-
公开(公告)号:CN116611059A
公开(公告)日:2023-08-18
申请号:CN202310089403.7
申请日:2023-02-09
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56
Abstract: 本发明提出一种基于动态分析技术的恶意PowerShell检测方法及系统。该方法包括以下步骤:在PowerShell配置文件以及CLR中设置监控点,运行PowerShell代码,捕获PowerShell的运行时信息;以进程为单位将单个进程捕获到的所有PowerShell代码运行时信息转换为按照调用先后顺序的形式进行存储,形成行为序列数据集;综合SHAP、Permutation以及Boruta算法发掘行为序列数据集中潜在的恶意行为序列,汇总生成恶意行为特征库;将捕获的待检测PowerShell代码的运行时信息与恶意行为特征库进行对比,从而检测PowerShell的恶意性,如果匹配成功则阻断恶意PowerShell进程的执行。本发明设置的监控点位于PowerShell命令以及CLR中,监控粒度更详细,语义信息更加丰富,便于提取恶意序列实施监控,在PowerShell运行时检测PowerShell的恶意性,能够及时阻断恶意PowerShell的执行。
-
公开(公告)号:CN118427816A
公开(公告)日:2024-08-02
申请号:CN202310051900.8
申请日:2023-02-02
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种基于沙箱分析的恶意软件检测IOC指示器生成方法及装置,所述方法包括:构建类型‑行为数据库和家族‑行为数据库;获取目标软件和目标软件类型;将目标软件放入沙箱中进行分析,获得分析结果,将分析结果模糊化处理,得到模糊化后的动态行为;基于所述类型‑行为数据库,获取所述目标软件类型的模糊化后的恶意行为,并对模糊化后的动态行为和模糊化后的恶意行为交集,得到恶意行为集合;基于所述家族‑行为数据库,对所述恶意行为集合中的每一恶意行为进行评分,以得到IOC指示器生成结果。本发明在使用过程中无需重复训练模型,并且生成的IOC具有可解释性。
-
公开(公告)号:CN112187716B
公开(公告)日:2021-07-20
申请号:CN202010870776.4
申请日:2020-08-26
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明公开了一种网络攻击中恶意代码的知识图谱展示方法,其步骤包括:1)基于OWL本体语言对目标恶意代码图谱进行建模,得到OWL本体库;然后结合OWL规则库对该OWL本体库进行OWL推理,得到新内容并确定该新内容的分类、属性和实例信息;2)根据得到的分类、属性和实例计算目标恶意代码图谱的通用度量,并根据度量结果计算各节点的重要性对目标恶意代码图谱过滤;然后对目标恶意代码图谱进行不同实体间的关联分析,计算关联度;并计算恶意代码间的相似度;3)对目标恶意代码图谱中的恶意代码进行家族分类,然后在分类信息更新后的目标恶意代码图谱上进行恶意代码评估值计算;然后对目标恶意代码图谱进行分层的布局和渲染展示。
-
公开(公告)号:CN111914254A
公开(公告)日:2020-11-10
申请号:CN202010595658.7
申请日:2020-06-24
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供了一种基于弱耦合SGAN的恶意软件家族分类器生成方法、装置及可读存储介质,用于适应具有部分无家族标签恶意软件的家族分类模型训练,最终确定待检测软件属于某一类恶意软件家族。该方法通过恶意软件的二进制文件,结合改进的恶意软件图像缩放算法实现对恶意软件原始图形特征提取功能,利用VGG模型的1D-CNN和有家族标签的恶意软件训练原始的恶意软件家族分类器,然后采用弱耦合的半监督生成对抗网络模型,利用无标签的恶意软件对恶意软件家族分类器、半监督生成对抗网络中的研判器和生成器进行训练,最终得到适用范围更广的恶意软件家族分类器。本发明在未知家族标签或家族标签不准确的恶意软件的分类上具有良好的效果。
-
公开(公告)号:CN111614543A
公开(公告)日:2020-09-01
申请号:CN202010279729.2
申请日:2020-04-10
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于URL的鱼叉式钓鱼邮件检测方法及系统,涉及信息安全检测领域和网络空间安全领域,通过检测邮件正文中是否含有URL链接,选出含有URL链接的邮件;对含有URL链接的邮件,基于邮件历史记录提取URL链接的特征向量;利用已训练好的链接分类器对URL链接的特征向量进行分类,选出带有恶意链接的邮件;提取出带有恶意链接邮件的元数据,利用邮件历史记录从元数据中提取邮件特征向量;利用已训练好的鱼叉式分类器对邮件特征向量进行分类,检测出基于URL的鱼叉式钓鱼邮件。本发明只需要历史邮件的支持,就能够达到较低的误报率和较高的检测率。
