用于在計(jì)算機(jī)網(wǎng)絡(luò)中識別協(xié)同群組攻擊的異常檢測的制作方法
【專利摘要】本發(fā)明提供了用于在計(jì)算機(jī)網(wǎng)絡(luò)上檢測異常以識別協(xié)同群組攻擊的系統(tǒng)、裝置、方法和計(jì)算機(jī)程序。本發(fā)明可確定網(wǎng)絡(luò)異常圖形，包含節(jié)點(diǎn)、邊線和異常圖形中節(jié)點(diǎn)的入度。本發(fā)明可將帶有至少兩個入度的節(jié)點(diǎn)指定為潛在的目標(biāo)。本發(fā)明可將不帶有傳入連接的節(jié)點(diǎn)指定為潛在地受感染的節(jié)點(diǎn)。當(dāng)潛在地受感染的節(jié)點(diǎn)連接到一個或多個相同的潛在的目標(biāo)節(jié)點(diǎn)時，可以將指定的潛在地受感染的節(jié)點(diǎn)輸出為在網(wǎng)絡(luò)上潛在地與協(xié)同攻擊關(guān)聯(lián)。
【專利說明】用于在計(jì)算機(jī)網(wǎng)絡(luò)中識別協(xié)同群組攻擊的異常檢測
[0001] 聯(lián)邦政府的權(quán)利聲明
[0002] 根據(jù)美國政府能源部門和洛斯阿拉莫斯國家安全有限公司之間的關(guān)于洛斯阿拉 莫斯國家實(shí)驗(yàn)室運(yùn)營的編號為DE-AC52-06NA25396的合約，美國政府享有本發(fā)明的權(quán)利。
[0003] 相關(guān)申請的交叉引用
[0004] 本申請要求序列號為61/614, 148申請日為2012年3月22日的美國臨時申請的 權(quán)益。因此，這個較早提交的臨時專利的主題內(nèi)容通過引用全部合并到本文中。

【技術(shù)領(lǐng)域】
[0005] 本發(fā)明一般涉及網(wǎng)絡(luò)異常檢測，更具體地涉及對計(jì)算機(jī)網(wǎng)絡(luò)上指示協(xié)同組攻擊的 異常進(jìn)行檢測。

【背景技術(shù)】
[0006] 檢測多個不管是人或者自動系統(tǒng)（例如僵尸網(wǎng)絡(luò)）的攻擊者所引發(fā)的攻擊，在計(jì) 算機(jī)安全利益上越顯其重要性。例如，一些方式已試圖通過使用基于集群計(jì)算機(jī)的方法一 段時間來檢測僵尸網(wǎng)絡(luò)，其中所述集群計(jì)算機(jī)在它們的通信和活動往來中共享相似的特 性。這些方法用于監(jiān)控網(wǎng)絡(luò)邊線上的網(wǎng)絡(luò)流量，尋找網(wǎng)絡(luò)中的共享類似連接到外部因特網(wǎng) 協(xié)議（"IP"）地址的主機(jī)，而不是監(jiān)控內(nèi)部的網(wǎng)絡(luò)流量。對于這些方法所針對檢測的攻擊 類型，中央實(shí)體不需要控制網(wǎng)絡(luò)中各種被感染的主機(jī)。
[0007] 另一種常規(guī)的入侵檢測系統(tǒng)的目的在于，基于用戶指定的規(guī)則集通過構(gòu)建隨時間 推移的網(wǎng)絡(luò)活動圖形，以檢測計(jì)算機(jī)網(wǎng)絡(luò)上的大規(guī)模惡意攻擊。這些網(wǎng)絡(luò)事件圖形的呈現(xiàn)， 據(jù)說能夠使分析人員直觀地判斷是否正在發(fā)生可疑的網(wǎng)絡(luò)活動。然而，留給用戶去考慮哪 些活動是異常的，而且沒有提供建議來尋找網(wǎng)絡(luò)中的用作協(xié)同攻擊發(fā)生的估量的重疊活 動。
