公开(公告)号：CN117056923A

公开(公告)日：2023-11-14

申请号：CN202311033811.7

申请日：2023-08-16

Applicant: 赵浩钧 ,  北京天融信网络安全技术有限公司

Inventor： 赵浩钧 ,  吴月明 ,  徐晓

IPC: G06F21/56 ,  G06F18/214 ,  G06F18/241 ,  G06F18/211

Abstract: 本申请实施例提供一种获取恶意软件识别模型的方法、软件识别方法及装置，所述方法包括：获取所有恶意样本中各恶意样本的函数调用图，得到多个函数调用图；使用社交网络中心性分析各恶意样本的函数调用图，生成多个权重函数调用图；根据各权重函数调用图得到权重词典；根据敏感函数集合和所述权重词典得到与任意一个恶意样本对应的特征向量，得到训练集的特征向量集合；基于所述特征向量集合中各类恶意软件的特征向量子集合以及相应类别标签对恶意软件识别模型进行训练，得到目标恶意软件识别模型。采用本申请实施例可以解决目前Windows恶意软件分类方法在准确率和分类效率上的不足。

公开(公告)号：CN117806736A

公开(公告)日：2024-04-02

申请号：CN202311086497.9

申请日：2023-08-25

Applicant: 赵浩钧 ,  北京天融信网络安全技术有限公司

Inventor： 赵浩钧 ,  徐晓

IPC: G06F9/448 ,  G06F21/56

Abstract: 本申请实施例提供一种生成目标函数调用关系的方法、装置、设备及介质，该方法包括：将恶意文件中出现的函数进行扫描，获得多个待处理函数；将所述多个待处理函数进行代码交叉引用分析操作，获得第一函数调用关系；将所述多个待处理函数进行数据交叉引用分析操作，获得第二函数调用关系；基于所述第一函数调用关系和所述第二函数调用关系，生成目标函数调用关系。通过本申请的一些实施例能够更精准的刻画程序中各个函数之间的调用关系，从而更准确表达程序的行为信息，提高生成函数调用关系的效率。

公开(公告)号：CN117235571A

公开(公告)日：2023-12-15

申请号：CN202311128875.5

申请日：2023-09-01

Applicant: 赵浩钧 ,  北京天融信网络安全技术有限公司

Inventor： 赵浩钧 ,  徐晓

IPC: G06F18/24 ,  G06F18/10 ,  G06F8/53

Abstract: 本申请实施例提供一种恶意软件分类方法、装置、电子设备及存储介质，其中，该方法包括：获取恶意软件的二进制文件；对所述二进制文件进行反汇编处理，得到函数调用图；对所述函数调用图进行归一化处理，得到简化函数调用图；根据预先构建的机器学习模型对所述简化函数调用图进行分类，得到分类结果。实施本申请实施例，可以提高恶意软件的分类效率，减少恶意软件的漏检、误检问题，能够精准刻画软件中的程序行为，适用于大规模数据下的恶意软件分类，对恶意软件的要求低，适应度高。

公开(公告)号：CN113987500B

公开(公告)日：2024-12-06

申请号：CN202111328921.7

申请日：2021-11-10

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 徐晓 ,  薛智慧 ,  余小军 ,  黄娜 ,  李建国

IPC: G06F21/56

Abstract: 本公开涉及一种恶意PDF文档检测方法、装置及电子设备，应用于网络安全技术领域，解决现有技术用于检测的信息完整而导致恶意PDF文档的检测结果不准确的问题，该方法包括：获取便携式文档格式PDF文档中明文对象的A个特征关键字；获取PDF文档的根节点信息；确定根节点信息所指示的流对象中包括的B个特征关键字；针对M个特征关键字，进行恶意特征关键字的识别，得到多个恶意特征关键字；将多个恶意特征关键字，确定为恶意PDF文档识别模型的训练样本。

公开(公告)号：CN116796320A

公开(公告)日：2023-09-22

申请号：CN202310677635.4

申请日：2023-06-07

Applicant: 姚良威 ,  北京天融信网络安全技术有限公司

Inventor： 姚良威 ,  徐晓 ,  辛阳

IPC: G06F21/56 ,  G06F16/16 ,  G06N3/0464 ,  G06F18/25 ,  G06F18/24 ,  G06V10/764 ,  G06V10/80 ,  G06V10/82

Abstract: 本申请实施例提供一种训练文档分类模型的方法、文档分类方法及产品，所述方法包括：获取文档的全局特征矩阵和至少一个局部特征矩阵，其中，所述文档属于训练集中的一个文件；对所述全局特征矩阵和所述至少一个局部特征矩阵进行预处理之后再融合，得到一个三通道RGB彩色特征图像，其中，所述预处理包括最小最大归一化处理和/或DCT变换操作；采用所述三通道RGB彩色特征图像对待训练文档分类模型进行训练，得到目标文档分类模型。采用本申请实施例至少可以提升文档类别判定的准确性。