-
Patent Agency Ranking
公开(公告)号:CN110474872A
公开(公告)日:2019-11-19
申请号:CN201910604237.3
申请日:2019-07-05
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于DNS解析依赖的域名服务风险评估方法与系统,用于确定给定域名的解析过程中所依赖的区域、域名以及服务器,并且在已知相关服务器风险的情况下,能够计算给定域名成功解析的风险。所述方法包括:从被动采集的DNS数据中抽取A、AAAA、CNAME、NS四种类型的资源记录;利用域名解析过程中的父区域依赖、名字服务器依赖、别名依赖、服务器依赖构建给定域名解析的资源记录依赖图;利用前述四种依赖之间的关系将域名解析资源记录依赖图转化成逻辑关系树;利用逻辑关系树中服务器的风险评估值自下向上计算给定域名正常解析的风险值。
-
公开(公告)号:CN112905301B
公开(公告)日:2025-02-11
申请号:CN202110240825.0
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种Android模拟器的检测方法及装置,首先依据当前设备的设备信息是否包含模拟值或是否存在值被修改,判断当前设备是否为Android模拟器;然后依据当前设备的硬件信息是否包含模拟值或是否具备正常功能,判断当前设备是否为Android模拟器;最后综合当前设备的设备信息、硬件信息、特殊文件信息和用户痕迹信息,将生成特征向量输入检测模型,判断当前设备是否为Android模拟器。本发明先采用轻便快捷的判断方法,保证对普通模拟器检测的效率,再结合难以模拟的特殊文件信息和用户痕迹信息构建特征向量,并使用机器学习方法,从而提高了检测准确率。
-
公开(公告)号:CN111914254B
公开(公告)日:2024-05-28
申请号:CN202010595658.7
申请日:2020-06-24
Applicant: 中国科学院信息工程研究所
IPC: G06F18/241 , G06F18/213 , G06N3/045 , G06N3/0475 , G06N3/0464 , G06N3/094 , G06N3/0895 , G06F21/56
Abstract: 本发明提供了一种基于弱耦合SGAN的恶意软件家族分类器生成方法、装置及可读存储介质,用于适应具有部分无家族标签恶意软件的家族分类模型训练,最终确定待检测软件属于某一类恶意软件家族。该方法通过恶意软件的二进制文件,结合改进的恶意软件图像缩放算法实现对恶意软件原始图形特征提取功能,利用VGG模型的1D‑CNN和有家族标签的恶意软件训练原始的恶意软件家族分类器,然后采用弱耦合的半监督生成对抗网络模型,利用无标签的恶意软件对恶意软件家族分类器、半监督生成对抗网络中的研判器和生成器进行训练,最终得到适用范围更广的恶意软件家族分类器。本发明在未知家族标签或家族标签不准确的恶意软件的分类上具有良好的效果。
-
公开(公告)号:CN111614543B
公开(公告)日:2021-09-14
申请号:CN202010279729.2
申请日:2020-04-10
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于URL的鱼叉式钓鱼邮件检测方法及系统,涉及信息安全检测领域和网络空间安全领域,通过检测邮件正文中是否含有URL链接,选出含有URL链接的邮件;对含有URL链接的邮件,基于邮件历史记录提取URL链接的特征向量;利用已训练好的链接分类器对URL链接的特征向量进行分类,选出带有恶意链接的邮件;提取出带有恶意链接邮件的元数据,利用邮件历史记录从元数据中提取邮件特征向量;利用已训练好的鱼叉式分类器对邮件特征向量进行分类,检测出基于URL的鱼叉式钓鱼邮件。本发明只需要历史邮件的支持,就能够达到较低的误报率和较高的检测率。
-
公开(公告)号:CN112905301A
公开(公告)日:2021-06-04
申请号:CN202110240825.0
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种Android模拟器的检测方法及装置,首先依据当前设备的设备信息是否包含模拟值或是否存在值被修改,判断当前设备是否为Android模拟器;然后依据当前设备的硬件信息是否包含模拟值或是否具备正常功能,判断当前设备是否为Android模拟器;最后综合当前设备的设备信息、硬件信息、特殊文件信息和用户痕迹信息,将生成特征向量输入检测模型,判断当前设备是否为Android模拟器。本发明先采用轻便快捷的判断方法,保证对普通模拟器检测的效率,再结合难以模拟的特殊文件信息和用户痕迹信息构建特征向量,并使用机器学习方法,从而提高了检测准确率。
-
-
-
-
-
-
-
-
-
Search Results
12
records
(took 0.042 seconds)
