-
公开(公告)号:CN113761912A
公开(公告)日:2021-12-07
申请号:CN202110909793.9
申请日:2021-08-09
Applicant: 国家计算机网络与信息安全管理中心 , 中国科学院信息工程研究所
IPC: G06F40/289 , G06F40/216 , G06K9/62 , G06N3/04 , G06N3/08
Abstract: 本发明公开了一种对恶意软件归属攻击组织的可解释判定方法及装置,本发明通过提取恶意软件的代码特征和字符串特征来对恶意软件的攻击组织归属进行分析,由于这两种特征综合了恶意软件的静态特征和动态特征,所以本发明的特征更加全面,使用自然语言处理的技术将特征向量化,同时本发明使用模型解释技术将分类器的结果进行解释,使得分类结果更加有说服力,从而有效解决现有技术中不能全面地对恶意软件的攻击组织归属进行分析的问题。
-
公开(公告)号:CN113761912B
公开(公告)日:2024-04-16
申请号:CN202110909793.9
申请日:2021-08-09
Applicant: 国家计算机网络与信息安全管理中心 , 中国科学院信息工程研究所
IPC: G06F40/289 , G06F40/216 , G06F18/214 , G06F18/2431 , G06N3/0464 , G06N3/09
Abstract: 本发明公开了一种对恶意软件归属攻击组织的可解释判定方法及装置,本发明通过提取恶意软件的代码特征和字符串特征来对恶意软件的攻击组织归属进行分析,由于这两种特征综合了恶意软件的静态特征和动态特征,所以本发明的特征更加全面,使用自然语言处理的技术将特征向量化,同时本发明使用模型解释技术将分类器的结果进行解释,使得分类结果更加有说服力,从而有效解决现有技术中不能全面地对恶意软件的攻击组织归属进行分析的问题。
-
公开(公告)号:CN111832019B
公开(公告)日:2024-02-23
申请号:CN202010524261.9
申请日:2020-06-10
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明涉及一种基于生成对抗网络的恶意代码检测方法,包括:采集恶意代码样本集和良性样本集;提取恶意代码样本集和良性样本集中每一样本的静态特征和动态特征;将每一样本的静态特征和动态特征进行组合,得到每一样本组合特征;将所有样本组合特征输入预先设置的生成器G中,生成对抗样本集;将对抗样本集输入预先设置的判别器D中,判别每个对抗样本是否为恶意代码,并标记是否为恶意代码的标签,再将附带标签的对抗样本集反馈到生成器G中,持续优化所述生成器G;将附带标签的对抗样本集作为训练集进行训练,得到恶意代码分类模型;基于恶意代码分类模型检测待测样本是否为恶意代码。本发明提高了恶意代码检测的准确度和效
-
公开(公告)号:CN111797392B
公开(公告)日:2023-08-08
申请号:CN201910284057.1
申请日:2019-04-09
Applicant: 国家计算机网络与信息安全管理中心
IPC: G06F21/56
Abstract: 本发明实施例公开了一种控制衍生文件无限分析的方法、装置及存储介质,涉及恶意代码分析技术领域,能够通过限制衍生文件的层级进而限制衍生文件的产生和分析,节省系统资源。所述方法包括:获取投入的待分析文件,并添加衍生层级数;若待分析文件产生衍生文件,则在父文件的衍生层级数基础上加1作为该衍生文件的衍生层级数;判断待分析文件的衍生层级数是否大于分析鉴定器的设定阈值,若是则阻止待分析文件进入分析鉴定器。
-
公开(公告)号:CN115659331A
公开(公告)日:2023-01-31
申请号:CN202211184596.6
申请日:2022-09-27
Applicant: 国家计算机网络与信息安全管理中心
IPC: G06F21/56 , G06F18/23 , G06F18/213 , G06F18/24
