公开(公告)号：CN111431883B

公开(公告)日：2022-11-04

申请号：CN202010192599.9

申请日：2020-03-18

Applicant: 上海观安信息技术股份有限公司

Inventor： 辜乘风 ,  徐明 ,  陈曦 ,  陈一根

IPC: H04L9/40 ,  H04L67/02 ,  G06K9/62 ,  G06N20/10

Abstract: 本发明实施例提供了一种基于访问参数的web攻击检测方法及装置，方法包括：解析出web日志中包含的访问信息，其中，所述访问信息包括：主机、标识符、授权用户、日期时间、请求类型中的一种或组合；web日志预处理，其中，所述预处理包括：筛选预设状态码对应的访问参数、访问不为空的访问参数；根据预先设定的特征对预处理后的web日志进行分组处理；针对每一组中的web日志进行特征抽取处理，其中，抽取的特征包括：访问个数、访问值合计长度、访问参数的平均长度、访问参数中的数字个数；根据抽取的特征，利用孤立森林算法识别出属于攻击行为的web日志。应用本发明实施例，技术方案更加简单。

公开(公告)号：CN111698260B

公开(公告)日：2022-10-11

申请号：CN202010582205.0

申请日：2020-06-23

Applicant: 上海观安信息技术股份有限公司

Inventor： 徐明 ,  辜乘风 ,  陈曦 ,  陈一根 ,  魏国富

IPC: H04L9/40 ,  H04L61/4511 ,  G06N20/00 ,  G06K9/62

Abstract: 本发明公开了一种基于报文分析的DNS劫持检测方法及系统，具体步骤如下：步骤1，网络报文数据解析；步骤2，数据预处理；步骤3，特征提取；步骤4，机器学习模型识别DNS劫持攻击；步骤5，DNS劫持攻击分类；步骤6，模型优化。本发明通过深入研究各种类型DNS劫持攻击的实现原理，针对性地构造出了具有非常强的区分度特征，结合机器学习的方法，通过不断地优化分析，实现了以报文数据为媒介，训练模型使之具备精确的检测能力，有效弥补了传统的规则检测或恶意情报库匹配方法中无法识别新型攻击和易被绕过的问题，同时通过进一步的模型分析，能够将DNS攻击进行细化分类，准确定位DNS劫持行为是产生在DNS请求过程中的哪一个环节。

公开(公告)号：CN113676379B

公开(公告)日：2022-08-09

申请号：CN202111021400.7

申请日：2021-09-01

Applicant: 上海观安信息技术股份有限公司

Inventor： 辜乘风 ,  徐明 ,  夏玉明 ,  魏国富

IPC: H04L43/16 ,  H04L41/0631 ,  H04L41/0681 ,  H04L12/46 ,  H04L61/4511 ,  G06N7/00

Abstract: 本发明公开一种DNS隧道检测方法、装置、系统及计算机存储介质。其中，该方法包括：逐条获取目标DNS流式数据；其中，每条所述目标DNS流式数据包括整个域名；所述整个域名包括二级域名和二级域名对应的子域名；将所述目标DNS流式数据根据二级域名进行分组，得到多组待处理的DNS流式数据；对每组所述待处理的DNS流式数据抽取预设数量个特征并对每个所述特征根据打分函数进行打分，得到预设数量个打分值；以及根据所述预设数量个打分值计算对应组的总分；当判定所述对应组的总分大于预设阈值时，对该组进行告警并展示。通过本发明，能够解决现有技术中检测方式准确率低、告警多的问题。该方法告警准确率和查全率高，以及告警聚合度高。

公开(公告)号：CN110933115B

公开(公告)日：2022-04-29

申请号：CN201911401991.3

申请日：2019-12-31

Applicant: 上海观安信息技术股份有限公司

Inventor： 周晓勇 ,  梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆

IPC: H04L9/40

Abstract: 本发明提供了一种基于动态session的分析对象行为异常检测方法及装置，方法包括：采集分析对象在业务系统中的操作日志；基于所述操作日志，针对每一个分析对象，根据所述分析对象对应的操作时间间隔是否大于预设时长获取各个时间间隔对应的间隔标记，获取所述分析对象对应的间隔特征；对所述间隔特征进行归一化处理，并将归一化后的间隔特征组合成针对所述分析对象的特征向量；将各个分析对象的特征向量作为SOS算法的输入，得到各个分析对象对应的异常概率值。本发明可以减少漏报。

公开(公告)号：CN110751231B

公开(公告)日：2022-04-29

申请号：CN201911044758.4

申请日：2019-10-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆 ,  周晓勇

IPC: G06K9/62 ,  G06Q50/32

Abstract: 本发明实施例提供了一种基于无监督算法的养卡号码检测方法及系统，方法包括：1)、采集运营商电渠登录日志数据；2)、从登录日志数据中获取用户的登录行为特征，并将用户的登录行为特征作为第一特征集合，将对应于用户的登录行为特征的高维统计特征作为第二特征集合；3)、利用孤立森林算法识别出第一特征集合对应的各个异常群体；并使用聚类算法对第二特征集合中的特征进行聚类，得到若干个聚类，并根据登录行为特征的稳定性获取异常聚类；4)、根据异常群体所对应的号码中被聚类到异常聚类中的数量与，异常群体所对应的号码的比例，确定异常群体对应的号码是否属于养卡号码。应用本发明实施例，可以提高养卡号码识别的准确率。

公开(公告)号：CN114338593A

公开(公告)日：2022-04-12

申请号：CN202111594056.0

申请日：2021-12-23

Applicant: 上海观安信息技术股份有限公司

Inventor： 徐明 ,  辜乘风 ,  魏国富 ,  夏玉明 ,  殷钱安 ,  周晓勇 ,  陶景龙 ,  余贤喆 ,  梁淑云 ,  刘胜 ,  王启凡 ,  马影

