公开(公告)号：CN112488175B

公开(公告)日：2023-06-23

申请号：CN202011347823.3

申请日：2020-11-26

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 李兴国 ,  邹斯达 ,  苗功勋 ,  路冰 ,  孙宁

IPC: G06F18/23 ,  G06F18/22 ,  H04L9/40

Abstract: 本发明提供一种基于行为聚合特征的异常用户检测方法、终端及存储介质，获取预设时间段内的用户行为信息；基于访问地址信息将用户预设时间段内的特征属性进行聚合；将每个用户的矩阵配置成一行向量；分别计算任意两个用户之间的相关系数，作为行为相似度；查找相似度最大的两个用户，聚成一类；计算所述类与其他用户之间的相似度，并更新聚成一类用户的相似度矩阵，然后重复迭代计算；重复迭代计算达到预先设定的阈值之后，停止聚类过程，此时脱离内网群组的用户被认定为具有异常行为。这样，本发明降低了异常检测的误报率。可以识别掩藏在群组内部的异常用，保障数据信息的安全性。

公开(公告)号：CN112016069A

公开(公告)日：2020-12-01

申请号：CN202011199595.X

申请日：2020-11-02

Applicant: 南京中孚信息技术有限公司 ,  中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 李兴国 ,  张海文 ,  嵇飞 ,  苗功勋 ,  刘胜平

IPC: G06F21/31

Abstract: 本发明公开了一种需要管理员确认的注册认证方法及系统，该方法包括以下步骤：S1、注册认证，接收用户提交的注册认证信息；S2、管理端授权，同意用户接入，并分配相应的权限；S3、权限管理认证，限定资源访问权限，并控制资源的可访问规模；所述权限管理认证还包括以下步骤：S31、获取用户访问权，判定用户能否访问该资源，以控制用户资源权限；S32、通过动态信任级别模块计算当前用户信任级别；S33、根据用户信任级别，限制用户能访问到的数据规模。有益效果：通过动态信任级别资源的限制，对当前用户信息进行分析，得出当前用户的信任级别，从而约束用户访问资源的规模，进而对情报数据进行保护。

公开(公告)号：CN111737488A

公开(公告)日：2020-10-02

申请号：CN202010533329.X

申请日：2020-06-12

Applicant: 南京中孚信息技术有限公司

Inventor： 李欢丽 ,  熊英超 ,  张玉林 ,  李兴国

IPC: G06F16/36 ,  G06F16/951

Abstract: 本发明提供的一种基于领域实体提取和关联分析的信息溯源方法及装置，通过爬取网络中目标文件的流转数据作为原始数据；对所述原始数据进行实体抽取处理获取实体数据，对所述原始数据中的所述实体数据进行关系抽取处理获取关系数据，对所述实体数据和所述关系数据进行关联处理，获取预设实体关系模型；在所述预设实体关系模型输入查询实体后，获取初始查询结果，实现较准确的定位到与泄密相关的员工信息。当输入要查询的实体后，会从预设实体关系模型中查询到相关信息，由于预设实体关系模型内包含了所有的原始数据，使得数据比较全面，且均提取了原始数据中有用信息，然后利用这些有用信息得到查询结果，可以较准确的定位到与泄密相关的员工信息。

公开(公告)号：CN111259948A

公开(公告)日：2020-06-09

申请号：CN202010031009.4

申请日：2020-01-13

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 李兴国 ,  郑传义 ,  曲志峰 ,  苗功勋 ,  魏东晓

IPC: G06K9/62

Abstract: 一种基于融合机器学习算法的用户安全行为基线分析方法，针对要监控的用户或设备建立行为特征矩阵；建立基于时间维度的二维特征矩阵；定位行为基线异常的用户或设备；对行为异常的用户或设备抽取时间维度的特征向量；定位发生基线异常的时间。本发明基于融合机器学习算法，从行为特征和行为发生频度两个方面对用户行为的安全性进行异常匹配，从而判断用户的行为是否威胁到网络安全或存在渗透攻击的可能。

公开(公告)号：CN112491877A

公开(公告)日：2021-03-12

申请号：CN202011350875.6

申请日：2020-11-26

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 邹斯达 ,  李兴国 ,  苗功勋 ,  路冰 ,  孙宁

IPC: H04L29/06

Abstract: 本发明提供一种用户行为序列异常检测方法、终端及存储介质，获取预设时间段用户行为信息；将特征属性进行聚合顺序；将用户预设时间段内的行为配置成行向量，再形成行为行向量时间序列；提取任意两个用户的行为行向量时间序列，计算相关系数，并判断向量相似度；采用动态规整算法查找两个用户的行为行向量时间序列的最优距离；计算所有用户之间的距离平均值和标准差；如有用户与其他用户间的距离大于平均值的+3倍标准差，则判断所述用户为异常用户。本发明可以分析用户行为细节，克服用户由于未有连续行为造成无法生成特征矩阵，序列长度不一致的问题，降低异常检测的误报率。使得可以识别掩藏在群组内部的异常行为，保障数据信息的安全性。

