公开(公告)号：CN118349417A

公开(公告)日：2024-07-16

申请号：CN202410559007.0

申请日：2024-05-07

Applicant: 浙江大学 ,  支付宝(杭州)信息技术有限公司

Inventor： 王箭 ,  王嘉水 ,  刘龙 ,  于虎圣 ,  王凌志 ,  李响 ,  陈焰

IPC: G06F11/30 ,  G06F9/448

Abstract: 本说明书公开了一种日志的缩减方法、装置、存储介质及电子设备，在本说明书提供的日志的缩减方法中，获取历史进程的接口调用记录和历史进程的标注，根据接口调用记录历史进程的标注，确定与识别异常进程无关的无关函数和无关调用栈。根据接收到的日志缩减请求，确定需要进行日志缩减的目标进程，对该目标进程的日志中包含的无关函数和无关调用栈进行删除，得到该目标进程的缩减日志，该缩减日志用于发送至检测设备进行安全检测。通过历史进程确定无关函数与无关调用栈，在目标进程中，删除与识别异常进程无关的无关函数与无关调用栈，在保证识别异常进程的准确度的同时，减少了用于安全检测的日志的数据量，加快了日志的数据传输与分析进程。

公开(公告)号：CN117349803B

公开(公告)日：2024-03-19

申请号：CN202311663103.1

申请日：2023-12-06

Applicant: 浙江大学

Inventor： 李响 ,  于虎圣 ,  王箭 ,  陈焰

IPC: G06F21/14 ,  G06F8/41

Abstract: 本发明公开了一种代码解混淆检测方法、装置、电子设备及计算机可读存储介质，根据抽象语法树分析各个节点的混淆条件，然后针对不同的解混淆条件采用不同的解混淆策略进行解混淆。本发明的解混淆准确率高，采用的处理方式是语义上的等价替换，解混淆的结果并不会引入任何原本不存在的恶意特征，且基于本发明的混淆方法的进行解混淆的代码进行webshell检测时，大幅提升了webshell检出率。

公开(公告)号：CN117648687A

公开(公告)日：2024-03-05

申请号：CN202311570448.2

申请日：2023-11-22

Applicant: 浙江大学

Inventor： 李响 ,  于虎圣 ,  王箭 ,  陈焰

IPC: G06F21/55

Abstract: 本发明公开了一种APT检测方法、装置、电子设备及存储介质，在检测时，首先，获取待检测设备的每一个进程和其第一关联进程的行为所对应的ATT&CK战术阶段和发生时间，所述第一关联进程包括该进程向下1～maxLayers级的子孙进程，maxLayers大于或等于2；然后根据每一个进程和其第一关联进程的行为所对应的ATT&CK战术阶段和发生时间判断该进程是否存在APT攻击。APT检测方法、装置、计算机设备和存储介质，通过进程之间的关联关系确定各个进程所涉及到的ATT&CK战术阶段和发生时间，并根据ATT&CK战术阶段和发生时间的关系进行APT检测判断，检测准确率高，几乎没有误报。

公开(公告)号：CN117349803A

公开(公告)日：2024-01-05

申请号：CN202311663103.1

申请日：2023-12-06

Applicant: 浙江大学

Inventor： 李响 ,  于虎圣 ,  王箭 ,  陈焰

IPC: G06F21/14 ,  G06F8/41

Abstract: 本发明公开了一种代码解混淆检测方法、装置、电子设备及计算机可读存储介质，根据抽象语法树分析各个节点的混淆条件，然后针对不同的解混淆条件采用不同的解混淆策略进行解混淆。本发明的解混淆准确率高，采用的处理方式是语义上的等价替换，解混淆的结果并不会引入任何原本不存在的恶意特征，且基于本发明的混淆方法的进行解混淆的代码进行webshell检测时，大幅提升了webshell检出率。

公开(公告)号：CN113886821A

公开(公告)日：2022-01-04

申请号：CN202111020311.0

申请日：2021-09-01

Applicant: 浙江大学

Inventor： 阮伟 ,  王箭 ,  王凌志 ,  王昆 ,  王文海

IPC: G06F21/56 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于孪生网络的恶意进程识别方法，包括：获取反映客户端的进程行为的序列化日志作为原始样本，并以各个进程行为类型作为原始样本添加的标签，所述反映客户端的进程行为的序列化日志包括该进程运行过程中的API或系统调用的日志；所述进程行为包括非恶意进程行为和不同类型的恶意进程行为；对各个原始样本进行序列化处理得到相应进程的行为特征向量；利用所述行为特征向量进行孪生网络训练；利用训练得到的孪生网络对待检测行为进程进行恶意行为进程识别，以得到所述待检测行为进程的标签。

公开(公告)号：CN113312619B

公开(公告)日：2023-09-05

申请号：CN202110605867.X

申请日：2021-05-31

Applicant: 浙江大学

Inventor： 阮伟 ,  王凌志 ,  王箭 ,  王昆 ,  王文海

IPC: G06F21/56

Abstract: 本发明公开了一种基于小样本学习的恶意进程检测方法、装置、电子设备、及存储介质，该方法获取反映客户端的进程行为的序列化日志作为原始样本，并以各个进程行为类型作为原始样本添加的标签；对各个原始样本进行特征选取以去除冗余特征；对各个经过特征选取的原始样本进行序列化处理得到相应进程的行为特征向量；利用所述非恶意进程行为的行为特征向量进行小样本学习得到原型网络，所述原型网络的嵌入函数输入为行为特征向量；利用恶意进程的行为特征和学习得到的原型网络对待检测的样本进行恶意行为进程检测。本发明的检测方法在现有恶意行为样本数据量少且分布不平衡的情况下，检出率高。

公开(公告)号：CN117473497A

公开(公告)日：2024-01-30

申请号：CN202311387950.X

申请日：2023-10-25

Applicant: 浙江大学

Inventor： 于虎圣 ,  杨强 ,  李响 ,  王箭

IPC: G06F21/56 ,  G06F18/2411

Abstract: 本发明公开了一种勒索病毒的动态检测方法和装置，包括以下步骤：采集系统运行的数据事件；基于注入检测规则对数据事件进行注入检测，对检测的注入行为进行阻断和日志上报；和/或，提取固定时间窗口内数据事件的特征，利用分类器基于特征进行勒索检测，对检测的勒索病毒进行阻断和日志上报。该方法和装置通过注入检测和勒索检测两个步骤能够实现勒索病毒的全方位动态监测，提供勒索病毒的检测准确性。

公开(公告)号：CN113312619A

公开(公告)日：2021-08-27

申请号：CN202110605867.X

申请日：2021-05-31

Applicant: 浙江大学

Inventor： 阮伟 ,  王凌志 ,  王箭 ,  王昆 ,  王文海

IPC: G06F21/56

Abstract: 本发明公开了一种基于小样本学习的恶意进程检测方法、装置、电子设备、及存储介质，该方法获取反映客户端的进程行为的序列化日志作为原始样本，并以各个进程行为类型作为原始样本添加的标签；对各个原始样本进行特征选取以去除冗余特征；对各个经过特征选取的原始样本进行序列化处理得到相应进程的行为特征向量；利用所述非恶意进程行为的行为特征向量进行小样本学习得到原型网络，所述原型网络的嵌入函数输入为行为特征向量；利用恶意进程的行为特征和学习得到的原型网络对待检测的样本进行恶意行为进程检测。本发明的检测方法在现有恶意行为样本数据量少且分布不平衡的情况下，检出率高。