IPC: H04L61/103 ,  H04L9/40

Abstract: 本申请公开了一种利用地址解析协议进行网络扫描的行为检测方法及装置、存储介质和计算机设备。方法包括：获取通信信息，其中，通信信息包括源地址、目的地址、请求时间以及请求结果；根据目的地址以及请求时间，确定源地址对应的请求规律；根据请求规律确定请求规律得分，根据源地址对应的请求结果确定请求结果得分，根据源地址对应的目的地址确定请求广度得分；根据请求规律得分、请求结果得分以及请求广度得分，在多个通信信息对应的源地址中，确定与网络扫描对应的目标源地址，并确定目标源地址对应的目标请求为网络扫描行为。本申请的方法，提高了ARP网络扫描行为检测的准确率。

公开(公告)号：CN114299365A

公开(公告)日：2022-04-08

申请号：CN202210206913.3

申请日：2022-03-04

Applicant: 上海观安信息技术股份有限公司

Inventor： 周晓勇 ,  梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  夏玉明 ,  徐明 ,  殷钱安 ,  余贤喆

IPC: G06V10/774 ,  G06V10/764 ,  G06V10/46 ,  G06K9/62

Abstract: 本发明公开了一种图像模型隐蔽后门的检测方法及系统、存储介质、终端，与现有技术相比，本发明通过将每个训练样本图像分别转换为频谱图像，对频谱图像进行目标检测得到目标图像，将目标图像从与其对应频谱图像上提取并作为待定频谱图像碎片，再分别统计每一相同的所述待定频谱图像碎片的个数，并根据每一相同的所述待定频谱图像碎片的个数确定嵌入所述频谱图像中的触发器图案；最后基于所述触发器图案，确定触发器图案所在的频谱图像，以完成对带有触发器图案的后门样本图像的检测，进而解决触发器图案隐蔽在训练样本图像上难以被检测的问题。

公开(公告)号：CN113947813A

公开(公告)日：2022-01-18

申请号：CN202111219140.4

申请日：2021-10-20

Applicant: 上海观安信息技术股份有限公司

Inventor： 刘胜 ,  魏国富 ,  夏玉明 ,  马影 ,  周晓勇 ,  殷钱安 ,  梁淑云 ,  余贤喆 ,  陶景龙 ,  王启凡 ,  徐明

IPC: G06V40/20 ,  G06V40/10 ,  G06V10/30 ,  G06V10/774 ,  G06V20/60 ,  G06K9/62

Abstract: 本发明公开一种防御对抗样本攻击的方法、装置及计算机存储介质。其中，该方法包括：S1.获取原始图像数据集，将其中的样本作为第一训练样本；S2.对第一训练样本进行随机变换操作得到第二训练样本，以及对第一训练样本进行空间平滑操作得到第三训练样本；S3.分别通过第一检测模型对第一训练样本、第二训练样本、第三训练样本进行预测，得到一一对应的第一预测结果、第二预测结果、第三预测结果；S4.将第一预测结果分别与第二预测结果、第三预测结果进行比对；根据比对结果确定第一训练样本中是否存在对抗样本并重新训练检测模型以提高模型防御对抗样本的攻击能力。随机变换操作和空间平滑操作可以减轻或消除对抗性扰动，且对检测模型的鲁棒性影响较小。

公开(公告)号：CN113452581B

公开(公告)日：2021-12-14

申请号：CN202110999767.X

申请日：2021-08-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 辜乘风 ,  徐明 ,  魏国富 ,  殷钱安 ,  周晓勇 ,  陶景龙 ,  余贤喆 ,  梁淑云 ,  刘胜 ,  王启凡 ,  马影

IPC: H04L12/26 ,  G06N20/00 ,  G06K9/62 ,  G06F16/2455 ,  G06F16/22

Abstract: 本申请公开了一种流式数据的特征提取方法及装置、存储介质、计算机设备，该方法包括：接收流式数据，并获取所述流式数据对应的网络安全特征提取需求，其中，所述网络安全特征提取需求包括至少一个待提取的目标维度以及至少一个待提取的目标特征；依据所述目标维度以及所述目标特征，生成特征数据提取器；利用所述特征数据提取器，提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据。本申请通过构建特征数据提取器，并通过特征数据提取器提取流式数据的网络安全特征数据，能够对流式数据进行即时性特征提取，在充分发挥流式数据的低延迟性特点的同时，减少资源的占用量。

公开(公告)号：CN113676379A

公开(公告)日：2021-11-19

申请号：CN202111021400.7

申请日：2021-09-01

Applicant: 上海观安信息技术股份有限公司

Inventor： 辜乘风 ,  徐明 ,  夏玉明 ,  魏国富

IPC: H04L12/26 ,  H04L12/24 ,  H04L12/46 ,  H04L29/12 ,  G06N7/00

Abstract: 本发明公开一种DNS隧道检测方法、装置、系统及计算机存储介质。其中，该方法包括：逐条获取目标DNS流式数据；其中，每条所述目标DNS流式数据包括整个域名；所述整个域名包括二级域名和二级域名对应的子域名；将所述目标DNS流式数据根据二级域名进行分组，得到多组待处理的DNS流式数据；对每组所述待处理的DNS流式数据抽取预设数量个特征并对每个所述特征根据打分函数进行打分，得到预设数量个打分值；以及根据所述预设数量个打分值计算对应组的总分；当判定所述对应组的总分大于预设阈值时，对该组进行告警并展示。通过本发明，能够解决现有技术中检测方式准确率低、告警多的问题。该方法告警准确率和查全率高，以及告警聚合度高。