公开(公告)号：CN119324816A

公开(公告)日：2025-01-17

申请号：CN202411446313.X

申请日：2024-10-16

Applicant: 中孚信息股份有限公司 ,  中孚安全技术有限公司 ,  南京中孚信息技术有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 刘洋洋 ,  吕珍珍 ,  李磊 ,  麻宇航 ,  张建彬

IPC: H04L9/40 ,  H04L45/02 ,  H04L45/48

Abstract: 本发明属于网络安全技术领域，提供了一种基于网络拓扑的设备比对及异常设备识别方法及系统，其技术方案为首先在SNMP协议基础上，设计了网络设备拓扑主动发现方法获取拓扑连接关系，其次通过拓扑设备对比方法，对比规划拓扑网络与真实拓扑网络，最后基于PageRank改进算法及时间衰减构建识别异常关键设备方法。该方法可以解决现有技术无法将实际拓扑与规划拓扑差异对比的问题，且实现了异常关键设备识别方法，为资产自动发现和帮助用户掌控网络运行情况提供技术支持。

公开(公告)号：CN117395162B

公开(公告)日：2024-02-23

申请号：CN202311694303.3

申请日：2023-12-12

Applicant: 中孚信息股份有限公司

Inventor： 麻宇航 ,  刘洋洋 ,  于通

IPC: H04L41/142 ,  G06F18/2411 ,  G06F18/214 ,  G06F18/23 ,  H04L43/50

Abstract: 本申请公开了一种利用加密流量识别操作系统的方法、系统、设备及介质，主要涉及识别操作系统技术领域，用以解决现有的识别操作系统的工具容易受返回的数据报文准确性的影响、频繁使用识别工具对其他主机进行扫描，会影响部分网络系统的正常使用、判断操作系统依赖指纹库的问题。包括：获取样本加密流量数据以及样本加密流量数据对应的操作系统，获得训练好的聚类算法和训练好的SVM算法模型；获得各个训练好的SVM算法模型进行二分类的两个操作系统的具体名称；将测试加密流量数据输入2K+1个训练好的聚类算法，进而获得去重后的预测操作系统名称数据集，确定对应的训练好的SVM算法模型，进而获得输出的操作系统名称。

公开(公告)号：CN116962080A

公开(公告)日：2023-10-27

申请号：CN202311206887.5

申请日：2023-09-19

Applicant: 中孚信息股份有限公司

Inventor： 卢延科 ,  刘洋洋 ,  张树辉

IPC: H04L9/40

Abstract: 本申请公开了一种基于网络节点风险评估的告警过滤方法、系统及介质，主要涉及告警过滤技术领域，用以解决现有的方法需要大量的人力物力、误报率高、对数据量的要求比较大，训练和更新周期长等问题。包括：按照网络节点IP生成事件文档，进而确定网络事件风险值；获得网络节点拓扑重要度；获得网络节点影响度；确定网络节点风险值；根据网络事件的发生频次、网络事件风险值、网络节点风险值、网络事件总数、网络节点总数和网络事件种类，获得网络节点告警列表和网络事件告警列表；基于网络节点告警列表和网络事件告警列表，生成去重集合，并以网络事件的排列顺序为第一基准，以网络节点的排列顺序为第二基准，形成最终告警排序结果。

公开(公告)号：CN114328674A

公开(公告)日：2022-04-12

申请号：CN202111674940.5

申请日：2021-12-31

Applicant: 中孚信息股份有限公司

Inventor： 刘洋洋 ,  路冰 ,  王光波 ,  邹斯达

IPC: G06F16/2458

Abstract: 本发明涉及一种基于内网日志行为图的数据挖掘方法及系统，涉及数据挖掘技术领域。所述方法包括以下步骤：获取内网日志信息并进行解析，提取其中的主体、客体以及主体对客体的行为；基于所述主体、客体以及主体对客体的行为，构建行为图；其中，所述行为图的节点表示主体或客体，连边表示主体对客体的行为，连边的方向为主体指向客体；基于所述行为图，对主体行为、不同主体之间关系、不同客体之间关系、行为与行为之间关系，或内网日志之间关系进行挖掘。本发明通过图对内网行为统一进行有效的刻画，能够有效地对不同日志和实体行为之间的关联进行挖掘。

公开(公告)号：CN113890762A

公开(公告)日：2022-01-04

申请号：CN202111155257.0

申请日：2021-09-29

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 刘洋洋 ,  路冰 ,  韦文峰 ,  邹斯达 ,  娄爱涛

IPC: H04L9/40 ,  H04L67/02

Abstract: 本发明提出的一种基于流量数据的网络爬虫行为检测方法及系统，所述方法包括：从流量数据中提取关键信息字段；统计当前用户的HTTP/HTTPS访问频次，根据HTTP/HTTPS访问频次判断是否存在疑似网络爬虫行为；计算固定窗口内的平均响应时间和相邻页面时间间隔，根据计算结果判断是否存在疑似网络爬虫行为；计算访问资源静态占比，并判断用户代理信息中是否包含敏感字段，根据计算结果和判断结果确定当前用户是否存在网络爬虫行为。本发明能够快速有效的检测出内网中的爬虫行为，保障内网数据安全。

