公开(公告)号：CN113890762A

公开(公告)日：2022-01-04

申请号：CN202111155257.0

申请日：2021-09-29

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 刘洋洋 ,  路冰 ,  韦文峰 ,  邹斯达 ,  娄爱涛

IPC: H04L9/40 ,  H04L67/02

Abstract: 本发明提出的一种基于流量数据的网络爬虫行为检测方法及系统，所述方法包括：从流量数据中提取关键信息字段；统计当前用户的HTTP/HTTPS访问频次，根据HTTP/HTTPS访问频次判断是否存在疑似网络爬虫行为；计算固定窗口内的平均响应时间和相邻页面时间间隔，根据计算结果判断是否存在疑似网络爬虫行为；计算访问资源静态占比，并判断用户代理信息中是否包含敏感字段，根据计算结果和判断结果确定当前用户是否存在网络爬虫行为。本发明能够快速有效的检测出内网中的爬虫行为，保障内网数据安全。

公开(公告)号：CN113806688A

公开(公告)日：2021-12-17

申请号：CN202111160268.8

申请日：2021-09-30

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 路冰 ,  赖成宾 ,  唐上 ,  马衍硕 ,  李修明 ,  刘长秋

IPC: G06F17/15

Abstract: 本发明提供一种基于指数衰减的标签影响度计算方法及系统，涉及网络安全技术领域，对所有的标签历史数据进行整理，形成固定格式的序列数据；利用指数衰减函数分别计算出初步影响度和基于时间的频次惩罚项因子；将初步影响度和频次惩罚因子求积再求和；通过sidmoid函数得到标签影响度。本发明针对标签的影响度计算给出了分层的计算方案，实现了基于所评估标签历史数据的影响度绝对值评估，不依赖全量的标签历史数据，可用性较高。本发明通过多层衰减计算，可以合理有效地计算标签的影响度。为实体画像分析提供有力的支撑。

公开(公告)号：CN117114500B

公开(公告)日：2024-03-22

申请号：CN202311198342.4

申请日：2023-09-18

Applicant: 中孚信息股份有限公司

Inventor： 梁宇 ,  路冰 ,  于通

IPC: G06Q10/0639 ,  G06F18/232

Abstract: 本申请公开了一种基于数据分解的行为基线建立方法、系统及介质，主要涉及数据处理技术领域，用以解决现有的方案难以剔除异常的历史数据，使用异常的历史数据，容易导致行为基线刻画不准确的问题。包括：获得基础数据；确定员工数据集合的划分方案，以确定基础数据中各个员工数据集合中工作数据对应的预设工作聚类；确定各个员工数据集合对应的预设行为聚类；获得若干奇异聚类组；获得各个奇异聚类组对应的工作数据的员工行为基线；获取监测时间段内的员工数据集合，进而确定对应的奇异聚类组；基于奇异聚类组对应的员工行为基线，确定监测时间段内的员工数据集合是否存在行为异常，以在存在行为异常时，进行告警处理。

公开(公告)号：CN114465764B

公开(公告)日：2024-02-20

申请号：CN202111603496.8

申请日：2021-12-24

Applicant: 中孚信息股份有限公司

Inventor： 刘洋洋 ,  路冰 ,  孟维英 ,  孙宁 ,  邹斯达

IPC: H04L9/40 ,  H04L41/142

Abstract: 本发明提出的一种基于流量数据的端口扫描识别方法、系统及装置，属于计算机技术领域。所述方法包括：将具有扫描行为的流量数据以每十分钟划分一个时间窗口；在同一时间窗口内，聚合同一源ip地址下目的ip与目的端口相同的数据；判断任一源ip地址的访问数据是否小于预设阈值；并统计此源ip地址的访问信息和相应的目的ip地址的访问信息，作为输入信息；分别通过Snort检测方法、比值计算法、频率计算法计算输入信息并进行集成，得到源ip地址的最终检测分数；判断源ip地址的最终检测分数是否大于判定值；若是，则认定此源ip地址存在端口扫描行为。本发明能够更准确的发现执行扫描操作的主机，将恶意攻击带来的不利后果降至最低。

公开(公告)号：CN115174450B

公开(公告)日：2023-10-03

申请号：CN202210785308.6

申请日：2022-07-05

Applicant: 中孚信息股份有限公司

Inventor： 孙琦 ,  路冰 ,  刘长秋 ,  邹斯达

IPC: H04L43/12 ,  H04L43/08 ,  H04L41/12

Abstract: 本发明公开一种基于网络节点表征的未知设备识别方法及系统，包括：获取未知设备的网络数据，对网络数据构建网络节点初始表征和网络节点连接图；对网络节点连接图和网络节点初始表征进行社群探测，对得到的社群进行编码；对网络数据进行网络节点PR值和网络节点出入度的计算；将编码后的社群、网络节点PR值和网络节点出入度与网络节点初始表征进行特征融合，得到网络节点表征；根据网络节点表征对未知设备进行识别，得到设备类型。对流量日志等网络数据，挖掘网络节点间的共现关系，结合社群探测方法为网络节点表征增加社群信息，同时引入网络节点PR值和网络节点出入度作为网络节点嵌入的额外特征，实现对大规模复杂网络中未知设备识别。

