公开(公告)号：CN117118735A

公开(公告)日：2023-11-24

申请号：CN202311206442.7

申请日：2023-09-18

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40

Abstract: 本申请实施例提供一种横向移动的检测方法、装置、电子设备及存储介质，该方法包括：获取待检测的网络流量数据；根据待检测的网络流量数据，确定待检测的网络流量数据中的命令序列；根据命令序列和预先训练好的异常分数计算模型，确定与待检测的网络流量数据对应的异常分数；其中，预先训练好的异常分数计算模型是根据样本网络流量数据生成样本命令序列，采用样本命令序列对预训练模型进行训练得到的；根据异常分数和预设阈值，判断待检测的网络流量数据是否为横向移动的攻击流量，提高判断的准确性和效率。

公开(公告)号：CN115225369B

公开(公告)日：2023-04-28

申请号：CN202210837531.0

申请日：2022-07-15

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40

Abstract: 本公开涉及一种僵尸网络的检测方法、装置及设备，其中，该方法包括：采集网络中各主机节点在预设的时间窗内的流量数据，得到如下特征文件：源IP、源端口、目的IP和目的端口，流量行为统计特征以及包长序列；根据流量行为统计特征，检测第一主机节点与其他剩余主机节点的相似性分数；根据源IP和源端口，目的IP和目的端口，以及流量行为统计特征，构建第一主机节点的第一自我中心网络；通过预设的图注意力网络，检测第一自我中心网络对应的平均预测误差；基于各主机节点对应的相似性分数、平稳性分数和平均预测误差，检测网络中的C&C节点和僵尸主机。本公开能够提高僵尸网络中C&C节点和僵尸主机的检测准确性。

公开(公告)号：CN115865413A

公开(公告)日：2023-03-28

申请号：CN202211357155.1

申请日：2022-11-01

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40 ,  G06F16/35

Abstract: 本申请提供一种恶意流量的检测方法及装置、电子设备、计算机可读存储介质，方法包括：根据流量聚合参数对网络流量进行聚合处理，得到至少一条目标流量；针对每一目标流量，基于所述目标流量中多个数据包的包头信息，分别进行语义编码，得到每一数据包对应的初始编码矩阵；将任一目标流量对应的多个初始编码矩阵，输入至流量判别模型，获得所述流量判别模型输出的判别信息；其中，所述判别信息指示所述目标流量是否为恶意流量。本申请方案，对多个数据包的包头信息进行语义编码后，可以借助包含语义特征和包头信息的上下文特征的初始编码矩阵，准确判别目标流量是否为恶意流量。

公开(公告)号：CN115580450A

公开(公告)日：2023-01-06

申请号：CN202211168167.X

申请日：2022-09-23

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁 ,  吴亚飚

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本申请属于网络安全技术领域，公开了流量检测的方法、装置、电子设备及计算机可读存储介质，该方法包括，基于待检测的传输数据的网络地址信息以及端口信息，构建拓扑图，拓扑图中的网络节点是根据网络地址信息以及端口信息构建的；根据各传输数据的传输关联信息，生成拓扑图中各边对应的边特征向量；拓扑图中的边是基于各网络节点之间的连接生成的；根据拓扑图、各边特征向量，以及预先训练好的流量检测模型，获得拓扑图中各边分别对应的流量检测结果，流量检测模型是基于图神经网络以及残差连接构建的。这样，采用拓扑图，可以根据各网络节点及其依赖关系进行流量检测，提高了流量检测的准确度。

公开(公告)号：CN115426162A

公开(公告)日：2022-12-02

申请号：CN202211051057.5

申请日：2022-08-30

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40 ,  H04L47/2483 ,  H04L47/2441 ,  G06K9/62

Abstract: 本申请实施例提供一种网络加密流量识别方法、装置、电子设备及存储介质，涉及威胁检测技术领域。该方法包括获取待测流量并提取所述待测流量中的数据包；获取所述数据包的长度，并对所述数据包进行分类，以确定所述数据包的数据类型；基于所述数据类型进行特征提取，以获得特征向量；基于所述数据类型选取预设的检测模型；将所述特征向量输入所述检测模型，并对所述特征向量进行加密检测，以获得检测结果，根据长度将数据包进行长短分类，并分别进行特征提取和模型检测，可准确识别短数据包流量，解决现有方法无法识别数据包较短的加密流量，导致识别结果不准确的问题。

