公开(公告)号：CN118051912A

公开(公告)日：2024-05-17

申请号：CN202410131090.1

申请日：2024-01-30

Applicant: 中国科学院信息工程研究所 ,  中国人民解放军61932部队

Inventor： 耿丽萍 ,  王妍 ,  张永继 ,  李策 ,  乔可春 ,  吕遒健 ,  武正中 ,  徐国坤 ,  管昊

IPC: G06F21/56 ,  G06F18/213 ,  G06F18/25 ,  G06F18/241 ,  G06N3/042 ,  G06N3/0499 ,  G06N3/08

Abstract: 本发明提供一种基于API特征和图学习的恶意软件检测方法和设备，其中方法包括：获取执行待测软件获得的API调用序列对应的API函数特征向量；构建API调用图；基于图学习模型的图同构网络层，对API调用图中目标节点的邻域进行特征融合，确定目标节点的第一向量及其投影分数，更新API调用图；基于注意力层对更新后的API调用图中节点之间的连接关系进行分析，确定目标节点的第二向量；由多层感知机，预测待测软件是否为恶意软件以及恶意软件类型。本发明充分挖掘和利用了API调用序列中API函数的函数名和参数所表征的特征信息，结合API函数之间的相关性，进一步提高对恶意软件检测的准确度，且该检测方法的稳定性更高。

公开(公告)号：CN114866297B

公开(公告)日：2023-11-24

申请号：CN202210420670.3

申请日：2022-04-20

Applicant: 中国科学院信息工程研究所

Inventor： 王妍 ,  吕遒健 ,  王蕾祺 ,  管昊 ,  张琪 ,  宗扬扬

IPC: H04L9/40 ,  G06F18/214 ,  G06F18/2415

Abstract: 本发明提供一种网络数据检测方法、装置、电子设备及存储介质，所述方法包括：获取待检测网络数据；基于威胁检测模型，对待检测网络数据进行检测，获取检测结果，检测结果用于表征待检测网络数据对应的网络行为对网络系统的威胁情况；威胁检测模型是基于目标数据样本集训练获取的，目标数据样本集是基于注意力机制对网络系统的历史网络数据进行过采样获取的，目标数据样本集中正样本的数量与负样本的数量相等。本发明实施例通过注意力机制对历史网络数据进行过采样，可以减少过采样过程中的冗余数据并避免数据丢失，进而基于目标数据样本集可以训练获取威胁检测模型，可以提高威胁检测模型在真实网络环境中检测效率和识别能力。

公开(公告)号：CN110570199A

公开(公告)日：2019-12-13

申请号：CN201910670687.2

申请日：2019-07-24

Applicant: 中国科学院信息工程研究所

Inventor： 王妍 ,  田雨 ,  李宁 ,  吕遒健 ,  李梅梅

IPC: G06Q20/40 ,  G06F21/31 ,  G06F17/27

Abstract: 本发明实施例提供一种基于用户输入行为的用户身份检测方法及系统，包括：获取用户的输入行为数据,从输入行为数据中获取用户的击键时间戳信息和用户击键键值信息；将用户击键时间戳信息输入到预设的击键时间识别模型中,获取用户击键时间戳信息对应的击键时间识别结果；将用户击键键值信息结合用户对应的个人词库,计算获得用户击键键值信息的异常评分；根据击键时间识别结果和异常评分对用户的身份进行识别，获取用户身份识别结果。本发明提供的方法，采用用户输入行为数据中的击键时间戳信息和用户击键的键值信息，综合判别用户的异常行为，对用户身份进行综合评估判定，更全面、精确地识别非法使用人员，具有更高的鲁棒性。

公开(公告)号：CN108616545A

公开(公告)日：2018-10-02

申请号：CN201810668279.9

申请日：2018-06-26

Applicant: 中国科学院信息工程研究所

Inventor： 王妍 ,  吕遒健 ,  王丹 ,  吴峥嵘 ,  吕彬 ,  李宁

IPC: H04L29/06

Abstract: 本发明提供一种网络内部威胁的检测方法、系统及电子设备，所述方法包括：基于用户行为数据的不同特征，分别根据多域行为驱动和时间行为驱动，进行所述用户行为数据的多维度检测；利用熵权法，将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合，确定网络内部威胁。本发明能够有效提高运算过程的普适性，并有效降低运算的时间复杂度和空间复杂度，从而降低成本开销。

公开(公告)号：CN112884204A

公开(公告)日：2021-06-01

申请号：CN202110090683.4

申请日：2021-01-22

Applicant: 中国科学院信息工程研究所

Inventor： 吕遒健 ,  胡波 ,  吴峥嵘 ,  田雨 ,  王妍 ,  王蕾祺

IPC: G06Q10/04 ,  G06Q10/06 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  H04L29/06

Abstract: 本发明实施例提供一种网络安全风险事件预测方法及装置，通过孪生神经网络分类模型，得到待预测网络数据的风险事件类别，可以很好地解决当网络数据样本量过少，或者网络数据样本分布不平衡时，对网络安全风险事件预测的准确度不高的问题。针对实际应用场景中的带标记信息较少，或者网络数据样本分布不平衡问题，以最简单的手段减少了网络数据样本分布不平衡程度，对于小数据集而言，它更是极大的增加了样本数量，为后续能使用拟合能力更强的深度学习算法进行风险预测提供了可能。在网络数据样本量充足且网络数据样本分布平衡时，本发明实施例中的孪生神经网络分类模型可以达到最好的性能，具有最佳的AUC，GM和F1性能。

