公开(公告)号：CN115150130B

公开(公告)日：2023-11-10

申请号：CN202210645054.8

申请日：2022-06-08

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波

IPC: H04L9/40

Abstract: 本公开涉及一种攻击团伙的跟踪分析方法、装置、设备及存储介质，其中，方法包括：确定多个时间窗口的团伙划分结果，对于多个时间窗口中第一时间窗口中的第一团伙，从相邻的第二时间窗口对应的所有团伙中确定存在共有攻击资源实体的第二团伙，确定第一团伙和第二团伙中除共有攻击资源实体以外的目标攻击资源实体的可信度，根据可信度生成第二团伙对应的确认结果，以根据确认结果确定团伙跟踪分析结果。根据本公开的技术方案，能够在团伙攻击资源变化情况下准确地对团伙进行持续跟踪分析。

公开(公告)号：CN113535823B

公开(公告)日：2023-11-10

申请号：CN202110842412.X

申请日：2021-07-26

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 张学亮 ,  周晓阳 ,  鲍青波 ,  吴瑕

IPC: G06F16/2458 ,  G06F16/28

Abstract: 本申请公开了一种异常访问行为检测方法、装置及电子设备，其中，该方法包括：从获取的历史访问请求中提取时间标识和属性信息，并基于时间标识和属性信息，构建能够唯一标识访问行为的访问信息；基于时间标识对访问信息进行排序，以形成第一序列；通过滑动时间窗口从第一序列中截取包含多个访问信息的第一片段；对第一片段中多个访问信息的属性信息进行分析，以识别多个访问信息所标识的访问行为中的同类访问行为，并确定同类访问行为的数量；在同类访问行为的数量大于第一阈值的情况下，确定同类访问行为为异常访问行为。该方法能够准确检测一定时间范围内反复出现的异常访问行为。

公开(公告)号：CN113326507B

公开(公告)日：2023-09-26

申请号：CN202110598305.7

申请日：2021-05-31

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波 ,  周晓阳 ,  尉东辉

IPC: G06F21/55 ,  G06F18/22

Abstract: 本发明提供一种识别内网潜在威胁业务账号的方法及装置，所述方法包括：确定待测业务账号登录内网的业务资源系统的登录行为日志；基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列；确定每个所述待测业务账号的登录行为时间序列的周期，并基于所述周期对所述待测业务账号的登录行为时间序列进行划分，以得到每个所述待测业务账号的子行为时间序列；计算所述待测业务账号的子行为时间序列间的相似度；基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号。本发明的方法能够快速有效，且准确地识别出内网中潜在威胁业务账号。

公开(公告)号：CN115834174B

公开(公告)日：2023-06-09

申请号：CN202211429350.0

申请日：2022-11-15

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱 ,  鲍青波 ,  张楠

IPC: H04L9/40 ,  H04L43/08 ,  H04L43/0817 ,  H04L43/0876 ,  H04L41/16 ,  H04L41/147 ,  G06N3/0464 ,  G06N3/048 ,  G06N3/0442 ,  G06N3/09

Abstract: 本公开涉及一种基于时序图神经网络的网络安全态势预测方法和装置，其中，方法包括：获取历史时间段内的多个网络态势评估数据按照多个时间点划分，得到每个时间点对应的待训练网络态势评估数据，获取每个时间点待训练网络态势评估数据的指标态势得分和指标权重进行计算，得到每个时间点待训练网络态势评估数据的历史安全态势值，将每个时间点对应的待训练网络态势评估数据输入预先构建的时序图神经网络得到训练态势值，基于训练态势值和历史安全态势值调整时序图神经网络的模型参数得到已训练的时序图神经网络对待处理网络态势评估数据进行处理，得到预测安全态势值。由此，提升网络安全态势预测精度。

公开(公告)号：CN115834174A

公开(公告)日：2023-03-21

申请号：CN202211429350.0

申请日：2022-11-15

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱 ,  鲍青波 ,  张楠

IPC: H04L9/40 ,  H04L43/08 ,  H04L43/0817 ,  H04L43/0876 ,  H04L41/16 ,  H04L41/147 ,  G06N3/0464 ,  G06N3/048 ,  G06N3/0442 ,  G06N3/09

Abstract: 本公开涉及一种基于时序图神经网络的网络安全态势预测方法和装置，其中，方法包括：获取历史时间段内的多个网络态势评估数据按照多个时间点划分，得到每个时间点对应的待训练网络态势评估数据，获取每个时间点待训练网络态势评估数据的指标态势得分和指标权重进行计算，得到每个时间点待训练网络态势评估数据的历史安全态势值，将每个时间点对应的待训练网络态势评估数据输入预先构建的时序图神经网络得到训练态势值，基于训练态势值和历史安全态势值调整时序图神经网络的模型参数得到已训练的时序图神经网络对待处理网络态势评估数据进行处理，得到预测安全态势值。由此，提升网络安全态势预测精度。

