公开(公告)号：CN109067723A

公开(公告)日：2018-12-21

申请号：CN201810820818.6

申请日：2018-07-24

Applicant: 国家计算机网络与信息安全管理中心 ,  上海观安信息技术股份有限公司

Inventor： 饶毓 ,  严寒冰 ,  陈曦 ,  辜乘风 ,  陈阳 ,  雷君 ,  周昊 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙

IPC: H04L29/06

CPC classification number: H04L63/1483 ,  H04L2463/146

Abstract: 本发明涉及一种钓鱼网站使用者信息的追溯方法、控制器和介质，所述方法包括：获取预设数量的钓鱼网站访问数据并进行分组；以所述访问数据所划分的每个组作为节点，访问数据之间的访问关系作为边构造网络图；对所构造的网络图进行处理，去除干扰项，获取待分析的访问数据信息；根据所述待分析的访问数据信息追溯钓鱼网站使用者信息。本发明所述方法能够准确高效地追溯钓鱼网站使用者信息，具有通用性。

公开(公告)号：CN109067723B

公开(公告)日：2021-03-02

申请号：CN201810820818.6

申请日：2018-07-24

Applicant: 国家计算机网络与信息安全管理中心 ,  上海观安信息技术股份有限公司

Inventor： 饶毓 ,  严寒冰 ,  陈曦 ,  辜乘风 ,  陈阳 ,  雷君 ,  周昊 ,  李志辉 ,  徐剑 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  高川 ,  李世淙 ,  贾子骁 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  王适文 ,  肖崇蕙

IPC: H04L29/06

Abstract: 本发明涉及一种钓鱼网站使用者信息的追溯方法、控制器和介质，所述方法包括：获取预设数量的钓鱼网站访问数据并进行分组；以所述访问数据所划分的每个组作为节点，访问数据之间的访问关系作为边构造网络图；对所构造的网络图进行处理，去除干扰项，获取待分析的访问数据信息；根据所述待分析的访问数据信息追溯钓鱼网站使用者信息。本发明所述方法能够准确高效地追溯钓鱼网站使用者信息，具有通用性。

公开(公告)号：CN114338593B

公开(公告)日：2023-07-04

申请号：CN202111594056.0

申请日：2021-12-23

Applicant: 上海观安信息技术股份有限公司

Inventor： 徐明 ,  辜乘风 ,  魏国富 ,  夏玉明 ,  殷钱安 ,  周晓勇 ,  陶景龙 ,  余贤喆 ,  梁淑云 ,  刘胜 ,  王启凡 ,  马影

IPC: H04L61/103 ,  H04L9/40

Abstract: 本申请公开了一种利用地址解析协议进行网络扫描的行为检测方法及装置、存储介质和计算机设备。方法包括：获取通信信息，其中，通信信息包括源地址、目的地址、请求时间以及请求结果；根据目的地址以及请求时间，确定源地址对应的请求规律；根据请求规律确定请求规律得分，根据源地址对应的请求结果确定请求结果得分，根据源地址对应的目的地址确定请求广度得分；根据请求规律得分、请求结果得分以及请求广度得分，在多个通信信息对应的源地址中，确定与网络扫描对应的目标源地址，并确定目标源地址对应的目标请求为网络扫描行为。本申请的方法，提高了ARP网络扫描行为检测的准确率。

公开(公告)号：CN114866264A

公开(公告)日：2022-08-05

申请号：CN202110071732.X

申请日：2021-01-19

Applicant: 上海观安信息技术股份有限公司

Inventor： 汲丽 ,  辜乘风

IPC: H04L9/40 ,  H04L61/4511 ,  G06K9/62

Abstract: 本发明公开了一种基于半监督学习算法的DGA域名检测与家族聚类的方法，包含一下步骤：步骤A、基于所使用算法进行特征维度的搭建；步骤B、特征优化选择；步骤C、域名社区发现加之专家经验生成标注数据；步骤D、二分类模型搭建；在得到一小部分的标签数据后，使用AdaBoost算法对后续数据进行有标签的半监督学习进行训练；步骤E、线上新数据再训练进行整体流量社区发现；步骤F、社区聚类。（1）使用改进的强社区发现方法和专家知识，将无监督问题转化为有监督问题；（2）从种子样本到二分类、社区发现、降噪，最终结果回流到样本集，不断递归收敛最终获取准确结果；（3）通过DGA公开家族特征、whois特征、http响应特征等扩展数据增强结果。

公开(公告)号：CN109347992A

公开(公告)日：2019-02-15

申请号：CN201810949466.4

申请日：2018-08-20

Applicant: 上海观安信息技术股份有限公司

Inventor： 陈曦 ,  辜乘风 ,  魏国富 ,  葛胜利 ,  夏玉明 ,  胡绍勇

IPC: H04L29/12 ,  H04L29/06 ,  H04L12/24

Abstract: 本申请实施例中提供了一种溯源分析方法、电子设备及计算机程序产品。采用本申请中的方案，确定第一参数n、第二参数k和初始节点S0；从1至n的整数中依次取值，每当取一值后，基于S0，确定路径长度为取到的值的节点，在节点中确定展开节点，计算展开节点至S0之间的距离；基于k和距离进行溯源。本申请从1至n的整数中依次取值，每当取一值后，基于S0，确定路径长度为取到的值的节点，在节点中确定展开节点，计算展开节点至S0之间的距离；基于k和距离进行溯源，可以在某个节点关联的信息过多时，从中分辨出有价值的信息。

