公开(公告)号：CN112491877A

公开(公告)日：2021-03-12

申请号：CN202011350875.6

申请日：2020-11-26

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 邹斯达 ,  李兴国 ,  苗功勋 ,  路冰 ,  孙宁

IPC: H04L29/06

Abstract: 本发明提供一种用户行为序列异常检测方法、终端及存储介质，获取预设时间段用户行为信息；将特征属性进行聚合顺序；将用户预设时间段内的行为配置成行向量，再形成行为行向量时间序列；提取任意两个用户的行为行向量时间序列，计算相关系数，并判断向量相似度；采用动态规整算法查找两个用户的行为行向量时间序列的最优距离；计算所有用户之间的距离平均值和标准差；如有用户与其他用户间的距离大于平均值的+3倍标准差，则判断所述用户为异常用户。本发明可以分析用户行为细节，克服用户由于未有连续行为造成无法生成特征矩阵，序列长度不一致的问题，降低异常检测的误报率。使得可以识别掩藏在群组内部的异常行为，保障数据信息的安全性。

公开(公告)号：CN113987482B

公开(公告)日：2022-05-06

申请号：CN202111615931.9

申请日：2021-12-28

Applicant: 中孚信息股份有限公司

Inventor： 苗功勋 ,  刘洋洋 ,  娄爱涛 ,  路冰 ,  邹斯达

IPC: G06F21/55 ,  G06N20/00 ,  H04L9/40 ,  H04L61/2503

Abstract: 本申请公开了一种基于FM的IP首次访问检测方法、系统及设备，主要涉及访问检测技术领域，用以解决现有的检测首次访问方法误报率较高的技术问题。方法包括：根据若干历史流量访问日志中的源IP、目的IP，确定源IP与目的IP之间的访问频次；获得训练好的预设FM算法；根据训练好的预设FM算法以及预设网格搜索算法，获得源IP与目的IP之间的参数列表；其中，列表中包括源IP与目的IP之间访问概率；获取源IP的实际访问目的IP，当实际访问目的IP在参数列表中对应的首次访问概率小于预设访问概率时，认定源IP存在首次访问行为。本申请通过上述方法降低了首次检测的误报率。

公开(公告)号：CN113987482A

公开(公告)日：2022-01-28

申请号：CN202111615931.9

申请日：2021-12-28

Applicant: 中孚信息股份有限公司

Inventor： 苗功勋 ,  刘洋洋 ,  娄爱涛 ,  路冰 ,  邹斯达

IPC: G06F21/55 ,  G06N20/00 ,  H04L9/40 ,  H04L61/2503

Abstract: 本申请公开了一种基于FM的IP首次访问检测方法、系统及设备，主要涉及访问检测技术领域，用以解决现有的检测首次访问方法误报率较高的技术问题。方法包括：根据若干历史流量访问日志中的源IP、目的IP，确定源IP与目的IP之间的访问频次；获得训练好的预设FM算法；根据训练好的预设FM算法以及预设网格搜索算法，获得源IP与目的IP之间的参数列表；其中，列表中包括源IP与目的IP之间访问概率；获取源IP的实际访问目的IP，当实际访问目的IP在参数列表中对应的首次访问概率小于预设访问概率时，认定源IP存在首次访问行为。本申请通过上述方法降低了首次检测的误报率。

公开(公告)号：CN114465764A

公开(公告)日：2022-05-10

申请号：CN202111603496.8

申请日：2021-12-24

Applicant: 中孚信息股份有限公司

Inventor： 刘洋洋 ,  路冰 ,  孟维英 ,  孙宁 ,  邹斯达

IPC: H04L9/40 ,  H04L41/142

Abstract: 本发明提出的一种基于流量数据的端口扫描识别方法、系统及装置，属于计算机技术领域。所述方法包括：将具有扫描行为的流量数据以每十分钟划分一个时间窗口；在同一时间窗口内，聚合同一源ip地址下目的ip与目的端口相同的数据；判断任一源ip地址的访问数据是否小于预设阈值；并统计此源ip地址的访问信息和相应的目的ip地址的访问信息，作为输入信息；分别通过Snort检测方法、比值计算法、频率计算法计算输入信息并进行集成，得到源ip地址的最终检测分数；判断源ip地址的最终检测分数是否大于判定值；若是，则认定此源ip地址存在端口扫描行为。本发明能够更准确的发现执行扫描操作的主机，将恶意攻击带来的不利后果降至最低。

公开(公告)号：CN112488175A

公开(公告)日：2021-03-12

申请号：CN202011347823.3

申请日：2020-11-26

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 李兴国 ,  邹斯达 ,  苗功勋 ,  路冰 ,  孙宁

IPC: G06K9/62 ,  H04L29/06

Abstract: 本发明提供一种基于行为聚合特征的异常用户检测方法、终端及存储介质，获取预设时间段内的用户行为信息；基于访问地址信息将用户预设时间段内的特征属性进行聚合；将每个用户的矩阵配置成一行向量；分别计算任意两个用户之间的相关系数，作为行为相似度；查找相似度最大的两个用户，聚成一类；计算所述类与其他用户之间的相似度，并更新聚成一类用户的相似度矩阵，然后重复迭代计算；重复迭代计算达到预先设定的阈值之后，停止聚类过程，此时脱离内网群组的用户被认定为具有异常行为。这样，本发明降低了异常检测的误报率。可以识别掩藏在群组内部的异常用，保障数据信息的安全性。

