，对所述灰度数据进行向量表示，得到各所述灰度数据对应的向量；4)计算每一所述灰度数据i对应的向量与各标注为白名单的特征序列对应的向量之间的距离d；如果该距离d小于设定阈值，则过滤掉所述灰度数据i对应的安全日志。本发明能够在小规模黑白名单基础上实现大规模正常日志信息的过滤，提升了异常检测的效率。

公开(公告)号：CN108228710A

公开(公告)日：2018-06-29

申请号：CN201711237280.8

申请日：2017-11-30

Applicant: 中国科学院信息工程研究所

Inventor： 亚静 ,  柳厅文 ,  张盼盼 ,  李全刚 ,  时金桥 ,  郭莉

IPC: G06F17/30 ,  G06F17/27

Abstract: 本发明涉及一种针对URL的分词方法及装置。该方法包括：1)对URL地址按照其内在的层次结构进行分割，得到若干层次部分；2)对所述若干层次部分依次进行符号分割与正则表达式过滤；3)对步骤2)处理后得到字符串进行分割，得到URL分词序列。其中步骤1)将URL地址分割为五个层次部分：协议类型、自由域名、二级域名、顶级域名和路径；步骤3)利用双向最大匹配算法和概率模型对字符串进行分割。本发明充分利用了URL本身的层次结构，能够高效地对URL进行分割，并最大化地保留了URL地址中的有用信息，得到的URL分词序列可用于网页分类、钓鱼URL检测等任务中的特征分析，能够有效提高任务准确率。

公开(公告)号：CN108228710B

公开(公告)日：2021-09-28

申请号：CN201711237280.8

申请日：2017-11-30

Applicant: 中国科学院信息工程研究所

Inventor： 亚静 ,  柳厅文 ,  张盼盼 ,  李全刚 ,  时金桥 ,  郭莉

IPC: G06F16/955 ,  G06F40/284 ,  G06F40/289

Abstract: 本发明涉及一种针对URL的分词方法及装置。该方法包括：1)对URL地址按照其内在的层次结构进行分割，得到若干层次部分；2)对所述若干层次部分依次进行符号分割与正则表达式过滤；3)对步骤2)处理后得到字符串进行分割，得到URL分词序列。其中步骤1)将URL地址分割为五个层次部分：协议类型、自由域名、二级域名、顶级域名和路径；步骤3)利用双向最大匹配算法和概率模型对字符串进行分割。本发明充分利用了URL本身的层次结构，能够高效地对URL进行分割，并最大化地保留了URL地址中的有用信息，得到的URL分词序列可用于网页分类、钓鱼URL检测等任务中的特征分析，能够有效提高任务准确率。

公开(公告)号：CN115965795A

公开(公告)日：2023-04-14

申请号：CN202211626368.X

申请日：2022-12-16

Applicant: 中国科学院信息工程研究所

Inventor： 柳厅文 ,  张盼盼 ,  王学宾 ,  时金桥 ,  贾亚慧 ,  徐永秀

IPC: G06V10/44 ,  G06V10/762 ,  G06V10/82 ,  G06N3/08 ,  G06N3/0464

Abstract: 本发明公开了一种基于网络表示学习的深暗网群体发现方法，包括深暗网异质信息网络构建和基于自编码器的多视图深度嵌入式聚类；所述深暗网异质信息网络构建包含构建属性异质信息网络多种类型的节点和构建属性异质信息网络的多种类型的关系；所述基于自编码器的多视图深度嵌入式聚类，包含基于元路径的用户多视图构建、基于自编码器的用户嵌入表示学习和基于KL散度的自监督聚类；最终联合学习所述基于自编码器的用户嵌入表示学习和所述基于KL散度的自监督聚类，联合优化重建损失与聚类损失。对于一目标深暗网，利用优化后的编码器、基于KL散度的自监督聚类模块，得到目标深暗网每一用户的软标签分布。本发明可获得较好的群体发现结果。

公开(公告)号：CN109194605B

公开(公告)日：2020-08-25

申请号：CN201810709596.0

申请日：2018-07-02

Applicant: 中国科学院信息工程研究所

Inventor： 亚静 ,  张盼盼 ,  柳厅文 ,  王玉斌 ,  李全刚 ,  王学宾 ,  时金桥

IPC: H04L29/06

Abstract: 本发明涉及一种基于开源信息的可疑威胁指标主动验证方法和系统。该方法包括以下步骤：1)设计特定查询语句，所述特定查询语句是可疑威胁指标与特定场景的组合；2)收集和爬取根据所述特定查询语句在互联网上检索得到的结果信息；3)将所述结果信息中的相关开源信息进行结构化处理，得到结构化数据；4)利用所述结构化数据，充分学习其中的隐藏特征，训练相应的分类模型；5)利用所述分类模型验证在特定场景下的可疑威胁指标的恶意性，从而识别网络威胁。该系统包括查询设计模块、信息采集模块、数据处理模块、模型训练模块、指标验证模块。本发明能够高效准确地完成对可疑威胁指标的验证，帮助人们识别高级威胁攻击，保证网络安全。

公开(公告)号：CN106569997B

公开(公告)日：2019-12-10

申请号：CN201610912585.3

申请日：2016-10-19

Applicant: 中国科学院信息工程研究所

Inventor： 柳厅文 ,  闫旸 ,  赵佳鹏 ,  李柢颖 ,  张盼盼 ,  李全刚 ,  亚静 ,  时金桥 ,  郭莉

IPC: G06F17/27

Abstract: 本发明公开了一种基于隐式马尔科夫模型的科技类复合短语识别方法。本方法为：1)采用词性标注工具对输入语料进行词性标注和分词；2)采用隐式马尔科夫模型对步骤1)处理后的语料进行隐状态预测，输出一状态序列；然后对该状态序列进行切分，得到一复合短语集合；3)判断步骤2)得到的复合短语中是否包含特征词集合中的特征词，将含有设定特征词的复合短语作为识别的科技类复合短语结果。本发明缓解了角色标注的巨大人工成本代价。

公开(公告)号：CN110020190A

公开(公告)日：2019-07-16

申请号：CN201810727300.8

申请日：2018-07-05

Applicant: 中国科学院信息工程研究所

Inventor： 柳厅文 ,  张盼盼 ,  亚静 ,  李全刚 ,  时金桥

IPC: G06F16/9535 ,  G06F17/27 ,  G06N3/04

Abstract: 本发明公开了一种基于多示例学习的可疑威胁指标验证方法及系统。本方法为：对各可疑威胁指标相关的情报信息文本内容进行处理，生成含有原语义信息的词序列；对于每一所述可疑威胁指标，选择该可疑威胁指标对应的多个处理后的词序列，应用多示例学习算法对选取的各所述可疑指标对应的词序列进行训练并生成一多示例学习验证模型；采用自然语言处理技术对待测可疑威胁指标的情报信息文本进行处理，生成该待测可以威胁指标对应的词序列；然后利用所述多示例学习验证模型对该待测可疑威胁指标对应的词序列进行预测验证，确定该待预测可疑威胁指标是否为恶意威胁指标。本发明可高效准确地完成对可疑威胁指标的验证。