[0008] 在入侵檢測中顯著的研究領(lǐng)域?yàn)榫瘓?bào)關(guān)聯(lián)性，其涉及到多個入侵檢測系統(tǒng)產(chǎn)生的 集群警報(bào)。基于多個警報(bào)在時間上的相似性和接近性，利用統(tǒng)計(jì)測試來評估多個警報(bào)的相 關(guān)性。其目的是為了減少誤報(bào)并且?guī)椭治稣咄ㄟ^將多個警報(bào)歸因于單個威脅，使更清晰 地觀察攻擊的不同階段并且降低分析者必須要從頭到尾要進(jìn)行篩選的警報(bào)數(shù)量。然而，這 種方法并沒有特別用于尋找連接中的重疊。
[0009] 檢測網(wǎng)絡(luò)平臺上更大規(guī)模的協(xié)同攻擊，比如分布式的拒絕服務(wù)攻擊或者大規(guī)模的 隱身掃描，是另一個主要的研究領(lǐng)域。協(xié)作式入侵檢測系統(tǒng)的目的在于，通過使用上述的警 報(bào)相關(guān)性以檢測這些協(xié)同攻擊，該警報(bào)是由通過一系列網(wǎng)絡(luò)的入侵檢測系統(tǒng)來產(chǎn)生。然而， 目前還沒有找到在內(nèi)部網(wǎng)絡(luò)中找出協(xié)同攻擊的方法。因此，在內(nèi)部網(wǎng)絡(luò)上識別協(xié)同攻擊的 方法是非常有益的。


【發(fā)明內(nèi)容】

[0010] 本發(fā)明的某些實(shí)施例可以提供方案以解決當(dāng)前的網(wǎng)絡(luò)異常檢測系統(tǒng)仍然沒有完 全識別、理解或解決的問題和需求。例如，本發(fā)明的一些實(shí)施例在內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)中檢測異 常以識別協(xié)同群組攻擊。
[0011] 在一個實(shí)施例中，一種計(jì)算機(jī)執(zhí)行的方法包括，通過計(jì)算系統(tǒng)確定網(wǎng)絡(luò)的異常圖 形，包括異常圖形中的節(jié)點(diǎn)、邊線和節(jié)點(diǎn)的入度。該計(jì)算機(jī)執(zhí)行的方法還包括，通過計(jì)算系 統(tǒng)將帶有至少兩個入度的節(jié)點(diǎn)指定為潛在的目標(biāo)，通過計(jì)算系統(tǒng)將不帶有傳入連接的節(jié)點(diǎn) 指定為潛在地受感染的節(jié)點(diǎn)。該計(jì)算機(jī)執(zhí)行的方法還包括，當(dāng)該潛在地受感染的節(jié)點(diǎn)連接 到一個或多個相同的潛在的目標(biāo)節(jié)點(diǎn)時，通過計(jì)算系統(tǒng)將指定的潛在地受感染的節(jié)點(diǎn)輸出 為在網(wǎng)絡(luò)上潛在地與協(xié)同攻擊關(guān)聯(lián)。
[0012] 在另一個實(shí)施例中，一種裝置包括至少一個處理器和含有指令的存儲器。當(dāng)至少 一個處理器執(zhí)行該指令時，該指令被配置為在多個時間周期上監(jiān)控網(wǎng)絡(luò)，從而在至少一個 時間周期上確定出一組攻擊者中表示潛在活動的異常行為。該指令還被配置為，在至少一 個時間周期上確定出異常行為的時候，提供在網(wǎng)絡(luò)中發(fā)生群組攻擊的標(biāo)示。
[0013] 又在另一個實(shí)施例中，一種系統(tǒng)，包括儲存計(jì)算機(jī)程序指令的存儲器，該計(jì)算機(jī)程 序指令配置為檢測網(wǎng)絡(luò)中的異常并且配置為執(zhí)行儲存的計(jì)算機(jī)程序指令的多個處理核心。 該多個處理核心配置為在一時間周期內(nèi)產(chǎn)生網(wǎng)絡(luò)的異常圖形。該處理核心還配置為，在該 時間周期內(nèi)確定是否存在不帶有入度的多個節(jié)點(diǎn)和普通的節(jié)點(diǎn)連接。該處理核心進(jìn)一步配 置為，當(dāng)系統(tǒng)確定了在異常圖形的一個或多個子圖中存在不帶有入度的多個節(jié)點(diǎn)并且存在 普通的節(jié)點(diǎn)連接的時候，產(chǎn)生網(wǎng)絡(luò)上的潛在攻擊的標(biāo)示。

