公开(公告)号：CN117114500A

公开(公告)日：2023-11-24

申请号：CN202311198342.4

申请日：2023-09-18

Applicant: 中孚信息股份有限公司

Inventor： 梁宇 ,  路冰 ,  于通

IPC: G06Q10/0639 ,  G06F18/232

Abstract: 本申请公开了一种基于数据分解的行为基线建立方法、系统及介质，主要涉及数据处理技术领域，用以解决现有的方案难以剔除异常的历史数据，使用异常的历史数据，容易导致行为基线刻画不准确的问题。包括：获得基础数据；确定员工数据集合的划分方案，以确定基础数据中各个员工数据集合中工作数据对应的预设工作聚类；确定各个员工数据集合对应的预设行为聚类；获得若干奇异聚类组；获得各个奇异聚类组对应的工作数据的员工行为基线；获取监测时间段内的员工数据集合，进而确定对应的奇异聚类组；基于奇异聚类组对应的员工行为基线，确定监测时间段内的员工数据集合是否存在行为异常，以在存在行为异常时，进行告警处理。

公开(公告)号：CN112261006B

公开(公告)日：2022-07-19

申请号：CN202011034651.4

申请日：2020-09-27

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 李成梁 ,  李兴国 ,  苗功勋 ,  路冰 ,  孙宁

IPC: H04L9/40

Abstract: 本发明提供一种用于发现威胁行为间依赖关系的挖掘方法、终端及存储介质，收集系统内所有用户a的日志文件，对日志文件中的数据进行清洗和整理，形成员工行为集合S＝{behai}，统计集合S中的时间跨度wt；基于S和wt统计行为出现概率P(behai)和行为共现概率P(behai,behaj)；基于两种概率计算依赖关系数值depai,aj，depai,aj反映了行为behai对行为behaj的依赖程度；根据所有的depai,aj构建攻击依赖矩阵M，矩阵M反映了一个员工所有行为两两之间的依赖关系；由M得出攻击行为路径pathag→ak，pathag→ak表示一个完整的、最有可能发生的一系列攻击动作。本发明找出员工行为间的潜在联系，并量化这种依赖关系。企业可以通过依赖关系数值快速找出关系最紧密两种行为，按照事先规定的危险阈值对威胁行为进行预警，防止企业遭受一些来自内部的威胁攻击。

公开(公告)号：CN113987482B

公开(公告)日：2022-05-06

申请号：CN202111615931.9

申请日：2021-12-28

Applicant: 中孚信息股份有限公司

Inventor： 苗功勋 ,  刘洋洋 ,  娄爱涛 ,  路冰 ,  邹斯达

IPC: G06F21/55 ,  G06N20/00 ,  H04L9/40 ,  H04L61/2503

Abstract: 本申请公开了一种基于FM的IP首次访问检测方法、系统及设备，主要涉及访问检测技术领域，用以解决现有的检测首次访问方法误报率较高的技术问题。方法包括：根据若干历史流量访问日志中的源IP、目的IP，确定源IP与目的IP之间的访问频次；获得训练好的预设FM算法；根据训练好的预设FM算法以及预设网格搜索算法，获得源IP与目的IP之间的参数列表；其中，列表中包括源IP与目的IP之间访问概率；获取源IP的实际访问目的IP，当实际访问目的IP在参数列表中对应的首次访问概率小于预设访问概率时，认定源IP存在首次访问行为。本申请通过上述方法降低了首次检测的误报率。

公开(公告)号：CN114050941B

公开(公告)日：2022-05-03

申请号：CN202210024108.9

申请日：2022-01-11

Applicant: 中孚信息股份有限公司

Inventor： 孙强 ,  路冰 ,  马衍硕 ,  李修明 ,  刘长秋

IPC: H04L9/40

Abstract: 本发明公开一种基于核密度估计的失陷账号检测方法及系统，涉及数据识别、数据表示及数据处理技术领域，包括：通过核密度估计算法对账号在不同时间点的在线数据进行概率估计，以此建立账号在线时间历史基线；通过核密度估计算法对账号在不同设备的登录数据进行概率估计，以此建立账号登录设备历史基线；根据账号在线时间历史基线和账号登录设备历史基线，对待测账号实际的登录时间和登录设备进行偏离诊断，根据诊断结果定位失陷账号。基于网络中的实际实体及行为数据，构建账号正常在线时间历史基线与常用登录设备基线，以此发现偏离历史基线的行为，定位失陷账号风险，准确发现网络的数据失泄密行为，提高异常行为检测的准确性，保证数据安全。

公开(公告)号：CN113987482A

公开(公告)日：2022-01-28

申请号：CN202111615931.9

申请日：2021-12-28

Applicant: 中孚信息股份有限公司

Inventor： 苗功勋 ,  刘洋洋 ,  娄爱涛 ,  路冰 ,  邹斯达

IPC: G06F21/55 ,  G06N20/00 ,  H04L9/40 ,  H04L61/2503

Abstract: 本申请公开了一种基于FM的IP首次访问检测方法、系统及设备，主要涉及访问检测技术领域，用以解决现有的检测首次访问方法误报率较高的技术问题。方法包括：根据若干历史流量访问日志中的源IP、目的IP，确定源IP与目的IP之间的访问频次；获得训练好的预设FM算法；根据训练好的预设FM算法以及预设网格搜索算法，获得源IP与目的IP之间的参数列表；其中，列表中包括源IP与目的IP之间访问概率；获取源IP的实际访问目的IP，当实际访问目的IP在参数列表中对应的首次访问概率小于预设访问概率时，认定源IP存在首次访问行为。本申请通过上述方法降低了首次检测的误报率。

