公开(公告)号：CN114465764A

公开(公告)日：2022-05-10

申请号：CN202111603496.8

申请日：2021-12-24

Applicant: 中孚信息股份有限公司

Inventor： 刘洋洋 ,  路冰 ,  孟维英 ,  孙宁 ,  邹斯达

IPC: H04L9/40 ,  H04L41/142

Abstract: 本发明提出的一种基于流量数据的端口扫描识别方法、系统及装置，属于计算机技术领域。所述方法包括：将具有扫描行为的流量数据以每十分钟划分一个时间窗口；在同一时间窗口内，聚合同一源ip地址下目的ip与目的端口相同的数据；判断任一源ip地址的访问数据是否小于预设阈值；并统计此源ip地址的访问信息和相应的目的ip地址的访问信息，作为输入信息；分别通过Snort检测方法、比值计算法、频率计算法计算输入信息并进行集成，得到源ip地址的最终检测分数；判断源ip地址的最终检测分数是否大于判定值；若是，则认定此源ip地址存在端口扫描行为。本发明能够更准确的发现执行扫描操作的主机，将恶意攻击带来的不利后果降至最低。

公开(公告)号：CN114050941A

公开(公告)日：2022-02-15

申请号：CN202210024108.9

申请日：2022-01-11

Applicant: 中孚信息股份有限公司

Inventor： 孙强 ,  路冰 ,  马衍硕 ,  李修明 ,  刘长秋

IPC: H04L9/40

Abstract: 本发明公开一种基于核密度估计的失陷账号检测方法及系统，涉及数据识别、数据表示及数据处理技术领域，包括：通过核密度估计算法对账号在不同时间点的在线数据进行概率估计，以此建立账号在线时间历史基线；通过核密度估计算法对账号在不同设备的登录数据进行概率估计，以此建立账号登录设备历史基线；根据账号在线时间历史基线和账号登录设备历史基线，对待测账号实际的登录时间和登录设备进行偏离诊断，根据诊断结果定位失陷账号。基于网络中的实际实体及行为数据，构建账号正常在线时间历史基线与常用登录设备基线，以此发现偏离历史基线的行为，定位失陷账号风险，准确发现网络的数据失泄密行为，提高异常行为检测的准确性，保证数据安全。

公开(公告)号：CN112488175A

公开(公告)日：2021-03-12

申请号：CN202011347823.3

申请日：2020-11-26

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 李兴国 ,  邹斯达 ,  苗功勋 ,  路冰 ,  孙宁

IPC: G06K9/62 ,  H04L29/06

Abstract: 本发明提供一种基于行为聚合特征的异常用户检测方法、终端及存储介质，获取预设时间段内的用户行为信息；基于访问地址信息将用户预设时间段内的特征属性进行聚合；将每个用户的矩阵配置成一行向量；分别计算任意两个用户之间的相关系数，作为行为相似度；查找相似度最大的两个用户，聚成一类；计算所述类与其他用户之间的相似度，并更新聚成一类用户的相似度矩阵，然后重复迭代计算；重复迭代计算达到预先设定的阈值之后，停止聚类过程，此时脱离内网群组的用户被认定为具有异常行为。这样，本发明降低了异常检测的误报率。可以识别掩藏在群组内部的异常用，保障数据信息的安全性。