公开(公告)号：CN118885792A

公开(公告)日：2024-11-01

申请号：CN202410912514.8

申请日：2024-07-09

Applicant: 中移动信息技术有限公司 ,  中国移动通信集团有限公司

Inventor： 卞淑 ,  田峰 ,  刘晓晴 ,  刘倩 ,  陈仪宸 ,  王冀彬 ,  张美鸥 ,  杨宇婷 ,  梁心茹 ,  赵利军

IPC: G06F18/213 ,  G06F18/22 ,  G06F18/23 ,  G06F11/34 ,  G06F123/02

Abstract: 本申请公开了一种关联操作日志数据确定方法、装置、设备及存储介质，方法包括：获取操作日志信息，所述操作日志信息包括操作日志数据、操作日志数据对应的操作间隔时间及操作指令；按照操作数量对操作日志数据进行划分得到多个序列；按照时序对齐序列的操作日志数据，并基于操作间隔时间计算对齐的序列之间的序列差异值；对操作指令进行特征提取处理，得到概率特征值；根据概率特征值超过设定阈值的操作指令，生成关联操作指令合集；基于序列差异值和关联指令集合中的操作指令对操作日志数据进行聚类，得到操作日志数据的关联结果。本申请实施例全面分析了操作日志的数据特征及数据特征之间的关联性，提高了数据分析结果的精准度。

公开(公告)号：CN113497793B

公开(公告)日：2024-04-19

申请号：CN202010260563.X

申请日：2020-04-03

Applicant: 中移动信息技术有限公司 ,  中国移动通信集团有限公司

Inventor： 郭旭 ,  田峰 ,  曲大林 ,  谷彦章

IPC: H04L9/40

Abstract: 本发明实施例公开了一种模型的优化方法、告警事件的检测方法、装置和设备。该方法包括：从设备运行数据中提取第一特征信息；根据第一事件和设备运行数据中包括的第一特征信息，确定初始模型；根据第二事件中包括的第二特征信息和设备运行数据中包括的第三特征信息，调整初始模型的参数，得到优化后的模型。本发明实施例通过对用户的入侵检测系统、入侵防御系统或防火墙等安全设备的日志进行收集，将情报作为规则，辅助安全设备对威胁进行研判，实现了及时有效对网络攻击进行识别。

公开(公告)号：CN119046679A

公开(公告)日：2024-11-29

申请号：CN202411021068.8

申请日：2024-07-29

Applicant: 中移动信息技术有限公司 ,  中国移动通信集团有限公司

Inventor： 张美鸥 ,  王冀彬 ,  田峰 ,  梁心茹 ,  牛伟选 ,  梁雁斌

IPC: G06F18/214 ,  G06F18/241 ,  G06F18/2433 ,  G06N3/0455

Abstract: 本申请提供了一种威胁检测模型的训练方法、装置、设备、介质及产品。方法包括在获取到多个用户的行为日志数据的情况下，对各用户的行为日志数据进行特征提取，得到相应用户对应的行为特征；按照预设的提示模板，对每个用户对应的行为特征进行异常标注，得到异常标注数据，异常标注数据包括异常样本和正常样本；对异常样本进行过采样，并对正常样本进行下采样，得到训练集，训练集中异常样本的数量与正常样本的数量的差值小于或等于预设阈值；根据训练集对大语言模型进行训练，得到威胁检测模型。根据本申请实施例，能够解决相关技术中对模型训练数据局限性较大，导致训练得到的威胁检测模型的可靠性差，检测结果准确率低的技术问题。

公开(公告)号：CN113497729B

公开(公告)日：2024-11-26

申请号：CN202010260565.9

申请日：2020-04-03

Applicant: 中移动信息技术有限公司 ,  中国移动通信集团有限公司

Inventor： 郭旭 ,  田峰 ,  罗原 ,  杜光耀 ,  谷彦章 ,  曲大林

IPC: H04L41/0631 ,  H04L41/14 ,  H04L41/16 ,  H04L41/0677 ,  H04L9/40 ,  G06N3/042 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明公开了一种告警识别模型的训练方法、告警识别的方法以及装置。具体包括：获取多个告警数据样本；分别对每个告警数据样本进行预处理，得到每个所述告警数据样本对应的训练样本，每个训练样本包括多个样本告警信息和每个样本告警信息的告警类别；根据多个样本告警信息，构建样本告警信息标签特征矩阵和多个样本告警信息之间关联关系对应的邻接矩阵；将样本告警信息的标签特征矩阵、邻接矩阵作为告警识别模型的输入，以告警类别作为告警识别模型的输出，对待训练的告警识别模型进行迭代训练，得到目标告警识别模型。根据本发明实施例，能够可以提高对告警信息识别的准确率，以减少运营维护人员的工作的难度和工作量。

公开(公告)号：CN113497793A

公开(公告)日：2021-10-12

申请号：CN202010260563.X

申请日：2020-04-03

Applicant: 中移动信息技术有限公司 ,  中国移动通信集团有限公司

Inventor： 郭旭 ,  田峰 ,  曲大林 ,  谷彦章

IPC: H04L29/06

Abstract: 本发明实施例公开了一种模型的优化方法、告警事件的检测方法、装置和设备。该方法包括：从设备运行数据中提取第一特征信息；根据第一事件和设备运行数据中包括的第一特征信息，确定初始模型；根据第二事件中包括的第二特征信息和设备运行数据中包括的第三特征信息，调整初始模型的参数，得到优化后的模型。本发明实施例通过对用户的入侵检测系统、入侵防御系统或防火墙等安全设备的日志进行收集，将情报作为规则，辅助安全设备对威胁进行研判，实现了及时有效对网络攻击进行识别。

