公开(公告)号：CN111913864B

公开(公告)日：2023-10-13

申请号：CN202010820755.1

申请日：2020-08-14

Applicant: 上海观安信息技术股份有限公司

Inventor： 余贤喆 ,  梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  周晓勇

IPC: G06F11/34

Abstract: 本发明提供了一种基于业务操作组合发现异常操作行为的方法，包括以下步骤：步骤A：提取业务操作和受理日志的历史数据；步骤B：基于业务对象和操作时间间隔构建操作序列；步骤C：剔除业务层面罕见的正常操作，生成操作组合；步骤D：针对指定业务操作类型获取相关的操作组合；步骤E：利用关联规则提取异常项，发现异常操作行为及对应的操作人员。本发明还提供了基于该方法的装置。本发明的优点在于：在没有明确的异常操作样本的情况下，通过划分会话，构建操作组合，基于关联规则进行异常检测，实现了对业务操作异常的发现，具有良好的适应性和推广前景。

公开(公告)号：CN111062422B

公开(公告)日：2023-07-14

申请号：CN201911200313.0

申请日：2019-11-29

Applicant: 上海观安信息技术股份有限公司

Inventor： 刘胜 ,  梁淑云 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆 ,  周晓勇

IPC: G06F18/2431 ,  G06F18/214 ,  G06F18/2415 ,  G06Q50/26

Abstract: 本发明提供了一种套路贷体系化识别方法及装置，方法包括：1)、获取用户的网络行为数据，使用网络行为数据训练Xgboost模型，使用Xgboost模型识别出具有资金需求的用户；2)、将所述用户的历史通话数据、当前周期内通话数据以及黑名单库清单数据作为训练集训练预先构建的随机森林模型，并使用该训练好的随机森林模型输出测试集中用户属于具有寻找资金行为的用户的分类概率值；3)、根据所述用户的账户交易数据，利用贝叶斯模型输出测试集中用户为已经接收资金的用户的分类概率值；4)、将训练后的模型体系作为套路贷体系化识别模型，以对待识别用户属于套路贷受害者的概率进行检测。应用本发明实施例，可以识别出套路贷犯罪行为。

公开(公告)号：CN113298238B

公开(公告)日：2023-06-20

申请号：CN202110717049.9

申请日：2021-06-28

Applicant: 上海观安信息技术股份有限公司

Inventor： 周晓勇 ,  梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  夏玉明 ,  徐明 ,  殷钱安 ,  余贤喆

IPC: G06N3/04 ,  G06N3/094 ,  G06F21/55

Abstract: 本发明公开一种使用定向攻击探索黑盒神经网络的方法、装置、处理设备及存储介质，本发明对及候选网络模型均通过多种攻击算法获得对抗样本，利用丰富的对抗样本集分别对候选网络模型和未知网络模型进行攻击，比较攻击结果，攻击结果最接近的两个模型结构和参数最相似，采用该方法，能够快速找到黑盒神经网络的结构和参数，可提高对抗样本鲁棒性，避免单一生成模型与攻击目标模型结构差异过大造成的攻击成功率低下问题。

公开(公告)号：CN110990242B

公开(公告)日：2023-06-20

申请号：CN201911200304.1

申请日：2019-11-29

Applicant: 上海观安信息技术股份有限公司

Inventor： 马影 ,  梁淑云 ,  刘胜 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆 ,  周晓勇

IPC: G06F11/34

Abstract: 本发明提供了一种用户操作次数波动异常的确定方法及装置，方法包括：1)、获取待鉴定用户的当前自然日之前设定时段内的操作日志；2)、根据用户在设定时段内的平均操作次数以及平均操作次数的标准差的商，获取当前自然日的变异系数；3)、计算当前自然日对应的当前变异系数波动值；并获取用户在设定时段内各个自然日的历史变异系数波动值；4)、根据在历史变异系数波动值范围内预设设置的外限值以及内限值，判断当前变异系数波动值是否超出了外限值与内限值之间的范围；若是，将用户在当前自然日的操作标记为操作次数波动异常。应用本发明实施例，提高了异常操作的检出率。

公开(公告)号：CN112929364B

公开(公告)日：2023-03-24

申请号：CN202110160302.5

申请日：2021-02-05

Applicant: 上海观安信息技术股份有限公司

Inventor： 徐明 ,  辜乘风 ,  陈曦 ,  魏国富

IPC: H04L9/40

Abstract: 本发明提供一种基于ICMP隧道分析的数据泄露检测方法，包括S1.数据接入；S2.数据预处理，抓取ICMP协议中查询类ICMP报文数据；S3.对数据进行分组处理，根据传入数据和传出数据的不同行为特点对查询类ICMP报文数据进行分组，得到两组数据；S4.特征抽取，对相同内网下主机IP下同类型的ICMP协议中查询类ICMP报文数据进行特征抽取；S5.异常行为识别，将同一内网下所有IP根据步骤S4提取的特征输入孤立森林算法中，输出异常IP的得分。本发明通过引入机器学习的方法，以数据为媒介，构造出的具有区分能力的特征，然后通过异常检测模型来区分正常行为与ICMP隧道攻击行为，具备了较高的查全率和查准率，解决了统计分析方法漏报率和误报率较高的问题。