公开(公告)号：CN114465764B

公开(公告)日：2024-02-20

申请号：CN202111603496.8

申请日：2021-12-24

Applicant: 中孚信息股份有限公司

Inventor： 刘洋洋 ,  路冰 ,  孟维英 ,  孙宁 ,  邹斯达

IPC: H04L9/40 ,  H04L41/142

Abstract: 本发明提出的一种基于流量数据的端口扫描识别方法、系统及装置，属于计算机技术领域。所述方法包括：将具有扫描行为的流量数据以每十分钟划分一个时间窗口；在同一时间窗口内，聚合同一源ip地址下目的ip与目的端口相同的数据；判断任一源ip地址的访问数据是否小于预设阈值；并统计此源ip地址的访问信息和相应的目的ip地址的访问信息，作为输入信息；分别通过Snort检测方法、比值计算法、频率计算法计算输入信息并进行集成，得到源ip地址的最终检测分数；判断源ip地址的最终检测分数是否大于判定值；若是，则认定此源ip地址存在端口扫描行为。本发明能够更准确的发现执行扫描操作的主机，将恶意攻击带来的不利后果降至最低。

公开(公告)号：CN115174450B

公开(公告)日：2023-10-03

申请号：CN202210785308.6

申请日：2022-07-05

Applicant: 中孚信息股份有限公司

Inventor： 孙琦 ,  路冰 ,  刘长秋 ,  邹斯达

IPC: H04L43/12 ,  H04L43/08 ,  H04L41/12

Abstract: 本发明公开一种基于网络节点表征的未知设备识别方法及系统，包括：获取未知设备的网络数据，对网络数据构建网络节点初始表征和网络节点连接图；对网络节点连接图和网络节点初始表征进行社群探测，对得到的社群进行编码；对网络数据进行网络节点PR值和网络节点出入度的计算；将编码后的社群、网络节点PR值和网络节点出入度与网络节点初始表征进行特征融合，得到网络节点表征；根据网络节点表征对未知设备进行识别，得到设备类型。对流量日志等网络数据，挖掘网络节点间的共现关系，结合社群探测方法为网络节点表征增加社群信息，同时引入网络节点PR值和网络节点出入度作为网络节点嵌入的额外特征，实现对大规模复杂网络中未知设备识别。

公开(公告)号：CN113890762B

公开(公告)日：2023-09-29

申请号：CN202111155257.0

申请日：2021-09-29

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 刘洋洋 ,  路冰 ,  韦文峰 ,  邹斯达 ,  娄爱涛

IPC: H04L9/40 ,  H04L67/02

Abstract: 本发明提出的一种基于流量数据的网络爬虫行为检测方法及系统，所述方法包括：从流量数据中提取关键信息字段；统计当前用户的HTTP/HTTPS访问频次，根据HTTP/HTTPS访问频次判断是否存在疑似网络爬虫行为；计算固定窗口内的平均响应时间和相邻页面时间间隔，根据计算结果判断是否存在疑似网络爬虫行为；计算访问资源静态占比，并判断用户代理信息中是否包含敏感字段，根据计算结果和判断结果确定当前用户是否存在网络爬虫行为。本发明能够快速有效的检测出内网中的爬虫行为，保障内网数据安全。

公开(公告)号：CN113590441A

公开(公告)日：2021-11-02

申请号：CN202110729919.4

申请日：2021-06-29

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  南京中孚信息技术有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 孙强 ,  刘洋洋 ,  路冰 ,  邹斯达 ,  孙宁

IPC: G06F11/34

Abstract: 本发明提供了一种基于权重计算的内网用户行为分析方法及系统，获取内网用户预设时间段内所有行为信息；对所述行为信息进行分析和匹配，为相应的用户和和实体打上标签，并进行聚合，形成多条用户行为序列；基于用户行为序列，利用TF‑IDF算法，计算每个用户所对应的高权重标签；对每个用户的高权重标签进行监控分析，确定其风险行为。本发明能够准确的进行用户画像，有针对性地防控重要行为风险。

公开(公告)号：CN113590441B

公开(公告)日：2025-02-11

申请号：CN202110729919.4

申请日：2021-06-29

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  南京中孚信息技术有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 孙强 ,  刘洋洋 ,  路冰 ,  邹斯达 ,  孙宁

IPC: G06F11/34

Abstract: 本发明提供了一种基于权重计算的内网用户行为分析方法及系统，获取内网用户预设时间段内所有行为信息；对所述行为信息进行分析和匹配，为相应的用户和和实体打上标签，并进行聚合，形成多条用户行为序列；基于用户行为序列，利用TF‑IDF算法，计算每个用户所对应的高权重标签；对每个用户的高权重标签进行监控分析，确定其风险行为。本发明能够准确的进行用户画像，有针对性地防控重要行为风险。