公开(公告)号：CN115757676A

公开(公告)日：2023-03-07

申请号：CN202211262289.5

申请日：2022-10-14

Applicant: 中国科学院信息工程研究所

Inventor： 胡波 ,  龙红平 ,  王妍 ,  马超 ,  吕遒健

IPC: G06F16/31 ,  G06F16/33 ,  G06F16/9538 ,  G06F21/60

Abstract: 本发明提供一种模糊可搜索加密方法、装置及电子设备，该方法包括：私有云服务器接收数据使用者发送的索引密钥和包括检索关键词的查询请求；根据检索关键词构建检索模糊词集并根据索引密钥计算得到对应的陷门集；向公有云服务器发送包括陷门集的搜索请求；接收公有云服务器返回的多个检索文档标识及其对应的排序分数；多个检索文档标识由公有云服务器根据私有云服务器构建并上传的基于布隆过滤器分组的搜索树检索陷门集并匹配获得，排序分数由公有云服务器根据私有云服务器发送的加密相关度分数和加密查询值计算得到；根据排序分数对多个检索文档标识排序形成搜索结果返回给数据使用者。从而使检索效率提高，搜索结果更加符合数据使用者的需求。

公开(公告)号：CN114866297A

公开(公告)日：2022-08-05

申请号：CN202210420670.3

申请日：2022-04-20

Applicant: 中国科学院信息工程研究所

Inventor： 王妍 ,  吕遒健 ,  王蕾祺 ,  管昊 ,  张琪 ,  宗扬扬

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明提供一种网络数据检测方法、装置、电子设备及存储介质，所述方法包括：获取待检测网络数据；基于威胁检测模型，对待检测网络数据进行检测，获取检测结果，检测结果用于表征待检测网络数据对应的网络行为对网络系统的威胁情况；威胁检测模型是基于目标数据样本集训练获取的，目标数据样本集是基于注意力机制对网络系统的历史网络数据进行过采样获取的，目标数据样本集中正样本的数量与负样本的数量相等。本发明实施例通过注意力机制对历史网络数据进行过采样，可以减少过采样过程中的冗余数据并避免数据丢失，进而基于目标数据样本集可以训练获取威胁检测模型，可以提高威胁检测模型在真实网络环境中检测效率和识别能力。

公开(公告)号：CN108616545B

公开(公告)日：2021-06-29

申请号：CN201810668279.9

申请日：2018-06-26

Applicant: 中国科学院信息工程研究所

Inventor： 王妍 ,  吕遒健 ,  王丹 ,  吴峥嵘 ,  吕彬 ,  李宁

IPC: H04L29/06

Abstract: 本发明提供一种网络内部威胁的检测方法、系统及电子设备，所述方法包括：基于用户行为数据的不同特征，分别根据多域行为驱动和时间行为驱动，进行所述用户行为数据的多维度检测；利用熵权法，将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合，确定网络内部威胁。本发明能够有效提高运算过程的普适性，并有效降低运算的时间复杂度和空间复杂度，从而降低成本开销。

公开(公告)号：CN118070279A

公开(公告)日：2024-05-24

申请号：CN202410132631.2

申请日：2024-01-30

Applicant: 中国科学院信息工程研究所 ,  中国人民解放军61932部队

Inventor： 马延鹏 ,  王妍 ,  穆源 ,  李策 ,  宋晓兵 ,  吕遒健 ,  程冉 ,  张琪 ,  魏兴源

IPC: G06F21/56 ,  G06F18/213 ,  G06F18/24 ,  G06N3/0442 ,  G06N3/048 ,  G06N3/08

Abstract: 本发明提供一种基于API序列内在特征的恶意软件检测方法和装置，其方法包括：获取执行待测软件获得的API调用序列；采用词嵌入，分别将API调用序列中用于完成同一软件行为的多个API函数通过大小适配的卷积块进行编码，得到第一特征矩阵；基于预设语义链组，提取API调用序列中各API函数对应的语义特征并进行卷积编码，得到第二特征矩阵；基于分析预测层，对目标特征矩阵进行API函数关联关系的分析，确定目标特征矩阵为恶意软件的概率。本发明通过对执行待测软件获取的API调度序列所体现的软件时序行为以及API序列的语义特征进行特征提取，并分析API调用序列中API函数之间的上下文关联性，从而提高预测结果准确度。

公开(公告)号：CN112884204B

公开(公告)日：2024-04-12

申请号：CN202110090683.4

申请日：2021-01-22

Applicant: 中国科学院信息工程研究所

Inventor： 吕遒健 ,  胡波 ,  吴峥嵘 ,  田雨 ,  王妍 ,  王蕾祺

IPC: H04L9/40 ,  G06F18/213 ,  G06F18/22 ,  G06F18/2431 ,  G06N3/045 ,  G06N3/08

Abstract: 本发明实施例提供一种网络安全风险事件预测方法及装置，通过孪生神经网络分类模型，得到待预测网络数据的风险事件类别，可以很好地解决当网络数据样本量过少，或者网络数据样本分布不平衡时，对网络安全风险事件预测的准确度不高的问题。针对实际应用场景中的带标记信息较少，或者网络数据样本分布不平衡问题，以最简单的手段减少了网络数据样本分布不平衡程度，对于小数据集而言，它更是极大的增加了样本数量，为后续能使用拟合能力更强的深度学习算法进行风险预测提供了可能。在网络数据样本量充足且网络数据样本分布平衡时，本发明实施例中的孪生神经网络分类模型可以达到最好的性能，具有最佳的AUC，GM和F1性能。