【專利附圖】

【附圖說明】
[0014] 為了正確理解本發(fā)明，需要參考附圖。這些附圖僅描述了本發(fā)明的一些實(shí)施例而 不作為對發(fā)明范圍的限制。關(guān)于附圖：
[0015] 圖1A為根據(jù)本發(fā)明實(shí)施例顯示潛在異常行為的一組節(jié)點(diǎn)的子圖St ;
[0016] 圖1B為根據(jù)本發(fā)明實(shí)施例的異常子圖&，該子圖已縮小為顯示群組活動的節(jié)點(diǎn)；
[0017] 圖2為根據(jù)本發(fā)明的實(shí)施例用于在網(wǎng)絡(luò)上檢測異常行為以識別協(xié)同的群組攻擊 的方法流程圖；
[0018] 圖3為根據(jù)本發(fā)明的實(shí)施例用于在網(wǎng)絡(luò)上檢測異常行為以識別協(xié)同的群組攻擊 的方法流程圖；
[0019] 圖4為根據(jù)本發(fā)明的實(shí)施例用于在網(wǎng)絡(luò)上檢測異常行為以識別協(xié)同的群組攻擊 的方法流程圖；
[0020] 圖5為根據(jù)本發(fā)明的實(shí)施例用于在網(wǎng)絡(luò)上檢測群組攻擊的計(jì)算系統(tǒng)的框圖。

【具體實(shí)施方式】
[0021] 本發(fā)明的一些實(shí)施例檢測來自多個攻擊者，通常是從協(xié)同攻擊者（即，隊(duì)伍），的 統(tǒng)計(jì)異常。在某些實(shí)施例中，可以實(shí)時執(zhí)行檢測。這些實(shí)施例涉及內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)上的異 常檢測問題，其中的異常表示網(wǎng)絡(luò)上的攻擊。具體地，一些實(shí)施例的目的在于，利用基于異 常的檢測系統(tǒng)來檢測協(xié)同攻擊，其中入侵者危及網(wǎng)絡(luò)中的多個主機(jī)并且同時使用這些主機(jī) 進(jìn)行有針對性的惡意活動。
[0022] 在隊(duì)伍方面一些實(shí)施例是非常新穎的。尤其在涉及國家行為者的情況下，老練的 對手通常利用同時攻擊者的隊(duì)伍以快速完成任務(wù)。然而，當(dāng)存在多個攻擊者的時候，隨著異 常行為趨于更為普遍，在統(tǒng)計(jì)學(xué)上來講，這將引發(fā)更大的信號。因此，一些實(shí)施例將同時性 納入考慮，產(chǎn)生比單獨(dú)考慮每個異常要更好的檢測效果。
[0023] 為了能夠在大型網(wǎng)絡(luò)中進(jìn)行部署，一些實(shí)施例將網(wǎng)絡(luò)圖形中的所有節(jié)點(diǎn)和邊線初 步視為獨(dú)立的實(shí)體，并且針對表示群組活動的顯著的重疊或者相關(guān)的行為尋找隨時間推移 的潛在異常的邊線。這樣的群組活動的例子可以是在一些特定時期內(nèi)全部與節(jié)點(diǎn)公共集關(guān) 聯(lián)的受感染節(jié)點(diǎn)。可以基于對認(rèn)知的歷史行為的一些背離，使用基線統(tǒng)計(jì)概率模型對行為 進(jìn)行分類，該模型比如是作為優(yōu)先權(quán)基礎(chǔ)的美國臨時專利申請序列號為61/614, 148(以下 簡稱"優(yōu)先權(quán)申請"）中討論的模型。這種獨(dú)立性假設(shè)的有效性依靠認(rèn)識來自歷史數(shù)據(jù)的每 個節(jié)點(diǎn)的周期性行為，這些行為為基線概率模型提供信息。接著，由于那些時期中的節(jié)點(diǎn)是 活動的，沿著從該節(jié)點(diǎn)發(fā)出的邊線的連接也被視為有條件的獨(dú)立?？傊@兩個方面的特征 為網(wǎng)絡(luò)中沿者每條邊線的活動級別提供了一種概率模型。
