公开(公告)号：CN119834995A

公开(公告)日：2025-04-15

申请号：CN202411156037.3

申请日：2024-08-22

Applicant: 上海观安信息技术股份有限公司

Inventor： 宋小龙 ,  马振 ,  邹武

IPC: H04L9/40 ,  H04L43/04 ,  H04L43/026 ,  G06N3/088 ,  G06N3/092 ,  G06N7/01

Abstract: 本发明提供基于轮廓隐马模型的伪装入侵检测方法及系统，方法包括：数据加载抽取过程当中，对日志数据中Linux操作命令进行标准格式化处理；encoder自编码方式对命令流块数值型转码映射，生成命令流块；使用多序列比对的方式，构建用户命令执行轮廓(Profile)参数矩阵；利用特征工程模块，使用词嵌入的方式向量化或者数据表征；HMM模型设定估计，输出模型参数，利用HMM模型进行评估、预测、学习，获取伪装入侵检测结果。本发明解决了检测方式单一、缺乏灵活性，以及依赖大量数据标注导致检测系统鲁棒性、延展性及主机入侵检测精度较低的技术问题。

公开(公告)号：CN116488948B

公开(公告)日：2023-09-01

申请号：CN202310744948.7

申请日：2023-06-25

Applicant: 上海观安信息技术股份有限公司

Inventor： 宋小龙 ,  马振

IPC: H04L9/40

Abstract: 本申请涉及网络安全技术领域，提出了一种机器行为异常检测方法、装置、设备及介质，其中，方法包括：获取预设时间段内的访问操作数据；根据预设多维度识别方式对所述访问操作数据进行检测，以确定访问操作数据中是否存在访问操作行为属于疑似机器访问行为操作的目标访问操作数据；当确定访问操作数据中存在访问操作行为属于疑似机器访问行为操作的目标访问操作数据时，获取目标访问操作数据；对目标访问操作数据进行重检测，以再次确定目标访问操作数据中的访问操作行为是否属于机器访问行为操作。通过该技术方案，准确识别访问操作行为是否属于疑似机器访问行为操作，从而极大的提高检测效率和准确性。

公开(公告)号：CN116070206B

公开(公告)日：2023-06-30

申请号：CN202310313397.9

申请日：2023-03-28

Applicant: 上海观安信息技术股份有限公司

Inventor： 许云风 ,  马振 ,  邹武 ,  梁淑云 ,  殷钱安 ,  魏国富 ,  宋小龙 ,  王雨民 ,  胡绍勇 ,  张照龙

IPC: G06F21/55 ,  G06N3/08

Abstract: 本申请提供了一种异常行为检测方法、系统、电子设备及存储介质，涉及大数据安全用户实体行为分析技术领域。该方法基于操作日志数据，创建行为会话，提取行为会话特征数据；基于行为会话特征数据训练得到行为序列算法模型；使用包含行为序列算法模型和统计算法模型的联合算法模型对待检测数据进行联合异常检测，生成异常检测结果；展示异常检测结果。本申请实施例通过行为会话的引入，加速了行为会话特征数据的提取，提升了行为序列算法模型训练和检测的速度；并且通过联合算法模型，不仅可以追踪异常行为轨迹，还可以从统计特征上面抓取异常行为，两者共同印证，大大提升了检测结果的准确率，且具有良好的解释性。

公开(公告)号：CN116488948A

公开(公告)日：2023-07-25

申请号：CN202310744948.7

申请日：2023-06-25

Applicant: 上海观安信息技术股份有限公司

Inventor： 宋小龙 ,  马振

IPC: H04L9/40

Abstract: 本申请涉及网络安全技术领域，提出了一种机器行为异常检测方法、装置、设备及介质，其中，方法包括：获取预设时间段内的访问操作数据；根据预设多维度识别方式对所述访问操作数据进行检测，以确定访问操作数据中是否存在访问操作行为属于疑似机器访问行为操作的目标访问操作数据；当确定访问操作数据中存在访问操作行为属于疑似机器访问行为操作的目标访问操作数据时，获取目标访问操作数据；对目标访问操作数据进行重检测，以再次确定目标访问操作数据中的访问操作行为是否属于机器访问行为操作。通过该技术方案，准确识别访问操作行为是否属于疑似机器访问行为操作，从而极大的提高检测效率和准确性。

公开(公告)号：CN116070206A

公开(公告)日：2023-05-05

申请号：CN202310313397.9

申请日：2023-03-28

Applicant: 上海观安信息技术股份有限公司

Inventor： 许云风 ,  马振 ,  邹武 ,  梁淑云 ,  殷钱安 ,  魏国富 ,  宋小龙 ,  王雨民 ,  胡绍勇 ,  张照龙

IPC: G06F21/55 ,  G06N3/08

Abstract: 本申请提供了一种异常行为检测方法、系统、电子设备及存储介质，涉及大数据安全用户实体行为分析技术领域。该方法基于操作日志数据，创建行为会话，提取行为会话特征数据；基于行为会话特征数据训练得到行为序列算法模型；使用包含行为序列算法模型和统计算法模型的联合算法模型对待检测数据进行联合异常检测，生成异常检测结果；展示异常检测结果。本申请实施例通过行为会话的引入，加速了行为会话特征数据的提取，提升了行为序列算法模型训练和检测的速度；并且通过联合算法模型，不仅可以追踪异常行为轨迹，还可以从统计特征上面抓取异常行为，两者共同印证，大大提升了检测结果的准确率，且具有良好的解释性。