公开(公告)号：CN113890762B

公开(公告)日：2023-09-29

申请号：CN202111155257.0

申请日：2021-09-29

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 刘洋洋 ,  路冰 ,  韦文峰 ,  邹斯达 ,  娄爱涛

IPC: H04L9/40 ,  H04L67/02

Abstract: 本发明提出的一种基于流量数据的网络爬虫行为检测方法及系统，所述方法包括：从流量数据中提取关键信息字段；统计当前用户的HTTP/HTTPS访问频次，根据HTTP/HTTPS访问频次判断是否存在疑似网络爬虫行为；计算固定窗口内的平均响应时间和相邻页面时间间隔，根据计算结果判断是否存在疑似网络爬虫行为；计算访问资源静态占比，并判断用户代理信息中是否包含敏感字段，根据计算结果和判断结果确定当前用户是否存在网络爬虫行为。本发明能够快速有效的检测出内网中的爬虫行为，保障内网数据安全。

公开(公告)号：CN115296937A

公开(公告)日：2022-11-04

申请号：CN202211223891.8

申请日：2022-10-09

Applicant: 中孚信息股份有限公司

Inventor： 唐上 ,  魏东晓 ,  路冰 ,  马衍硕 ,  卢延科

IPC: H04L9/40 ,  G06F21/56 ,  G06K9/62

Abstract: 本申请公开了一种用于实时加密恶意流量识别的方法及设备，主要涉及恶意流量识别技术领域，用以解决现有的识别模型无法识别新出现的特征值以及训练集中良性样本与恶意样本极不均衡等问题。包括：基于预设提取字段和预设流量四元组，从PACP文件中获取流数据；批量处理若干PACP文件，获得CSV文件；将流数据中的object类型数据转换为数值型数据；得到组合特征；获取纯恶意标记的流数据；以通过预设样本扩充算法，获取第一恶意样本数据；进而通过恶意样本数据和预设为良性标记的流数据，完成预设恶意识别算法的训练。本申请通过上述方法实现了顾及新出现的特征值、实现了训练集中良性样本与恶意样本的均衡。

公开(公告)号：CN115269636A

公开(公告)日：2022-11-01

申请号：CN202210944098.0

申请日：2022-08-05

Applicant: 中孚信息股份有限公司

Inventor： 娄爱涛 ,  路冰 ,  卢延科 ,  唐上

IPC: G06F16/242 ,  G06F16/28 ,  G06K9/62

Abstract: 本公开属于数据库安全检测技术领域，具体涉及一种基于行为词嵌入的用户分类方法及系统，包括：获取并解析SQL语句数据；对解析后的SQL语句数据进行词向量训练，得到SQL语句向量；对所得到的SQL语句向量进行聚类分析，预测所述SQL语句向量的所属部门；将预测得到的SQL语句向量的所属部门与所获取的SQL语句数据的所属部门进行对比，完成用户分类。

公开(公告)号：CN115062699A

公开(公告)日：2022-09-16

申请号：CN202210662377.8

申请日：2022-06-13

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 路冰 ,  吴明 ,  娄爱涛

IPC: G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  G06F40/211 ,  G06Q50/00

Abstract: 本发明属于社区发现领域，尤其涉及一种基于Word2vec‑FL的社区发现方法及系统。该方法包括：获取流量数据；提取流量数据中的源IP字段和目的IP字段；基于源IP字段和目的IP字段，构建样本数据；基于样本数据，输入word2vec‑FL模型进行训练，获得每个IP对应的向量；其中，所述Word2Vec‑FL模型包括：将focal loss嵌入word2vec的损失函数；计算所述向量的余弦相似度，基于向量的余弦相似度，对每个IP进行聚类，得到每个IP对应的社区。本发明通过对word2vec损失函数的focal loss改进，使低频词获得更为合理的向量表达。

公开(公告)号：CN113590441A

公开(公告)日：2021-11-02

申请号：CN202110729919.4

申请日：2021-06-29

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  南京中孚信息技术有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 孙强 ,  刘洋洋 ,  路冰 ,  邹斯达 ,  孙宁

IPC: G06F11/34

Abstract: 本发明提供了一种基于权重计算的内网用户行为分析方法及系统，获取内网用户预设时间段内所有行为信息；对所述行为信息进行分析和匹配，为相应的用户和和实体打上标签，并进行聚合，形成多条用户行为序列；基于用户行为序列，利用TF‑IDF算法，计算每个用户所对应的高权重标签；对每个用户的高权重标签进行监控分析，确定其风险行为。本发明能够准确的进行用户画像，有针对性地防控重要行为风险。