CN105530265B - 一种基于频繁项集描述的移动互联网恶意应用检测方法 - Google Patents

一种基于频繁项集描述的移动互联网恶意应用检测方法 Download PDF

Info

Publication number
CN105530265B
CN105530265B CN201610060564.3A CN201610060564A CN105530265B CN 105530265 B CN105530265 B CN 105530265B CN 201610060564 A CN201610060564 A CN 201610060564A CN 105530265 B CN105530265 B CN 105530265B
Authority
CN
China
Prior art keywords
application
data
item set
frequent item
malicious application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610060564.3A
Other languages
English (en)
Other versions
CN105530265A (zh
Inventor
李青山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Li Qingshan
Nanjing Boya Blockchain Research Institute Co ltd
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201610060564.3A priority Critical patent/CN105530265B/zh
Publication of CN105530265A publication Critical patent/CN105530265A/zh
Application granted granted Critical
Publication of CN105530265B publication Critical patent/CN105530265B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明涉及一种基于频繁项集描述的移动互联网恶意应用检测方法,属于移动互联网网络安全技术领域,该方法通过全面采集移动互联网中的各类数据,包括网络数据包、业务日志、安全设备事件等,构建大数据分析环境,利用大数据分析技术,构建移动端应用的特征数据,描述应用,解决同一样本在不同的移动终端上抽取得到的样本数据差异问题;本方法不需要移动设备客户端应用的支持,便于调整和部署;本方法分析的数据对象针对恶意应用的网络行为,不受恶意应用加壳、加密、动态加载执行等技术的影响。

