公开(公告)号：CN112261006B

公开(公告)日：2022-07-19

申请号：CN202011034651.4

申请日：2020-09-27

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 李成梁 ,  李兴国 ,  苗功勋 ,  路冰 ,  孙宁

IPC: H04L9/40

Abstract: 本发明提供一种用于发现威胁行为间依赖关系的挖掘方法、终端及存储介质，收集系统内所有用户a的日志文件，对日志文件中的数据进行清洗和整理，形成员工行为集合S＝{behai}，统计集合S中的时间跨度wt；基于S和wt统计行为出现概率P(behai)和行为共现概率P(behai,behaj)；基于两种概率计算依赖关系数值depai,aj，depai,aj反映了行为behai对行为behaj的依赖程度；根据所有的depai,aj构建攻击依赖矩阵M，矩阵M反映了一个员工所有行为两两之间的依赖关系；由M得出攻击行为路径pathag→ak，pathag→ak表示一个完整的、最有可能发生的一系列攻击动作。本发明找出员工行为间的潜在联系，并量化这种依赖关系。企业可以通过依赖关系数值快速找出关系最紧密两种行为，按照事先规定的危险阈值对威胁行为进行预警，防止企业遭受一些来自内部的威胁攻击。

公开(公告)号：CN112235367B

公开(公告)日：2023-02-17

申请号：CN202011049252.5

申请日：2020-09-29

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 孙宁 ,  李兴国 ,  苗功勋 ,  路冰 ,  李成梁

IPC: H04L67/566 ,  H04L67/55

Abstract: 本发明提供一种基于有向图结构的实体行为关系消息订阅方法、系统、终端及存储介质，对日志文件进行标记，确定其所属类型；选取预设时间段内的所有日志文件，对每个日志文件进行解析，获取每个日志文件的实体和行为信息，按照源IP访问目标IP的顺序依次串联所有实体网络，形成一个有向图结构；用户根据相应的消息订阅方法指定约束条件，通过匹配算法将系统中的信息与用户输入的约束条件进行匹配；若匹配成功，则将匹配信息发送给对应的用户，实现用户与系统数据的交互。实现了大数据模式下实体行为关系数据的高效组织与分发，实现了订阅者与实体间的数据交互，同时提高了数据分析效率，对网络安全分析和威胁检测等方面提供较大帮助。

公开(公告)号：CN114465764A

公开(公告)日：2022-05-10

申请号：CN202111603496.8

申请日：2021-12-24

Applicant: 中孚信息股份有限公司

Inventor： 刘洋洋 ,  路冰 ,  孟维英 ,  孙宁 ,  邹斯达

IPC: H04L9/40 ,  H04L41/142

Abstract: 本发明提出的一种基于流量数据的端口扫描识别方法、系统及装置，属于计算机技术领域。所述方法包括：将具有扫描行为的流量数据以每十分钟划分一个时间窗口；在同一时间窗口内，聚合同一源ip地址下目的ip与目的端口相同的数据；判断任一源ip地址的访问数据是否小于预设阈值；并统计此源ip地址的访问信息和相应的目的ip地址的访问信息，作为输入信息；分别通过Snort检测方法、比值计算法、频率计算法计算输入信息并进行集成，得到源ip地址的最终检测分数；判断源ip地址的最终检测分数是否大于判定值；若是，则认定此源ip地址存在端口扫描行为。本发明能够更准确的发现执行扫描操作的主机，将恶意攻击带来的不利后果降至最低。

公开(公告)号：CN112488175A

公开(公告)日：2021-03-12

申请号：CN202011347823.3

申请日：2020-11-26

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 李兴国 ,  邹斯达 ,  苗功勋 ,  路冰 ,  孙宁

IPC: G06K9/62 ,  H04L29/06

Abstract: 本发明提供一种基于行为聚合特征的异常用户检测方法、终端及存储介质，获取预设时间段内的用户行为信息；基于访问地址信息将用户预设时间段内的特征属性进行聚合；将每个用户的矩阵配置成一行向量；分别计算任意两个用户之间的相关系数，作为行为相似度；查找相似度最大的两个用户，聚成一类；计算所述类与其他用户之间的相似度，并更新聚成一类用户的相似度矩阵，然后重复迭代计算；重复迭代计算达到预先设定的阈值之后，停止聚类过程，此时脱离内网群组的用户被认定为具有异常行为。这样，本发明降低了异常检测的误报率。可以识别掩藏在群组内部的异常用，保障数据信息的安全性。

公开(公告)号：CN112491877A

公开(公告)日：2021-03-12

申请号：CN202011350875.6

申请日：2020-11-26

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 邹斯达 ,  李兴国 ,  苗功勋 ,  路冰 ,  孙宁

IPC: H04L29/06

Abstract: 本发明提供一种用户行为序列异常检测方法、终端及存储介质，获取预设时间段用户行为信息；将特征属性进行聚合顺序；将用户预设时间段内的行为配置成行向量，再形成行为行向量时间序列；提取任意两个用户的行为行向量时间序列，计算相关系数，并判断向量相似度；采用动态规整算法查找两个用户的行为行向量时间序列的最优距离；计算所有用户之间的距离平均值和标准差；如有用户与其他用户间的距离大于平均值的+3倍标准差，则判断所述用户为异常用户。本发明可以分析用户行为细节，克服用户由于未有连续行为造成无法生成特征矩阵，序列长度不一致的问题，降低异常检测的误报率。使得可以识别掩藏在群组内部的异常行为，保障数据信息的安全性。

