公开(公告)号：CN109800222B

公开(公告)日：2021-06-01

申请号：CN201811510560.6

申请日：2018-12-11

Applicant: 中国科学院信息工程研究所

Inventor： 刘松 ,  宋秉华 ,  杜翔宇 ,  卢志刚 ,  姜政伟 ,  刘宝旭

IPC: G06F16/22 ,  G06F16/23 ,  G06F8/658

Abstract: 本发明涉及一种HBase二级索引自适应优化方法和系统。该方法的步骤包括：1)将客户端对HBase的变更操作通过观察者协处理器组件同步映射到分布式搜索引擎ES的索引中，并由ES维护HBase中数据对应的倒排索引，作为HBase的二级索引；2)对所述二级索引进行增量更新，包括增量更新本地索引、增量更新全局索引、增量更新ES索引；3)将跨表、跨库更新HBase索引表和ES索引表的索引更新请求同步到所述二级索引；4)接收客户端发出的数据查询请求，通过本地索引、全局索引和ES索引获得查询结果，并返回给客户端。本发明支持单列索引、联合索引、全文索引等多种索引模式，能够极大地提高检索效率。

公开(公告)号：CN112688928A

公开(公告)日：2021-04-20

申请号：CN202011508537.0

申请日：2020-12-18

Applicant: 中国科学院信息工程研究所

Inventor： 姚叶鹏 ,  郝星然 ,  汪秋云 ,  贾梓健 ,  姜政伟 ,  刘宝旭

IPC: H04L29/06 ,  G06N20/00

Abstract: 本发明公开一种结合自编码器和WGAN的网络攻击流量数据增强方法及系统，涉及网络空间安全领域、通信网络异常流量检测和人工智能领域，针对网络攻击流量检测模型学习、训练、优化的需要，结合自编码器和生成式对抗网络构建改进的生成对抗网络，利用生成对抗网络学习数据分布的特点，生成数据分布、特征更符合真实流量特点的网络攻击流量数据来辅助网络攻击检测。

公开(公告)号：CN112149420A

公开(公告)日：2020-12-29

申请号：CN202010905315.6

申请日：2020-09-01

Applicant: 中国科学院信息工程研究所 ,  首都师范大学

Inventor： 江钧 ,  王旭仁 ,  姜政伟 ,  刘鑫培 ,  杨沛安 ,  刘宝旭

IPC: G06F40/295 ,  G06F40/117 ,  G06F40/169 ,  G06F40/205 ,  G06F40/284 ,  G06F16/35

Abstract: 本发明公开了一种实体识别模型训练方法、威胁情报实体提取方法及装置。本提取方法步骤包括：1)获取待识别文本数据，对所述待识别文本数据中的每一词汇生成一对应的词汇向量，根据所述待识别文本数据中词汇的字符得到对应词汇的字符向量；然后根据词汇的所述字符向量和所述词汇向量得到对应词汇的特征向量；2)将所述待识别文本数据中各词汇的特征向量输入到所述实体识别模型中，得到各词汇的识别结果；3)根据词汇的所述识别结果，判断对应词汇是否属于威胁情报实体。所述实体识别模型采用基于具有注意力机制的双向长短期记忆网络以及Focal Loss算法的网络结构。本发明对于威胁情报实体的识别更加准确。

公开(公告)号：CN111914254A

公开(公告)日：2020-11-10

申请号：CN202010595658.7

申请日：2020-06-24

Applicant: 中国科学院信息工程研究所

Inventor： 汪姝玮 ,  汪秋云 ,  姜政伟 ,  刘建

IPC: G06F21/56 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明提供了一种基于弱耦合SGAN的恶意软件家族分类器生成方法、装置及可读存储介质，用于适应具有部分无家族标签恶意软件的家族分类模型训练，最终确定待检测软件属于某一类恶意软件家族。该方法通过恶意软件的二进制文件，结合改进的恶意软件图像缩放算法实现对恶意软件原始图形特征提取功能，利用VGG模型的1D-CNN和有家族标签的恶意软件训练原始的恶意软件家族分类器，然后采用弱耦合的半监督生成对抗网络模型，利用无标签的恶意软件对恶意软件家族分类器、半监督生成对抗网络中的研判器和生成器进行训练，最终得到适用范围更广的恶意软件家族分类器。本发明在未知家族标签或家族标签不准确的恶意软件的分类上具有良好的效果。

公开(公告)号：CN111614543A

公开(公告)日：2020-09-01

申请号：CN202010279729.2

申请日：2020-04-10

Applicant: 中国科学院信息工程研究所

Inventor： 汪秋云 ,  姜政伟 ,  汪姝玮 ,  辛丽玲 ,  丁雄 ,  刘宝旭

IPC: H04L12/58 ,  G06K9/62 ,  G06N3/00

Abstract: 本发明公开一种基于URL的鱼叉式钓鱼邮件检测方法及系统，涉及信息安全检测领域和网络空间安全领域，通过检测邮件正文中是否含有URL链接，选出含有URL链接的邮件；对含有URL链接的邮件，基于邮件历史记录提取URL链接的特征向量；利用已训练好的链接分类器对URL链接的特征向量进行分类，选出带有恶意链接的邮件；提取出带有恶意链接邮件的元数据，利用邮件历史记录从元数据中提取邮件特征向量；利用已训练好的鱼叉式分类器对邮件特征向量进行分类，检测出基于URL的鱼叉式钓鱼邮件。本发明只需要历史邮件的支持，就能够达到较低的误报率和较高的检测率。

