公开(公告)号：CN112488175B

公开(公告)日：2023-06-23

申请号：CN202011347823.3

申请日：2020-11-26

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 李兴国 ,  邹斯达 ,  苗功勋 ,  路冰 ,  孙宁

IPC: G06F18/23 ,  G06F18/22 ,  H04L9/40

Abstract: 本发明提供一种基于行为聚合特征的异常用户检测方法、终端及存储介质，获取预设时间段内的用户行为信息；基于访问地址信息将用户预设时间段内的特征属性进行聚合；将每个用户的矩阵配置成一行向量；分别计算任意两个用户之间的相关系数，作为行为相似度；查找相似度最大的两个用户，聚成一类；计算所述类与其他用户之间的相似度，并更新聚成一类用户的相似度矩阵，然后重复迭代计算；重复迭代计算达到预先设定的阈值之后，停止聚类过程，此时脱离内网群组的用户被认定为具有异常行为。这样，本发明降低了异常检测的误报率。可以识别掩藏在群组内部的异常用，保障数据信息的安全性。

公开(公告)号：CN115174450A

公开(公告)日：2022-10-11

申请号：CN202210785308.6

申请日：2022-07-05

Applicant: 中孚信息股份有限公司

Inventor： 孙琦 ,  路冰 ,  刘长秋 ,  邹斯达

IPC: H04L43/12 ,  H04L43/08 ,  H04L41/12

Abstract: 本发明公开一种基于网络节点表征的未知设备识别方法及系统，包括：获取未知设备的网络数据，对网络数据构建网络节点初始表征和网络节点连接图；对网络节点连接图和网络节点初始表征进行社群探测，对得到的社群进行编码；对网络数据进行网络节点PR值和网络节点出入度的计算；将编码后的社群、网络节点PR值和网络节点出入度与网络节点初始表征进行特征融合，得到网络节点表征；根据网络节点表征对未知设备进行识别，得到设备类型。对流量日志等网络数据，挖掘网络节点间的共现关系，结合社群探测方法为网络节点表征增加社群信息，同时引入网络节点PR值和网络节点出入度作为网络节点嵌入的额外特征，实现对大规模复杂网络中未知设备识别。

公开(公告)号：CN114328674A

公开(公告)日：2022-04-12

申请号：CN202111674940.5

申请日：2021-12-31

Applicant: 中孚信息股份有限公司

Inventor： 刘洋洋 ,  路冰 ,  王光波 ,  邹斯达

IPC: G06F16/2458

Abstract: 本发明涉及一种基于内网日志行为图的数据挖掘方法及系统，涉及数据挖掘技术领域。所述方法包括以下步骤：获取内网日志信息并进行解析，提取其中的主体、客体以及主体对客体的行为；基于所述主体、客体以及主体对客体的行为，构建行为图；其中，所述行为图的节点表示主体或客体，连边表示主体对客体的行为，连边的方向为主体指向客体；基于所述行为图，对主体行为、不同主体之间关系、不同客体之间关系、行为与行为之间关系，或内网日志之间关系进行挖掘。本发明通过图对内网行为统一进行有效的刻画，能够有效地对不同日志和实体行为之间的关联进行挖掘。

公开(公告)号：CN113890762A

公开(公告)日：2022-01-04

申请号：CN202111155257.0

申请日：2021-09-29

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 刘洋洋 ,  路冰 ,  韦文峰 ,  邹斯达 ,  娄爱涛

IPC: H04L9/40 ,  H04L67/02

Abstract: 本发明提出的一种基于流量数据的网络爬虫行为检测方法及系统，所述方法包括：从流量数据中提取关键信息字段；统计当前用户的HTTP/HTTPS访问频次，根据HTTP/HTTPS访问频次判断是否存在疑似网络爬虫行为；计算固定窗口内的平均响应时间和相邻页面时间间隔，根据计算结果判断是否存在疑似网络爬虫行为；计算访问资源静态占比，并判断用户代理信息中是否包含敏感字段，根据计算结果和判断结果确定当前用户是否存在网络爬虫行为。本发明能够快速有效的检测出内网中的爬虫行为，保障内网数据安全。