公开(公告)号：CN113094703B

公开(公告)日：2024-06-21

申请号：CN202110267964.2

申请日：2021-03-11

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 丰竹勃 ,  安韬 ,  王智民 ,  王高杰

IPC: G06F21/55 ,  G06F16/906 ,  G06F16/951 ,  G06F16/9535 ,  G06F16/955 ,  G06F40/126 ,  G06F40/284

Abstract: 本发明提供一种针对web入侵检测的输出内容过滤方法及系统，属于网络信息安全领域。所述方法包括：对待告警数据进行分词，得到待告警数据对应的数据词条；使用训练好的TF‑IDF模型提取所述数据词条的TF‑IDF特征矩阵；计算数据词条的TF‑IDF特征矩阵与训练集的TF‑IDF特征矩阵的相似度；若相似度大于或等于相似度阈值，则降低告警分数，否则保持告警分数不变。使用训练好的TF‑IDF模型计算待告警数据的TF‑IDF特征矩阵与历史数据的TF‑IDT特征矩阵比较相似度，相似度越大是入侵行为的概率越小，需要被过滤，可以快速进行过滤，不影响整体程序的进程。

公开(公告)号：CN114915502A

公开(公告)日：2022-08-16

申请号：CN202210829158.4

申请日：2022-07-15

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 丰竹勃 ,  安韬 ,  王智民 ,  王高杰

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种资产异常行为检测方法、装置、终端设备以及存储介质，该方法包括：获取网络通信行为数据；对网络通信行为数据进行资产状态特征提取，得到原始资产状态特征向量；将原始资产状态特征向量输入预先训练好的深度自编码器模型进行处理并计算，得到计算结果，深度自编码器模型基于深度自编码神经网络训练得到；将计算结果与预先确定的资产业务基线阈值进行比较，以确定资产网络通信行为是否异常，资产业务基线阈值基于所述深度自编码器模型确定。本发明实现了对资产异常行为的有效检测，减少了对有限时间段内的资产状态的依赖。

公开(公告)号：CN114844802A

公开(公告)日：2022-08-02

申请号：CN202210776494.7

申请日：2022-07-04

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 朱昭 ,  王高杰 ,  黄亭 ,  卯路宁

IPC: H04L43/0829 ,  H04L43/0823 ,  H04L43/08

Abstract: 本申请公开了一种流量检测方法、装置、终端设备以及存储介质，其流量检测方法包括：获取第一实时流量，并提取所述第一实时流量中的第一流量信息；将所述第一流量信息输入预设的流量检测模型中与样本流量周期序列进行匹配，得到对应的第二流量信息，所述样本流量周期序列由所述流量检测模型学习得到；基于所述第一流量信息、所述第二流量信息，检测所述第一实时流量是否异常。本申请解决了流量检测的复杂度高、资源消耗高的问题。

公开(公告)号：CN113179250B

公开(公告)日：2022-05-17

申请号：CN202110327333.5

申请日：2021-03-26

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 兰亭洋 ,  刘叶 ,  王智民 ,  王高杰

IPC: H04L9/40 ,  H04L67/02 ,  G06F40/216 ,  G06F40/289 ,  G06F40/30 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供一种web未知威胁检测方法及系统，属于网络安全技术领域。所述方法包括：根据http响应报文获得特征向量初集；对所述特征向量初集进行数据降维，获得特征向量矩阵；所述特征向量矩阵作为训练输入数据进行模型训练，获得各特征向量对应的输出数据，在判定收敛完成时终止模型训练，将当前收敛模型作为预测模型；利用所述预测模型进行当前网络环境的http响应报文异常检测，获得异常分数集，对所述异常分数集中各异常分数进行大小排序，按照预设阈值百分比从排序后的异常分数中筛选异常数据，根据所述异常数据的数值进行对应等级的风险预警。本发明方案实现了web未知威胁检测的无监督学习，适应大数据监测。

公开(公告)号：CN114363005A

公开(公告)日：2022-04-15

申请号：CN202111502500.1

申请日：2021-12-08

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 兰亭洋 ,  王智民 ,  王高杰

IPC: H04L9/40 ,  G06N20/00

Abstract: 本发明公开了一种基于机器学习的ICMP检测方法、系统、设备及介质。该方法包括：采集实时网络控制报文协议ICMP协议数据流；通过数量窗口滑动对所述实时网络ICMP协议数据流的数据进行选取，得到第一协议数据流；提取所述第一协议数据流的特征并计算，得到计算结果；通过预设检测模型对所述计算结果进行处理，得到预测概率。本发明解决了检测方法对于ICMP协议数据流的特征的提取不够全面的问题，降低误报率。