公开(公告)号：CN117155617A

公开(公告)日：2023-12-01

申请号：CN202311036141.4

申请日：2023-08-16

Applicant: 上海观安信息技术股份有限公司

Inventor： 徐明 ,  胡绍勇 ,  魏国富 ,  辜乘风 ,  余贤喆 ,  殷钱安 ,  梁淑云 ,  王启凡

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本发明提供一种基于DNS日志分析的APT组织检测方法及装置，属于网络安全技术领域。通过引入多模块深层次分析APT的方法，以DNS日志数据为媒介，构造多个分析模块，围绕APT攻击的行为特点进行分析，然后通过模型整合的方式将各个模块的结果综合考虑，最后通过判断模块是否为攻击行为并对APT攻击进行组织划分和溯源，有效弥补了现有方法依赖数据库时效性较差、不能控制模型漏报率、无法控制检测结果准确率的问题。

公开(公告)号：CN114139540A

公开(公告)日：2022-03-04

申请号：CN202110971541.9

申请日：2021-08-23

Applicant: 上海观安信息技术股份有限公司

Inventor： 夏玉明 ,  张卫纲 ,  辜乘风 ,  徐明 ,  李宁

IPC: G06F40/295 ,  G06N3/04 ,  G06F40/216 ,  G06F16/35

Abstract: 本申请公开了一种基于人工智能模型的敏感数据探测评估系统，包括：获取模块，用于获取原始数据；识别模块，用于基于预先训练的模型来对所述原始数据进行识别得到敏感数据。本申请的技术方案，提高了敏感数据的识别的精确度。

公开(公告)号：CN109347992B

公开(公告)日：2021-08-10

申请号：CN201810949466.4

申请日：2018-08-20

Applicant: 上海观安信息技术股份有限公司

Inventor： 陈曦 ,  辜乘风 ,  魏国富 ,  葛胜利 ,  夏玉明 ,  胡绍勇

IPC: H04L29/12 ,  H04L29/06 ,  H04L12/24

Abstract: 本申请实施例中提供了一种溯源分析方法、电子设备及计算机存储介质。采用本申请中的方案，确定第一参数n、第二参数k和初始节点S0；从1至n的整数中依次取值，每当取一值后，基于S0，确定路径长度为取到的值的节点，在节点中确定展开节点，计算展开节点至S0之间的距离；基于k和距离进行溯源。本申请从1至n的整数中依次取值，每当取一值后，基于S0，确定路径长度为取到的值的节点，在节点中确定展开节点，计算展开节点至S0之间的距离；基于k和距离进行溯源，可以在某个节点关联的信息过多时，从中分辨出有价值的信息。

公开(公告)号：CN117879933A

公开(公告)日：2024-04-12

申请号：CN202410027736.1

申请日：2024-01-08

Applicant: 上海观安信息技术股份有限公司

Inventor： 余贤喆 ,  魏国富 ,  辜乘风 ,  徐明 ,  殷钱安 ,  梁淑云 ,  王启凡

IPC: H04L9/40 ,  H04L41/069

Abstract: 本申请公开了一种告警日志的处理方法、装置及设备，涉及网络安全技术领域，能够挖掘到更深层次的行为特征，进而从海量告警日志中区分出真实的攻击告警，提升网络安全的告警分析效率。其中方法包括：获取告警日志按照不同时间窗口形成的时间序列数据，通过对时间序列数据进行异常检测，在时间序列数据中确定异常波动数据对应的时间段，根据异常波动数据对应的时间段，在时间序列数据中提取包含异常波动特征的目标告警日志，根据目标告警日志在异常波动特征上的结构描述，对目标告警日志进行聚合处理，得到具有不同聚类指标的关键告警日志。

公开(公告)号：CN112929364B

公开(公告)日：2023-03-24

申请号：CN202110160302.5

申请日：2021-02-05

Applicant: 上海观安信息技术股份有限公司

Inventor： 徐明 ,  辜乘风 ,  陈曦 ,  魏国富

IPC: H04L9/40

Abstract: 本发明提供一种基于ICMP隧道分析的数据泄露检测方法，包括S1.数据接入；S2.数据预处理，抓取ICMP协议中查询类ICMP报文数据；S3.对数据进行分组处理，根据传入数据和传出数据的不同行为特点对查询类ICMP报文数据进行分组，得到两组数据；S4.特征抽取，对相同内网下主机IP下同类型的ICMP协议中查询类ICMP报文数据进行特征抽取；S5.异常行为识别，将同一内网下所有IP根据步骤S4提取的特征输入孤立森林算法中，输出异常IP的得分。本发明通过引入机器学习的方法，以数据为媒介，构造出的具有区分能力的特征，然后通过异常检测模型来区分正常行为与ICMP隧道攻击行为，具备了较高的查全率和查准率，解决了统计分析方法漏报率和误报率较高的问题。