公开(公告)号：CN116346407A

公开(公告)日：2023-06-27

申请号：CN202310085192.X

申请日：2023-01-17

Applicant: 中国科学院信息工程研究所

Inventor： 江钧 ,  李银霞 ,  凌志婷 ,  张开 ,  姜政伟 ,  董放明

IPC: H04L9/40 ,  G06F16/33 ,  G06F16/35 ,  G06F16/951

Abstract: 本发明提出一种面向社交短文本的安全账号识别方法，涉及计算机网络安全领域。通过收集安全领域种子账号，采集种子账号的列表信息，提取关键词，若关键词属于安全词汇，则将种子账号归入安全账号候选集；采集安全账号候选集中的账号的属性信息、推文信息和关系信息，并存入数据库中；构建和训练基于深度学习的安全特征提取模型，提取安全领域特征、属性特征、行为特征和内容特征；构建并训练基于机器学习的安全账号分类模型，判断所述数据库中的账号是否为安全账号。

公开(公告)号：CN113194064B

公开(公告)日：2022-07-26

申请号：CN202110282017.0

申请日：2021-03-16

Applicant: 中国科学院信息工程研究所

Inventor： 汪秋云 ,  贺捷 ,  姚叶鹏 ,  姜政伟 ,  刘宝旭 ,  卢志刚

IPC: H04L9/40 ,  G06N3/04 ,  H04L67/02

Abstract: 本发明公开了一种基于图卷积神经网络的webshell检测方法及装置，包括：解析流量数据包；根据流量间的跳转关系构建流量关联图，并依据流量关联图，得到该流量数据包的邻接矩阵；获取流量关联图中每一节点的特征向量；将邻接矩阵与特征向量输入双层GCN模型，得到webshell检测结果。本发明在特征提取阶段除了对常规的流量特征进行提取外，还根据流量间的跳转关系，建立图模型，提取流量间的关联特征，并引入了深度学习领域的图卷积技术，从而提高了webshell检测准确率。

公开(公告)号：CN108681557B

公开(公告)日：2022-04-01

申请号：CN201810306013.X

申请日：2018-04-08

Applicant: 中国科学院信息工程研究所

Inventor： 姜波 ,  李宁 ,  卢志刚 ,  姜政伟

IPC: G06F16/33 ,  G06F40/216 ,  G06F40/30 ,  G06F40/289

Abstract: 本分明提供一种基于自扩充表示和相似双向约束的短文本主题发现方法及系统，该方法的步骤包括：基于TF‑IWF词权重度量方法构建待挖掘主题的词‑文档矩阵；向量化短文本文档并度量两两文档间相似性，得到虚拟长文档集合；利用TF‑IWF词权重度量方法，在虚拟长文档集合上构建虚拟辅助的词‑文档矩阵；合并两个矩阵为混合矩阵；构建词‑词语义相似矩阵、文档‑文档语义相似矩阵，进而构建词‑词语义关系正则项、文档‑文档语义关系正则项；得到TRNMF模型，通过分解损失函数值，获得最优的词‑话题潜在特征矩阵、话题‑文档潜在特征矩阵，发现短文本主题分布情况。

公开(公告)号：CN111614543B

公开(公告)日：2021-09-14

申请号：CN202010279729.2

申请日：2020-04-10

Applicant: 中国科学院信息工程研究所

Inventor： 汪秋云 ,  姜政伟 ,  汪姝玮 ,  辛丽玲 ,  丁雄 ,  刘宝旭

IPC: H04L12/58 ,  G06K9/62 ,  G06N3/00

Abstract: 本发明公开一种基于URL的鱼叉式钓鱼邮件检测方法及系统，涉及信息安全检测领域和网络空间安全领域，通过检测邮件正文中是否含有URL链接，选出含有URL链接的邮件；对含有URL链接的邮件，基于邮件历史记录提取URL链接的特征向量；利用已训练好的链接分类器对URL链接的特征向量进行分类，选出带有恶意链接的邮件；提取出带有恶意链接邮件的元数据，利用邮件历史记录从元数据中提取邮件特征向量；利用已训练好的鱼叉式分类器对邮件特征向量进行分类，检测出基于URL的鱼叉式钓鱼邮件。本发明只需要历史邮件的支持，就能够达到较低的误报率和较高的检测率。

公开(公告)号：CN111580954B

公开(公告)日：2021-09-14

申请号：CN202010250430.4

申请日：2020-04-01

Applicant: 中国科学院信息工程研究所

Inventor： 姜政伟 ,  江钧 ,  李仲举 ,  贺义通

IPC: G06F9/50 ,  G06F9/54 ,  G06F16/951

Abstract: 本发明涉及一种可扩展的分布式数据采集方法和系统。该方法包括：部署主节点、工作节点和中间节点；主节点根据数据库中的定时任务定时生成采集任务，发布到消息队列的任务队列中；工作节点定时从任务队列读取采集任务并根据本地服务器的状态决定是否申请执行该采集任务；主节点从申请执行同一采集任务的工作节点中选取一个最佳的工作节点执行该采集任务，并将该采集任务从任务队列中移除；工作节点根据采集任务生成并执行采集进程，将采集的数据置入中间节点的消息队列中的数据队列；工作节点监控采集进程的运行状态并记录相关数据。本发明解决了现有数据采集系统易用性、通用性以及可管理性之间的矛盾以及分布式部署中任务分配不合理的难题。

