公开(公告)号：CN113746804A

公开(公告)日：2021-12-03

申请号：CN202110884131.0

申请日：2021-08-02

申请人： 中移(杭州)信息技术有限公司 ,  中国移动通信集团有限公司

发明人： 袁勇 ,  鲁银冰 ,  王悦 ,  陈东 ,  钱湖海 ,  王伟杰

IPC分类号： H04L29/06 ,  H04L29/12

摘要： 本发明公开了一种DNS隐蔽信道检测方法、装置、设备及存储介质，属于网络安全技术领域。本发明通过在接收到DNS隐蔽信道检测请求时，根据所述DNS隐蔽信道检测请求对DNS日志中的流量数据进行分组，获得目标DNS分组；从所述目标DNS分组中提取出滑动窗口特征和DNS流量特征；根据所述滑动窗口特征和所述DNS流量特征构建信道特征图像；对所述信道特征图像进行图像识别，获得DNS隐蔽信道检测结果，通过滑动窗口的方式能够检测出大流量DNS隐蔽信道和低流量DNS隐蔽信道，同时基于图像识别，提高了隐蔽信道识别的效率与准确性。

公开(公告)号：CN111355625A

公开(公告)日：2020-06-30

申请号：CN201811582177.1

申请日：2018-12-24

申请人： 中移(杭州)信息技术有限公司 ,  中移信息技术有限公司 ,  中国移动通信集团有限公司

发明人： 何洋 ,  徐海勇 ,  陶涛 ,  黄岩 ,  于玲 ,  鲁银冰 ,  林宇俊 ,  许鑫伶 ,  王伟杰

IPC分类号： H04L12/26 ,  H04L12/24

摘要： 本申请公开了一种异常物联网卡的分析方法及装置。该方法在获取第一时间段内至少一个待分析物联网卡的第一特征数据熵和第一预设数量个正常物联网卡的特征数据熵后，采用预设相对密度的离群点检测算法，得到第二预设数量个待分析物联网卡；再获取第二时间段内第二预设数量个待分析物联网卡的历史特征数据的第二特征数据熵，并对第二特征数据熵采用预设自回归整合移动平均算法，得到第二预设数量个待分析物联网卡在第一时间段内的第一预测特征数据熵，从而获取第二预设数量个待分析物联网卡中的异常物联网卡。该方法通过采用相对密度的离群点检测算法和时间序列异常检测方法以精确的分析出异常物联网卡，提高了分析异常物联网卡的准确率。

公开(公告)号：CN117335999A

公开(公告)日：2024-01-02

申请号：CN202210712825.0

申请日：2022-06-22

申请人： 中移(杭州)信息技术有限公司 ,  中国移动通信集团有限公司

发明人： 钱成 ,  王伟杰 ,  鲁银冰 ,  徐迪 ,  董航 ,  常嘉岳

IPC分类号： H04L9/40 ,  G06F18/23

摘要： 本申请公开了一种访问请求检测方法及装置，其特征在于，所述方法，包括：从待检测的目标请求的源统一资源定位符URL提取预定字段，其中，所述预定字段至少包括询问字段；按照所述询问字段包含的预定符号，将所述询问字段进行参数值分割；将分割后的所述参数值进行预定义稀疏编码，得到编码特征；根据所述编码特征，基于安全访问请求的源URL聚类得到安全特征进行匹配，得到匹配结果；根据所述匹配结果，确定所述目标请求是否为安全访问请求。

