-
公开(公告)号:CN113407505A
公开(公告)日:2021-09-17
申请号:CN202110749185.6
申请日:2021-07-01
Applicant: 中孚安全技术有限公司 , 中孚信息股份有限公司 , 南京中孚信息技术有限公司 , 北京中孚泰和科技发展股份有限公司
IPC: G06F16/17 , G06F16/18 , G06F40/289
Abstract: 本发明提供一种安全日志要素处理方法及系统,采集日志文件;对日志文件进行解析,判断日志文件的类型;如日志文件为未知日志类型,自然语言处理模块对日志文件的要素信息进行分类和提取;资产比对模块对日志文件的要素信息进行验证匹配,匹配出主客体信息;将提取出的日志文件的要素信息和匹配的主客体储存至事件信息库。系统与基于模板的传统日志解析技术相比,基于自然语言处理技术实现的安全日志要素提取方法,能自动对未知日志提取出时间、协议、主体、客体、动作、结果等要素,减少了人的参与程度,结合已备案资产信息可以大幅度提高提取要素的准确性,解决基于模板对未知日志无法处理的难题,实现对未知日志的有效利用。
-
公开(公告)号:CN112261006A
公开(公告)日:2021-01-22
申请号:CN202011034651.4
申请日:2020-09-27
Applicant: 中孚安全技术有限公司 , 中孚信息股份有限公司 , 北京中孚泰和科技发展股份有限公司 , 南京中孚信息技术有限公司
IPC: H04L29/06
Abstract: 本发明提供一种用于发现威胁行为间依赖关系的挖掘方法、终端及存储介质,收集系统内所有用户a的日志文件,对日志文件中的数据进行清洗和整理,形成员工行为集合S={behai},统计集合S中的时间跨度wt;基于S和wt统计行为出现概率P(behai)和行为共现概率P(behai,behaj);基于两种概率计算依赖关系数值depai,aj,depai,aj反映了行为behai对行为behaj的依赖程度;根据所有的depai,aj构建攻击依赖矩阵M,矩阵M反映了一个员工所有行为两两之间的依赖关系;由M得出攻击行为路径pathag→ak,pathag→ak表示一个完整的、最有可能发生的一系列攻击动作。本发明找出员工行为间的潜在联系,并量化这种依赖关系。企业可以通过依赖关系数值快速找出关系最紧密两种行为,按照事先规定的危险阈值对威胁行为进行预警,防止企业遭受一些来自内部的威胁攻击。
-
公开(公告)号:CN117221008B
公开(公告)日:2024-02-23
申请号:CN202311468087.0
申请日:2023-11-07
Applicant: 中孚信息股份有限公司
IPC: H04L9/40
Abstract: 本发明提出的一种基于反馈机制的多行为基线修正方法、系统、装置及介质,属于网络安全技术领域。所述方法包括:识别实体,根据每个基线特征的相关参数计算出变异系数,并进行离散程度分析,生成离散程度分析结果;当行为特征基线为强离散的行为特征基线时,通过基线更新判定机制判断是否需要更新行为特征基线,若是,则利用基线反馈机制更新行为特征基线;当行为特征基线为弱离散的行为特征基线时,继续使用当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线;当行为特征基线为异常基线时,则直接调整当前的行为特征基线,并(56)对比文件Feiyao Ling;Honglei Chen;Dean Ta;Kailiang Xu.Wideband Dispersion Reversalbased Corrosion Inspection Using A0 ModeLamb Waves《.2022 IEEE InternationalUltrasonics Symposium (IUS)》.2022,全文.李晓东;陆尧胜.一种胎心率基线修正算法.生物医学工程学杂志.2015,(第05期),全文.
-
公开(公告)号:CN117034124B
公开(公告)日:2024-02-23
申请号:CN202311279415.2
申请日:2023-10-07
Applicant: 中孚信息股份有限公司
IPC: G06F18/241 , G06F18/214 , G06N20/00 , H04L9/40
Abstract: 本申请公开了一种基于小样本学习的恶意流量分类方法、系统、设备及介质,主要涉及恶意流量分类技术领域,用以解决现有的方法将数据裁剪成统一长度,使得很多会话被填充了,导致预处理后的数据很稀疏、当测试集的分类数目发生变化时,需要重新划分元训练集和元测试集,使得模型不够灵活且在跨域数据集上表现不理想、容易受样本不均衡影响的问题。包括:获取原始流量PCAP文件会话,基于预设字节长度阈值获得会话的最终字节,生成会话数据集;基于会话数据集中的未知标签数据集,获得预设嵌入函数对应的最优参数;基于会话数据集中的已知标签训练数据集,完成线性分类器中参数的训练;确定获得基于小样本学习的恶意流量分类器。(56)对比文件韩国栋;黄雅静;王孝龙.非平衡网络流量识别方法.计算机应用.2018,(第01期),全文.熊祖涛.基于增量学习SVM的Android恶意应用检测方法.嘉应学院学报.2016,(第05期),全文.
