公开(公告)号：CN113987490A

公开(公告)日：2022-01-28

申请号：CN202111244039.4

申请日：2021-10-26

Applicant: 上海观安信息技术股份有限公司

Inventor： 唐宇博 ,  蔡时光 ,  陈宇耀 ,  胡绍勇

IPC: G06F21/56 ,  G06F16/18 ,  G06F16/22 ,  G06F16/28 ,  G06F16/35 ,  G06F40/216

Abstract: 本发明实施例公开了一种恶意进程检测方法，获取注册表操作日志中的进程名称、目标对象、设置值与恶意进程标识字段，并将进程名称、目标对象、设置值与恶意进程标识字段以二维矩阵存储为第一二维矩阵，将目标对象中的注册表路径转化为节点列表，并将设置值合并入节点列表，在节点列表中，将列表项根据其内容进行编号，得到样本二维矩阵；将样本二维矩阵中的进程名称作为行索引、编号后的节点列表以及恶意进程标识字段作为列索引，输入至随机森林模型，得到恶意进程检测模型；将待检测进程输入至恶意进程检测模型，以判断待检测进程是否为恶意进程。本发明将注册表路径与恶意检测联系起来以建立恶意进程检测模型，实现对恶意进程的快速准确识别。

公开(公告)号：CN113987490B

公开(公告)日：2024-11-19

申请号：CN202111244039.4

申请日：2021-10-26

Applicant: 上海观安信息技术股份有限公司

Inventor： 唐宇博 ,  蔡时光 ,  陈宇耀 ,  胡绍勇

IPC: G06F21/56 ,  G06F16/18 ,  G06F16/22 ,  G06F16/28 ,  G06F16/35 ,  G06F40/216

Abstract: 本发明实施例公开了一种恶意进程检测方法，获取注册表操作日志中的进程名称、目标对象、设置值与恶意进程标识字段，并将进程名称、目标对象、设置值与恶意进程标识字段以二维矩阵存储为第一二维矩阵，将目标对象中的注册表路径转化为节点列表，并将设置值合并入节点列表，在节点列表中，将列表项根据其内容进行编号，得到样本二维矩阵；将样本二维矩阵中的进程名称作为行索引、编号后的节点列表以及恶意进程标识字段作为列索引，输入至随机森林模型，得到恶意进程检测模型；将待检测进程输入至恶意进程检测模型，以判断待检测进程是否为恶意进程。本发明将注册表路径与恶意检测联系起来以建立恶意进程检测模型，实现对恶意进程的快速准确识别。

公开(公告)号：CN113935037A

公开(公告)日：2022-01-14

申请号：CN202111213195.4

申请日：2021-10-19

Applicant: 上海观安信息技术股份有限公司

Inventor： 唐宇博 ,  蔡时光 ,  陈宇耀 ,  胡绍勇

IPC: G06F21/56

Abstract: 本发明实施例公开了一种恶意进程检测方法，包括：获取多个DLL加载日志以及每个DLL加载日志中的进程名称、加载项名称、加载项签名以及恶意进程标识字段，并以二维矩阵形式存储，得到第一二维矩阵；在所述第一二维矩阵中，根据系统自带DLL清单将加载项名称进行编号，根据加载项签名类型对加载项签名进行编号，得到样本二维矩阵；将所述样本二维矩阵中的进程名称作为行索引，编号后的加载项名称、编号后的加载项签名、恶意进程标识字段作为列索引，输入至逻辑回归模型和决策树模型，得到恶意进程检测模型；将待检测进程输入至所述恶意进程检测模型，以判断所述待检测进程是否为恶意进程。实现了对恶意进程的快速准确识别。

公开(公告)号：CN116582371B

公开(公告)日：2023-09-22

申请号：CN202310857006.X

申请日：2023-07-13

Applicant: 上海观安信息技术股份有限公司

Inventor： 蔡时光 ,  马小朋 ,  邹武

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本申请涉及网络安全领域，公开了一种扫描器的检测方法及装置、存储介质和电子设备。方法包括：读取预设时长内的流量检测日志，在流量检测日志中筛选出符合扫描器产生的流量特征的数据项作为第一目标数据项，并确定第一目标数据项中的源地址为备选源地址；读取预设时长内的域名系统请求日志，并确定域名系统请求日志中包含备选源地址的数据项为第二目标数据项；若第二目标数据项中的请求域名为空，则确定备选源地址为扫描器的网络地址。本申请的方法解决了现有漏洞扫描方法扫描器产生的日志混淆在大量杂乱的流量日志中，导致漏洞分析的复杂度以及难度较大，且效率较低的问题。

公开(公告)号：CN114238964A

公开(公告)日：2022-03-25

申请号：CN202111324533.1

申请日：2021-11-10

Applicant: 上海观安信息技术股份有限公司

Inventor： 蔡时光 ,  唐宇博 ,  陈宇耀 ,  胡绍勇

IPC: G06F21/56 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明实施例公开了一种恶意进程检测方法、装置、系统及计算机可读存储介质。其中，该方法包括：获取多个进程访问日志，提取进程访问日志中的源进程、目标进程、调用内容以及目标进程恶意标识字段，将其存储得到第一二维矩阵；将调用内容中的绝对路径存储为路径列表，删除调用内容，合并入源进程，得到第二二维矩阵；将相同目标进程的进程访问日志进行归并；将路径列表中的列表项进行编号得到样本二维矩阵；将样本二维矩阵中的目标进程路径列表以及目标进程恶意标识字段输入至神经网络中进行训练，得到恶意进程检测模型；将待检测进程输入至恶意进程检测模型中，判断待检测进程是否为恶意进程。本发明提高了恶意进程检测模型的检测准确率。

公开(公告)号：CN116582371A

公开(公告)日：2023-08-11

申请号：CN202310857006.X

申请日：2023-07-13

Applicant: 上海观安信息技术股份有限公司

Inventor： 蔡时光 ,  马小朋 ,  邹武

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本申请涉及网络安全领域，公开了一种扫描器的检测方法及装置、存储介质和电子设备。方法包括：读取预设时长内的流量检测日志，在流量检测日志中筛选出符合扫描器产生的流量特征的数据项作为第一目标数据项，并确定第一目标数据项中的源地址为备选源地址；读取预设时长内的域名系统请求日志，并确定域名系统请求日志中包含备选源地址的数据项为第二目标数据项；若第二目标数据项中的请求域名为空，则确定备选源地址为扫描器的网络地址。本申请的方法解决了现有漏洞扫描方法扫描器产生的日志混淆在大量杂乱的流量日志中，导致漏洞分析的复杂度以及难度较大，且效率较低的问题。