公开(公告)号：CN114254716B

公开(公告)日：2022-05-27

申请号：CN202210195033.0

申请日：2022-03-02

Applicant: 浙江鹏信信息科技股份有限公司

Inventor： 林建洪 ,  陈晓莉 ,  张晶晶 ,  赵祥廷 ,  魏亚洁 ,  章亮

IPC: G06K9/62 ,  G06N3/08 ,  G06N7/00 ,  H04L9/40 ,  H04L41/16

Abstract: 本发明具体涉及一种基于用户行为分析的高危操作识别方法及系统，其高危操作识别方法，包括以下步骤：采集目标网络内对应用户行为的历史日志信息，并对历史日志信息进行数据标准化处理，得到目标信息；根据目标信息获取服务器操作习惯特征和操作指令习惯特征；基于目标信息，对操作指令进行去重处理并进行莱文斯坦距离和最长公共子序列的计算，得到莱文斯坦距离和最长公共子序列均超过相应阈值的指令数量特征；高危操作识别模型的训练；采集对应用户行为的待测日志信息，并输入高危操作识别模型，得到高危操作识别模型输出的状态值，并根据状态值对用户行为状态进行预测。本发明后续用户行为研判提供多维特征依据，提升用户行为分析的准确度。

公开(公告)号：CN115913792A

公开(公告)日：2023-04-04

申请号：CN202310214750.8

申请日：2023-03-08

Applicant: 浙江鹏信信息科技股份有限公司 ,  中国移动通信集团云南有限公司

Inventor： 陈晓莉 ,  和建文 ,  冯国栋 ,  赵祥廷 ,  张晶晶 ,  章亮

IPC: H04L9/40 ,  H04L61/4511 ,  G06F18/214 ,  G06F18/2431 ,  G06N3/084

Abstract: 本发明涉及DGA域名的鉴别方法、系统及可读介质，鉴别方法包括：采集域名样本数据集，并按照域名类型划分为DGA域名样本数据集和正常域名样本数据集；S2、对域名样本数据集进行特征工程，得到域名特征数据；基于域名样本数据集，选取基础样本，并基于基础样本进行三元组建立，得到三元组数据集；将基础样本及其域名类型标记组合构成有监督域名样本；将域名特征数据、三元组数据集及有监督域名样本输入混合特征模型进行训练，得到域名鉴别模型；S3、将待鉴别域名样本及其对应的域名特征数据分别输入域名鉴别模型，以输出待鉴别域名样本的域名类型。本发明实现DGA域名的有效鉴别，便于对DGA域名的访问进行拦截与防范。

公开(公告)号：CN115277251A

公开(公告)日：2022-11-01

申请号：CN202211161357.9

申请日：2022-09-23

Applicant: 浙江鹏信信息科技股份有限公司

Inventor： 陈晓莉 ,  章亮 ,  金大为 ,  徐路平 ,  张晶晶 ,  祝天鹏

IPC: H04L9/40 ,  H04L45/00

Abstract: 本发明涉及基于FRR软件路由集群的IP封堵方法、系统及介质。其中，IP封堵方法包括：S1、对下发的IP封堵任务进行任务处理，以将各IP封堵任务划分为小任务或正常任务；小任务的待封堵IP的数量小于正常任务的待封堵IP的数量；S2、利用智能调度算法调度FRR软件路由集群中的目标FRR封堵节点，以执行小任务或正常任务的IP封堵；FRR软件路由集群包括数个FRR封堵节点；S3、目标FRR封堵节点产生的黑洞路由通过BGP转发节点同步至外部BGP对等体。本发明通过FRR软件路由集群技术实现黑洞路由下发，并通过路由重分布机制实现BGP协议转换下发至BGP对等体，从而实现IP高并发大容量快速封堵。