公开(公告)号：CN114006727A

公开(公告)日：2022-02-01

申请号：CN202111148006.X

申请日：2021-09-28

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 卯路宁 ,  于金龙 ,  王智民 ,  王高杰

IPC: H04L9/40 ,  H04L41/0631 ,  H04L41/069

Abstract: 本发明公开了一种告警关联分析方法、装置、设备及存储介质，该方法包括：获取预设时间段的告警事件；基于所述告警事件生成告警连通图和告警事件集；从所述告警事件集中筛选出支持度达到第一预设阈值的目标告警事件集；针对所述目标告警事件集中任一告警事件，计算所述任一告警事件与所述目标告警事件集中剩余告警事件满足第一预设条件时的置信度值；筛选出所述置信度值达到第二预设阈值的目标告警事件，以得到任一所述目标告警事件集中所述目标告警事件与所述剩余告警事件之间具有强关联性的分析结果。本发明通过计算各告警事件之间的置信度来判断其中的关联性，筛选出其中的强关联关系，便于对攻击事件的溯源，从而为用户提供更有价值的信息。

公开(公告)号：CN112839055A

公开(公告)日：2021-05-25

申请号：CN202110157499.7

申请日：2021-02-04

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 兰亭洋 ,  刘叶 ,  王智民 ,  王高杰

IPC: H04L29/06 ,  G06N20/00

Abstract: 本发明实施方式提供一种面向TLS加密流量的网络应用识别方法及装置，其中一种面向TLS加密流量的网络应用识别方法，所述识别方法包括：获取网络应用采用TLS协议建立连接的ClientHello报文；检测所述ClientHello报文与N个检测特征的适配结果，得到所述ClientHello报文对应的N维布尔向量；根据所述ClientHello报文对应的N维布尔向量和所述ClientHello报文的报文属性，得到特征向量；将所述特征向量输入训练好的分类模型，基于所述分类模型对所述特征向量的分类结果，确定所述网络应用的类型。同时还提供了对应的TLS加密流量的网络应用识别方法装置及电子设备。本发明提供的实施方式无需对对TLS加密流量进行数据解密就能快速对TLS加密流量的应用进行识别。

公开(公告)号：CN117544508A

公开(公告)日：2024-02-09

申请号：CN202311328253.7

申请日：2023-10-13

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 王智民 ,  安韬 ,  王高杰 ,  田海波 ,  刘志刚 ,  武中力

IPC: H04L41/085 ,  H04L41/16

Abstract: 本发明公开了一种网络设备配置查询方法、装置、终端设备以及存储介质，涉及语言模型构建训练技术领域，其方法包括：获取用户输入的第一网络设备配置问题；将所述第一网络设备配置问题输入预先创建的网络设备配置问答模型，得到第一网络设备配置回答，所述网络设备配置问答模型是基于机器学习训练和微调优化得到。本发明能够降低配置网络设备的学习成本。

公开(公告)号：CN114006727B

公开(公告)日：2023-06-13

申请号：CN202111148006.X

申请日：2021-09-28

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 卯路宁 ,  于金龙 ,  王智民 ,  王高杰

IPC: H04L9/40 ,  H04L41/0631 ,  H04L41/069

Abstract: 本发明公开了一种告警关联分析方法、装置、设备及存储介质，该方法包括：获取预设时间段的告警事件；基于所述告警事件生成告警连通图和告警事件集；从所述告警事件集中筛选出支持度达到第一预设阈值的目标告警事件集；针对所述目标告警事件集中任一告警事件，计算所述任一告警事件与所述目标告警事件集中剩余告警事件满足第一预设条件时的置信度值；筛选出所述置信度值达到第二预设阈值的目标告警事件，以得到任一所述目标告警事件集中所述目标告警事件与所述剩余告警事件之间具有强关联性的分析结果。本发明通过计算各告警事件之间的置信度来判断其中的关联性，筛选出其中的强关联关系，便于对攻击事件的溯源，从而为用户提供更有价值的信息。

公开(公告)号：CN114915502B

公开(公告)日：2022-10-04

申请号：CN202210829158.4

申请日：2022-07-15

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 丰竹勃 ,  安韬 ,  王智民 ,  王高杰

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种资产异常行为检测方法、装置、终端设备以及存储介质，该方法包括：获取网络通信行为数据；对网络通信行为数据进行资产状态特征提取，得到原始资产状态特征向量；将原始资产状态特征向量输入预先训练好的深度自编码器模型进行处理并计算，得到计算结果，深度自编码器模型基于深度自编码神经网络训练得到；将计算结果与预先确定的资产业务基线阈值进行比较，以确定资产网络通信行为是否异常，资产业务基线阈值基于所述深度自编码器模型确定。本发明实现了对资产异常行为的有效检测，减少了对有限时间段内的资产状态的依赖。