公开(公告)号：CN110839040A

公开(公告)日：2020-02-25

申请号：CN201911153175.5

申请日：2019-11-20

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波

IPC: H04L29/06 ,  H04L12/24

Abstract: 本申请实施例提供了一种流量的监控方法、模型的训练方法、装置及存储介质。方法包括：获取网络在多个历史时刻时的历史流量；将所述历史流量转换成所述历史流量所在的流量区间对应的一个数值；通过预设的流量预估模型处理所述数值，预估出所述网络在预估时刻时的预估流量；在所述预估时刻时，获取所述网络的实际流量；根据所述实际流量与所述预估流量，确定所述网络的流量是否异常。通过将流量转换成该流量所在的流量区间对应的一个数值，可实现数据的泛化。流量预估模型通过处理被泛化的数据，可以准确的预测出结果，以实现通过预估准确的确定出流量是否异常。

公开(公告)号：CN114547491B

公开(公告)日：2025-05-16

申请号：CN202210204857.X

申请日：2022-03-03

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波 ,  万可 ,  黄娜

IPC: G06F16/9537 ,  G06F16/957

Abstract: 本公开实施例涉及一种时序图谱构建方法、装置、设备及介质，其中该方法包括：获取预设时间段内的流量数据信息；基于流量数据信息，构建原始序列；对原始序列进行采样处理获得多个子序列，基于每个子序列与原始序列的距离分布，确定每个子序列的信息增益；将各个子序列的信息增益进行比较，并基于比较结果从多个子序列中获得目标序列；将目标序列作为时序图谱的节点，以及将目标序列在同一原始序列中的时序关系作为时序图谱的边，构建时序图谱。本公开实施例中，将时序的网络安全攻击或访问路径转化为了时序图谱的表现形式，能够将设备探针无法检测到的网络攻击反馈在时序图谱上，从而提高了时序图谱的准确性。

公开(公告)号：CN118797266B

公开(公告)日：2025-05-09

申请号：CN202410778134.X

申请日：2024-06-17

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 晋钢 ,  鲍青波

IPC: G06F18/20 ,  G06F18/25 ,  G06N3/042 ,  G06N3/045 ,  G06N3/0455 ,  G06N5/04 ,  G06N5/025 ,  G06N7/01

Abstract: 本申请提供一种预测模型的训练方法、信息传播路径的预测方法，该预测模型的训练方法可以包括：根据样本信息构建样本异构图；样本信息至少包括账号实体信息、内容载体实体信息以及关键词实体信息，样本异构图的节点表征账号实体、内容载体实体或者关键词实体，样本异构图的边表征实体之间的连接关系；从样本异构图中提取传播样本信息的多个元路径，并确定各个元路径中各个节点的目标特征；将样本异构图以及各个节点的目标特征输入初始预测模型中，将样本异构图的真实标签作为初始预测模型的期望输出训练初始预测模型，得到预测模型；真实标签表征样本异构图中各个节点之间存在连接关系的概率。该方法可以提高预测的信息传播路径的准确性。

公开(公告)号：CN114925221B

公开(公告)日：2025-03-28

申请号：CN202210599585.8

申请日：2022-05-30

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 李金戈 ,  鲍青波 ,  王卓 ,  刘俊潮 ,  陈天草 ,  李小华

IPC: G06F16/36 ,  G06F16/34 ,  G06F16/387

Abstract: 本公开涉及一种知识图谱的处理方法、装置、电子设备和介质；其中，该方法包括：获取知识图谱的原始数据，原始数据包括：至少两个目标实体以及至少两个目标实体间的结构关系；基于至少两个目标实体以及至少两个目标实体间的结构关系，确定图谱网格数据，图谱网格数据为对至少两个目标实体进行网格化处理得到的；基于图谱网格数据，显示知识图谱对应的可视化视图，可视化视图包括：可视化缩略视图或可视化局部视图，可视化局部视图与可视化缩略视图相对应。本公开实施例能够显示大规模数量的图谱数据，可视化程度较高，有效提升用户浏览性。

公开(公告)号：CN114154145B

公开(公告)日：2024-10-01

申请号：CN202111389457.2

申请日：2021-11-22

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波 ,  周晓阳

IPC: G06F21/55

Abstract: 本公开涉及一种网络安全态势对比分析方法、装置、电子设备及存储介质，首先，获取目标时间段内的安全数据信息；其中，安全数据信息包括区域标识、时间段和事件类型；基于时间段，获取每个事件类别对应的权重；然后，通过预设公式基于区域总数、事件类型个数、每个事件类别对应的权重、每个区域对应的每个事件的数量在所有区域中的排名值进行计算，得到每个区域标识对应的横向态势对比指标值。可见，本公开实施例通过获取每个区域标识对应的横向态势对比指标值，可以得到区域间的态势状况的威胁对比情况，对评价多区域联合的网络安全态势中的威胁指数、风险指数等态势指数具有定量评价意义，提高了多区域联合的网络安全态势的对比分析的效果。