[0024] 此異常邊線聚集可能類似于優(yōu)先權(quán)申請中的一些實(shí)施例方法的構(gòu)思，在形成路徑 的網(wǎng)絡(luò)中尋找異常邊線，以遍歷攻擊者的檢測為目的。然而，一些實(shí)施例的目的在于從多個 受感染的節(jié)點(diǎn)連接中檢測重疊，而不是從單個受感染的節(jié)點(diǎn)開始遍歷網(wǎng)絡(luò)進(jìn)行尋找。入侵 者傾向于創(chuàng)建新的行為模式，因?yàn)樗麄冊诰W(wǎng)絡(luò)中的操作性質(zhì)，并且事實(shí)上他們一般不訪問 歷史數(shù)據(jù)。
[0025] 在政府和企業(yè)防衛(wèi)網(wǎng)絡(luò)中，一旦黑客已經(jīng)穿透外圍防御，識別黑客變得尤其重要。 在攻擊者隊(duì)伍穿透核心網(wǎng)絡(luò)前，迅速識別攻擊者隊(duì)伍，可以為被攻擊的機(jī)構(gòu)挽救數(shù)百萬美 元的資產(chǎn)損失。如果考慮到攻擊者持續(xù)處于網(wǎng)絡(luò)中并滲透到核心機(jī)器，唯一的解決辦法通 常是關(guān)閉網(wǎng)絡(luò)數(shù)天，否則數(shù)星期。從消除網(wǎng)絡(luò)功能到引起重要的公共關(guān)系破壞，帶來明顯的 影響。按照上述，本發(fā)明的一些實(shí)施例監(jiān)控內(nèi)部網(wǎng)絡(luò)以檢測黑客隊(duì)伍。傳統(tǒng)的系統(tǒng)不可能 帶有或者識別出這種有益特征。
[0026] 在一些實(shí)施例中，統(tǒng)計(jì)異常檢測涉及沿網(wǎng)絡(luò)中的每條邊線（或至少多條邊線）的 監(jiān)控行為，并且尋找與合適的概率模型有關(guān)的邊遠(yuǎn)行為。當(dāng)邊線持續(xù)表現(xiàn)正常的時候，可以 使用觀察到的數(shù)據(jù)進(jìn)一步在清晰的更新方案中提煉概率模型。否則，如果邊線當(dāng)前的行為 明顯偏離過去的行為，可以將邊線標(biāo)記為異常。在每個時間點(diǎn)上，可以為沿著每個邊線的當(dāng) 前行為從概率模型獲取P-值，以量化偏離級別。低P-值可以指示潛在異常的行為。
[0027] -些實(shí)施例的新穎性在于，在一些時間窗口上看似異常的邊線內(nèi)搜索表示群組活 動的顯著的重疊或相互關(guān)聯(lián)的行為。這樣的群組活動的例子可以是全部與一些特定時期內(nèi) 的節(jié)點(diǎn)公共集全部關(guān)聯(lián)的受感染節(jié)點(diǎn)。統(tǒng)計(jì)獨(dú)立概率模型在觀測基本重疊的異常行為中沒 有捕獲到背離正常的行為，因此，這可以被視為需要在異常檢測系統(tǒng)內(nèi)進(jìn)行處理的額外相 關(guān)信息。
[0028] 聚集異常邊線以檢測重疊，類似于優(yōu)先權(quán)申請中討論的一些實(shí)施例方法的構(gòu)思， 在形成路徑的網(wǎng)絡(luò)中尋找異常邊線，以遍歷攻擊者的檢測為目的。然而，在本發(fā)明的一些實(shí) 施例中，從多個受感染的節(jié)點(diǎn)連接中檢測重疊，而不是通過網(wǎng)絡(luò)從單個受感染的節(jié)點(diǎn)開始 尋找遍歷。下面敘述怎樣才能檢測重疊活動的簡單例子。
[0029] 可以認(rèn)為網(wǎng)絡(luò)中的最近行為包含滑動時間窗口中的所有連接事件?？梢赃x擇該窗 口的寬度w，以符合分析者的關(guān)注。然而，由于本例中討論的實(shí)施例針對檢測系統(tǒng)活動，w必 須相對于圖形的全部歷史要小。