公开(公告)号：CN115964478A

公开(公告)日：2023-04-14

申请号：CN202111171329.0

申请日：2021-10-08

申请人： 中移(杭州)信息技术有限公司 ,  中国移动通信集团有限公司

发明人： 钱成 ,  鲁银冰 ,  袁勇 ,  陈东 ,  王悦 ,  何洋 ,  钱湖海 ,  王伟杰 ,  周旭莹

IPC分类号： G06F16/35 ,  G06F40/289 ,  G06F18/23213 ,  H04L9/40

摘要： 本公开公开了一种网络攻击检测方法、模型训练方法及装置、设备及介质。所述网络攻击检测模型训练方法可包括：将网络攻击检测模型识别的统一资源定位符URL，确定为继续训练所述网络攻击检测模型的样本URL，其中，所述样本URL包括：第一类标签为正常URL的URL和第一类标签为异常URL的URL；所述异常URL至少包括：XSS攻击的URL；对所述样本URL进行聚类，得到聚类结果；获取所述聚类结果中至少一类所述样本URL的第二类标签，并将已获取第二类标签的样本URL添加到样本池中；从所述样本池的所述样本URL中选择目标URL和所述目标URL的标签训练所述网络攻击检测模型。

公开(公告)号：CN111476375A

公开(公告)日：2020-07-31

申请号：CN202010237571.2

申请日：2020-03-30

申请人： 中移动信息技术有限公司 ,  中移(杭州)信息技术有限公司 ,  中国移动通信集团有限公司

发明人： 王伟杰 ,  张文 ,  许鑫伶 ,  朱君瑀 ,  李文倩 ,  鲁银冰

IPC分类号： G06N20/20 ,  G06N5/00 ,  G06K9/62 ,  G06Q50/30 ,  H04W8/18

摘要： 本发明实施例涉及计算机技术领域，公开了一种确定识别模型的方法、装置、电子设备及存储介质。本发明中确定识别模型的方法，包括：获取与物联网设备分离的物联网卡的第一话单数据；从第一话单数据中提取异常行为特征数据和流量异常特征数据，异常行为特征数据为违规物联网卡的基础行为的特征数据，流量异常特征数据为违规物联网卡的流量变化的特征数据；训练提取的异常行为特征数据和流量异常特征数据，得到异常物联网卡的识别模型。通过采用本实施方式，使得确定的识别模型的准确率高，通过该识别模型可以快速、准确地识别异常物联网卡。

公开(公告)号：CN117272294A

公开(公告)日：2023-12-22

申请号：CN202210669594.X

申请日：2022-06-14

申请人： 中移(杭州)信息技术有限公司 ,  中国移动通信集团有限公司

发明人： 袁勇 ,  鲁银冰 ,  王伟杰 ,  吴日切夫 ,  陈东 ,  王悦 ,  方琳娜 ,  钱成 ,  周旭莹

IPC分类号： G06F21/56 ,  G06F21/53 ,  G06F8/53 ,  G06F18/24 ,  G06F18/214

摘要： 本公开是关于一种恶意程序检测方法及装置、服务器及存储介质。所述方法可以包括：获取待检测程序的字符串数据集、导入函数数据集和动态行为数据集；基于所述字符串数据集、所述导入函数数据集和所述动态行为数据集，确定目标特征矩阵；基于所述目标特征矩阵，检测所述待检测程序是否为恶意程序。通过本公开实施例不仅考虑到待检测程序的字符串和导入函数这些静态特征，还考虑到待检测程序的动态行为这样的动态特征，可以有效应对不同恶意程序逃避检测的情况，提高了对恶意程序的识别准确率。

公开(公告)号：CN111355625B

公开(公告)日：2021-12-07

申请号：CN201811582177.1

申请日：2018-12-24

申请人： 中移(杭州)信息技术有限公司 ,  中移信息技术有限公司 ,  中国移动通信集团有限公司

发明人： 何洋 ,  徐海勇 ,  陶涛 ,  黄岩 ,  于玲 ,  鲁银冰 ,  林宇俊 ,  许鑫伶 ,  王伟杰

IPC分类号： H04L12/26 ,  H04L12/24

摘要： 本申请公开了一种异常物联网卡的分析方法及装置。该方法在获取第一时间段内至少一个待分析物联网卡的第一特征数据熵和第一预设数量个正常物联网卡的特征数据熵后，采用预设相对密度的离群点检测算法，得到第二预设数量个待分析物联网卡；再获取第二时间段内第二预设数量个待分析物联网卡的历史特征数据的第二特征数据熵，并对第二特征数据熵采用预设自回归整合移动平均算法，得到第二预设数量个待分析物联网卡在第一时间段内的第一预测特征数据熵，从而获取第二预设数量个待分析物联网卡中的异常物联网卡。该方法通过采用相对密度的离群点检测算法和时间序列异常检测方法以精确的分析出异常物联网卡，提高了分析异常物联网卡的准确率。