-
公开(公告)号:CN117221008A
公开(公告)日:2023-12-12
申请号:CN202311468087.0
申请日:2023-11-07
Applicant: 中孚信息股份有限公司
IPC: H04L9/40
Abstract: 本发明提出的一种基于反馈机制的多行为基线修正方法、系统、装置及介质,属于网络安全技术领域。所述方法包括:识别实体,根据每个基线特征的相关参数计算出变异系数,并进行离散程度分析,生成离散程度分析结果;当行为特征基线为强离散的行为特征基线时,通过基线更新判定机制判断是否需要更新行为特征基线,若是,则利用基线反馈机制更新行为特征基线;当行为特征基线为弱离散的行为特征基线时,继续使用当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线;当行为特征基线为异常基线时,则直接调整当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线。本发明能够可持续、多角度对基线进行不断修正和维护。
-
Patent Agency Ranking
公开(公告)号:CN117034124A
公开(公告)日:2023-11-10
申请号:CN202311279415.2
申请日:2023-10-07
Applicant: 中孚信息股份有限公司
IPC: G06F18/241 , G06F18/214 , G06N20/00 , H04L9/40
Abstract: 本申请公开了一种基于小样本学习的恶意流量分类方法、系统、设备及介质,主要涉及恶意流量分类技术领域,用以解决现有的方法将数据裁剪成统一长度,使得很多会话被填充了,导致预处理后的数据很稀疏、当测试集的分类数目发生变化时,需要重新划分元训练集和元测试集,使得模型不够灵活且在跨域数据集上表现不理想、容易受样本不均衡影响的问题。包括:获取原始流量PCAP文件会话,基于预设字节长度阈值获得会话的最终字节,生成会话数据集;基于会话数据集中的未知标签数据集,获得预设嵌入函数对应的最优参数;基于会话数据集中的已知标签训练数据集,完成线性分类器中参数的训练;确定获得基于小样本学习的恶意流量分类器。
-
公开(公告)号:CN115296937B
公开(公告)日:2023-04-18
申请号:CN202211223891.8
申请日:2022-10-09
Applicant: 中孚信息股份有限公司
IPC: H04L9/40 , G06F21/56 , G06F18/214 , G06F18/22
Abstract: 本申请公开了一种用于实时加密恶意流量识别的方法及设备,主要涉及恶意流量识别技术领域,用以解决现有的识别模型无法识别新出现的特征值以及训练集中良性样本与恶意样本极不均衡等问题。包括:基于预设提取字段和预设流量四元组,从PACP文件中获取流数据;批量处理若干PACP文件,获得CSV文件;将流数据中的object类型数据转换为数值型数据;得到组合特征;获取纯恶意标记的流数据;以通过预设样本扩充算法,获取第一恶意样本数据;进而通过恶意样本数据和预设为良性标记的流数据,完成预设恶意识别算法的训练。本申请通过上述方法实现了顾及新出现的特征值、实现了训练集中良性样本与恶意样本的均衡。
-
公开(公告)号:CN112491877A
公开(公告)日:2021-03-12
申请号:CN202011350875.6
申请日:2020-11-26
Applicant: 中孚安全技术有限公司 , 中孚信息股份有限公司 , 北京中孚泰和科技发展股份有限公司 , 南京中孚信息技术有限公司
IPC: H04L29/06
Abstract: 本发明提供一种用户行为序列异常检测方法、终端及存储介质,获取预设时间段用户行为信息;将特征属性进行聚合顺序;将用户预设时间段内的行为配置成行向量,再形成行为行向量时间序列;提取任意两个用户的行为行向量时间序列,计算相关系数,并判断向量相似度;采用动态规整算法查找两个用户的行为行向量时间序列的最优距离;计算所有用户之间的距离平均值和标准差;如有用户与其他用户间的距离大于平均值的+3倍标准差,则判断所述用户为异常用户。本发明可以分析用户行为细节,克服用户由于未有连续行为造成无法生成特征矩阵,序列长度不一致的问题,降低异常检测的误报率。使得可以识别掩藏在群组内部的异常行为,保障数据信息的安全性。
-
公开(公告)号:CN112235367A
公开(公告)日:2021-01-15
申请号:CN202011049252.5
申请日:2020-09-29
Applicant: 中孚安全技术有限公司 , 中孚信息股份有限公司 , 北京中孚泰和科技发展股份有限公司 , 南京中孚信息技术有限公司
IPC: H04L29/08
Abstract: 本发明提供一种基于有向图结构的实体行为关系消息订阅方法、系统、终端及存储介质,对日志文件进行标记,确定其所属类型;选取预设时间段内的所有日志文件,对每个日志文件进行解析,获取每个日志文件的实体和行为信息,按照源IP访问目标IP的顺序依次串联所有实体网络,形成一个有向图结构;用户根据相应的消息订阅方法指定约束条件,通过匹配算法将系统中的信息与用户输入的约束条件进行匹配;若匹配成功,则将匹配信息发送给对应的用户,实现用户与系统数据的交互。实现了大数据模式下实体行为关系数据的高效组织与分发,实现了订阅者与实体间的数据交互,同时提高了数据分析效率,对网络安全分析和威胁检测等方面提供较大帮助。
-
公开(公告)号:CN112235367B
公开(公告)日:2023-02-17
申请号:CN202011049252.5
申请日:2020-09-29
Applicant: 中孚安全技术有限公司 , 中孚信息股份有限公司 , 北京中孚泰和科技发展股份有限公司 , 南京中孚信息技术有限公司
IPC: H04L67/566 , H04L67/55
Abstract: 本发明提供一种基于有向图结构的实体行为关系消息订阅方法、系统、终端及存储介质,对日志文件进行标记,确定其所属类型;选取预设时间段内的所有日志文件,对每个日志文件进行解析,获取每个日志文件的实体和行为信息,按照源IP访问目标IP的顺序依次串联所有实体网络,形成一个有向图结构;用户根据相应的消息订阅方法指定约束条件,通过匹配算法将系统中的信息与用户输入的约束条件进行匹配;若匹配成功,则将匹配信息发送给对应的用户,实现用户与系统数据的交互。实现了大数据模式下实体行为关系数据的高效组织与分发,实现了订阅者与实体间的数据交互,同时提高了数据分析效率,对网络安全分析和威胁检测等方面提供较大帮助。
-
-
-
-
-
-
-
-
-
Search Results
33
records
(took 0.036 seconds)
