公开(公告)号：CN110457405B

公开(公告)日：2021-09-21

申请号：CN201910767801.3

申请日：2019-08-20

Applicant: 上海观安信息技术股份有限公司

Inventor： 王启凡 ,  魏国富 ,  殷钱安 ,  陈一根 ,  余贤喆 ,  陶景龙 ,  刘胜

IPC: G06F16/28 ,  G06F16/242 ,  G06F21/62 ,  G06K9/62

Abstract: 本发明公开了一种基于血缘关系的数据库审计方法，要解决的是现有数据库审计中存在的问题。本发明具体步骤如下：步骤一，找出数据库的字段之间的血缘关系R；步骤二，基于血缘关系R，分别对数据库进行敏感数据字段、越权操作和重要表操作审计，得到异常结果。本发明通过抽取相关的数据，其中用数据库操作记录进行抽取血缘关系的工作，生成血缘关系表，用其他数据关联血缘关系表，用关联后的数据进行数据处理，提取特征，再用相关的模型进行识别，找出异常结果记录，工作效率和正确率高，满足了人们的使用需求。

公开(公告)号：CN113344133A

公开(公告)日：2021-09-03

申请号：CN202110740773.3

申请日：2021-06-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 殷钱安 ,  梁淑云 ,  余贤喆 ,  王启凡 ,  陶景龙 ,  刘胜 ,  马影 ,  周晓勇 ,  魏国富 ,  夏玉明

IPC: G06K9/62 ,  G06K9/00

Abstract: 一种时序行为异常波动检测方法及系统，属于数据处理技术领域，解决在面对各种各样的工业级场景时，如何实现基于业务数据的时间序列行为的异常检测的问题；通过获取时间序列数组、计算变异系数、变异系数差值计算及处理、计算正常行为数值波动区间以及异常对象判断；将不同数量级别对象，统一到同一水平进行考虑，确定时序行为中某些异常程度极高的对象，有效降低安全检测场景误报；随着时间变化按既定周期提取的数据集也会随着时间进行改变，因此行为数据检测结果与近期时间周期内行为相关，不依赖于较早历史数据，剔除了历史规律的影响；将所有对象统一到同一维度进行比较，可以识别出大多数高频检测方法无法识别的低频异常操作对象。

公开(公告)号：CN113298238A

公开(公告)日：2021-08-24

申请号：CN202110717049.9

申请日：2021-06-28

Applicant: 上海观安信息技术股份有限公司

Inventor： 周晓勇 ,  梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  夏玉明 ,  徐明 ,  殷钱安 ,  余贤喆

IPC: G06N3/04 ,  G06N3/08

Abstract: 本发明公开一种使用定向攻击探索黑盒神经网络的方法、装置、处理设备及存储介质，本发明对及候选网络模型均通过多种攻击算法获得对抗样本，利用丰富的对抗样本集分别对候选网络模型和未知网络模型进行攻击，比较攻击结果，攻击结果最接近的两个模型结构和参数最相似，采用该方法，能够快速找到黑盒神经网络的结构和参数，可提高对抗样本鲁棒性，避免单一生成模型与攻击目标模型结构差异过大造成的攻击成功率低下问题。

公开(公告)号：CN112733140A

公开(公告)日：2021-04-30

申请号：CN202011605328.8

申请日：2020-12-28

Applicant: 上海观安信息技术股份有限公司

Inventor： 刘胜 ,  梁淑云 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆 ,  周晓勇

IPC: G06F21/56 ,  G06F21/64 ,  G06K9/62

Abstract: 本发明一种针对模型倾斜攻击的检测方法及系统，包括以下步骤：步骤S1，获取被篡改的训练数据集data11,测试数据集data22；步骤S2，对数据集样本进行分词处理，得到N维的样本数据特征向量V；步骤S3，对N维的样本数据特征向量V进行编码，生成样本指纹；步骤S4，对所得到的指纹进行相似度匹配，得到相似度高的样本集即为篡改数据。本发明所提供的一种针对存在大量相似文本的训练数据导致模型分类产生倾斜的攻击方式的检测方法，通过人为修改样本数据，保证样本数据存在大量重复，样本数据更准确，基于指纹相似度匹配可快速识别。另外，本发明所提供的检测方法还可应用在模型反馈机制武器化的检测上，通过对海量反馈信息进行相似度匹配从而找出恶意反馈内容。

公开(公告)号：CN110913081B

公开(公告)日：2021-04-20

申请号：CN201911195920.2

申请日：2019-11-28

Applicant: 上海观安信息技术股份有限公司

Inventor： 周晓勇 ,  梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆

IPC: H04M3/22 ,  H04M3/42 ,  H04M3/51 ,  G06K9/62

Abstract: 本发明公开了一种识别呼叫中心骚扰电话的方法及系统，具体为，先进行电话通话因子基准向量的建模，建模过程为：获取呼叫中心全量电话第一通话数据基础表，构建通话特征，生成第一通话特征宽表，生成通话因子挖掘表，生成电话号码的分类，其类中心确定为骚扰电话通话因子基准向量；然后进行骚扰电话识别，具体为：获取待识别电话的第二通话数据基础表；生成第二通话特征宽表，再生成待识别电话的通话因子向量，计算骚扰电话通话因子基准向量与通话因子向量之间的相似度。建模过程仅需要一次聚类和专家经验，此后不再需要人工参与，降低主观性；识别过程仅提取待识别电话的短周期通话数据，数据获取工作量小、运算量小、耗时短。

