公开(公告)号：CN111753547B

公开(公告)日：2024-02-27

申请号：CN202010610999.7

申请日：2020-06-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 马影 ,  梁淑云 ,  刘胜 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆 ,  周晓勇

IPC: G06F40/295 ,  G06F40/216 ,  G06Q10/107 ,  G06F16/35 ,  G06F16/31

Abstract: 本发明公开了一种用于敏感数据泄露检测的关键词提取方法及检测系统，包括对源文本数据进行清洗，去时间、日期，得到目标文档；针对目标文档，采用TF‑IDF算法进行关键词提取，得到TF‑IDF关键词候选；针对目标文档，进行非中文处理，得到邮箱、URL、IP、手机号、最长公共子串关键词；将得到的TF‑IDF关键词候选与邮箱、URL、IP、手机号、最长公共子串关键词进行剔重

公开(公告)号：CN113722199B

公开(公告)日：2024-01-30

申请号：CN202111045796.9

申请日：2021-09-07

Applicant: 上海观安信息技术股份有限公司

Inventor： 梁淑云 ,  殷钱安 ,  余贤喆 ,  王启凡 ,  陶景龙 ,  徐明 ,  刘胜 ,  马影 ,  周晓勇 ,  魏国富 ,  夏玉明

IPC: G06F18/2433 ,  G06Q30/0207

Abstract: 本发明公开了一种异常行为检测方法、装置、计算机设备及存储介质，涉及信息技术领域，主要在于能够避免造成用户行为数据统计上的偏差，从而能够提高用户异常行为的检测精度。其中方法包括：获取待检测用户的多个操作行为分别对应的操作时间；基于所述操作时间，确定按照时间顺序排序的多个操作时间间隔；计算所述多个操作时间间隔共同对应的周期分割阈值，并根据所述周期分割阈值，确定所述多个操作时间间隔中存在的周期间时间间隔；基于所述周期间时间间隔，将所述多个操作时间间隔划分成不同的时间窗口；根据所述待检测用户在所述不同时间窗口下的操作频次，判定所述待检测用户是否存在异常操作行为。本发明适用于异常行为的检测。

公开(公告)号：CN114338593B

公开(公告)日：2023-07-04

申请号：CN202111594056.0

申请日：2021-12-23

Applicant: 上海观安信息技术股份有限公司

Inventor： 徐明 ,  辜乘风 ,  魏国富 ,  夏玉明 ,  殷钱安 ,  周晓勇 ,  陶景龙 ,  余贤喆 ,  梁淑云 ,  刘胜 ,  王启凡 ,  马影

IPC: H04L61/103 ,  H04L9/40

Abstract: 本申请公开了一种利用地址解析协议进行网络扫描的行为检测方法及装置、存储介质和计算机设备。方法包括：获取通信信息，其中，通信信息包括源地址、目的地址、请求时间以及请求结果；根据目的地址以及请求时间，确定源地址对应的请求规律；根据请求规律确定请求规律得分，根据源地址对应的请求结果确定请求结果得分，根据源地址对应的目的地址确定请求广度得分；根据请求规律得分、请求结果得分以及请求广度得分，在多个通信信息对应的源地址中，确定与网络扫描对应的目标源地址，并确定目标源地址对应的目标请求为网络扫描行为。本申请的方法，提高了ARP网络扫描行为检测的准确率。

公开(公告)号：CN111752727B

公开(公告)日：2023-06-20

申请号：CN202010611005.3

申请日：2020-06-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 王启凡 ,  陶景龙 ,  梁淑云 ,  刘胜 ,  马影 ,  魏国富 ,  殷钱安 ,  余贤喆 ,  周晓勇

IPC: G06F9/54 ,  G06F16/242 ,  G06F16/25 ,  G06F16/28

Abstract: 本发明提供了一种基于日志分析的数据库三层关联的识别方法，通过对request日志和sql日志进行筛选和处理，通过时间窗口特征获得主体对象的相关率，并结合参数相关值确定三层关联关系。本发明提供的基于日志分析的数据库三层关联的识别方法的优点在于：仅通过对request和sql日志进行分析，就能精准识别出数据库的三层关联，不需要对系统进行改造，成本较低，在得到表K后能够对现有日志进行三层关联识别，对新的日志进行三层关联的预测，而且本发明提供的方法是根据历史数据不断更新的，能够不断学习，随着数据样本越来越多，识别的准确性也越来越高；通过参数的相关值和主体对象的相关率综合考虑关联性排序，识别结果准确。

公开(公告)号：CN110784470B

公开(公告)日：2022-10-11

申请号：CN201911045663.4

申请日：2019-10-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 马影 ,  梁淑云 ,  刘胜 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆 ,  周晓勇

IPC: H04L9/40

Abstract: 本发明实施例提供了一种用户异常登录的确定方法，所述方法包括：1)、获取登录接口日志，并将所述登录接口日志处理成结构化数据；2)、利用异常登录算法识别出发生异常的对象，其中，所述对象包括：异常登录账号、异常IP、异常MAC；3)、根据发生异常的对象，利用图数据库，构建以异常登录对象为节点的关系型网络结构图，并根据所述关系型网络结构图获取分别与异常登录对象具有连接关系的节点，将这些节点对应的账号、IP、MAC的集合作为异常登录对象。本发明实施例提供了一种用户异常登录的装置，应用本发明实施例，提高了安全性。