公开(公告)号：CN112929380A

公开(公告)日：2021-06-08

申请号：CN202110198784.3

申请日：2021-02-22

Applicant: 中国科学院信息工程研究所

Inventor： 姜政伟 ,  贾梓健 ,  姚叶鹏 ,  汪秋云 ,  任房利 ,  刘宝旭

IPC: H04L29/06 ,  G06N3/08 ,  G06N3/04 ,  G06K9/62

Abstract: 本发明公开了一种结合元学习与时空特征融合的木马通信检测方法及系统。本方法为：1)构建一元学习网络，将木马流量样本输入元学习网络的嵌入部分，得到样本的特征向量；2)挑选出C个类别，并为每个类别挑选出K个样本并划分为支持集和查询集；3)元学习网络的关系网络将每个元任务对应的支持集中的同一类别样本融合为一条向量，将该条向量作为对应类别的代表向量；4)将每个类别的代表向量与查询集中该类别每一特征向量依次成对输入两个全连接层，得到关系得分，然后根据该关系得分计算损失值，迭代优化元学习网络；5)对于一待识别的流量数据，将其输入训练后的所述元学习网络，根据所得关系得分确定该流量数据对应的类别。

公开(公告)号：CN112905301A

公开(公告)日：2021-06-04

申请号：CN202110240825.0

申请日：2021-03-04

Applicant: 中国科学院信息工程研究所

Inventor： 汪秋云 ,  赵瑞哲 ,  姜政伟 ,  汪姝玮 ,  凌辰 ,  辛丽玲

IPC: G06F9/455 ,  G06F21/57 ,  G06N20/00

Abstract: 本发明公开了一种Android模拟器的检测方法及装置，首先依据当前设备的设备信息是否包含模拟值或是否存在值被修改，判断当前设备是否为Android模拟器；然后依据当前设备的硬件信息是否包含模拟值或是否具备正常功能，判断当前设备是否为Android模拟器；最后综合当前设备的设备信息、硬件信息、特殊文件信息和用户痕迹信息，将生成特征向量输入检测模型，判断当前设备是否为Android模拟器。本发明先采用轻便快捷的判断方法，保证对普通模拟器检测的效率，再结合难以模拟的特殊文件信息和用户痕迹信息构建特征向量，并使用机器学习方法，从而提高了检测准确率。

公开(公告)号：CN110362996B

公开(公告)日：2021-03-09

申请号：CN201910478849.2

申请日：2019-06-03

Applicant: 中国科学院信息工程研究所

Inventor： 姜荣霞 ,  刘宝旭 ,  姜政伟 ,  汪秋云 ,  江钧 ,  辛丽玲

IPC: G06F21/56

Abstract: 本发明提供了一种离线的PowerShell恶意软件检测方法与系统。该方法包括的步骤有：利用PowerShell软件的抽象语法树进行PowerShell软件静态混淆去除；提取PowerShell软件的统计特征、结构特征及行为特征作为基础特征；利用距离相关系数对基础特征进行筛选，得到关键特征；利用关键特征训练基于多变量决策树的随机森林检测模型MRF，用于检测PowerShell恶意软件；利用训练好的MRF离线检测PowerShell软件是否恶意，输出检测结果。该系统包括数据预处理模块、特征提取模块、MRF模块、模型训练模块、外部接口调用模块。本发明通过训练基于多变量决策树的随机森林检测模型MRF，实现对PowerShell恶意软件的离线检测。

公开(公告)号：CN112364339A

公开(公告)日：2021-02-12

申请号：CN202010849580.7

申请日：2020-08-21

Applicant: 中国科学院信息工程研究所 ,  国网浙江省电力有限公司信息通信分公司 ,  国网雄安金融科技集团有限公司 ,  国家电网有限公司

Inventor： 汪秋云 ,  姜政伟 ,  李小萌 ,  方舟 ,  王栋 ,  赵丽花

IPC: G06F21/45 ,  G06F21/35 ,  G06K17/00

Abstract: 本发明公开了一种改进的安全轻量级RFID认证方法，其步骤包括：1)阅读器R获取该阅读器R所能读取的产品信息列表L；2)R将连接请求、标识符ID_r以及x1发送给标签T；3)T计算A＝h(f(ID_r,K)||x1||y)⊕k并发送给R；4)R从L中查找与A值匹配的项m，获取其二级辅助信息秘钥kmn，计算B＝h(f(ID_r,Km)||y)并将其与x2发送给T；5)T计算C＝h(f(ID_r,K)||x2||y)⊕ID_t和D＝h(f(ID_r,K)||x2||y)⊕s，将发送给R；6)R计算h(f(ID_r,Km)||x2||y)获得ID_t和s，如果s＝f(ID_t,kmn)成立则认证结束。

公开(公告)号：CN112187716A

公开(公告)日：2021-01-05

申请号：CN202010870776.4

申请日：2020-08-26

Applicant: 中国科学院信息工程研究所

Inventor： 汪秋云 ,  靖蓉琦 ,  汪姝玮 ,  姜政伟 ,  江钧

IPC: H04L29/06

Abstract: 本发明公开了一种网络攻击中恶意代码的知识图谱展示方法，其步骤包括：1)基于OWL本体语言对目标恶意代码图谱进行建模，得到OWL本体库；然后结合OWL规则库对该OWL本体库进行OWL推理，得到新内容并确定该新内容的分类、属性和实例信息；2)根据得到的分类、属性和实例计算目标恶意代码图谱的通用度量，并根据度量结果计算各节点的重要性对目标恶意代码图谱过滤；然后对目标恶意代码图谱进行不同实体间的关联分析，计算关联度；并计算恶意代码间的相似度；3)对目标恶意代码图谱中的恶意代码进行家族分类，然后在分类信息更新后的目标恶意代码图谱上进行恶意代码评估值计算；然后对目标恶意代码图谱进行分层的布局和渲染展示。