-
公开(公告)号:CN113222930A
公开(公告)日:2021-08-06
申请号:CN202110497723.7
申请日:2021-05-08
Applicant: 厦门服云信息科技有限公司
Abstract: 本发明涉及基于图像分析的恶意流量检测方法、终端设备及存储介质,该方法中包括:S1:采集待检测的网络流量数据和已知类型的恶意流量数据;S2:对各数据均进行预处理,生成对应的灰度特征图像;S3:针对每个数据的灰度特征图像,通过奇异值分解进行降噪处理后,通过离散小波变换提取图像的低频部分,通过图像的低频部分得到图像的二进制哈希码;S4:根据待检测的网络流量数据与已知类型的恶意流量数据的二进制哈希码之间的海明距离,得到两者之间的相似度,当相似度小于相似度阈值时,判定待检测的网络流量数据的类型属于该已知类型的恶意流量数据的类型。本发明无需单独训练样本和提取特征,即可实现分类的目的。
-
公开(公告)号:CN111191238A
公开(公告)日:2020-05-22
申请号:CN201911397696.5
申请日:2019-12-30
Applicant: 厦门服云信息科技有限公司
Abstract: 本发明涉及计算机网络安全技术领域,具体地涉及一种基于命令序列及主动学习算法的webshell检测方法、终端设备及存储介质。该方法包括以下步骤:将样本分成已标记样本集L和未标记样本集U;提取所有样本的命令序列Xi,并利用simhash算法对命令序列Xi进行规范化处理,将其表示成统一格式的特征Hi;将L的特征Hi作为输入,利用随机森林算法训练分类器C;将U的特征Hi作为输入,利用基于最大特征距离的样本选择策略对U进行选择,并将选择出的样本放入待标记样本集S;利用基于最小估计风险的样本标记策略对S中估计风险值最低的样本进行标记,并将标记后的样本加入L;更新L和U,并重新对C进行训练,直到U中所有样本被标记完毕;输出检测结果。
-
公开(公告)号:CN109598124A
公开(公告)日:2019-04-09
申请号:CN201811507820.4
申请日:2018-12-11
Applicant: 厦门服云信息科技有限公司
Abstract: 本发明公开了一种webshell检测方法以及装置,涉及webshell检测技术领域。该方法包括:获取大量样本数据;对所述样本数据进行特征反混淆处理;根据经过特征反混淆处理后的样本数据,获取webshell检测模型;采用webshell检测模型判断待检测文件是否为webshell文件。该方法通过对Web恶意文件特征混淆方法进行归纳总结,采取相应的反混淆对策,可以有效提取出特征数据,根据经过特征反混淆处理后的样本数据,获取webshell检测模型,具有识别速度快,精确度高的特点,保证Web信息系统的正常运行具有非常重要的意义。
-
公开(公告)号:CN114579965A
公开(公告)日:2022-06-03
申请号:CN202111674113.6
申请日:2021-12-31
Applicant: 厦门服云信息科技有限公司
IPC: G06F21/56 , G06F16/35 , G06F40/289 , G06N20/00
Abstract: 本发明提供了一种恶意代码的检测方法,包括:获取待检测恶意代码文件的运行信息;将运行信息输入预先利用异构网络的特征训练的恶意代码检测模型,输出待检测恶意代码文件的类别;其中,通过如下步骤来训练恶意代码检测模型:S1,获取文件样本作为训练集;S2,提取文件样本的运行信息;S3,构建异构网络;S4,根据异构网络范式,获得异构网络针对每一异构网络范式的关系邻接矩阵,获得随机游走向量;S5,利用随机游走信息来构建及训练对应的词向量模型和分类模型;S6,对分类结果进行主角度加权来确定待检测恶意代码文件所属的类别。利用上述技术方案,充分利用了恶意代码的环境信息,提高了恶意代码文件分类的准确率。
-
公开(公告)号:CN112565283A
公开(公告)日:2021-03-26
申请号:CN202011468316.5
申请日:2020-12-15
Applicant: 厦门服云信息科技有限公司
IPC: H04L29/06
Abstract: 本发明涉及一种APT攻击检测方法、终端设备及存储介质,该方法中包括:S1:采集待检测的网络请求数据集,并对其内包含的域名进行提取;S2:根据提取的域名和IP之间的关系构建域名‑IP二分图后,再根据域名与IP之间的映射关系将域名‑IP二分图转换为只有域名节点的域名图,并在域名图上获得其中的连通子图;S3:对域名图中的各连通子图进行分析,获取可疑域名列表。本发明不光考虑到了域名之间的关联性,还计算了IP之间的关联度以及域名映射IP的具体情况,通过提高大部分恶意域名共同映射IP的权值的方法更准确地检测到恶意域名。
-
Patent Agency Ranking
公开(公告)号:CN111143839A
公开(公告)日:2020-05-12