公开(公告)号：CN111245819A

公开(公告)日：2020-06-05

申请号：CN202010018219.X

申请日：2020-01-08

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 李兴国 ,  郑传义 ,  曲志峰 ,  苗功勋 ,  路冰 ,  武巧莉

IPC: H04L29/06

Abstract: 本发明提供一种网络整体安全态势监测方法、系统、终端及存储介质，包括：设置网络监控指标和所述监控指标对网络整体安全的影响权值；对监控指标进行采样监控，得到监控指标在预设采样数量下的异常值；根据所述监控指标的采用数量、异常值和相应影响权值利用熵计算公式计算全网风险值。本发明实现网络整体安全态势感知的数字化评价，为后续进行自动化相关的安全防护提供了基础条件。

公开(公告)号：CN113590441B

公开(公告)日：2025-02-11

申请号：CN202110729919.4

申请日：2021-06-29

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  南京中孚信息技术有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 孙强 ,  刘洋洋 ,  路冰 ,  邹斯达 ,  孙宁

IPC: G06F11/34

Abstract: 本发明提供了一种基于权重计算的内网用户行为分析方法及系统，获取内网用户预设时间段内所有行为信息；对所述行为信息进行分析和匹配，为相应的用户和和实体打上标签，并进行聚合，形成多条用户行为序列；基于用户行为序列，利用TF‑IDF算法，计算每个用户所对应的高权重标签；对每个用户的高权重标签进行监控分析，确定其风险行为。本发明能够准确的进行用户画像，有针对性地防控重要行为风险。

公开(公告)号：CN112488175B

公开(公告)日：2023-06-23

申请号：CN202011347823.3

申请日：2020-11-26

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 李兴国 ,  邹斯达 ,  苗功勋 ,  路冰 ,  孙宁

IPC: G06F18/23 ,  G06F18/22 ,  H04L9/40

Abstract: 本发明提供一种基于行为聚合特征的异常用户检测方法、终端及存储介质，获取预设时间段内的用户行为信息；基于访问地址信息将用户预设时间段内的特征属性进行聚合；将每个用户的矩阵配置成一行向量；分别计算任意两个用户之间的相关系数，作为行为相似度；查找相似度最大的两个用户，聚成一类；计算所述类与其他用户之间的相似度，并更新聚成一类用户的相似度矩阵，然后重复迭代计算；重复迭代计算达到预先设定的阈值之后，停止聚类过程，此时脱离内网群组的用户被认定为具有异常行为。这样，本发明降低了异常检测的误报率。可以识别掩藏在群组内部的异常用，保障数据信息的安全性。

公开(公告)号：CN115174450A

公开(公告)日：2022-10-11

申请号：CN202210785308.6

申请日：2022-07-05

Applicant: 中孚信息股份有限公司

Inventor： 孙琦 ,  路冰 ,  刘长秋 ,  邹斯达

IPC: H04L43/12 ,  H04L43/08 ,  H04L41/12

Abstract: 本发明公开一种基于网络节点表征的未知设备识别方法及系统，包括：获取未知设备的网络数据，对网络数据构建网络节点初始表征和网络节点连接图；对网络节点连接图和网络节点初始表征进行社群探测，对得到的社群进行编码；对网络数据进行网络节点PR值和网络节点出入度的计算；将编码后的社群、网络节点PR值和网络节点出入度与网络节点初始表征进行特征融合，得到网络节点表征；根据网络节点表征对未知设备进行识别，得到设备类型。对流量日志等网络数据，挖掘网络节点间的共现关系，结合社群探测方法为网络节点表征增加社群信息，同时引入网络节点PR值和网络节点出入度作为网络节点嵌入的额外特征，实现对大规模复杂网络中未知设备识别。

公开(公告)号：CN114328674A

公开(公告)日：2022-04-12

申请号：CN202111674940.5

申请日：2021-12-31

Applicant: 中孚信息股份有限公司

Inventor： 刘洋洋 ,  路冰 ,  王光波 ,  邹斯达

IPC: G06F16/2458

Abstract: 本发明涉及一种基于内网日志行为图的数据挖掘方法及系统，涉及数据挖掘技术领域。所述方法包括以下步骤：获取内网日志信息并进行解析，提取其中的主体、客体以及主体对客体的行为；基于所述主体、客体以及主体对客体的行为，构建行为图；其中，所述行为图的节点表示主体或客体，连边表示主体对客体的行为，连边的方向为主体指向客体；基于所述行为图，对主体行为、不同主体之间关系、不同客体之间关系、行为与行为之间关系，或内网日志之间关系进行挖掘。本发明通过图对内网行为统一进行有效的刻画，能够有效地对不同日志和实体行为之间的关联进行挖掘。