Abstract: 本发明公开了基于时间序列的恶意软件归属攻击组织的判定方法。其主要步骤为:1)恶意软件的函数信息提取,提取恶意软件的函数信息;2)恶意软件的函数筛选,去除库函数和去除不包含API调用的函数;3)恶意软件的路径生成,恶意软件的路径生成依据API调用和中介中心性;4)恶意软件的特征向量化,特征使用ACFG特征对基本块进行向量化;5)恶意软件的关键路径片段生成,使用时间序列算法从路径中提取关键路径片段;6)恶意软件归属攻击组织,使用分类器进行恶意软件归属攻击组织的判定。本发明对恶意软件进行攻击组织归属准确率高。
-
Patent Agency Ranking
公开(公告)号:CN111797392A
公开(公告)日:2020-10-20
申请号:CN201910284057.1
申请日:2019-04-09
Applicant: 国家计算机网络与信息安全管理中心
IPC: G06F21/56
Abstract: 本发明实施例公开了一种控制衍生文件无限分析的方法、装置及存储介质,涉及恶意代码分析技术领域,能够通过限制衍生文件的层级进而限制衍生文件的产生和分析,节省系统资源。所述方法包括:获取投入的待分析文件,并添加衍生层级数;若待分析文件产生衍生文件,则在父文件的衍生层级数基础上加1作为该衍生文件的衍生层级数;判断待分析文件的衍生层级数是否大于分析鉴定器的设定阈值,若是则阻止待分析文件进入分析鉴定器。
-
-
公开(公告)号:CN111832019A
公开(公告)日:2020-10-27
申请号:CN202010524261.9
申请日:2020-06-10
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明涉及一种基于生成对抗网络的恶意代码检测方法,包括:采集恶意代码样本集和良性样本集;提取恶意代码样本集和良性样本集中每一样本的静态特征和动态特征;将每一样本的静态特征和动态特征进行组合,得到每一样本组合特征;将所有样本组合特征输入预先设置的生成器G中,生成对抗样本集;将对抗样本集输入预先设置的判别器D中,判别每个对抗样本是否为恶意代码,并标记是否为恶意代码的标签,再将附带标签的对抗样本集反馈到生成器G中,持续优化所述生成器G;将附带标签的对抗样本集作为训练集进行训练,得到恶意代码分类模型;基于恶意代码分类模型检测待测样本是否为恶意代码。本发明提高了恶意代码检测的准确度和效率。
-
公开(公告)号:CN111726322A
公开(公告)日:2020-09-29
申请号:CN201910210483.0
申请日:2019-03-19
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明提出了一种文件篡改劫持的检测方法、装置及存储介质,包括:获取下载的源文件;查看文件属性信息,获取数字签名信息;所述数字签名信息包括:签名者信息及签名时间;查询下载源文件的网站的域名信息;获取网站域名的注册信息;所述获取网站域名的注册信息包括:域名所有人及域名注册商;判断数字签名信息与网站域名的注册信息是否同源;如果是,则下载的源文件未被篡改,否则判定下载的源文件被篡改或下载地址被劫持。通过识别下载文件与网站信息是否同源,来判定所下载文件是否被篡改或网站是否被劫持。解决了传统方法中,因网站被劫持,放合法签名文件,导致对于这类威胁无法检测的难题。
-
公开(公告)号:CN110222715A
公开(公告)日:2019-09-10
申请号:CN201910375363.6
申请日:2019-05-07
Applicant: 国家计算机网络与信息安全管理中心
Abstract: 本发明提供一种基于动态行为链和动态特征的样本同源分析方法,步骤如下:1:收集整理攻击样本;2:将训练样本集进行分类处理;3:将训练样本集投入沙箱运行;4:将样本进行排序整理,生成动态行为链;5:使用以训练数据集提取的行为链训练同源分析决策树模型;6:提取行为链和样本IOCs信息;7:测试数据集通过决策树模型判断所属APT组织,或所属恶意家族和类型;8:测试数据集通过知识库模糊匹配IOCs信息,得出同源信息;9:得出最终同源分析结论;本发明达到了从动态行为入手,对恶意样本进行基于动态行为链和动态特征的样本同源分析的效果,解决了传统同源分析手段导致的样本特征单一,人工分析效率低投入大等实际问题。
-
-
-
-
-
-
-
-
-
Search Results
20
records
(took 0.01 seconds)