Description

一种基于频繁项集描述的移动互联网恶意应用检测方法
技术领域
本发明属于移动互联网网络安全技术领域,具体涉及一种基于频繁项集描述的移动互联网恶意应用检测方法。
背景技术
随着移动互联网的迅速发展,移动终端的使用数量也在急剧增长,并在2011年超过了PC端上网用户数量。4G网络的部署、智能手机操作系统的普及(当前主流智能操作系统为Android和ios)以及各类移动应用的快速出现和普及,能够快捷和方便的满足用户的大多生活及工作需要,大大推动了移动端上网用户数量和移动互联网上网流量的急剧增加。
手机移动终端的方便使用使得越来越多的个人业务转移到移动终端,很多传统互联网端恶意应用开始向移动端移植,且数量呈现急剧增长的态势。与PC相比,受限于制造及硬件水平,当前手机智能操作系统在资源方面有较大的限制,如电池容量、内存及CPU等,使得其无法像PC那样充分利用本地资源对恶意应用进行检测和分析。此外,不同的操作系统和硬件架构,使得传统互联网下的一些安全机制无法完全移植应用到移动互联网。
对移动端应用的分析,相关检测技术主要包括静态样本分析和动态行为分析。静态样本分析技术通过分析应用的静态特征,如文件占用、源码依赖、特定字符串等确定应用的分类;动态行为分析技术通过对应用的行为进行监控,检测其行为是否具有恶意倾向判断是否为恶意应用。对移动端恶意应用的描述,一般需要利用静态或动态技术对特定恶意移动样本的特征进行抽取,并保存为特征向量组。利用这些特征向量数据作为训练依据,可对后续的样本进行检测。静态分析技术的输出主要包括:样本文件的相关信息,如文件大小、hash、需要的权限、文件类型和结构等;样本的函数调用,如组件间的调用关系,函数依赖序列;动态分析技术对样本的输出数据主要包括:样本的执行日志,如执行调用函数系列、样本执行输出文件、访问的外部资源、对隐私数据的访问、向外发出的数据等;样本资源的占用,如内存的使用,cpu执行事件以及电池的消耗等。
在静态特征分析技术中,基于恶意样本签名匹配技术的检测相对比较简单,主要针对已知的恶意应用,有很高的准确率,但对未知样本和使用了混淆及加密技术的样本检测能力不足。权限机制是Android系统安全的核心组成部分之一,其本质上是一种对资源的访问控制机制。一些研究人员针对移动应用运行所需要申请的权限信息,从大量的应用程序包中提取该程序的权限声明,分析这些应用的权限特征,如应用是否存在权限过度申请、不同应用的权限申请倾向。部分研究工作针对恶意应用中的API调用关系,基于采用静态分析的方法抽取API调用,将恶意应用的行为逻辑抽象为代表所属威胁模式的向量序列,标记为特定的行为序列图。对新增应用,采用机器学习的方法,用与其最为接近的威胁模式序列所属的分类标记应用。
应用动态分析系统一般采用在应用层或内核层动态监控应用执行的方式,记录和保存应用的动作及输出。在应用层主要依赖于特定客户端,在内核层则主要通过对关键内核API函数的劫持实现。
当前已有研究成果中所提出和实现的方法,主要基于客户端应用,依赖于客户端应用对特定基础资源数据的收集,这导致依赖客户端应用的架构方式无法覆盖全部的移动端用户;基于单个终端抽取得到的应用特征及行为描述具有较大的随机性。
发明内容
针对现有技术的不足,本发明提出一种基于频繁项集描述的移动互联网恶意应用检测方法,该方法不需要移动设备客户端应用的支持,便于调整和部署,其分析的数据对象针对恶意应用的网络行为,不受恶意应用加壳、加密、动态加载执行等技术的影响。
一种基于频繁项集描述的移动互联网恶意应用检测方法,包括以下步骤:
步骤1、采用已知移动端恶意应用样本历史流量数据作为训练数据,提取恶意应用样本的频繁项集,建立恶意应用样本库;
步骤2、在移动互联网中采集并保存各个移动终端的网络流量数据,对上述流量数据按照应用种类和时间进行分组并按照切分窗口进行切分,获得每个移动终端各应用的频繁项集;
步骤3、将步骤2所获取的频繁项集与恶意应用样本库进行比对,判断各应用是否为恶意应用,若是,则提醒该移动终端此应用为恶意应用;否则,返回执行步骤2。
步骤2所述的在移动互联网中采集各个移动终端的历史流量数据,对上述流量数据按照应用种类和时间进行分组并按照切分窗口进行切分,获得每个移动终端各应用的频繁项集,具体步骤如下:
步骤2-1、在移动互联网中采集各个移动终端的网络流量数据并保存;
步骤2-2、将固定周期内每个用户的应用流量数据按照应用种类进行分组;
步骤2-3、对每个用户的各个应用按照时间顺序将流量数据进行分组;
步骤2-4、获取恶意应用样本库内流量数据的最大时间间隔,将该时间间隔作为切分窗口对应用流量数据进行切分;
步骤2-5、将每个切分窗口内的流量数据进行向量化获得项集集合,并提取该项集集合的频繁项集。
步骤2所述的在移动互联网中采集各个移动终端的历史流量数据,具体为:在移动互联网运营商Gn设备旁侧设置流量采集装置。
步骤3所述的将步骤2所获取的频繁项集与恶意应用样本库进行比对,具体为:确定频繁项集内每一项的相似度,再根据每项的相似度获得各应用的频繁项集与已知恶意样本的频繁项集之间的Jaccard距离,若Jaccard距离小于设定的阈值,则为恶意应用,否则,为正常应用。
步骤2-4所述的获取恶意应用样本库内流量数据的最大时间间隔,即获取样本库中每个应用的最大时间间隔,再求取平均值。
步骤2-5所述的频繁项集,采用aprior算法进行挖掘,即挖掘出该应用频繁出现的行为。
本发明优点:
本发明提出一种基于频繁项集描述的移动互联网恶意应用检测方法,通过全面采集移动互联网中的各类数据,包括网络数据包、业务日志、安全设备事件等,构建大数据分析环境,利用大数据分析技术,构建移动端应用的特征数据,描述应用,解决同一样本在不同的移动终端上抽取得到的样本数据差异问题;本方法不需要移动设备客户端应用的支持,便于调整和部署;本方法分析的数据对象针对恶意应用的网络行为,不受恶意应用加壳、加密、动态加载执行等技术的影响。
附图说明
图1为本发明一种实施例的基于频繁项集描述的移动互联网恶意应用检测方法流程图;
