公开(公告)号：CN114238964A

公开(公告)日：2022-03-25

申请号：CN202111324533.1

申请日：2021-11-10

Applicant: 上海观安信息技术股份有限公司

Inventor： 蔡时光 ,  唐宇博 ,  陈宇耀 ,  胡绍勇

IPC: G06F21/56 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明实施例公开了一种恶意进程检测方法、装置、系统及计算机可读存储介质。其中，该方法包括：获取多个进程访问日志，提取进程访问日志中的源进程、目标进程、调用内容以及目标进程恶意标识字段，将其存储得到第一二维矩阵；将调用内容中的绝对路径存储为路径列表，删除调用内容，合并入源进程，得到第二二维矩阵；将相同目标进程的进程访问日志进行归并；将路径列表中的列表项进行编号得到样本二维矩阵；将样本二维矩阵中的目标进程路径列表以及目标进程恶意标识字段输入至神经网络中进行训练，得到恶意进程检测模型；将待检测进程输入至恶意进程检测模型中，判断待检测进程是否为恶意进程。本发明提高了恶意进程检测模型的检测准确率。

公开(公告)号：CN113935037A

公开(公告)日：2022-01-14

申请号：CN202111213195.4

申请日：2021-10-19

Applicant: 上海观安信息技术股份有限公司

Inventor： 唐宇博 ,  蔡时光 ,  陈宇耀 ,  胡绍勇

IPC: G06F21/56

Abstract: 本发明实施例公开了一种恶意进程检测方法，包括：获取多个DLL加载日志以及每个DLL加载日志中的进程名称、加载项名称、加载项签名以及恶意进程标识字段，并以二维矩阵形式存储，得到第一二维矩阵；在所述第一二维矩阵中，根据系统自带DLL清单将加载项名称进行编号，根据加载项签名类型对加载项签名进行编号，得到样本二维矩阵；将所述样本二维矩阵中的进程名称作为行索引，编号后的加载项名称、编号后的加载项签名、恶意进程标识字段作为列索引，输入至逻辑回归模型和决策树模型，得到恶意进程检测模型；将待检测进程输入至所述恶意进程检测模型，以判断所述待检测进程是否为恶意进程。实现了对恶意进程的快速准确识别。

公开(公告)号：CN114186227A

公开(公告)日：2022-03-15

申请号：CN202111493105.1

申请日：2021-12-08

Applicant: 上海观安信息技术股份有限公司

Inventor： 陆海涛 ,  陈宇耀 ,  张瀚之 ,  胡绍勇

IPC: G06F21/55 ,  G06F16/2455 ,  G06F16/248 ,  G06F16/28

Abstract: 本发明公开一种安全告警转化为安全事件的方法、装置及存储介质，所述方法包括：获取第一告警数据；利用告警归并策略提取或创建第一告警数据的事件ID，以将属于同一事件ID的所述第一告警数据进行归类，得到第二告警数据；利用事件输出策略对第二告警数据进行自定义赋值，得到第三告警数据；利用事件信息策略对与第三告警数据进行分组，得到安全事件。本发明可灵活配置事件策略流程，利用事件策略提取或创建告警数据的事件ID，将属于同一所述事件ID的第一告警数据进行归类，并对归类后的告警数据进行自定义赋值和分组，生成相关安全事件。通过对告警数据入库归并方式，消除了告警风暴，降低了对威胁的分析与响应成本。

公开(公告)号：CN113987490B

公开(公告)日：2024-11-19

申请号：CN202111244039.4

申请日：2021-10-26

Applicant: 上海观安信息技术股份有限公司

Inventor： 唐宇博 ,  蔡时光 ,  陈宇耀 ,  胡绍勇

IPC: G06F21/56 ,  G06F16/18 ,  G06F16/22 ,  G06F16/28 ,  G06F16/35 ,  G06F40/216

Abstract: 本发明实施例公开了一种恶意进程检测方法，获取注册表操作日志中的进程名称、目标对象、设置值与恶意进程标识字段，并将进程名称、目标对象、设置值与恶意进程标识字段以二维矩阵存储为第一二维矩阵，将目标对象中的注册表路径转化为节点列表，并将设置值合并入节点列表，在节点列表中，将列表项根据其内容进行编号，得到样本二维矩阵；将样本二维矩阵中的进程名称作为行索引、编号后的节点列表以及恶意进程标识字段作为列索引，输入至随机森林模型，得到恶意进程检测模型；将待检测进程输入至恶意进程检测模型，以判断待检测进程是否为恶意进程。本发明将注册表路径与恶意检测联系起来以建立恶意进程检测模型，实现对恶意进程的快速准确识别。

公开(公告)号：CN114254023A

公开(公告)日：2022-03-29

申请号：CN202111612273.8

申请日：2021-12-27

Applicant: 上海观安信息技术股份有限公司

Inventor： 陆海涛 ,  陈宇耀 ,  张瀚之 ,  胡绍勇

IPC: G06F16/248

Abstract: 本发明实施例公开了一种数据关系可视化方法、装置、系统及计算机存储介质。其中，该方法包括：获取数据库中的所有信息数据；根据所有信息数据的内容进行线索添加，得到多个节点组与多个节点；根据各节点的节点类型确定各节点的相关属性；根据各节点的相关属性确定各节点与其它节点间的全局关系；根据各节点的IP地址建立所属关系路径；根据节点组、各节点的相关属性、全局关系及关系路径将各节点之间的关系进行展示。本发明提高了威胁节点的检测能力、节点间的关系建立速度，帮助分析人员快捷有效完成的威胁研判。

公开(公告)号：CN113987490A

公开(公告)日：2022-01-28

申请号：CN202111244039.4

申请日：2021-10-26

Applicant: 上海观安信息技术股份有限公司

Inventor： 唐宇博 ,  蔡时光 ,  陈宇耀 ,  胡绍勇

IPC: G06F21/56 ,  G06F16/18 ,  G06F16/22 ,  G06F16/28 ,  G06F16/35 ,  G06F40/216

Abstract: 本发明实施例公开了一种恶意进程检测方法，获取注册表操作日志中的进程名称、目标对象、设置值与恶意进程标识字段，并将进程名称、目标对象、设置值与恶意进程标识字段以二维矩阵存储为第一二维矩阵，将目标对象中的注册表路径转化为节点列表，并将设置值合并入节点列表，在节点列表中，将列表项根据其内容进行编号，得到样本二维矩阵；将样本二维矩阵中的进程名称作为行索引、编号后的节点列表以及恶意进程标识字段作为列索引，输入至随机森林模型，得到恶意进程检测模型；将待检测进程输入至恶意进程检测模型，以判断待检测进程是否为恶意进程。本发明将注册表路径与恶意检测联系起来以建立恶意进程检测模型，实现对恶意进程的快速准确识别。