公开(公告)号：CN119250171B

公开(公告)日：2025-04-25

申请号：CN202411764498.9

申请日：2024-12-04

Applicant: 中孚信息股份有限公司

Inventor： 孙强 ,  赵红方 ,  李栋 ,  程海军 ,  马衍硕

IPC: G06N5/02 ,  G06F18/24 ,  G06F18/22

Abstract: 本发明提供一种内网实体行为图谱的构建方法、系统、电子设备及存储介质，属于知识图谱领域。该方法包括：根据业务专家知识对内部网络活动实体和行为进行分类以构建本体；采集内部网络活动的不同日志，并按照活动主体特征配置规则提取三元组来表征内网实体行为图谱中节点之间的关系；将三元组向量化并进行相似度计算，得到相似度矩阵和三元组关联度的正态分布，并根据关联度进行分组，对分组后的三元组进行链接。根据业务专家知识构建本体提取三元组，将三元组向量化进行相似度计算，根据关联度进行分组，对分组后的三元组进行链接，当有新的三元组只需更新局部图，更贴近实际、生成的实体行为谱图准确度高，实用性强，效率高。

公开(公告)号：CN114050941A

公开(公告)日：2022-02-15

申请号：CN202210024108.9

申请日：2022-01-11

Applicant: 中孚信息股份有限公司

Inventor： 孙强 ,  路冰 ,  马衍硕 ,  李修明 ,  刘长秋

IPC: H04L9/40

Abstract: 本发明公开一种基于核密度估计的失陷账号检测方法及系统，涉及数据识别、数据表示及数据处理技术领域，包括：通过核密度估计算法对账号在不同时间点的在线数据进行概率估计，以此建立账号在线时间历史基线；通过核密度估计算法对账号在不同设备的登录数据进行概率估计，以此建立账号登录设备历史基线；根据账号在线时间历史基线和账号登录设备历史基线，对待测账号实际的登录时间和登录设备进行偏离诊断，根据诊断结果定位失陷账号。基于网络中的实际实体及行为数据，构建账号正常在线时间历史基线与常用登录设备基线，以此发现偏离历史基线的行为，定位失陷账号风险，准确发现网络的数据失泄密行为，提高异常行为检测的准确性，保证数据安全。

公开(公告)号：CN114050941B

公开(公告)日：2022-05-03

申请号：CN202210024108.9

申请日：2022-01-11

Applicant: 中孚信息股份有限公司

Inventor： 孙强 ,  路冰 ,  马衍硕 ,  李修明 ,  刘长秋

IPC: H04L9/40

Abstract: 本发明公开一种基于核密度估计的失陷账号检测方法及系统，涉及数据识别、数据表示及数据处理技术领域，包括：通过核密度估计算法对账号在不同时间点的在线数据进行概率估计，以此建立账号在线时间历史基线；通过核密度估计算法对账号在不同设备的登录数据进行概率估计，以此建立账号登录设备历史基线；根据账号在线时间历史基线和账号登录设备历史基线，对待测账号实际的登录时间和登录设备进行偏离诊断，根据诊断结果定位失陷账号。基于网络中的实际实体及行为数据，构建账号正常在线时间历史基线与常用登录设备基线，以此发现偏离历史基线的行为，定位失陷账号风险，准确发现网络的数据失泄密行为，提高异常行为检测的准确性，保证数据安全。

公开(公告)号：CN115296937A

公开(公告)日：2022-11-04

申请号：CN202211223891.8

申请日：2022-10-09

Applicant: 中孚信息股份有限公司

Inventor： 唐上 ,  魏东晓 ,  路冰 ,  马衍硕 ,  卢延科

IPC: H04L9/40 ,  G06F21/56 ,  G06K9/62

Abstract: 本申请公开了一种用于实时加密恶意流量识别的方法及设备，主要涉及恶意流量识别技术领域，用以解决现有的识别模型无法识别新出现的特征值以及训练集中良性样本与恶意样本极不均衡等问题。包括：基于预设提取字段和预设流量四元组，从PACP文件中获取流数据；批量处理若干PACP文件，获得CSV文件；将流数据中的object类型数据转换为数值型数据；得到组合特征；获取纯恶意标记的流数据；以通过预设样本扩充算法，获取第一恶意样本数据；进而通过恶意样本数据和预设为良性标记的流数据，完成预设恶意识别算法的训练。本申请通过上述方法实现了顾及新出现的特征值、实现了训练集中良性样本与恶意样本的均衡。

公开(公告)号：CN119250171A

公开(公告)日：2025-01-03

申请号：CN202411764498.9

申请日：2024-12-04

Applicant: 中孚信息股份有限公司

Inventor： 孙强 ,  赵红方 ,  李栋 ,  程海军 ,  马衍硕

IPC: G06N5/02 ,  G06F18/24 ,  G06F18/22

Abstract: 本发明提供一种内网实体行为图谱的构建方法、系统、电子设备及存储介质，属于知识图谱领域。该方法包括：根据业务专家知识对内部网络活动实体和行为进行分类以构建本体；采集内部网络活动的不同日志，并按照活动主体特征配置规则提取三元组来表征内网实体行为图谱中节点之间的关系；将三元组向量化并进行相似度计算，得到相似度矩阵和三元组关联度的正态分布，并根据关联度进行分组，对分组后的三元组进行链接。根据业务专家知识构建本体提取三元组，将三元组向量化进行相似度计算，根据关联度进行分组，对分组后的三元组进行链接，当有新的三元组只需更新局部图，更贴近实际、生成的实体行为谱图准确度高，实用性强，效率高。

公开(公告)号：CN113806688A

公开(公告)日：2021-12-17

申请号：CN202111160268.8

申请日：2021-09-30

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 路冰 ,  赖成宾 ,  唐上 ,  马衍硕 ,  李修明 ,  刘长秋

IPC: G06F17/15

Abstract: 本发明提供一种基于指数衰减的标签影响度计算方法及系统，涉及网络安全技术领域，对所有的标签历史数据进行整理，形成固定格式的序列数据；利用指数衰减函数分别计算出初步影响度和基于时间的频次惩罚项因子；将初步影响度和频次惩罚因子求积再求和；通过sidmoid函数得到标签影响度。本发明针对标签的影响度计算给出了分层的计算方案，实现了基于所评估标签历史数据的影响度绝对值评估，不依赖全量的标签历史数据，可用性较高。本发明通过多层衰减计算，可以合理有效地计算标签的影响度。为实体画像分析提供有力的支撑。

公开(公告)号：CN115296937B

公开(公告)日：2023-04-18

申请号：CN202211223891.8

申请日：2022-10-09

Applicant: 中孚信息股份有限公司

Inventor： 唐上 ,  魏东晓 ,  路冰 ,  马衍硕 ,  卢延科

IPC: H04L9/40 ,  G06F21/56 ,  G06F18/214 ,  G06F18/22

Abstract: 本申请公开了一种用于实时加密恶意流量识别的方法及设备，主要涉及恶意流量识别技术领域，用以解决现有的识别模型无法识别新出现的特征值以及训练集中良性样本与恶意样本极不均衡等问题。包括：基于预设提取字段和预设流量四元组，从PACP文件中获取流数据；批量处理若干PACP文件，获得CSV文件；将流数据中的object类型数据转换为数值型数据；得到组合特征；获取纯恶意标记的流数据；以通过预设样本扩充算法，获取第一恶意样本数据；进而通过恶意样本数据和预设为良性标记的流数据，完成预设恶意识别算法的训练。本申请通过上述方法实现了顾及新出现的特征值、实现了训练集中良性样本与恶意样本的均衡。