公开(公告)号：CN115292310B

公开(公告)日：2023-03-10

申请号：CN202210813444.1

申请日：2022-07-11

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波

IPC: G06F16/22 ,  G06F16/245 ,  G06F16/955

Abstract: 本公开涉及一种告警事件数据处理方法、装置、电子设备及存储介质，其中，所述方法包括：获取待处理的多条告警事件数据；根据每条告警事件数据携带的告警事件类型以及预设的数据资源列表，从所述每条告警事件数据中识别出与所述数据资源列表关联的重要数据标记；根据所述每条告警事件数据的重要数据标记，对所述多条告警事件数据进行聚合处理，得到多组数据；按照每组数据的优先级由高到低的顺序，依次从所述多组数据中选择一组数据，并基于预设的归并规则，对所述一组数据进行归并处理，生成归并后的告警数据；输出所述归并后的告警数据。由此，实现了以重要数据角度对告警事件数据进行统一聚合处理，以及实现了重要数据的优先、快速归并告警。

公开(公告)号：CN115292310A

公开(公告)日：2022-11-04

申请号：CN202210813444.1

申请日：2022-07-11

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波

IPC: G06F16/22 ,  G06F16/245 ,  G06F16/955

Abstract: 本公开涉及一种告警事件数据处理方法、装置、电子设备及存储介质，其中，所述方法包括：获取待处理的多条告警事件数据；根据每条告警事件数据携带的告警事件类型以及预设的数据资源列表，从所述每条告警事件数据中识别出与所述数据资源列表关联的重要数据标记；根据所述每条告警事件数据的重要数据标记，对所述多条告警事件数据进行聚合处理，得到多组数据；按照每组数据的优先级由高到低的顺序，依次从所述多组数据中选择一组数据，并基于预设的归并规则，对所述一组数据进行归并处理，生成归并后的告警数据；输出所述归并后的告警数据。由此，实现了以重要数据角度对告警事件数据进行统一聚合处理，以及实现了重要数据的优先、快速归并告警。

公开(公告)号：CN115150160A

公开(公告)日：2022-10-04

申请号：CN202210764106.3

申请日：2022-06-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱 ,  鲍青波 ,  张楠

IPC: H04L9/40 ,  H04L67/02 ,  G06N3/00

Abstract: 本申请实施例提供一种网络攻击特征的检测方法及系统，数据检测技术领域。该网络攻击特征的检测方法包括：获取待测网络数据；根据预设TF‑IDF模型对所述待测网络数据进行特征提取，生成特征结果数据；根据预设孤立森林算法对所述特征结果数据进行网络攻击检测，生成网络攻击数据，所述网络攻击数据包括具有攻击行为的待测网络数据；根据预设极大频繁项集挖掘算法对所述网络攻击数据进行攻击特征提取，生成所述攻击特征数据。该网络攻击特征的检测方法可以实现提高网络攻击的检测效率和检测成本的技术效果。

公开(公告)号：CN115118491A

公开(公告)日：2022-09-27

申请号：CN202210731247.5

申请日：2022-06-24

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱 ,  鲍青波 ,  张楠

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本申请属于通信技术领域，公开了僵尸网络检测的方法、装置、电子设备及可读存储介质，该方法包括，获取网络原始数据，网络原始数据为不同网络节点之间的传输数据；基于网络原始数据，以及预先训练好的网络检测模型，获得僵尸网络节点的网络地址信息，网络检测模型是基于图神经网络以及注意力机制构建的。这样，采用基于图神经网络以及注意力机制构建的网络检测模型，进行僵尸网络检测，提高了检测准确度。

公开(公告)号：CN112637212B

公开(公告)日：2022-09-16

申请号：CN202011552161.3

申请日：2020-12-24

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波

IPC: H04L9/40 ,  H04L41/142

Abstract: 本申请提供一种网络安全态势的分析方法和装置，方法包括：根据第一时间段内各个周期的态势指标数据计算得到当前周期对应的短期评估指数；根据第二时间段内各个周期的态势指标数据计算得到当前周期对应的长期评估指数；根据当前周期对应的短期评估指数和长期评估指数，确定网络安全态势；其中：第一时间段和第二时间段均包括多个周期；第一时间段长度小于第二时间段长度，第一时间段为第二时间段的末尾时间段，当前周期为第一时间段的末尾周期。通过短期评估指数和长期评估数据的比较可以看出当前周期近期的安全态势相对于较长时间的安全态势的变化情况，使得安全态势的表示从定量化描述向近似定性化描述演进。