公开(公告)号：CN118378252A

公开(公告)日：2024-07-23

申请号：CN202410798042.8

申请日：2024-06-20

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 王智民 ,  周永权 ,  胡亚琼 ,  苗雷 ,  武中力 ,  田海波

IPC: G06F21/56 ,  G06F21/55 ,  G06F18/21 ,  G06F18/22

Abstract: 本申请公开了一种组态软件防控方法、装置、设备以及存储介质，本申请涉及工业信息技术领域，所述组态软件防控方法包括：获取被控设备信号，并根据被控设备数据匹配对应的组态软件；对组态软件进行哈希运算，得到组态软件的哈希函数值，并获取组态软件的初始哈希函数值；将哈希函数值和初始哈希函数值进行比较，得到比较结果，并根据比较结果生成组态软件防控提示信息。本申请能够解决如何对组态软件进行防控的技术问题。

公开(公告)号：CN112732655B

公开(公告)日：2024-02-06

申请号：CN202110042680.3

申请日：2021-01-13

Applicant: 北京六方云信息技术有限公司

Inventor： 王高杰 ,  王智民

IPC: G06F16/16 ,  G06F16/18 ,  G06F16/13 ,  G06F16/14

Abstract: 本发明提供一种针对无格式日志的在线解析方法及系统，属于计算机技术领域。所述方法包括：日志预处理，将接收到的日志处理为分组模板；模板聚合，将所述日志分组模板进行聚合分类，根据聚合分类结果更新日志对应的预设特征模板。所述在线解析系统应用所述的针对无格式日志的在线解析方法，该系统包括：日志预处理单元，用于将接收到的日志处理为分组模板；模板聚合单元，用于将所述日志分组模板进行聚合分类，根据聚合分类结果更新日志对应的预设特征模板。该方法无需对日志格式提前了解就可以根据日志时间实时对日志模板进行解析，同时对非固定长度的日志模板进行准确解析，提高解析的准确度。

公开(公告)号：CN115333866A

公开(公告)日：2022-11-11

申请号：CN202211256918.3

申请日：2022-10-14

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 王智民 ,  樵成浩 ,  廖延安 ,  武中力

IPC: H04L9/40

Abstract: 本发明公开了一种安全防护方法、装置、终端设备以及存储介质，所述安全防护方法涉及网络设备保护领域，所述安全防护方法通过对与保护目标通信的扫描来源进行识别，若识别所述扫描来源为扫描类工具，则将所述扫描类工具与保护目标建立通信连接，判断所述扫描类工具是否属于预设白名单中，若所述扫描类工具不在所述预设白名单中，则阻断所述不在所述预设白名单中的扫描类工具与保护目标之间的后续通信会话。本发明解决了缩小攻击暴露面的同时影响保护目标的正常工作的问题，实现了在不影响正常的网络通信服务和正常的网络渗透扫描的情况下保护目标和监控攻击者的效果。

公开(公告)号：CN114900492B

公开(公告)日：2022-10-18

申请号：CN202210829189.X

申请日：2022-07-15

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 于金龙 ,  卯路宁 ,  王智民 ,  王高杰

IPC: H04L51/42 ,  H04L67/02 ,  H04L9/40 ,  H04L43/04 ,  H04L43/0876 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种异常邮件检测方法、装置、系统与计算机可读存储介质，该方法包括：获取网络流量数据，并根据网络流量数据确定邮件协议数据和超文本传输协议数据；根据邮件协议数据获取对应的邮件内容数据；根据邮件内容数据和超文本传输协议数据获取对应的网页内容数据；根据网页内容数据确定脚本代码数据；将脚本代码数据输入预先创建的检测模型中，通过检测模型确定脚本代码数据对应的邮件是否为异常邮件；本发明根据邮件协议数据和超文本传输协议数据确定脚本代码数据，并通过检测模型对脚本代码数据进行检测，以确定脚本代码数据对应的邮件是否为异常邮件，提高了检测异常邮件的准确率。

公开(公告)号：CN114900492A

公开(公告)日：2022-08-12

申请号：CN202210829189.X

申请日：2022-07-15

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 于金龙 ,  卯路宁 ,  王智民 ,  王高杰

IPC: H04L51/42 ,  H04L67/02 ,  H04L9/40 ,  H04L43/04 ,  H04L43/0876 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种异常邮件检测方法、装置、系统与计算机可读存储介质，该方法包括：获取网络流量数据，并根据网络流量数据确定邮件协议数据和超文本传输协议数据；根据邮件协议数据获取对应的邮件内容数据；根据邮件内容数据和超文本传输协议数据获取对应的网页内容数据；根据网页内容数据确定脚本代码数据；将脚本代码数据输入预先创建的检测模型中，通过检测模型确定脚本代码数据对应的邮件是否为异常邮件；本发明根据邮件协议数据和超文本传输协议数据确定脚本代码数据，并通过检测模型对脚本代码数据进行检测，以确定脚本代码数据对应的邮件是否为异常邮件，提高了检测异常邮件的准确率。