图2为本发明一种实施例的应用特征数据提取的随机性示意图;
图3为本发明一种实施例的抽取应用描述示意图;
图4为本发明一种实施例的应用间的相似性度量示意图。
具体实施方式
下面结合附图对本发明一种实施例做进一步说明。
本发明实施例中,基于频繁项集描述的移动互联网恶意应用检测方法,方法流程图如图1所示,包括以下步骤:
步骤1、采用已知移动端恶意应用样本历史流量数据作为训练数据,提取恶意应用样本的频繁项集,建立恶意应用样本库;
步骤2、在移动互联网中采集并保存各个移动终端的网络流量数据,对上述流量数据按照应用种类和时间进行分组并按照切分窗口进行切分,获得每个移动终端各应用的频繁项集;
具体步骤如下:
步骤2-1、在移动互联网中采集各个移动终端的网络流量数据并保存;
本发明实施例中,如图2所示,在运营商移动网络侧能够观测到移动用户发出的所有网络数据(日志),基于移动网络的特点,能够将每条网络数据定位到具体的终端设备上;对每个终端发出的网络流量,以时间为索引,抽取流量特征,建立时间顺序数据库;在此基础上,以特定应用为对象,以时间分割和流量特征为依据,从每个用户流量中抽取属于特定应用的流量数据;由于每个用户的操作和使用习惯不同,如不同用户触发了不同的功能模块,导致特定应用在网络流量上的表现也存在较大的差异;
本发明实施例中,以客户端产生的HTTP网络流量为基础,在某省运行商Gn设备旁部署数据采集程序,并对采集的数据进行整理和存储,建立移动端应用的历史流量数据库,作为本文检测方法的原始数据输入。
数据整理后每条HTTP流量中的关键字段如表1所示:
表1
需要为每条数据确定其所指向的APP(应用),本发明实施例中,采用相对简单的特征匹配方式,以domain(域名)、dport(目标端口)和dip(目标IP)组成特征字符串,匹配其属于何种APP(应用);
步骤2-2、将固定周期内每个用户的应用流量数据按照应用种类进行分组;
本发明实施例中,如图3所示,将每条数据(来自现网HTTP流)按照APP_ID进行分组,每组数据以APP_ID进行标记,某分组的部分数据列表如表2所示:
表2
注:url为客户端访问的网址;host为用户端访问的目标主机;head为所用http协议头;User-Agent为客户端访问网络使用的终端类型;
步骤2-3、对每个用户的各个应用按照时间顺序将流量数据进行分组;
本发明实施例中,将表2中数据按照不同终端用户分开,形成每个终端对某一APP_ID按照时间顺序的访问记录,形成表3:
表3:某一用户的特定应用产生的HTTP流量记录
步骤2-4、获取恶意应用样本库内流量数据的最大时间间隔,将该时间间隔作为切分窗口对应用流量数据进行切分;
本发明实施例中,利用恶意应用样本库中已知恶意样本的HTTP流量,训练提取同一样本产生的流量间的最大时间间隔It,作为表3中数据记录的切分窗口,当相邻两条记录的时间间隔小于It时,将两条记录视为由移动端应用程序在某一时间的某一特定功能产生的连续数据。
本发明实施例中,通过获取样本库中每个恶意应用的最大时间间隔,再求取平均值,获取所述的最大时间间隔It。
步骤2-5、将每个切分窗口内的流量数据进行向量化获得项集集合,并提取该项集集合的频繁项集;
本发明实施例中,如图3所示,针对某一特定应用APPi,当其使用的终端数量增多时,在一定时间内,所有终端用户对此应用的操作能够完全覆盖此应用的所有功能,并且,用户使用频率较多的功能,其对应网络流量数据也会较多;因此,对特定应用,提取每位用户在特定时间窗口上的流量序列作为此应用的一个描述实例,将来自所有用户的应用描述数据作为基础数据集合,在此集合基础上,抽取集合中的一个或多个频繁项集作为此应用的描述;
本发明实施例中,按照顺序,抽取每组连续数据的PARAM_CONTENT字段,形式化为向量T,其中,向量I是一个序列,序列中的元素i由PARAM_CONTENT得到,每条PARAM_CONTENT对应一个元素i;如只抽取PARAM_CONTENT中的请求方法和使用的协议,则i的一个取值可能为GET+HTTPS,向量I1为:[GET+HTTP,GET+HTTP,POST+HTTP,POST+HTTP];
本发明实施例中,将由所有用户得到的向量I组为集合I={I1,I2I3,...,},表示所有用户在使用特定应用时,各行为片段产生的特征流量;基于大量用户的流量数据构建的集合I,挖掘出其中的频繁项集,这些频繁项集能够稳定和全面的描述某一特定移动端应用;项集集合I={I1,I2I3,...,}中的每项都代表一段应用的行为,只需要挖掘其中的1项频繁项集,所以只需要对整个集合扫描一次,本发明实施例中,利用aprior算法实现频繁项集的挖掘工作。
步骤3、将步骤2所获取的频繁项集与恶意应用样本库进行比对,判断各应用是否为恶意应用,若是,则提醒该移动终端此应用为恶意应用;否则,返回执行步骤2。
本发明实施例中,如图4所示,对已有特征描述的应用,可分别采用分类和聚类进行分析;利用恶意样本知识库和移动互联网历史流量数据,构建训练样本集并对特定应用进行分类分析;对已分类的应用进行相似性分析,利用字符串编辑距离、图相似度等度量应用间的相似性,对应用进行应用族的分类分析;
本发明实施例中,如图4所示,利用已知恶意样本作为训练数据,通过1项频繁项集的挖掘,提取已知恶意样本的频繁项集;将挖掘得到的各应用的频繁项集与已知恶意样本的频繁项集计算Jaccard距离,对各应用是否属于恶意进行分类,具体如下:
确定频繁项集内每一项的相似度Similarity(Ii,Ij),再根据每项的相似度获得各应用的频繁项集与已知恶意样本的频繁项集之间的Jaccard距离若Jaccard距离小于设定的0.2,则为恶意应用,否则,为正常应用。
本发明实施例中,对分类过程中输出的部分恶意应用,利用网络搜索引擎和PARAM_CONTENT的url等信息,获取得到了各应用的样本程序及文件名。
将这些样本程序提交安全分析工具进行分析,本发明实施例中,反馈的安全分析报告结果如表4:
表4