公开(公告)号：CN115001994B

公开(公告)日：2022-11-15

申请号：CN202210893751.5

申请日：2022-07-27

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 李雪莹 ,  安晓宁

IPC: H04L43/04 ,  G06K9/62

Abstract: 本公开实施例涉及一种流量数据包分类方法、装置、设备及介质，其中该方法包括：获取流量信息，流量信息包括至少一个流量数据包；获取各流量数据包包括的多个字段；针对每个流量数据包，根据各字段的字段类型，确定各字段对应的信息区间；其中，相同字段类型的字段对应的信息区间相同，信息区间为字段填充的区间范围；对每个流量数据包的各字段对应的信息区间进行填充，获得对应的提取信息；将提取信息输入数据包分类模型中，获取至少一个流量数据包的分类结果。本公开实施例，实现了对流量数据包的自动化、标准化处理，并且通过提取信息能够从多个维度对流量数据包进行表征，提高了流量数据包分类结果的准确性。

公开(公告)号：CN116980211A

公开(公告)日：2023-10-31

申请号：CN202310982780.3

申请日：2023-08-07

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40

Abstract: 本发明实施例提供一种网络横向移动攻击检测方法、装置、设备及存储介质，涉及网络安全技术领域。所述网络横向移动攻击检测方法包括：实时采集主机的待检测流量，结合所述待检测流量的所有行为特征，生成所述待检测流量的行为特征向量；将所述待检测流量的行为特征向量输入预先建立的孤立森林模型，得到所述待检测流量的异常分数；当所述待检测流量的异常分数大于预设分数阈值时，判定所述待检测流量为横向移动攻击流量。本发明实施例能够实现实时准确地检测网络横向移动攻击的技术效果。

公开(公告)号：CN115694968A

公开(公告)日：2023-02-03

申请号：CN202211334669.5

申请日：2022-10-28

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40

Abstract: 本申请提供一种流量检测方法及装置，应用于网络安全技术领域，其中，流量检测方法包括：获取多条待检测流量中每条待检测流量对应的字段信息以及目的IP信息；其中，字段信息为根据握手消息提取得到的；根据目的IP信息将多条待检测流量划分为多个流量组；其中，每个流量组中的待检测流量的数量以及待检测流量的目的IP信息相同；针对每个流量组，提取该流量组中多条待检测流量对应的字段信息的特征，作为与流量组的目的IP信息对应的通信特征；根据通信特征对流量组中的待检测流量进行流量检测。可以基于通信通道中的多条待检测流量提取通信通道的一致性特征，有效地表征恶意行为，因此，可以提高进行流量检测的准确率。

公开(公告)号：CN115225546A

公开(公告)日：2022-10-21

申请号：CN202210866486.1

申请日：2022-07-22

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L43/0876 ,  H04L41/12

Abstract: 本公开涉及一种网络流量的预测方法、装置及设备，其中方法包括：获取时域特征；采集在当前短周期内多个历史时间窗的第一流量数据文件；多个历史时间窗包括：在待预测时间之前且与待预测时间相邻的连续多个时间窗；第一流量数据文件包括：当前短周期内，各历史时间窗中的网络节点，与网络节点通信的第一通信节点，各历史时间窗相对相邻上一时间窗的流量一阶差分值；采集在目标长周期内，多个历史时间窗的第二流量数据文件；其中，目标长周期是当前短周期所在长周期的相邻前一长周期；根据第一流量数据文件和第二流量数据文件，得到待预测时间的目标流量增量预测值。本公开能够提高流量数据的预测准确性。

公开(公告)号：CN119808968A

公开(公告)日：2025-04-11

申请号：CN202411883223.7

申请日：2024-12-19

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 薛智慧 ,  安晓宁

IPC: G06N5/045 ,  G06N5/04 ,  G06F16/332 ,  G06F16/35

Abstract: 本申请实施例提供一种指令响应方法、电子设备、存储介质及程序产品，在接收到待处理指令后，首先利用已训练的大语言模型进行越狱攻击检测，判断指令的安全性。若指令安全(即不包含越狱攻击行为)，则利用同一模型生成相应的响应结果，保证了处理的连贯性和高效性。若检测到越狱攻击行为，则立即拒绝该指令，有效防范了潜在的安全风险。这种同步处理的方式，不仅提升了模型的安全性，还确保了模型响应的及时性。