公开(公告)号：CN115314310A

公开(公告)日：2022-11-08

申请号：CN202210964118.0

申请日：2022-08-11

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱 ,  鲍青波 ,  张楠

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本申请实施例提供一种基于稠密子图的域名检测方法及系统，涉及网络通信技术领域。该基于稠密子图的域名检测方法包括：获取待检测的日志数据；根据所述日志数据构建域名‑主机关联二部图；对所述域名‑主机关联二部图进行挖掘，生成与所述域名‑主机关联二部图对应的稠密子图，所述稠密子图包括恶意域名数据；对所述稠密子图进行处理，生成恶意域名的风险分数数据。该基于稠密子图的域名检测方法可以实现提高恶意域名检测的准确性、可解释性和检测效率的技术效果。

公开(公告)号：CN114024770A

公开(公告)日：2022-02-08

申请号：CN202111507469.0

申请日：2021-12-10

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱 ,  鲍青波 ,  张楠

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本申请提供一种木马入侵的检测方法及装置、电子设备、存储介质，该方法包括：获取发送方和接收方之间的心跳行为数据；通过已训练的自编码器提取所述心跳行为数据的时域特征；通过对所述心跳行为数据进行傅里叶变换，提取所述心跳行为数据的频域特征；将所述心跳行为数据的时域特征和频域特征作为已训练的神经网络模型的输入，获得所述神经网络模型输出的是否存在木马入侵的检测结果。该方案提高了检测的准确性。

公开(公告)号：CN116668143A

公开(公告)日：2023-08-29

申请号：CN202310679014.X

申请日：2023-06-08

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱

IPC: H04L9/40 ,  H04L41/147 ,  H04L41/14 ,  H04L41/142

Abstract: 本申请提供一种攻击场景重构方法及装置、电子设备，应用于网络安全技术领域，其中，攻击场景重构方法包括：获取根据告警数据构建得到的告警事件关联图；其中，告警数据包括第一预设时间段内多个告警事件对应的数据，告警事件关联图以告警事件为节点且以告警事件之间的关联关系为边；从告警事件关联图中提取多条目标链路；将目标链路输入实体关系联合抽取模型中，得到实体关系联合抽取模型输出的攻击预测结果；基于攻击预测结果进行攻击场景重构，得到对应的攻击场景重构图。在上述方案中，通过上述实体关系联合抽取模型对告警事件进行实体关系的抽取，从而使得对属性字段部分缺失的告警也可以进行攻击场景重构。

公开(公告)号：CN113901455A

公开(公告)日：2022-01-07

申请号：CN202111194488.2

申请日：2021-10-13

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱 ,  鲍青波 ,  张楠

IPC: G06F21/55 ,  G06K9/62

Abstract: 本公开涉及一种异常操作行为检测方法、装置、设备及介质，该方法包括：获取同一用户群组内的多个命令序列流；对命令序列流进行文本特征的提取，得到多个字节片段序列；通过隐马尔可夫模型计算字节片段序列的操作发生概率；利用孤立森林模型从操作发生概率中孤立出异常的目标操作发生概率；将目标操作发生概率对应的shell命令的操作行为确定为异常操作行为。本公开能够有效提升异常操作行为检测的效率和准确性。

公开(公告)号：CN113901455B

公开(公告)日：2024-07-26

申请号：CN202111194488.2

申请日：2021-10-13

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱 ,  鲍青波 ,  张楠

IPC: G06F21/55 ,  G06F18/20 ,  G06F18/2431 ,  G06F18/2433 ,  G06F18/2415 ,  G06F18/25

Abstract: 本公开涉及一种异常操作行为检测方法、装置、设备及介质，该方法包括：获取同一用户群组内的多个命令序列流；对命令序列流进行文本特征的提取，得到多个字节片段序列；通过隐马尔可夫模型计算字节片段序列的操作发生概率；利用孤立森林模型从操作发生概率中孤立出异常的目标操作发生概率；将目标操作发生概率对应的shell命令的操作行为确定为异常操作行为。本公开能够有效提升异常操作行为检测的效率和准确性。

公开(公告)号：CN115118491B

公开(公告)日：2024-02-09

申请号：CN202210731247.5

申请日：2022-06-24

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱 ,  鲍青波 ,  张楠

IPC: H04L9/40 ,  G06N3/0464 ,  G06N3/08

Abstract: 本申请属于通信技术领域，公开了僵尸网络检测的方法、装置、电子设备及可读存储介质，该方法包括，获取网络原始数据，网络原始数据为不同网络节点之间的传输数据；基于网络原始数据，以及预先训练好的网络检测模型，获得僵尸网络节点的网络地址信息，网络检测模型是基于图神经网络以及注意力机制构建的。这样，采用(56)对比文件陈端兵;万英;田军伟;傅彦.一种基于社会网络分析的P2P僵尸网络反制策略.计算机科学.2009,(第06期),全文.任凯凯.基于网络结构和流量特征相似性的僵尸网.计算机产品与流通.2017,(第07期),全文.刘丹;李毅超;胡跃.多阶段过滤的P2P僵尸网络检测方法.计算机应用.2010,(第12期),全文.刘建波.基于动态聚类算法的IRC僵尸网络检测.哈尔滨商业大学学报(自然科学版).2011,(第05期),全文.