公开(公告)号：CN113114524B

公开(公告)日：2022-07-05

申请号：CN202110241537.7

申请日：2021-03-04

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 卯路宁 ,  于金龙 ,  王智民 ,  王高杰

IPC: H04L43/02 ,  H04L43/062 ,  H04L61/00

Abstract: 本发明涉及数据通信技术领域，实施例提供一种基于Spark流式的DNS隧道检测方法、装置及电子设备。其中方法包括：采用SparkStreaming将数据流量按时间切片为分布式数据格式；从时间切片后的数据流量中提取DNS协议数据；从所述DNS协议数据中提取数据特征；将提取出的数据特征输入训练好的预测模型中，得到预测结果；统计所述预测结果大于预设的预测结果阈值的DNS协议数据的二级域名的出现次数；确定所述二级域名的出现次数大于设定的二级域名次数阈值，则所述DNS协议数据为DNS隧道。本发明提供的实施方式仅需要DNS报文的类型和域名以及UDP_length等数据特征信息，处理速度快，占用处理资源少。

公开(公告)号：CN114301629A

公开(公告)日：2022-04-08

申请号：CN202111437475.3

申请日：2021-11-26

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 丰竹勃 ,  安韬 ,  王智民 ,  王高杰

IPC: H04L9/40 ,  G06K9/62 ,  G06N3/08

Abstract: 本发明公开了一种IP检测方法、装置、终端设备以及存储介质，通过获取IP数据；对所述IP数据进行特征提取，得到所述IP数据的原始特征向量；将所述原始特征向量输入预设模型，通过所述预设模型对所述原始特征向量进行编码与解码，得到重构特征向量；基于所述重构特征向量与所述原始特征向量得到所述IP数据的罕见程度值。本发明解决了检测IP数据时依赖标签数据的问题。

公开(公告)号：CN113194068A

公开(公告)日：2021-07-30

申请号：CN202110340432.7

申请日：2021-03-30

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 刘叶 ,  兰亭洋 ,  王智民 ,  王高杰

IPC: H04L29/06 ,  G06N3/08 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明实施例涉及网络安全技术领域，公开了一种基于卷积神经网络的恶意加密流量检测方法及装置。其中一种基于卷积神经网络的恶意加密流量检测方法，所述检测方法包括：确定检测特征；以五元组为单位提取检测特征，将所述检测特征规范化为二维数据矩阵；将所述二维数据矩阵输入训练好的卷积神经网络；所述卷积神经网络包括特征权重确定模块、特征选择模块、特征判别模块和激活函数模块；根据所述激活函数模块的输出确定所述五元组对应的数据是否为恶意加密流量。本发明提供的实施方式能够提升恶意加密流量的识别效率。

公开(公告)号：CN109525582B

公开(公告)日：2021-07-30

申请号：CN201811376448.8

申请日：2018-11-19

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 刘建兴 ,  王智民

IPC: H04L29/06 ,  H04L12/46 ,  H04L12/721 ,  G06F9/455

Abstract: 本发明涉及计算机技术领域，公开了一种报文处理方法、系统及存储介质，解决了现有技术存在的无法实现同一端口组内的虚拟机之间通信的隔离防护问题。所述方法应用于报文处理系统，包括：获取报文，提取报文中的目的mac地址以及源mac地址；判断目的mac地址是否存在于隔离虚拟机信息表中；当存在时，获取目的mac地址对应的隔离vlan标识，并将报文携带的vlan标识修改为隔离vlan标识，通过报文处理系统的对内接口发送报文；当不存在时，判断源mac地址是否存在于隔离虚拟机信息表中；当存在时，获取源mac地址对应的原始vlan标识，将报文携带的vlan标识修改为原始vlan标识，通过报文处理系统的对外接口发送报文。本发明实施例适用于被隔离虚拟机之间的报文处理。

公开(公告)号：CN113094703A

公开(公告)日：2021-07-09

申请号：CN202110267964.2

申请日：2021-03-11

Applicant: 北京六方云信息技术有限公司 ,  北京六方云科技有限公司

Inventor： 丰竹勃 ,  安韬 ,  王智民 ,  王高杰

IPC: G06F21/55 ,  G06F16/906 ,  G06F16/951 ,  G06F16/9535 ,  G06F16/955 ,  G06F40/126 ,  G06F40/284

Abstract: 本发明提供一种针对web入侵检测的输出内容过滤方法及系统，属于网络信息安全领域。所述方法包括：对待告警数据进行分词，得到待告警数据对应的数据词条；使用训练好的TF‑IDF模型提取所述数据词条的TF‑IDF特征矩阵；计算数据词条的TF‑IDF特征矩阵与训练集的TF‑IDF特征矩阵的相似度；若相似度大于或等于相似度阈值，则降低告警分数，否则保持告警分数不变。使用训练好的TF‑IDF模型计算待告警数据的TF‑IDF特征矩阵与历史数据的TF‑IDT特征矩阵比较相似度，相似度越大是入侵行为的概率越小，需要被过滤，可以快速进行过滤，不影响整体程序的进程。