公开(公告)号：CN111737488B

公开(公告)日：2021-02-02

申请号：CN202010533329.X

申请日：2020-06-12

Applicant: 南京中孚信息技术有限公司

Inventor： 李欢丽 ,  熊英超 ,  张玉林 ,  李兴国

IPC: G06F16/36 ,  G06F16/951

Abstract: 本发明提供的一种基于领域实体提取和关联分析的信息溯源方法及装置，通过爬取网络中目标文件的流转数据作为原始数据；对所述原始数据进行实体抽取处理获取实体数据，对所述原始数据中的所述实体数据进行关系抽取处理获取关系数据，对所述实体数据和所述关系数据进行关联处理，获取预设实体关系模型；在所述预设实体关系模型输入查询实体后，获取初始查询结果，实现较准确的定位到与泄密相关的员工信息。当输入要查询的实体后，会从预设实体关系模型中查询到相关信息，由于预设实体关系模型内包含了所有的原始数据，使得数据比较全面，且均提取了原始数据中有用信息，然后利用这些有用信息得到查询结果，可以较准确的定位到与泄密相关的员工信息。

公开(公告)号：CN112235367A

公开(公告)日：2021-01-15

申请号：CN202011049252.5

申请日：2020-09-29

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 孙宁 ,  李兴国 ,  苗功勋 ,  路冰 ,  李成梁

IPC: H04L29/08

Abstract: 本发明提供一种基于有向图结构的实体行为关系消息订阅方法、系统、终端及存储介质，对日志文件进行标记，确定其所属类型；选取预设时间段内的所有日志文件，对每个日志文件进行解析，获取每个日志文件的实体和行为信息，按照源IP访问目标IP的顺序依次串联所有实体网络，形成一个有向图结构；用户根据相应的消息订阅方法指定约束条件，通过匹配算法将系统中的信息与用户输入的约束条件进行匹配；若匹配成功，则将匹配信息发送给对应的用户，实现用户与系统数据的交互。实现了大数据模式下实体行为关系数据的高效组织与分发，实现了订阅者与实体间的数据交互，同时提高了数据分析效率，对网络安全分析和威胁检测等方面提供较大帮助。

公开(公告)号：CN111259088B

公开(公告)日：2024-04-26

申请号：CN202010030995.1

申请日：2020-01-13

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 李兴国 ,  郑传义 ,  曲志峰 ,  苗功勋 ,  武巧莉

IPC: G06F16/28

Abstract: 一种基于画像技术的用户网络行为审计建模方法，该方法包括以下步骤：通过画像技术还原网络中实体行为，形成实体的关系图谱；通过实体的关系图谱将不同的网络安全数据合并到综合图空间中；对综合图空间进行数据挖掘，建立E‑R图分析模型。能够全面的表述还原网络中各类审计数据、告警事件、人员及设备之间的归属关系、设备与设备之间的流量关系等，进行了全面刻画，能够完整的描述审计的行为在发生时所处的环境、状态以及相关的事件。为后续进行大数据和人工智能分析提供了良好的数据基础，为后续风险事件的溯源提供了数据支撑。

公开(公告)号：CN112738203A

公开(公告)日：2021-04-30

申请号：CN202011566562.4

申请日：2020-12-25

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 苗功勋 ,  李兴国 ,  刘洋洋 ,  王祖德

IPC: H04L29/08 ,  H04L29/06

Abstract: 本发明提出的一种基于私有协议的数据处理集群组建方法及系统，包括：发送端集群向接收端集群发送HTTP请求，根据检索的集群信息建立与远程集群的连接；连接完成后，根据流量控制机制进行数据传输；发送端集群根据数据处理需求选择接收端集群进行多集群的数据分布处理。本发明实现了数据的分步处理，充分发挥每个节点、集群的硬件优势，并能够适应复杂的网络环境，实现了负载削峰和流量控制。

公开(公告)号：CN112261006A

公开(公告)日：2021-01-22

申请号：CN202011034651.4

申请日：2020-09-27

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 李成梁 ,  李兴国 ,  苗功勋 ,  路冰 ,  孙宁

IPC: H04L29/06

Abstract: 本发明提供一种用于发现威胁行为间依赖关系的挖掘方法、终端及存储介质，收集系统内所有用户a的日志文件，对日志文件中的数据进行清洗和整理，形成员工行为集合S＝{behai}，统计集合S中的时间跨度wt；基于S和wt统计行为出现概率P(behai)和行为共现概率P(behai,behaj)；基于两种概率计算依赖关系数值depai,aj，depai,aj反映了行为behai对行为behaj的依赖程度；根据所有的depai,aj构建攻击依赖矩阵M，矩阵M反映了一个员工所有行为两两之间的依赖关系；由M得出攻击行为路径pathag→ak，pathag→ak表示一个完整的、最有可能发生的一系列攻击动作。本发明找出员工行为间的潜在联系，并量化这种依赖关系。企业可以通过依赖关系数值快速找出关系最紧密两种行为，按照事先规定的危险阈值对威胁行为进行预警，防止企业遭受一些来自内部的威胁攻击。