[0030] 在時間t，（Vt，Et)為當(dāng)前圖形，該圖形包括所有通信節(jié)點(diǎn)V t以及在多數(shù)的最近時 間窗口（t-w，t)內(nèi)活動的所有邊線Et。對每個邊線（i，j) eEt，獲取p-值Pij,t，表示該邊 線已背離其正常行為的程度。對于P-值的閥值T e (〇, 1)，從具有低于閥值的正p-值的邊 線形成網(wǎng)絡(luò)的異常圖形

【權(quán)利要求】
1. 一種計(jì)算機(jī)執(zhí)行的方法，包括： 通過計(jì)算系統(tǒng)確定網(wǎng)絡(luò)的異常圖形，包括節(jié)點(diǎn)、邊線和異常圖形中節(jié)點(diǎn)的入度； 通過計(jì)算系統(tǒng)將具有至少兩個入度的節(jié)點(diǎn)指定為潛在的目標(biāo)； 通過計(jì)算系統(tǒng)將不具有傳入連接的節(jié)點(diǎn)指定為潛在地受感染的節(jié)點(diǎn)；以及 當(dāng)所述潛在地受感染的節(jié)點(diǎn)連接到至少一個相同的潛在的目標(biāo)節(jié)點(diǎn)時，通過計(jì)算系統(tǒng) 將指定的潛在地受感染的節(jié)點(diǎn)輸出為在網(wǎng)絡(luò)上潛在地與協(xié)同攻擊相關(guān)聯(lián)。
2. 根據(jù)權(quán)利要求1所述的計(jì)算機(jī)執(zhí)行的方法，其中權(quán)利要求1的步驟由計(jì)算系統(tǒng)在滑 動時間窗口內(nèi)周期地執(zhí)行。
3. 根據(jù)權(quán)利要求1所述的計(jì)算機(jī)執(zhí)行的方法，進(jìn)一步包括： 通過計(jì)算系統(tǒng)從所述異常圖形中刪除傳入的邊線，該傳入的邊線轉(zhuǎn)向具有一個入度的 節(jié)點(diǎn)。
4. 根據(jù)權(quán)利要求1所述的計(jì)算機(jī)執(zhí)行的方法，進(jìn)一步包括： 通過計(jì)算系統(tǒng)確定異常圖形中每個弱關(guān)聯(lián)的子圖。
5. 根據(jù)權(quán)利要求4所述的計(jì)算機(jī)執(zhí)行的方法，進(jìn)一步包括： 利用給定的子圖中非有向邊線的數(shù)量來計(jì)算每個子圖的匯總的統(tǒng)計(jì)量〇k，所述匯總的 統(tǒng)計(jì)量由下式確定：
其中\(zhòng)和b表示給定子圖的邊線集Ek中的邊線。
6. 根據(jù)權(quán)利要求1所述的計(jì)算機(jī)執(zhí)行的方法，其中所述計(jì)算系統(tǒng)配置為將異常圖形中 的所有節(jié)點(diǎn)和邊線視為為獨(dú)立的實(shí)體。
7. 根據(jù)權(quán)利要求1所述的計(jì)算機(jī)執(zhí)行的方法，其中對于p-值的閥值T e (〇, 1)，從具 有低于閥值的正P-值的邊線中形成網(wǎng)絡(luò)的異常圖形

其4
是St中的邊線集，
|St中的節(jié)點(diǎn)集，并且Pij, t是對給定邊線（i，j) e Et的 P_值。
8. -種裝置，包括： 至少一個處理器；以及 儲存計(jì)算機(jī)程序指令的存儲器，其中所述指令在由至少一個處理器執(zhí)行時，被配置為 使得至少一個處理器： 在時間周期上監(jiān)控網(wǎng)絡(luò)，從而在至少一個時間周期內(nèi)從一組攻擊者中確定出表示潛在 活動的異常行為；以及 在至少一個時間周期內(nèi)在確定出異常行為時提供網(wǎng)絡(luò)中發(fā)生群組攻擊的標(biāo)示。
9. 根據(jù)權(quán)利要求8所述的裝置，其中所述異常行為包括重疊或者互相關(guān)聯(lián)的行為，其 中在所述時間周期的至少一個內(nèi)一組潛在地受感染的節(jié)點(diǎn)嘗試去連接公共節(jié)點(diǎn)。
10. 根據(jù)權(quán)利要求8所述的裝置，其中所述指令被進(jìn)一步配置為使得至少一個處理器 為網(wǎng)絡(luò)中的每個邊線確定P-值，其中該P(yáng)-值表示相應(yīng)的邊線已背離其正常行為的程度。