Claims (5)

1.一种基于频繁项集描述的移动互联网恶意应用检测方法,其特征在于,包括以下步骤:
步骤1、采用已知移动端恶意应用样本历史流量数据作为训练数据,提取恶意应用样本的频繁项集,建立恶意应用样本库;
步骤2、在移动互联网中采集并保存各个移动终端的网络流量数据,对上述流量数据按照应用种类和时间进行分组并按照切分窗口进行切分,获得每个移动终端各应用的频繁项集,具体步骤如下:
步骤2-1、在移动互联网中采集各个移动终端的网络流量数据并保存;
步骤2-2、将固定周期内每个用户的应用流量数据按照应用种类进行分组;
步骤2-3、对每个用户的各个应用按照时间顺序将流量数据进行分组;
步骤2-4、获取恶意应用样本库内流量数据的最大时间间隔,将该时间间隔作为切分窗口对应用流量数据进行切分;
步骤2-5、将每个切分窗口内的流量数据进行向量化获得项集集合,并提取该项集集合的频繁项集;
步骤3、将步骤2所获取的频繁项集与恶意应用样本库进行比对,判断各应用是否为恶意应用,若是,则提醒该移动终端此应用为恶意应用;否则,返回执行步骤2。
2.根据权利要求1所述的基于频繁项集描述的移动互联网恶意应用检测方法,其特征在于,步骤2所述的在移动互联网中采集各个移动终端的历史流量数据,具体为:在移动互联网运营商Gn设备旁侧设置流量采集装置。
3.根据权利要求1所述的基于频繁项集描述的移动互联网恶意应用检测方法,其特征在于,步骤3所述的将步骤2所获取的频繁项集与恶意应用样本库进行比对,具体为:确定频繁项集内每一项的相似度,再根据每项的相似度获得各应用的频繁项集与已知恶意样本的频繁项集之间的Jaccard距离,若Jaccard距离小于设定的阈值,则为恶意应用,否则,为正常应用。
4.根据权利要求1所述的基于频繁项集描述的移动互联网恶意应用检测方法,其特征在于,步骤2-4所述的获取恶意应用样本库内流量数据的最大时间间隔,即获取样本库中每个应用的最大时间间隔,再求取平均值。
5.根据权利要求1所述的基于频繁项集描述的移动互联网恶意应用检测方法,其特征在于,步骤2-5所述的频繁项集,采用aprior算法进行挖掘,即挖掘出该应用频繁出现的行为。
CN201610060564.3A 2016-01-28 2016-01-28 一种基于频繁项集描述的移动互联网恶意应用检测方法 Active CN105530265B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610060564.3A CN105530265B (zh) 2016-01-28 2016-01-28 一种基于频繁项集描述的移动互联网恶意应用检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610060564.3A CN105530265B (zh) 2016-01-28 2016-01-28 一种基于频繁项集描述的移动互联网恶意应用检测方法

Publications (2)

Publication Number Publication Date
CN105530265A CN105530265A (zh) 2016-04-27
CN105530265B true CN105530265B (zh) 2019-01-18

Family

ID=55772247

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610060564.3A Active CN105530265B (zh) 2016-01-28 2016-01-28 一种基于频繁项集描述的移动互联网恶意应用检测方法