公开(公告)号：CN119169697A

公开(公告)日：2024-12-20

申请号：CN202411178812.5

申请日：2024-08-26

Applicant: 中移动信息技术有限公司 ,  中国移动通信集团有限公司

Inventor： 梁心茹 ,  王冀彬 ,  田峰 ,  张美鸥 ,  熊艺纯 ,  刘夫萍

IPC: G06V40/20 ,  G06V10/764 ,  G06V10/82 ,  G06N3/0464 ,  G06N3/042 ,  G06N3/0455

Abstract: 本申请公开了一种用户异常行为识别方法、装置、设备及存储介质。本申请通过对用户属性异构图和用户行为异构图进行编码，得到用户属性特征矩阵和用户行为特征矩阵，并通过注意力机制网络模型，分别为用户属性特征矩阵和用户行为特征矩阵中的特征生成权重，得到加权属性特征和加权行为特征，然后将加权属性特征和加权行为特征进行特征交互，确定不同特征之间的关联关系，进而筛选关联关系满足预设阈值条件的加权属性特征和加权行为特征，将筛选后的加权属性特征和加权行为特征输入异常行为识别模型，从而判断用户是否为异常行为。本申请能够获取细粒度的特征数据，基于细粒度的特征数据进行异常行为识别，从而提高了异常行为识别的准确率。

公开(公告)号：CN113497729A

公开(公告)日：2021-10-12

申请号：CN202010260565.9

申请日：2020-04-03

Applicant: 中移动信息技术有限公司 ,  中国移动通信集团有限公司

Inventor： 郭旭 ,  田峰 ,  罗原 ,  杜光耀 ,  谷彦章 ,  曲大林

IPC: H04L12/24 ,  H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种告警识别模型的训练方法、告警识别的方法以及装置。具体包括：获取多个告警数据样本；分别对每个告警数据样本进行预处理，得到每个所述告警数据样本对应的训练样本，每个训练样本包括多个样本告警信息和每个样本告警信息的告警类别；根据多个样本告警信息，构建样本告警信息标签特征矩阵和多个样本告警信息之间关联关系对应的邻接矩阵；将样本告警信息的标签特征矩阵、邻接矩阵作为告警识别模型的输入，以告警类别作为告警识别模型的输出，对待训练的告警识别模型进行迭代训练，得到目标告警识别模型。根据本发明实施例，能够可以提高对告警信息识别的准确率，以减少运营维护人员的工作的难度和工作量。

公开(公告)号：CN116232673A

公开(公告)日：2023-06-06

申请号：CN202211704194.4

申请日：2022-12-29

Applicant: 中移动信息技术有限公司 ,  中国移动通信集团有限公司

Inventor： 潘文君 ,  马珺浩 ,  郑瑞刚 ,  韩志峰 ,  曲大林 ,  文雪刚 ,  田峰

IPC: H04L9/40 ,  H04L61/4511 ,  G06N3/0464 ,  G06N3/0442

Abstract: 本申请公开了一种隐蔽通道识别方法、装置、计算机设备及存储介质。该方法包括获取待检测的DNS隧道域名，通过DFA算法，提取DNS隧道域名的目标域名特征；通过卷积神经网络算法和长短时记忆算法，分别对目标域名特征进行特征增强处理，得到与卷积神经网络算法对应的局部增强特征和与长短时记忆算法对应的全局增强特征；根据局部增强特征和全局增强特征融合后的融合特征，确定DNS隧道域名是否为隐蔽通道的DNS隐蔽隧道域名。由此，可以有效提高识别准确率，降低误判的可能性，进而提高隐蔽通道识别的效率。

公开(公告)号：CN115706669A

公开(公告)日：2023-02-17

申请号：CN202110892857.9

申请日：2021-08-04

Applicant: 中移动信息技术有限公司 ,  中国移动通信集团有限公司

Inventor： 郭旭 ,  韩志峰 ,  文雪刚 ,  田峰 ,  曲大林 ,  何欣

IPC: H04L9/40

Abstract: 本发明提供一种网络安全态势预测方法及系统，所述方法包括：采集网络数据；对所述网络数据进行预处理，得到预处理后的网络数据；对所述预处理后的网络数据进行事件处理，得到目标事件序列，基于滑动窗口对所述目标事件序列进行异常检测处理，得到异常检测结果，基于所述异常检测结果预测网络安全态势。本发明能够实现网络数据的统一管理，有效形成了全面的网络安全防御体系，实现网络安全预测功能，以及统一的网络安全管理，能够成为网络安全态势信息融合和智能评估的平台支持，为网络安全管理提供实时、可靠的管理决策依据。

公开(公告)号：CN115408229A

公开(公告)日：2022-11-29

申请号：CN202110585917.2

申请日：2021-05-27

Applicant: 中移动信息技术有限公司 ,  中国移动通信集团有限公司

Inventor： 卞淑 ,  文雪刚 ,  田峰 ,  何欣 ,  曲大林 ,  王鸿元 ,  高运霞 ,  王阳 ,  张德春

IPC: G06F11/30 ,  G06F16/18 ,  G06F16/35 ,  G06F11/34

Abstract: 本发明提供一种操作日志审计方法、装置、电子设备及存储介质，其中方法包括：获取待审计账号的操作日志；将所述待审计账号的操作日志输入至日志审计模型，得到所述日志审计模型输出的所述待审计账号的审计结果；其中，所述日志审计模型是基于各个样本账号类别中样本账号的基本操作特征和异常操作特征，以及各样本账号的审计标签训练得到的；所述样本账号类别是基于多个样本账号的基本操作特征确定的，所述样本账号的审计标签是基于所述样本账号内样本账号的预设标签确定的。本发明提供的方法、装置、电子设备及存储介质，提高了操作日志审计的准确性和效率。