公开(公告)号：CN110995696B

公开(公告)日：2022-02-11

申请号：CN201911201574.4

申请日：2019-11-29

Applicant: 上海观安信息技术股份有限公司

Inventor： 余贤喆 ,  梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  周晓勇

IPC: H04L9/40 ,  H04L101/622

Abstract: 本发明实施例提供了一种伪造MAC群体的发现方法及装置，所述方法包括：针对待识别MAC地址集合中的每一个待识别MAC地址，将待识别MAC地址分割成至少两个字符串；将待识别MAC地址两两组合，得到MAC地址对；获取MAC地址对中包括的MAC地址之间的距离；筛选出地址之间距离小于第一预设阈值的MAC地址对，将MAC地址对中的MAC地址作为关系图的节点，且在MAC地址对之间作边，得到初始关系图；从初始关系图中获取顶点数量大于第二预设阈值的子连通图，并将该子连通图对应的MAC地址作为伪造MAC地址群体。应用本发明实施例，可以解决现有技术无法识别伪造MAC地址的技术问题。

公开(公告)号：CN111143840B

公开(公告)日：2022-01-25

申请号：CN201911406512.7

申请日：2019-12-31

Applicant: 上海观安信息技术股份有限公司

Inventor： 殷钱安 ,  梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  余贤喆 ,  周晓勇

IPC: G06F21/55

Abstract: 本发明提供一种主机操作指令异常识别的方法及系统，包括S1.样本数据提取；S2.数据处理；得到行为序列记录和每个主机操作指令使用频次；S3：非常用指令筛选，得到目标操作指令序列；S4：紧凑预测树训练，得到目标紧凑预测树；S5：紧凑预测树预测，得到带有标签的训练数据集；S6：利用word2vec训练操作指令向量，形成预训练向量；S7：利用Bi‑LSTM建立分类识别模型；S8：利用分类模型进行预测。本发明采用紧凑预测树对用户主机操作指令序列进行分析，研究指令行为序列之间的行为关系，从而判断用户主机操作指令是否异常。基于此，还充分考虑了用户操作指令之间的内在关系，研究了指令在时间维度的逻辑关系，提高主机操作指令异常的对象识别准确度。

公开(公告)号：CN113535458B

公开(公告)日：2021-12-28

申请号：CN202111089557.3

申请日：2021-09-17

Applicant: 上海观安信息技术股份有限公司

Inventor： 殷钱安 ,  梁淑云 ,  余贤喆 ,  王启凡 ,  陶景龙 ,  刘胜 ,  马影 ,  周晓勇 ,  魏国富 ,  夏玉明

IPC: G06F11/07 ,  G06F40/289 ,  G06K9/62

Abstract: 本发明公开了一种异常误报的处理方法及装置、存储介质、终端，涉及互联网技术领域，主要目的在于解决现有无法有效、准确地对异常信息进行处理的问题。包括：获取业务需求信息以及待告警操作对象的操作信息；基于需求操作主题映射关系确定与所述业务需求信息的需求主题分类关键词对应的操作主题分类，所述需求操作主题映射关系用于表征不同需求主题分类关键词与不同操作主题分类之间的主题分类关系；若所述操作信息与所述操作主题分类的操作主题分类关键词之间的第一相似度大于第一相似阈值，则确定基于所述操作信息生成告警信息为误报事件，删除所述告警信息。主要用于异常误报的处理。

公开(公告)号：CN113723555A

公开(公告)日：2021-11-30

申请号：CN202111047033.8

申请日：2021-09-07

Applicant: 上海观安信息技术股份有限公司

Inventor： 刘胜 ,  魏国富 ,  夏玉明 ,  周晓勇 ,  马影 ,  殷钱安 ,  梁淑云 ,  余贤喆 ,  陶景龙 ,  王启凡 ,  徐明

IPC: G06K9/62

Abstract: 本发明公开了一种异常数据的检测方法及装置、存储介质、终端，涉及数据处理技术领域，主要目的在于解决现有异常数据的检测准确性低的问题。包括：获取待进行模型训练的训练样本数据集中至少一组训练样本数据；基于特征分类、标签属性、以及时间维度分别对所述训练样本数据进行筛选处理，得到所述训练样本数据的特征分类结果、标签属性结果、以及时间维度结果；若所述特征分类结果、所述标签属性结果、所述时间维度结果中至少一个匹配预设异常状态，则确定所述训练样本数据为异常数据。主要用于异常数据的检测。

公开(公告)号：CN113722199A

公开(公告)日：2021-11-30

申请号：CN202111045796.9

申请日：2021-09-07

Applicant: 上海观安信息技术股份有限公司

Inventor： 梁淑云 ,  殷钱安 ,  余贤喆 ,  王启凡 ,  陶景龙 ,  徐明 ,  刘胜 ,  马影 ,  周晓勇 ,  魏国富 ,  夏玉明

IPC: G06F11/34 ,  G06Q30/02

Abstract: 本发明公开了一种异常行为检测方法、装置、计算机设备及存储介质，涉及信息技术领域，主要在于能够避免造成用户行为数据统计上的偏差，从而能够提高用户异常行为的检测精度。其中方法包括：获取待检测用户的多个操作行为分别对应的操作时间；基于所述操作时间，确定按照时间顺序排序的多个操作时间间隔；计算所述多个操作时间间隔共同对应的周期分割阈值，并根据所述周期分割阈值，确定所述多个操作时间间隔中存在的周期间时间间隔；基于所述周期间时间间隔，将所述多个操作时间间隔划分成不同的时间窗口；根据所述待检测用户在所述不同时间窗口下的操作频次，判定所述待检测用户是否存在异常操作行为。本发明适用于异常行为的检测。