公开(公告)号：CN112235367A

公开(公告)日：2021-01-15

申请号：CN202011049252.5

申请日：2020-09-29

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 孙宁 ,  李兴国 ,  苗功勋 ,  路冰 ,  李成梁

IPC: H04L29/08

Abstract: 本发明提供一种基于有向图结构的实体行为关系消息订阅方法、系统、终端及存储介质，对日志文件进行标记，确定其所属类型；选取预设时间段内的所有日志文件，对每个日志文件进行解析，获取每个日志文件的实体和行为信息，按照源IP访问目标IP的顺序依次串联所有实体网络，形成一个有向图结构；用户根据相应的消息订阅方法指定约束条件，通过匹配算法将系统中的信息与用户输入的约束条件进行匹配；若匹配成功，则将匹配信息发送给对应的用户，实现用户与系统数据的交互。实现了大数据模式下实体行为关系数据的高效组织与分发，实现了订阅者与实体间的数据交互，同时提高了数据分析效率，对网络安全分析和威胁检测等方面提供较大帮助。

公开(公告)号：CN114465764B

公开(公告)日：2024-02-20

申请号：CN202111603496.8

申请日：2021-12-24

Applicant: 中孚信息股份有限公司

Inventor： 刘洋洋 ,  路冰 ,  孟维英 ,  孙宁 ,  邹斯达

IPC: H04L9/40 ,  H04L41/142

Abstract: 本发明提出的一种基于流量数据的端口扫描识别方法、系统及装置，属于计算机技术领域。所述方法包括：将具有扫描行为的流量数据以每十分钟划分一个时间窗口；在同一时间窗口内，聚合同一源ip地址下目的ip与目的端口相同的数据；判断任一源ip地址的访问数据是否小于预设阈值；并统计此源ip地址的访问信息和相应的目的ip地址的访问信息，作为输入信息；分别通过Snort检测方法、比值计算法、频率计算法计算输入信息并进行集成，得到源ip地址的最终检测分数；判断源ip地址的最终检测分数是否大于判定值；若是，则认定此源ip地址存在端口扫描行为。本发明能够更准确的发现执行扫描操作的主机，将恶意攻击带来的不利后果降至最低。

公开(公告)号：CN113590441A

公开(公告)日：2021-11-02

申请号：CN202110729919.4

申请日：2021-06-29

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  南京中孚信息技术有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 孙强 ,  刘洋洋 ,  路冰 ,  邹斯达 ,  孙宁

IPC: G06F11/34

Abstract: 本发明提供了一种基于权重计算的内网用户行为分析方法及系统，获取内网用户预设时间段内所有行为信息；对所述行为信息进行分析和匹配，为相应的用户和和实体打上标签，并进行聚合，形成多条用户行为序列；基于用户行为序列，利用TF‑IDF算法，计算每个用户所对应的高权重标签；对每个用户的高权重标签进行监控分析，确定其风险行为。本发明能够准确的进行用户画像，有针对性地防控重要行为风险。

公开(公告)号：CN112261006A

公开(公告)日：2021-01-22

申请号：CN202011034651.4

申请日：2020-09-27

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 李成梁 ,  李兴国 ,  苗功勋 ,  路冰 ,  孙宁

IPC: H04L29/06

Abstract: 本发明提供一种用于发现威胁行为间依赖关系的挖掘方法、终端及存储介质，收集系统内所有用户a的日志文件，对日志文件中的数据进行清洗和整理，形成员工行为集合S＝{behai}，统计集合S中的时间跨度wt；基于S和wt统计行为出现概率P(behai)和行为共现概率P(behai,behaj)；基于两种概率计算依赖关系数值depai,aj，depai,aj反映了行为behai对行为behaj的依赖程度；根据所有的depai,aj构建攻击依赖矩阵M，矩阵M反映了一个员工所有行为两两之间的依赖关系；由M得出攻击行为路径pathag→ak，pathag→ak表示一个完整的、最有可能发生的一系列攻击动作。本发明找出员工行为间的潜在联系，并量化这种依赖关系。企业可以通过依赖关系数值快速找出关系最紧密两种行为，按照事先规定的危险阈值对威胁行为进行预警，防止企业遭受一些来自内部的威胁攻击。

公开(公告)号：CN113590441B

公开(公告)日：2025-02-11

申请号：CN202110729919.4

申请日：2021-06-29

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  南京中孚信息技术有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 孙强 ,  刘洋洋 ,  路冰 ,  邹斯达 ,  孙宁

IPC: G06F11/34

Abstract: 本发明提供了一种基于权重计算的内网用户行为分析方法及系统，获取内网用户预设时间段内所有行为信息；对所述行为信息进行分析和匹配，为相应的用户和和实体打上标签，并进行聚合，形成多条用户行为序列；基于用户行为序列，利用TF‑IDF算法，计算每个用户所对应的高权重标签；对每个用户的高权重标签进行监控分析，确定其风险行为。本发明能够准确的进行用户画像，有针对性地防控重要行为风险。