公开(公告)号：CN113837325A

公开(公告)日：2021-12-24

申请号：CN202111410811.5

申请日：2021-11-25

Applicant: 上海观安信息技术股份有限公司

Inventor： 梁淑云 ,  殷钱安 ,  余贤喆 ,  王启凡 ,  陶景龙 ,  徐明 ,  刘胜 ,  马影 ,  周晓勇 ,  魏国富 ,  夏玉明

IPC: G06K9/62 ,  G06N3/08

Abstract: 本申请公开了基于无监督算法的用户异常检测方法及装置，涉及网络安全检测技术领域，可以提升用户异常检测的准确率。其中方法包括：获取web系统的用户行为日志数据；根据所述用户行为日志数据对应的多个业务场景类别，分别计算出目标用户在多个不同时间周期内的贝叶斯平均值，所述贝叶斯平均值是根据目标用户的单维行为特征数据确定的；根据目标用户在多个业务场景类别，以及多个不同时间周期内的贝叶斯平均值，利用不同的无监督模型分别得到目标用户在每个业务场景类别中的初始评估结果；根据所述初始评估结果中的评估标签类型，通过对所述初始评估结果中的评估分值进行调整，得到目标用户的异常检测结果。

公开(公告)号：CN113542310B

公开(公告)日：2021-12-21

申请号：CN202111090260.9

申请日：2021-09-17

Applicant: 上海观安信息技术股份有限公司

Inventor： 辜乘风 ,  徐明 ,  魏国富 ,  殷钱安 ,  周晓勇 ,  陶景龙 ,  余贤喆 ,  梁淑云 ,  刘胜 ,  王启凡 ,  马影

IPC: H04L29/06

Abstract: 本发明实施例公开了一种网络扫描检测方法、装置及计算机存储介质。其中，该方法包括：提取各报文数据中的目的IP以及相应的目的IP端口特征值；采用孤立森林算法，根据各报文数据的目的IP端口特征值计算相应的所述目的IP的异常得分；通过四分位算法对所有目的IP的异常得分进行异常得分阈值计算，将大于所述异常得分阈值的所述目的IP的异常得分对应的目的IP标记为遭受网络扫描的目的IP。综合多种端口特征得到每个目的IP的异常评分，并综合所有评分确定遭受网络扫描的目的IP，提高了对网络扫描检测的准确性。

公开(公告)号：CN113765923A

公开(公告)日：2021-12-07

申请号：CN202111048808.3

申请日：2021-09-08

Applicant: 上海观安信息技术股份有限公司

Inventor： 辜乘风 ,  徐明 ,  魏国富 ,  夏玉明

IPC: H04L29/06 ,  H04L29/08 ,  G06K9/62

Abstract: 本发明公开一种web端参数检测方法、装置、系统及计算机存储介质。其中，该方法包括：获取请求成功的web请求数据；其中，所述web请求数据包括：应用程序接口和参数；将所述请求成功的web请求数据根据所述应用程序接口进行分组，得到多组web请求数据；对当前组的所述web请求数据抽取预设特征并根据所述预设特征对所述web请求数据进行聚类，得到当前组的多个web请求数据的聚类；对当前组的每个聚类进行打分得到各聚类的分值；当判定当前所述聚类的分值大于预设阈值时，对该聚类进行告警并展示。通过本发明，能够充分利用客户自己企业的web数据，达到自适应的效果，相较于文本检测监督学习不需要事先准备标签数据，以及能检测出未知安全问题。

公开(公告)号：CN113704761A

公开(公告)日：2021-11-26

申请号：CN202111016033.1

申请日：2021-08-31

Applicant: 上海观安信息技术股份有限公司

Inventor： 余贤喆 ,  梁淑云 ,  殷钱安 ,  王启凡 ,  陶景龙 ,  徐明 ,  刘胜 ,  马影 ,  周晓勇 ,  魏国富 ,  夏玉明

IPC: G06F21/56

Abstract: 本发明公开了一种恶意文件的检测方法、装置、计算机设备及存储介质，涉及信息技术领域，主要在于能够减轻恶意文件检测的计算压力。其中方法包括：获取待检测文件对应的调用接口序列；确定所述调用接口序列对应的特征序列，并根据所述特征序列，确定所述待检测文件对应的最小哈希签名；根据所述待检测文件对应的最小哈希签名，将所述待检测文件分配到不同哈希区间下相应的哈希桶中，其中，任意一个哈希区间下存在多个哈希桶；确定在所述不同哈希区间下与所述待检测文件分配到同一个哈希桶中的第一目标样本文件；根据所述第一目标样本文件对应的类别信息，判定所述待检测文件是否为恶意文件。本发明适用于恶意文件的检测。

公开(公告)号：CN110933080B

公开(公告)日：2021-10-26

申请号：CN201911200324.9

申请日：2019-11-29

Applicant: 上海观安信息技术股份有限公司

Inventor： 殷钱安 ,  梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  余贤喆 ,  周晓勇

IPC: H04L29/06

Abstract: 本发明一种用户登录异常的IP群体识别方法及装置，方法包括：获取登录日志，对各个预设周期内的登录日志进行统计，获取各个IP的登录频次序列；将登录频次序列作为样本集合训练孤立森林算法，得到各个IP地址的分值；针对每一个分值，获取分值的众数，获取与众数对应的登录日志集合；从登录频次序列将对应于众数的登录日志的频次序列筛选出来，并对筛选出的频次序列进行二值化处理，得到各个IP在各个周期的标记；根据各个IP在各个周期的标记，利用kappa算法获取登录日志集合的数据之间的kappa系数，并kappa系数大于预设阈值的登录日志集合作为登录异常群体。应用本发明实施例，可以识别出IP之间相互独立的黑产行为。