公开(公告)号：CN113901455B

公开(公告)日：2024-07-26

申请号：CN202111194488.2

申请日：2021-10-13

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱 ,  鲍青波 ,  张楠

IPC: G06F21/55 ,  G06F18/20 ,  G06F18/2431 ,  G06F18/2433 ,  G06F18/2415 ,  G06F18/25

Abstract: 本公开涉及一种异常操作行为检测方法、装置、设备及介质，该方法包括：获取同一用户群组内的多个命令序列流；对命令序列流进行文本特征的提取，得到多个字节片段序列；通过隐马尔可夫模型计算字节片段序列的操作发生概率；利用孤立森林模型从操作发生概率中孤立出异常的目标操作发生概率；将目标操作发生概率对应的shell命令的操作行为确定为异常操作行为。本公开能够有效提升异常操作行为检测的效率和准确性。

公开(公告)号：CN118233153A

公开(公告)日：2024-06-21

申请号：CN202410241035.8

申请日：2024-03-04

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波 ,  万可

IPC: H04L9/40

Abstract: 本申请实施例提供一种网络攻击时序态势预测方法、装置、电子设备及存储介质，涉及人工智能技术领域。该方法包括获取业务系统的攻击行为数据；对所述攻击行为数据进行多维度特征提取；基于特征提取结果进行因果卷积层训练，获得预测模型，以利用所述预测模型进行时序态势预测。该方法解决了不同业务系统在时序分析时，存在属性特征、动态行为、季节周期性差异、时间不对齐等因素导致难以预测的问题。

公开(公告)号：CN115118491B

公开(公告)日：2024-02-09

申请号：CN202210731247.5

申请日：2022-06-24

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱 ,  鲍青波 ,  张楠

IPC: H04L9/40 ,  G06N3/0464 ,  G06N3/08

Abstract: 本申请属于通信技术领域，公开了僵尸网络检测的方法、装置、电子设备及可读存储介质，该方法包括，获取网络原始数据，网络原始数据为不同网络节点之间的传输数据；基于网络原始数据，以及预先训练好的网络检测模型，获得僵尸网络节点的网络地址信息，网络检测模型是基于图神经网络以及注意力机制构建的。这样，采用(56)对比文件陈端兵;万英;田军伟;傅彦.一种基于社会网络分析的P2P僵尸网络反制策略.计算机科学.2009,(第06期),全文.任凯凯.基于网络结构和流量特征相似性的僵尸网.计算机产品与流通.2017,(第07期),全文.刘丹;李毅超;胡跃.多阶段过滤的P2P僵尸网络检测方法.计算机应用.2010,(第12期),全文.刘建波.基于动态聚类算法的IRC僵尸网络检测.哈尔滨商业大学学报(自然科学版).2011,(第05期),全文.

公开(公告)号：CN115001791B

公开(公告)日：2024-02-06

申请号：CN202210592354.4

申请日：2022-05-27

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波

IPC: H04L9/40 ,  H04L41/147 ,  H04L41/16 ,  H04L43/04 ,  G06N3/0895

Abstract: 本公开提供了一种攻击资源标注方法，涉及大数据与人工智能领域。该方法包括：获取人工标记攻击实体集；根据图神经网络算法对所述人工标记攻击实体集以及当前未标记攻击实体集进行半监督学习训练，获取推荐攻击实体集；根据所述人工标记攻击实体集和所述推荐攻击实体集，获取当前已标记攻击实体集；根据所述当前已标记攻击实体集以及当前未标记攻击实体集对所述攻击资源标注预测模型进行半监督训练，直至满足预设条件为止，将满足所述预设条件时的攻击资源标注预测模型作为目标攻击资源标注预测模型；根据所述目标攻击资源标注预测模型，输出所有攻击实体的标注结果。采用本方法能够提高对攻击资源进行自动化标注的效率。

公开(公告)号：CN114422267B

公开(公告)日：2024-02-06

申请号：CN202210202225.X

申请日：2022-03-03

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波 ,  万可 ,  黄娜

IPC: H04L9/40 ,  G06F18/23

Abstract: 本公开实施例涉及一种流量检测方法、装置、设备及介质，其中该方法包括：获取待检测端的访问时序图谱；其中，访问时序图谱包括至少一个具有异常流量标识的目标图谱节点；对访问时序图谱进行图表示学习，得到访问时序图谱中每个图谱节点对应的时序向量；根据预设的聚类算法对时序向量进行聚类处理，得到多个聚类类别；从多个聚类类别中获取目标图谱节点所属的目标聚类类别，并基于目标聚类类别确定待检测端的异常流量。本公开实施例中，提高了对未知规律异常流量的检出率，保障了网络安全，并且提高了长时间周期下异常流量标注的自动化程度，降低了进行异常流量标注所消耗的人力成本。