Country Status (1)

Country Link
CN (1) CN105530265B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106101130B (zh) * 2016-07-08 2019-05-17 北京易华录信息技术股份有限公司 一种网络恶意数据检测方法、装置及系统
CN110737891A (zh) * 2018-07-19 2020-01-31 北京京东金融科技控股有限公司 一种主机入侵检测方法和装置
CN109086834B (zh) * 2018-08-23 2021-03-02 北京三快在线科技有限公司 字符识别方法、装置、电子设备及存储介质
CN109753800B (zh) * 2019-01-02 2023-04-07 重庆邮电大学 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统
CN111324893B (zh) * 2020-02-17 2022-05-10 电子科技大学 基于敏感模式的安卓恶意软件的检测方法及后台系统
CN111950282A (zh) * 2020-07-08 2020-11-17 国家计算机网络与信息安全管理中心 一种基于网络行为特征的扩线分析方法及装置
CN112257062B (zh) * 2020-12-23 2021-04-16 北京金睛云华科技有限公司 一种基于频繁项集挖掘的沙箱知识库生成方法和装置
CN113726783B (zh) * 2021-08-31 2023-03-24 北京知道创宇信息技术股份有限公司 异常ip地址识别方法、装置、电子设备及可读存储介质
CN114039744B (zh) * 2021-09-29 2024-02-27 中孚信息股份有限公司 一种基于用户特征标签的异常行为预测方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9501567B2 (en) * 2012-02-08 2016-11-22 Sap Se User-guided multi-schema integration
CN103927398B (zh) * 2014-05-07 2016-12-28 中国人民解放军信息工程大学 基于最大频繁项集挖掘的微博炒作群体发现方法
CN104331664B (zh) * 2014-11-27 2017-08-08 南京大学 一种在取证场景下自动分析未知恶意程序特征的方法

Also Published As

Publication number Publication date
CN105530265A (zh) 2016-04-27

Similar Documents

Publication Publication Date Title
CN105530265B (zh) 一种基于频繁项集描述的移动互联网恶意应用检测方法
Alan et al. Can Android applications be identified using only TCP/IP headers of their launch time traffic?
CN107665191B (zh) 一种基于扩展前缀树的私有协议报文格式推断方法
CN107992746B (zh) 恶意行为挖掘方法及装置
CN109525508B (zh) 基于流量相似性比对的加密流识别方法、装置及存储介质
CN107180192A (zh) 基于多特征融合的安卓恶意应用程序检测方法和系统
Altshuler et al. Trade-offs in social and behavioral modeling in mobile networks
CN104506484A (zh) 一种私有协议分析与识别方法
US11528285B2 (en) Label guided unsupervised learning based network-level application signature generation
CN106940805A (zh) 一种基于手机传感器的群体行为分析方法
CN106951782A (zh) 一种面向安卓应用的恶意代码检测方法
CN109660656A (zh) 一种智能终端应用程序识别方法
EP3905084A1 (en) Method and device for detecting malware
CN110493235A (zh) 一种基于网络流量特征的移动终端恶意软件同步检测方法
CN107818132A (zh) 一种基于机器学习的网页代理发现方法
CN110225009B (zh) 一种基于通信行为画像的代理使用者检测方法
Li et al. Activetracker: Uncovering the trajectory of app activities over encrypted internet traffic streams
Li et al. Street-Level Landmarks Acquisition Based on SVM Classifiers.
CN115941555A (zh) 一种基于流量指纹的app个人信息收集行为检测方法及系统
He et al. On‐Device Detection of Repackaged Android Malware via Traffic Clustering
CN112822121A (zh) 流量识别方法、流量确定方法、知识图谱建立方法
CN107608685A (zh) 安卓应用的自动执行方法
Ren et al. App identification based on encrypted multi-smartphone sources traffic fingerprints
CN113626817B (zh) 恶意代码家族分类方法
EP3964986A1 (en) Extraction device, extraction method, and extraction program

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20211104

Address after: Room 1533, building 1, science department, Peking University, No. 5, Yiheyuan Road, Haidian District, Beijing 100871

Patentee after: Li Qingshan

Patentee after: Nanjing Boya blockchain Research Institute Co.,Ltd.

Address before: Room 1533, building 1, science department, Peking University, No. 5, Yiheyuan Road, Haidian District, Beijing 100871

Patentee before: Li Qingshan

TR01 Transfer of patent right