公开(公告)号：CN117034124B

公开(公告)日：2024-02-23

申请号：CN202311279415.2

申请日：2023-10-07

Applicant: 中孚信息股份有限公司

Inventor： 唐上 ,  路冰 ,  刘洋洋

IPC: G06F18/241 ,  G06F18/214 ,  G06N20/00 ,  H04L9/40

Abstract: 本申请公开了一种基于小样本学习的恶意流量分类方法、系统、设备及介质，主要涉及恶意流量分类技术领域，用以解决现有的方法将数据裁剪成统一长度，使得很多会话被填充了，导致预处理后的数据很稀疏、当测试集的分类数目发生变化时，需要重新划分元训练集和元测试集，使得模型不够灵活且在跨域数据集上表现不理想、容易受样本不均衡影响的问题。包括：获取原始流量PCAP文件会话，基于预设字节长度阈值获得会话的最终字节，生成会话数据集；基于会话数据集中的未知标签数据集，获得预设嵌入函数对应的最优参数；基于会话数据集中的已知标签训练数据集，完成线性分类器中参数的训练；确定获得基于小样本学习的恶意流量分类器。(56)对比文件韩国栋;黄雅静;王孝龙.非平衡网络流量识别方法.计算机应用.2018,(第01期),全文.熊祖涛.基于增量学习SVM的Android恶意应用检测方法.嘉应学院学报.2016,(第05期),全文.

公开(公告)号：CN117034124A

公开(公告)日：2023-11-10

申请号：CN202311279415.2

申请日：2023-10-07

Applicant: 中孚信息股份有限公司

Inventor： 唐上 ,  路冰 ,  刘洋洋

IPC: G06F18/241 ,  G06F18/214 ,  G06N20/00 ,  H04L9/40

Abstract: 本申请公开了一种基于小样本学习的恶意流量分类方法、系统、设备及介质，主要涉及恶意流量分类技术领域，用以解决现有的方法将数据裁剪成统一长度，使得很多会话被填充了，导致预处理后的数据很稀疏、当测试集的分类数目发生变化时，需要重新划分元训练集和元测试集，使得模型不够灵活且在跨域数据集上表现不理想、容易受样本不均衡影响的问题。包括：获取原始流量PCAP文件会话，基于预设字节长度阈值获得会话的最终字节，生成会话数据集；基于会话数据集中的未知标签数据集，获得预设嵌入函数对应的最优参数；基于会话数据集中的已知标签训练数据集，完成线性分类器中参数的训练；确定获得基于小样本学习的恶意流量分类器。

公开(公告)号：CN114465764B

公开(公告)日：2024-02-20

申请号：CN202111603496.8

申请日：2021-12-24

Applicant: 中孚信息股份有限公司

Inventor： 刘洋洋 ,  路冰 ,  孟维英 ,  孙宁 ,  邹斯达

IPC: H04L9/40 ,  H04L41/142

Abstract: 本发明提出的一种基于流量数据的端口扫描识别方法、系统及装置，属于计算机技术领域。所述方法包括：将具有扫描行为的流量数据以每十分钟划分一个时间窗口；在同一时间窗口内，聚合同一源ip地址下目的ip与目的端口相同的数据；判断任一源ip地址的访问数据是否小于预设阈值；并统计此源ip地址的访问信息和相应的目的ip地址的访问信息，作为输入信息；分别通过Snort检测方法、比值计算法、频率计算法计算输入信息并进行集成，得到源ip地址的最终检测分数；判断源ip地址的最终检测分数是否大于判定值；若是，则认定此源ip地址存在端口扫描行为。本发明能够更准确的发现执行扫描操作的主机，将恶意攻击带来的不利后果降至最低。

公开(公告)号：CN116962080B

公开(公告)日：2023-12-15

申请号：CN202311206887.5

申请日：2023-09-19

Applicant: 中孚信息股份有限公司

Inventor： 卢延科 ,  刘洋洋 ,  张树辉

IPC: H04L9/40

Abstract: 本申请公开了一种基于网络节点风险评估的告警过滤方法、系统及介质，主要涉及告警过滤技术领域，用以解决现有的方法需要大量的人力物力、误报率高、对数据量的要求比较大，训练和更新周期长等问题。包括：按照网络节点IP生成事件文档，进而确定网络事件风险值；获得网络节点拓扑重要度；获得网络节点影响度；确定网络节点风险值；根据网络事件的发生频次、网络事件风险值、网络节点风险值、网络事件总数、网络节点总数和网络事件种类，获得网络节点告警列表和网络事件告警列表；基于网络节点告警列表和网络事件告警列表，生成去重集合，并以网络事件的排列顺序为第一基准，以网络节点的排列顺序为第二基准，形成最终告警排序结果。(56)对比文件毛继志;吴欣蓬;吴磊;汤新民;郭鸿滨.基于文本挖掘的空管不正常事件风险预测研究.航空计算技术.2020,(第01期),全文.

公开(公告)号：CN116861376A

公开(公告)日：2023-10-10

申请号：CN202310761600.9

申请日：2023-06-26

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  南京中孚信息技术有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 张浩 ,  刘洋洋 ,  徐增平

IPC: G06F21/12 ,  G06F9/455

Abstract: 本发明提供了一种跨平台的Java应用运行时安全保护方法及系统，所述方案包括：利用Checker组件拦截被保护应用程序接收到的网络请求，并将当前网络请求与其对应的Groovy检测器进行关联；利用网络请求对应的Groovy检测器进行攻击检测，若检测为危险请求，则拦截本次请求并发出告警；若检测为正常请求，则执行被保护应用程序的处理逻辑，获得响应消息；对于所述响应消息，利用用于敏感信息监测的Groovy检测器进行敏感响应信息检测，若检测存在敏感信息则进行拦截并告警，若不存在，则返回请求内容。