公开(公告)号：CN113076451A

公开(公告)日：2021-07-06

申请号：CN202010004255.0

申请日：2020-01-03

申请人： 中国移动通信集团广东有限公司 ,  中移(杭州)信息技术有限公司 ,  中国移动通信集团有限公司

发明人： 赵俊 ,  王伟杰 ,  许鑫伶 ,  刘钢庭 ,  鲁银冰 ,  李启文 ,  何洋 ,  王丹弘 ,  任姣姣 ,  刘浩明

IPC分类号： G06F16/906 ,  G06K9/62 ,  G06Q10/06 ,  G06Q30/00 ,  G06Q30/02

摘要： 本发明实施例公开了一种异常行为识别和风险模型库的建立方法、装置及电子设备，用于解决现有的异常行为识别方法不够准确的问题。所述方法包括：获取风险场景的多组异常行为特征数据及对应的异常分类标签；分别将所述多组异常行为特征数据进行离散化处理，得到所述多组异常行为特征数据中的多个异常行为特征数据对应的风险特征值；分别对所述多组异常行为特征数据中的多个异常行为特征数据对应的风险特征类别，进行属性约简；基于所述属性约简后的风险特征类别集合、风险特征值和对应的异常分类标签之间的关系，建立风险模型库。

公开(公告)号：CN111476375B

公开(公告)日：2023-09-19

申请号：CN202010237571.2

申请日：2020-03-30

申请人： 中移动信息技术有限公司 ,  中移(杭州)信息技术有限公司 ,  中国移动通信集团有限公司

发明人： 王伟杰 ,  张文 ,  许鑫伶 ,  朱君瑀 ,  李文倩 ,  鲁银冰

IPC分类号： G06F18/2433 ,  G06F18/23213 ,  G06F18/27 ,  G06F18/214 ,  G06F18/243 ,  G06Q50/30 ,  H04W8/18

摘要： 本发明实施例涉及计算机技术领域，公开了一种确定识别模型的方法、装置、电子设备及存储介质。本发明中确定识别模型的方法，包括：获取与物联网设备分离的物联网卡的第一话单数据；从第一话单数据中提取异常行为特征数据和流量异常特征数据，异常行为特征数据为违规物联网卡的基础行为的特征数据，流量异常特征数据为违规物联网卡的流量变化的特征数据；训练提取的异常行为特征数据和流量异常特征数据，得到异常物联网卡的识别模型。通过采用本实施方式，使得确定的识别模型的准确率高，通过该识别模型可以快速、准确地识别异常物联网卡。

公开(公告)号：CN115842638A

公开(公告)日：2023-03-24

申请号：CN202111043992.2

申请日：2021-09-07

申请人： 中移(杭州)信息技术有限公司 ,  中国移动通信集团有限公司

发明人： 周旭莹 ,  钱湖海 ,  鲁银冰 ,  钱成 ,  袁勇 ,  王伟杰 ,  何洋 ,  林宇俊

IPC分类号： H04L9/40

摘要： 本申请实施例提供了一种地址识别方法及网络装置、存储介质，该方法包括：获取预设时间段内的网络监测日志和网络监测日志中的互联网协议IP地址；根据网络监测日志，确定IP地址对应的网络拓扑结构，并基于网络拓扑结构确定IP地址对应的图特征；根据网络监测日志确定IP地址对应的数据统计特征；将IP地址对应的图特征和数据统计特征输入预设识别模型中，得到IP地址中的扫描攻击IP地址。通过上述技术方案，达到提高识别扫描攻击IP地址时准确性的目的。