公开(公告)号：CN110474872A

公开(公告)日：2019-11-19

申请号：CN201910604237.3

申请日：2019-07-05

Applicant: 中国科学院信息工程研究所

Inventor： 罗蒙 ,  姜政伟 ,  汪秋云 ,  任房利 ,  汪姝玮 ,  辛丽玲

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开一种基于DNS解析依赖的域名服务风险评估方法与系统，用于确定给定域名的解析过程中所依赖的区域、域名以及服务器，并且在已知相关服务器风险的情况下，能够计算给定域名成功解析的风险。所述方法包括：从被动采集的DNS数据中抽取A、AAAA、CNAME、NS四种类型的资源记录；利用域名解析过程中的父区域依赖、名字服务器依赖、别名依赖、服务器依赖构建给定域名解析的资源记录依赖图；利用前述四种依赖之间的关系将域名解析资源记录依赖图转化成逻辑关系树；利用逻辑关系树中服务器的风险评估值自下向上计算给定域名正常解析的风险值。

公开(公告)号：CN109857917A

公开(公告)日：2019-06-07

申请号：CN201811569400.9

申请日：2018-12-21

Applicant: 中国科学院信息工程研究所

Inventor： 王天 ,  姜波 ,  江钧 ,  杜翔宇 ,  卢志刚 ,  姜政伟

IPC: G06F16/9038 ,  G06F16/904 ,  G06F16/953 ,  G06F9/54

Abstract: 本发明涉及一种面向威胁情报的安全知识图谱构建方法及系统。该方法的步骤包括：1)采集威胁情报的结构化数据和非结构化数据；2)对采集的结构化数据和非结构化数据进行知识抽取，得到威胁情报实体及实体间关系；3)构建基于图的本体模式，其中的节点表示威胁情报实体，边表示威胁情报实体间关系；4)根据步骤3)构建的基于图的本体模式，将步骤2)抽取的威胁情报实体及实体间关系存储到图数据库中，形成威胁情报的知识图谱。进一步利用所述图数据库提供查询服务和可视化展示功能。本发明将知识图谱技术应用到威胁情报领域，构建面向威胁情报的安全知识图谱，将分散的情报融合，同时提高了威胁信息的分析能力。

公开(公告)号：CN109800222A

公开(公告)日：2019-05-24

申请号：CN201811510560.6

申请日：2018-12-11

Applicant: 中国科学院信息工程研究所

Inventor： 刘松 ,  宋秉华 ,  杜翔宇 ,  卢志刚 ,  姜政伟 ,  刘宝旭

IPC: G06F16/22 ,  G06F16/23 ,  G06F8/658

Abstract: 本发明涉及一种HBase二级索引自适应优化方法和系统。该方法的步骤包括：1)将客户端对HBase的变更操作通过观察者协处理器组件同步映射到分布式搜索引擎ES的索引中，并由ES维护HBase中数据对应的倒排索引，作为HBase的二级索引；2)对所述二级索引进行增量更新，包括增量更新本地索引、增量更新全局索引、增量更新ES索引；3)将跨表、跨库更新HBase索引表和ES索引表的索引更新请求同步到所述二级索引；4)接收客户端发出的数据查询请求，通过本地索引、全局索引和ES索引获得查询结果，并返回给客户端。本发明支持单列索引、联合索引、全文索引等多种索引模式，能够极大地提高检索效率。

公开(公告)号：CN112905301B

公开(公告)日：2025-02-11

申请号：CN202110240825.0

申请日：2021-03-04

Applicant: 中国科学院信息工程研究所

Inventor： 汪秋云 ,  赵瑞哲 ,  姜政伟 ,  汪姝玮 ,  凌辰 ,  辛丽玲

IPC: G06F9/455 ,  G06F21/57 ,  G06N20/00

Abstract: 本发明公开了一种Android模拟器的检测方法及装置，首先依据当前设备的设备信息是否包含模拟值或是否存在值被修改，判断当前设备是否为Android模拟器；然后依据当前设备的硬件信息是否包含模拟值或是否具备正常功能，判断当前设备是否为Android模拟器；最后综合当前设备的设备信息、硬件信息、特殊文件信息和用户痕迹信息，将生成特征向量输入检测模型，判断当前设备是否为Android模拟器。本发明先采用轻便快捷的判断方法，保证对普通模拟器检测的效率，再结合难以模拟的特殊文件信息和用户痕迹信息构建特征向量，并使用机器学习方法，从而提高了检测准确率。

公开(公告)号：CN111914254B

公开(公告)日：2024-05-28

申请号：CN202010595658.7

申请日：2020-06-24

Applicant: 中国科学院信息工程研究所

Inventor： 汪姝玮 ,  汪秋云 ,  姜政伟 ,  刘建

IPC: G06F18/241 ,  G06F18/213 ,  G06N3/045 ,  G06N3/0475 ,  G06N3/0464 ,  G06N3/094 ,  G06N3/0895 ,  G06F21/56

Abstract: 本发明提供了一种基于弱耦合SGAN的恶意软件家族分类器生成方法、装置及可读存储介质，用于适应具有部分无家族标签恶意软件的家族分类模型训练，最终确定待检测软件属于某一类恶意软件家族。该方法通过恶意软件的二进制文件，结合改进的恶意软件图像缩放算法实现对恶意软件原始图形特征提取功能，利用VGG模型的1D‑CNN和有家族标签的恶意软件训练原始的恶意软件家族分类器，然后采用弱耦合的半监督生成对抗网络模型，利用无标签的恶意软件对恶意软件家族分类器、半监督生成对抗网络中的研判器和生成器进行训练，最终得到适用范围更广的恶意软件家族分类器。本发明在未知家族标签或家族标签不准确的恶意软件的分类上具有良好的效果。