公开(公告)号：CN115834174B

公开(公告)日：2023-06-09

申请号：CN202211429350.0

申请日：2022-11-15

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱 ,  鲍青波 ,  张楠

IPC: H04L9/40 ,  H04L43/08 ,  H04L43/0817 ,  H04L43/0876 ,  H04L41/16 ,  H04L41/147 ,  G06N3/0464 ,  G06N3/048 ,  G06N3/0442 ,  G06N3/09

Abstract: 本公开涉及一种基于时序图神经网络的网络安全态势预测方法和装置，其中，方法包括：获取历史时间段内的多个网络态势评估数据按照多个时间点划分，得到每个时间点对应的待训练网络态势评估数据，获取每个时间点待训练网络态势评估数据的指标态势得分和指标权重进行计算，得到每个时间点待训练网络态势评估数据的历史安全态势值，将每个时间点对应的待训练网络态势评估数据输入预先构建的时序图神经网络得到训练态势值，基于训练态势值和历史安全态势值调整时序图神经网络的模型参数得到已训练的时序图神经网络对待处理网络态势评估数据进行处理，得到预测安全态势值。由此，提升网络安全态势预测精度。

公开(公告)号：CN115834174A

公开(公告)日：2023-03-21

申请号：CN202211429350.0

申请日：2022-11-15

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱 ,  鲍青波 ,  张楠

IPC: H04L9/40 ,  H04L43/08 ,  H04L43/0817 ,  H04L43/0876 ,  H04L41/16 ,  H04L41/147 ,  G06N3/0464 ,  G06N3/048 ,  G06N3/0442 ,  G06N3/09

Abstract: 本公开涉及一种基于时序图神经网络的网络安全态势预测方法和装置，其中，方法包括：获取历史时间段内的多个网络态势评估数据按照多个时间点划分，得到每个时间点对应的待训练网络态势评估数据，获取每个时间点待训练网络态势评估数据的指标态势得分和指标权重进行计算，得到每个时间点待训练网络态势评估数据的历史安全态势值，将每个时间点对应的待训练网络态势评估数据输入预先构建的时序图神经网络得到训练态势值，基于训练态势值和历史安全态势值调整时序图神经网络的模型参数得到已训练的时序图神经网络对待处理网络态势评估数据进行处理，得到预测安全态势值。由此，提升网络安全态势预测精度。

公开(公告)号：CN115150160A

公开(公告)日：2022-10-04

申请号：CN202210764106.3

申请日：2022-06-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱 ,  鲍青波 ,  张楠

IPC: H04L9/40 ,  H04L67/02 ,  G06N3/00

Abstract: 本申请实施例提供一种网络攻击特征的检测方法及系统，数据检测技术领域。该网络攻击特征的检测方法包括：获取待测网络数据；根据预设TF‑IDF模型对所述待测网络数据进行特征提取，生成特征结果数据；根据预设孤立森林算法对所述特征结果数据进行网络攻击检测，生成网络攻击数据，所述网络攻击数据包括具有攻击行为的待测网络数据；根据预设极大频繁项集挖掘算法对所述网络攻击数据进行攻击特征提取，生成所述攻击特征数据。该网络攻击特征的检测方法可以实现提高网络攻击的检测效率和检测成本的技术效果。

公开(公告)号：CN115118491A

公开(公告)日：2022-09-27

申请号：CN202210731247.5

申请日：2022-06-24

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱 ,  鲍青波 ,  张楠

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本申请属于通信技术领域，公开了僵尸网络检测的方法、装置、电子设备及可读存储介质，该方法包括，获取网络原始数据，网络原始数据为不同网络节点之间的传输数据；基于网络原始数据，以及预先训练好的网络检测模型，获得僵尸网络节点的网络地址信息，网络检测模型是基于图神经网络以及注意力机制构建的。这样，采用基于图神经网络以及注意力机制构建的网络检测模型，进行僵尸网络检测，提高了检测准确度。