公开(公告)号：CN114912114A

公开(公告)日：2022-08-16

申请号：CN202210511534.5

申请日：2022-05-11

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 徐晓 ,  黄娜 ,  薛智慧 ,  余小军

IPC: G06F21/56

Abstract: 本公开涉及计算机技术领域，提供了一种恶意PDF文档检测方法。所述方法包括：获取待检测PDF文档的根对象、以及逻辑结构；根据根对象以及逻辑结构，确定待检测PDF文档对应的至少一个叶子对象；获取至少一个叶子对象的第一关键字中包含的第二关键字，其中，第二关键字包括第一类型关键字以及第二类型关键字，第一类型关键字包括/JS、/JavaScript、/URI、/Launch、/F中的一种或多种，第二类型关键字包括stream；根据第二关键字，确定待检测PDF文档对应的预设类型，其中，预设类型包括Javascript代码、嵌入文件、以及嵌入链接中的一种或多种；根据预设类型，检测待检测PDF文档是否为恶意PDF文档，采用该方式能够提高了对恶意PDF文档的检测准确性以及效率。

公开(公告)号：CN117473499A

公开(公告)日：2024-01-30

申请号：CN202311451468.8

申请日：2023-11-02

Applicant: 况昱 ,  北京天融信网络安全技术有限公司

Inventor： 况昱 ,  陈佳 ,  徐晓

IPC: G06F21/56 ,  G06F16/13 ,  G06F16/16

Abstract: 本申请提供了一种文件检测方法、装置、电子设备和计算机可读存储介质，其中，该方法包括：提取待检测文件的树结构，以得到所述待检测文件的结构特征；提取所述待检测文件的内容，以得到所述检测文件的内容特征；将所述结构特征和所述内容特征进行拼接，以得到所述待检测文件的特征向量；对所述特征向量进行检测，以得到所述待检测文件是否为恶意文件的检测结果。

公开(公告)号：CN117290842A

公开(公告)日：2023-12-26

申请号：CN202311157064.8

申请日：2023-09-07

Applicant: 胡洋 ,  北京天融信网络安全技术有限公司

Inventor： 胡洋 ,  陈佳 ,  徐晓

IPC: G06F21/56

Abstract: 本申请提供一种恶意文档的静态特征提取方法及装置，获取的文档的原始静态数据的类别包括宏语言代码、动态数据交换指令、对象组件、嵌入文件、外部链接、类标识符、重复程序对象和闪存插件，对每一类别的原始静态数据进行恶意特征提取，然后根据提取的所有恶意特征的信息增益值进行筛选，从而得到恶意特征的列表。因此，本实施例从文档的多种静态特征中进行恶意特征提取，实现了全面深入的恶意文档静态特征提取，再根据信息增益算法进行特征选择，过滤无关特征和噪声，有效降低了特征冗余度。通过本实施例的特征提取方法得到样本的特征值列表，为后续的恶意文档检测提供了重要基础。

公开(公告)号：CN116975865A

公开(公告)日：2023-10-31

申请号：CN202311011005.X

申请日：2023-08-11

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 徐晓 ,  薛智慧 ,  余小军 ,  陈厚强

IPC: G06F21/56 ,  G06F16/35

Abstract: 本发明提供一种恶意Office文档检测方法、装置、设备及存储介质，该方法包括：对获得的Office文档集中的每个文档进行识别处理，以确定每个文档的格式及文档结构特点；基于每个文档的格式及文档结构特点确定每个文档的类型；扫描每个文档，并基于每个文档的扫描结果、文档类型及先验知识确定对应文档包含的恶意内容；基于统一的分类标准对恶意内容的关键词进行分类；基于关键词的分类数据统计每个文档的恶意内容包含的相同关键词的数量，并基于统计数据对每个文档进行特征标记；将关键词的分类数据及包含特征标记的文档作为训练数据训练目标模型，以形成能判断输入的Office文档是否为恶意文档的检测模型；基于检测模型对待测Office文档进行恶意检测。

公开(公告)号：CN115577356A

公开(公告)日：2023-01-06

申请号：CN202211101570.0

申请日：2022-09-09

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 徐晓 ,  薛智慧 ,  余小军 ,  黄娜

IPC: G06F21/56

Abstract: 本申请提供一种恶意文件检测方法、装置、电子设备及存储介质。该方法包括：获取待检测文件的宏代码；对宏代码中的函数进行标记，获得每个函数对应的标签；根据每个函数分别对应的标签及函数之间的调用关系生成第一调用序列矩阵，其中，第一调用序列矩阵中每个元素表示元素所在的行标签对应的函数和列标签对应函数之间是否存在调用关系；将第一调用序列矩阵与恶意样本对应的第二调用序列矩阵进行匹配，以获得待检测文件是否为恶意文件的结果。本申请通过对函数进行标签标记，因此即便利用了混淆技术使得函数名毫无意义，也能够提取到有效的标签，并且，利用标签代替复杂多变的原始函数调用序列，使得调用序列归一化，提高了恶意样本检测的准确性。