公开(公告)号：CN114254716A

公开(公告)日：2022-03-29

申请号：CN202210195033.0

申请日：2022-03-02

Applicant: 浙江鹏信信息科技股份有限公司

Inventor： 林建洪 ,  陈晓莉 ,  张晶晶 ,  赵祥廷 ,  魏亚洁 ,  章亮

IPC: G06K9/62 ,  G06N3/08 ,  G06N7/00 ,  H04L9/40 ,  H04L41/16

Abstract: 本发明具体涉及一种基于用户行为分析的高危操作识别方法及系统，其高危操作识别方法，包括以下步骤：采集目标网络内对应用户行为的历史日志信息，并对历史日志信息进行数据标准化处理，得到目标信息；根据目标信息获取服务器操作习惯特征和操作指令习惯特征；基于目标信息，对操作指令进行去重处理并进行莱文斯坦距离和最长公共子序列的计算，得到莱文斯坦距离和最长公共子序列均超过相应阈值的指令数量特征；高危操作识别模型的训练；采集对应用户行为的待测日志信息，并输入高危操作识别模型，得到高危操作识别模型输出的状态值，并根据状态值对用户行为状态进行预测。本发明后续用户行为研判提供多维特征依据，提升用户行为分析的准确度。

公开(公告)号：CN115913792B

公开(公告)日：2023-05-23

申请号：CN202310214750.8

申请日：2023-03-08

Applicant: 浙江鹏信信息科技股份有限公司 ,  中国移动通信集团云南有限公司

Inventor： 陈晓莉 ,  和建文 ,  冯国栋 ,  赵祥廷 ,  张晶晶 ,  章亮

IPC: H04L9/40 ,  H04L61/4511 ,  G06F18/214 ,  G06F18/2431 ,  G06N3/084

Abstract: 本发明涉及DGA域名的鉴别方法、系统及可读介质，鉴别方法包括：采集域名样本数据集，并按照域名类型划分为DGA域名样本数据集和正常域名样本数据集；S2、对域名样本数据集进行特征工程，得到域名特征数据；基于域名样本数据集，选取基础样本，并基于基础样本进行三元组建立，得到三元组数据集；将基础样本及其域名类型标记组合构成有监督域名样本；将域名特征数据、三元组数据集及有监督域名样本输入混合特征模型进行训练，得到域名鉴别模型；S3、将待鉴别域名样本及其对应的域名特征数据分别输入域名鉴别模型，以输出待鉴别域名样本的域名类型。本发明实现DGA域名的有效鉴别，便于对DGA域名的访问进行拦截与防范。

公开(公告)号：CN115277251B

公开(公告)日：2023-01-03

申请号：CN202211161357.9

申请日：2022-09-23

Applicant: 浙江鹏信信息科技股份有限公司

Inventor： 陈晓莉 ,  章亮 ,  金大为 ,  徐路平 ,  张晶晶 ,  祝天鹏

IPC: H04L9/40 ,  H04L45/00

Abstract: 本发明涉及基于FRR软件路由集群的IP封堵方法、系统及介质。其中，IP封堵方法包括：S1、对下发的IP封堵任务进行任务处理，以将各IP封堵任务划分为小任务或正常任务；小任务的待封堵IP的数量小于正常任务的待封堵IP的数量；S2、利用智能调度算法调度FRR软件路由集群中的目标FRR封堵节点，以执行小任务或正常任务的IP封堵；FRR软件路由集群包括数个FRR封堵节点；S3、目标FRR封堵节点产生的黑洞路由通过BGP转发节点同步至外部BGP对等体。本发明通过FRR软件路由集群技术实现黑洞路由下发，并通过路由重分布机制实现BGP协议转换下发至BGP对等体，从而实现IP高并发大容量快速封堵。

公开(公告)号：CN115396237A

公开(公告)日：2022-11-25

申请号：CN202211322297.4

申请日：2022-10-27

Applicant: 浙江鹏信信息科技股份有限公司 ,  中国移动通信集团云南有限公司

Inventor： 陈晓莉 ,  和建文 ,  冯国栋 ,  赵祥廷 ,  张晶晶 ,  章亮

IPC: H04L9/40 ,  H04L43/12 ,  G06F16/951 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明涉及网页恶意篡改识别方法、系统及可读存储介质，识别方法包括：S1、爬取待测网页的图片数据和文本数据；S2、判断待测网页的数据信息与预设网页的数据信息是否相同；若否，则转至步骤S3；S3、利用VGG卷积神经网络的全连接层的输出作为SVM分类器的输入构成的第一分类模型对待测网页的图片数据进行分类，得到第一分类标签及其对应的置信度；利用BERT神经网络拼接双向LSTM神经网络并在输出前添加注意力构成的第二分类模型对待测网页的文本数据进行分类，得到第二分类标签及其对应的置信度；S4、判断各置信度是否超出置信度阈值；若是，则输出网页存在恶意篡改告警。本发明有效提升了网页恶意篡改识别的精度和效率。