申请号:CN201911391303.X
申请日:2019-12-30
Applicant: 厦门服云信息科技有限公司
Abstract: 本发明涉及一种基于虚拟化行为分析技术的恶意代码检测方法及装置,其中,该装置包括本地主机和虚拟机,本地主机设置有可视化模块、虚拟机控制模块和数据分析模块,可视化模块用于将待测可执行文件从本地主机传送至虚拟机、控制虚拟机控制模块启动虚拟机以及从数据分析模块获取分析报告;虚拟机控制模块用于对虚拟机进行控制;数据分析模块用于分析虚拟机传送的监控日志文件和将分析结果生成分析报告;虚拟机设置有监控控制模块和行为监控及网络流量捕获模块,监控控制模块用于调用行为监控及网络流量捕获模块对待测执行文件进行进程、注册表、文件、驱动加载和网络行为的监控并将各种行为记录在监控日志文件中。
-
公开(公告)号:CN113032780A
公开(公告)日:2021-06-25
申请号:CN202110224149.8
申请日:2021-03-01
Applicant: 厦门服云信息科技有限公司
Abstract: 本发明涉及一种基于图像分析的Webshell检测方法、终端设备及存储介质,该方法中包括:S1:采集正常和异常两种不同类型的多个Webshell样本;S2:根据采集的各Webshell样本和待测Webshell的Opcode序列和Opcode频率,生成对应的RGB图像;S3:计算待测Webshell的RGB图像与各Webshell样本的RGB图像之间的距离,并按照距离从小到大的顺序将各Webshell样本进行排序,从排序结果中选择前N个Webshell样本并判断类型,将对应数量最多的类型最为待测Webshell的类型。本发明使Opcode特征来表示Webshell的恶意行为,并用Opcode序列生成二维灰度图像,之后结合Opcode频率所生成的灰度图像合成RGB图像,能够更加完整的表征Webshell的恶意行为,提升检测性能。
-
公开(公告)号:CN111092894A
公开(公告)日:2020-05-01
申请号:CN201911332980.4
申请日:2019-12-23
Applicant: 厦门服云信息科技有限公司
Abstract: 本发明涉及一种基于增量学习的webshell检测方法、终端设备及存储介质,该方法中包括:S1:采集webshell样本和正常样本,并对样本进行特征提取后组成训练集;S2:构建分类模型,通过训练集对分类模型进行训练,得到训练后的初始分类模型;S3:继续采集webshell样本,并提取样本的特征向量组成新增样本集,通过新增样本集中的样本对初始分类模型进行增量学习,得到增量学习后的分类模型;S4:通过增量学习后的分类模型对webshell进行检测。本发明利用了有标记样本和无标记样本的集合,通过解析样本抽象语法树得到词集向量的方式获得样本特征向量,无需人工标记,利用词集向量和基于调整筛选的最小距离分类算法,只需少量样本即可得到初始模型,大大降低了人力成本。
-
公开(公告)号:CN111079147A
公开(公告)日:2020-04-28
申请号:CN201911300511.4
申请日:2019-12-17
Applicant: 厦门服云信息科技有限公司
Abstract: 本发明涉及一种基于主动学习的病毒检测方法、终端设备及存储介质,该方法中包括:S1:构建已标记样本集L,并将所有待检测病毒代码组成未标记样本集U;S2:提取所有样本的特征,并进行格式规范化处理;S3:将L中样本的特征作为输入,对样本分类模型进行训练;S4:将U中样本的特征作为输入,利用基于最大特征距离的样本选择策略对U中的样本进行选择,将选择出的样本加入待标记样本集S中;S5:利用基于最小估计风险的样本标记策略对S中估计风险值最低的样本进行标记,并将标记后的样本加入L中;S6:更新L和U,返回步骤S3,直到U中所有样本均被标记完毕。本发明实现了已标记样本较少情况下的病毒代码检测。
-
公开(公告)号:CN115168863A
公开(公告)日:2022-10-11
申请号:CN202210725020.X
申请日:2022-06-24
Applicant: 厦门服云信息科技有限公司
Abstract: 本发明涉及一种基于精确行为的漏洞分析方法、终端设备及存储介质,该方法中包括:对待检测源程序进行动态污点传播分析,获取操作序列文件;根据操作序列文件提取Source集合,并根据黑名单进行过滤,组成污点集合;对污点集合中的污点变量进行分析,并生成记录污点传播路径的污点文件;通过活跃变量路径验证算法,使用逆向路径遍历的方式,对污点文件中的污点传播路径进行活跃变量路径验证,剔除污点文件中的不可达路径;基于污点文件生成精确行为依赖图。本发明提高了漏洞检测的准确率,为解决Web漏洞检测的误报率和有效性等问题提供了一种可行的解决途径。
-
-
-
-
-
-
-
-
-
Search Results
13
records
(took 0.042 seconds)
