公开(公告)号：CN114039744A

公开(公告)日：2022-02-11

申请号：CN202111151258.8

申请日：2021-09-29

Applicant: 中孚信息股份有限公司

Inventor： 郑传义 ,  苗功勋 ,  高峰 ,  田金星

IPC: H04L9/40 ,  H04L41/147 ,  G06F16/2458

Abstract: 本发明公开了一种基于用户特征标签的异常行为预测方法及系统，获取待预测网络行为，构建待预测网络行为的用户特征标签序列的样本集合；根据特征标签集合，对所述待预测网络行为的用户特征标签序列的样本集合，进行特征标签剔除，得到待预测剩余特征标签序列和待预测剩余特征标签序列的样本集合；其中，所剔除的特征标签均为高支持度的特征标签；对待预测剩余特征标签序列的样本集合中的所有待预测剩余特征标签序列，与设定特征标签序列进行相似度计算，相似度越高的待预测剩余特征标签序列，所对应的用户发生异常行为事件的概率越大。本发明可以实现异常网络行为的检测。

公开(公告)号：CN113407905A

公开(公告)日：2021-09-17

申请号：CN202110722520.3

申请日：2021-06-28

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  南京中孚信息技术有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 蔡力兵 ,  郑传义 ,  苗功勋 ,  高峰 ,  曲志峰

IPC: G06F17/16 ,  G06F16/28

Abstract: 本发明提供一种基于多维度视角的实体行为基线分析方法、系统及终端设备，定义实体行为的各个特征集合；对周期内的特征集合建立多维度特征矩阵；将所述多维度特征矩阵映射成多个二维特征矩阵；对多个周期内的数据集构建行为基线数据；构建待检测的行为二维特征矩阵；对待检测的行为二维特征矩阵中的行为特征数据进行异常评估。本发明对实体行为不同的特征维度，建立多个二维特征矩阵，以相同特征的行为计数作为衡量指标，多方面衡量实体行为的异常状况。本发明使用二维度特征组合的方式来构建特征矩阵，解决了多维度特征完全组合而带来的特征值过小，容易造成大量行为特征的出现偏移的情况，又避免多维度特征组合数过多而导致的大量计算。

公开(公告)号：CN113407905B

公开(公告)日：2023-01-03

申请号：CN202110722520.3

申请日：2021-06-28

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  南京中孚信息技术有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 蔡力兵 ,  郑传义 ,  苗功勋 ,  高峰 ,  曲志峰

IPC: G06F17/16 ,  G06F16/28

Abstract: 本发明提供一种基于多维度视角的实体行为基线分析方法、系统及终端设备，定义实体行为的各个特征集合；对周期内的特征集合建立多维度特征矩阵；将所述多维度特征矩阵映射成多个二维特征矩阵；对多个周期内的数据集构建行为基线数据；构建待检测的行为二维特征矩阵；对待检测的行为二维特征矩阵中的行为特征数据进行异常评估。本发明对实体行为不同的特征维度，建立多个二维特征矩阵，以相同特征的行为计数作为衡量指标，多方面衡量实体行为的异常状况。本发明使用二维度特征组合的方式来构建特征矩阵，解决了多维度特征完全组合而带来的特征值过小，容易造成大量行为特征的出现偏移的情况，又避免多维度特征组合数过多而导致的大量计算。

公开(公告)号：CN113407505A

公开(公告)日：2021-09-17

申请号：CN202110749185.6

申请日：2021-07-01

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  南京中孚信息技术有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 郑传义 ,  路冰 ,  蔡力兵 ,  张胜猛 ,  曲志峰 ,  高峰

IPC: G06F16/17 ,  G06F16/18 ,  G06F40/289

Abstract: 本发明提供一种安全日志要素处理方法及系统，采集日志文件；对日志文件进行解析，判断日志文件的类型；如日志文件为未知日志类型，自然语言处理模块对日志文件的要素信息进行分类和提取；资产比对模块对日志文件的要素信息进行验证匹配，匹配出主客体信息；将提取出的日志文件的要素信息和匹配的主客体储存至事件信息库。系统与基于模板的传统日志解析技术相比，基于自然语言处理技术实现的安全日志要素提取方法，能自动对未知日志提取出时间、协议、主体、客体、动作、结果等要素，减少了人的参与程度，结合已备案资产信息可以大幅度提高提取要素的准确性，解决基于模板对未知日志无法处理的难题，实现对未知日志的有效利用。

公开(公告)号：CN114039744B

公开(公告)日：2024-02-27

申请号：CN202111151258.8

申请日：2021-09-29

Applicant: 中孚信息股份有限公司

Inventor： 郑传义 ,  苗功勋 ,  高峰 ,  田金星

IPC: H04L9/40 ,  H04L41/147 ,  G06F16/2458

Abstract: 本发明公开了一种基于用户特征标签的异常行为预测方法及系统，获取待预测网络行为，构建待预测网络行为的用户特征标签序列的样本集合；根据特征标签集合，对所述待预测网络行为的用户特征标签序列的样本集合，进行特征标签剔除，得到待预测剩余特征标签序列和待预测剩余特征标签序列的样本集合；其中，所剔除的特征标签均为高支持度的特征标签；对待预测剩余特征标签序列的样本集合中的所有待预测剩余特征标签序列，与设定特征标签序列进行相似度计算，相似度越高的待预测剩余特征标签序列，所对应的用户发生异常行为事件的概率越(56)对比文件W. Wang and Y. Xu“."Research onAwareness Method of Cloud User AbnormalBehavior Based on Log Audit”《.2018 IEEE4th International Conference on Computerand Communications (ICCC)》.2019,全文.何雪海;黄明浩;宋飞.网络安全用户行为画像方案设计.通信技术.2017,(04),全文.