公开(公告)号：CN111752727A

公开(公告)日：2020-10-09

申请号：CN202010611005.3

申请日：2020-06-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 王启凡 ,  陶景龙 ,  梁淑云 ,  刘胜 ,  马影 ,  魏国富 ,  殷钱安 ,  余贤喆 ,  周晓勇

IPC: G06F9/54 ,  G06F16/242 ,  G06F16/25 ,  G06F16/28

Abstract: 本发明提供了一种基于日志分析的数据库三层关联的识别方法，通过对request日志和sql日志进行筛选和处理，通过时间窗口特征获得主体对象的相关率，并结合参数相关值确定三层关联关系。本发明提供的基于日志分析的数据库三层关联的识别方法的优点在于：仅通过对request和sql日志进行分析，就能精准识别出数据库的三层关联，不需要对系统进行改造，成本较低，在得到表K后能够对现有日志进行三层关联识别，对新的日志进行三层关联的预测，而且本发明提供的方法是根据历史数据不断更新的，能够不断学习，随着数据样本越来越多，识别的准确性也越来越高；通过参数的相关值和主体对象的相关率综合考虑关联性排序，识别结果准确。

公开(公告)号：CN111666414A

公开(公告)日：2020-09-15

申请号：CN202010537941.4

申请日：2020-06-12

Applicant: 上海观安信息技术股份有限公司

Inventor： 周晓勇 ,  梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆

IPC: G06F16/35 ,  G06K9/62 ,  G06N3/04 ,  G06F40/151

Abstract: 本发明公开了一种敏感数据检测云服务的方法及云服务平台，包括以下步骤：S01.企业上传训练样本，通过服务方开放的数据接口，企业将训练样本上传到服务方；S02.服务方使用训练样本进行模型训练，得到Bert+BiLSTM分类模型；S03.服务方使用Bert+BiLSTM分类模型对互联网文档进行预测，得到预测结果；S04.服务方将预测结果中的疑似文档返回给企业。本发明使用云服务的形式为企业提供敏感数据检测服务，降低企业获得服务的成本和门槛，避免重复投资；使得大中小型企业均可通过该服务获得相同标准的检测服务，整体提高网络数据的安全性，具有重大社会意义。

公开(公告)号：CN111143840A

公开(公告)日：2020-05-12

申请号：CN201911406512.7

申请日：2019-12-31

Applicant: 上海观安信息技术股份有限公司

Inventor： 殷钱安 ,  梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  余贤喆 ,  周晓勇

IPC: G06F21/55

Abstract: 本发明提供一种主机操作指令异常识别的方法及系统，包括S1.样本数据提取；S2.数据处理；得到行为序列记录和每个主机操作指令使用频次；S3：非常用指令筛选，得到目标操作指令序列；S4：紧凑预测树训练，得到目标紧凑预测树；S5：紧凑预测树预测，得到带有标签的训练数据集；S6：利用word2vec训练操作指令向量，形成预训练向量；S7：利用Bi-LSTM建立分类识别模型；S8：利用分类模型进行预测。本发明采用紧凑预测树对用户主机操作指令序列进行分析，研究指令行为序列之间的行为关系，从而判断用户主机操作指令是否异常。基于此，还充分考虑了用户操作指令之间的内在关系，研究了指令在时间维度的逻辑关系，提高主机操作指令异常的对象识别准确度。

公开(公告)号：CN110990867A

公开(公告)日：2020-04-10

申请号：CN201911193700.6

申请日：2019-11-28

Applicant: 上海观安信息技术股份有限公司

Inventor： 王启凡 ,  梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆 ,  周晓勇

IPC: G06F21/62 ,  G06K9/62

Abstract: 本发明提供一种基于数据库的数据泄露检测模型的建模方法、装置，泄露检测方法、系统，包括以下步骤：A、角色和用户组关系的建立：S100.数据采集，数据包括操作日志数据、用户角色数据、敏感数据列表；S200.解析SQL语句，提取表名；S300.数据关联及特征加工；S400.用户组的建立，定义用户组；S500.建立角色和用户组的关系；B、OneClassSvm模型训练：S600.正样本特征加工，S700.正样本中每个用户组对应一个OneClassSvm模型，并对该用户组内的第二宽表数据进行OneClassSvm模型训练，从而获得该用户组下正常数据的边界。本发明针基于数据库，对用户聚类出用户组，有别于提供的角色属性，这样可以保证用户的角色属性划分不合理的情况下，也可以科学的进行组内异常探索。

公开(公告)号：CN110990242A

公开(公告)日：2020-04-10

申请号：CN201911200304.1

申请日：2019-11-29

Applicant: 上海观安信息技术股份有限公司

Inventor： 马影 ,  梁淑云 ,  刘胜 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆 ,  周晓勇

IPC: G06F11/34

Abstract: 本发明提供了一种用户操作次数波动异常的确定方法及装置，方法包括：1)、获取待鉴定用户的当前自然日之前设定时段内的操作日志；2)、根据用户在设定时段内的平均操作次数以及平均操作次数的标准差的商，获取当前自然日的变异系数；3)、计算当前自然日对应的当前变异系数波动值；并获取用户在设定时段内各个自然日的历史变异系数波动值；4)、根据在历史变异系数波动值范围内预设设置的外限值以及内限值，判断当前变异系数波动值是否超出了外限值与内限值之间的范围；若是，将用户在当前自然日的操作标记为操作次数波动异常。应用本发明实施例，提高了异常操作的检出率。