11. 根據(jù)權(quán)利要求10所述的裝置，其中對于P-值的閥值Te (〇，1)，指令被進(jìn)一 步配置為使得至少一個處理器從具有低于閥值的正P-值的邊線中形成網(wǎng)絡(luò)的異常圖形
其中If是St中的邊線集，是St中的節(jié)點(diǎn)集，并且pu,t是對給定邊線（i，j) e Et的 p_值。
12. 根據(jù)權(quán)利要求11所述的裝置，其中所述指令被進(jìn)一步配置為使得至少一個處理器 執(zhí)行： 在異常圖形中刪除傳入的邊線，該傳入的邊線轉(zhuǎn)向帶有一個入度的節(jié)點(diǎn)。
13. 根據(jù)權(quán)利要求11所述的裝置，其中所述指令被進(jìn)一步配置為使得至少一個處理器 執(zhí)行： 確定異常圖形中每個弱關(guān)聯(lián)的子圖。
14. 根據(jù)權(quán)利要求13所述的裝置，其中所述指令被進(jìn)一步配置為使得至少一個處理器 使用給定子圖中非有向邊線的數(shù)量為每個子圖計(jì)算匯總的統(tǒng)計(jì)量〇 k，所述匯總的統(tǒng)計(jì)量由 下式確定：
其中，和b表示給定子圖的邊線集Ek中的邊線。
15. -種系統(tǒng)，包括： 存儲器，儲存被配置為檢測網(wǎng)絡(luò)中異常的計(jì)算機(jī)程序指令；以及 多個處理核心，被配置為執(zhí)行儲存的計(jì)算機(jī)程序指令以及： 生成網(wǎng)絡(luò)在一時間周期內(nèi)的異常圖形； 確定在該時間周期內(nèi)是否存在不帶有入度的多個節(jié)點(diǎn)和公共節(jié)點(diǎn)連接；和 當(dāng)系統(tǒng)確定了在異常圖形的一個或多個子圖中存在不帶有入度的多個節(jié)點(diǎn)以及公共 節(jié)點(diǎn)連接的時候，生成網(wǎng)絡(luò)上潛在攻擊的標(biāo)示。
16. 根據(jù)權(quán)利要求15所述的系統(tǒng)，其中所述標(biāo)示包括潛在地受感染的不帶有入度的節(jié) 點(diǎn)和公共節(jié)點(diǎn)連接，并且潛在地受感染的節(jié)點(diǎn)與帶有兩個以上入度的潛在目標(biāo)節(jié)點(diǎn)連接。
17. 根據(jù)權(quán)利要求15所述的系統(tǒng)，其中所述多個處理核心被進(jìn)一步配置為對網(wǎng)絡(luò)中的 每個邊線確定P-值，其中該P(yáng)-值表示相應(yīng)的邊線已背離其正常行為的程度。
18. 根據(jù)權(quán)利要求17所述的系統(tǒng)，其中對于p-值的閥值Te (〇，1)，所述處理器核心 被進(jìn)一步配置為從具有低于閥值的正P-值的邊線中形成網(wǎng)絡(luò)的異常圖形：

其中是st中的邊線集，vf是St中的節(jié)點(diǎn)集，并且pu,t是對給定邊線（i，j) e Et的 P_值。
19. 根據(jù)權(quán)利要求15所述的系統(tǒng)，其中所述處理核心被進(jìn)一步配置為： 從異常圖形中刪除轉(zhuǎn)向具有一個入度的節(jié)點(diǎn)的傳入邊線。
20. 根據(jù)權(quán)利要求15所述的系統(tǒng)，其中所述處理核心被進(jìn)一步配置為： 確定異常圖形中每個弱關(guān)聯(lián)的子圖。
【文檔編號】G06F11/00GK104303152SQ201380026043
【公開日】2015年1月21日 申請日期:2013年3月14日 優(yōu)先權(quán)日:2012年3月22日
【發(fā)明者】約書亞·C·尼爾, 梅利莎·特科特, 尼古拉斯·A·赫德 申請人:洛斯阿拉莫斯國家安全股份有限公司, 皇家創(chuàng)新公司