公开(公告)号：CN113676379B

公开(公告)日：2022-08-09

申请号：CN202111021400.7

申请日：2021-09-01

Applicant: 上海观安信息技术股份有限公司

Inventor： 辜乘风 ,  徐明 ,  夏玉明 ,  魏国富

IPC: H04L43/16 ,  H04L41/0631 ,  H04L41/0681 ,  H04L12/46 ,  H04L61/4511 ,  G06N7/00

Abstract: 本发明公开一种DNS隧道检测方法、装置、系统及计算机存储介质。其中，该方法包括：逐条获取目标DNS流式数据；其中，每条所述目标DNS流式数据包括整个域名；所述整个域名包括二级域名和二级域名对应的子域名；将所述目标DNS流式数据根据二级域名进行分组，得到多组待处理的DNS流式数据；对每组所述待处理的DNS流式数据抽取预设数量个特征并对每个所述特征根据打分函数进行打分，得到预设数量个打分值；以及根据所述预设数量个打分值计算对应组的总分；当判定所述对应组的总分大于预设阈值时，对该组进行告警并展示。通过本发明，能够解决现有技术中检测方式准确率低、告警多的问题。该方法告警准确率和查全率高，以及告警聚合度高。

公开(公告)号：CN114338593A

公开(公告)日：2022-04-12

申请号：CN202111594056.0

申请日：2021-12-23

Applicant: 上海观安信息技术股份有限公司

Inventor： 徐明 ,  辜乘风 ,  魏国富 ,  夏玉明 ,  殷钱安 ,  周晓勇 ,  陶景龙 ,  余贤喆 ,  梁淑云 ,  刘胜 ,  王启凡 ,  马影

IPC: H04L61/103 ,  H04L9/40

Abstract: 本申请公开了一种利用地址解析协议进行网络扫描的行为检测方法及装置、存储介质和计算机设备。方法包括：获取通信信息，其中，通信信息包括源地址、目的地址、请求时间以及请求结果；根据目的地址以及请求时间，确定源地址对应的请求规律；根据请求规律确定请求规律得分，根据源地址对应的请求结果确定请求结果得分，根据源地址对应的目的地址确定请求广度得分；根据请求规律得分、请求结果得分以及请求广度得分，在多个通信信息对应的源地址中，确定与网络扫描对应的目标源地址，并确定目标源地址对应的目标请求为网络扫描行为。本申请的方法，提高了ARP网络扫描行为检测的准确率。

公开(公告)号：CN113452581B

公开(公告)日：2021-12-14

申请号：CN202110999767.X

申请日：2021-08-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 辜乘风 ,  徐明 ,  魏国富 ,  殷钱安 ,  周晓勇 ,  陶景龙 ,  余贤喆 ,  梁淑云 ,  刘胜 ,  王启凡 ,  马影

IPC: H04L12/26 ,  G06N20/00 ,  G06K9/62 ,  G06F16/2455 ,  G06F16/22

Abstract: 本申请公开了一种流式数据的特征提取方法及装置、存储介质、计算机设备，该方法包括：接收流式数据，并获取所述流式数据对应的网络安全特征提取需求，其中，所述网络安全特征提取需求包括至少一个待提取的目标维度以及至少一个待提取的目标特征；依据所述目标维度以及所述目标特征，生成特征数据提取器；利用所述特征数据提取器，提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据。本申请通过构建特征数据提取器，并通过特征数据提取器提取流式数据的网络安全特征数据，能够对流式数据进行即时性特征提取，在充分发挥流式数据的低延迟性特点的同时，减少资源的占用量。

公开(公告)号：CN113676379A

公开(公告)日：2021-11-19

申请号：CN202111021400.7

申请日：2021-09-01

Applicant: 上海观安信息技术股份有限公司

Inventor： 辜乘风 ,  徐明 ,  夏玉明 ,  魏国富

IPC: H04L12/26 ,  H04L12/24 ,  H04L12/46 ,  H04L29/12 ,  G06N7/00

Abstract: 本发明公开一种DNS隧道检测方法、装置、系统及计算机存储介质。其中，该方法包括：逐条获取目标DNS流式数据；其中，每条所述目标DNS流式数据包括整个域名；所述整个域名包括二级域名和二级域名对应的子域名；将所述目标DNS流式数据根据二级域名进行分组，得到多组待处理的DNS流式数据；对每组所述待处理的DNS流式数据抽取预设数量个特征并对每个所述特征根据打分函数进行打分，得到预设数量个打分值；以及根据所述预设数量个打分值计算对应组的总分；当判定所述对应组的总分大于预设阈值时，对该组进行告警并展示。通过本发明，能够解决现有技术中检测方式准确率低、告警多的问题。该方法告警准确率和查全率高，以及告警聚合度高。

公开(公告)号：CN113452581A

公开(公告)日：2021-09-28

申请号：CN202110999767.X

申请日：2021-08-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 辜乘风 ,  徐明 ,  魏国富 ,  殷钱安 ,  周晓勇 ,  陶景龙 ,  余贤喆 ,  梁淑云 ,  刘胜 ,  王启凡 ,  马影

IPC: H04L12/26 ,  G06N20/00 ,  G06K9/62 ,  G06F16/2455 ,  G06F16/22

Abstract: 本申请公开了一种流式数据的特征提取方法及装置、存储介质、计算机设备，该方法包括：接收流式数据，并获取所述流式数据对应的网络安全特征提取需求，其中，所述网络安全特征提取需求包括至少一个待提取的目标维度以及至少一个待提取的目标特征；依据所述目标维度以及所述目标特征，生成特征数据提取器；利用所述特征数据提取器，提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据。本申请通过构建特征数据提取器，并通过特征数据提取器提取流式数据的网络安全特征数据，能够对流式数据进行即时性特征提取，在充分发挥流式数据的低延迟性特点的同时，减少资源的占用量。

公开(公告)号：CN111698260A

公开(公告)日：2020-09-22

申请号：CN202010582205.0

申请日：2020-06-23

Applicant: 上海观安信息技术股份有限公司

Inventor： 徐明 ,  辜乘风 ,  陈曦 ,  陈一根 ,  魏国富

IPC: H04L29/06 ,  H04L29/12 ,  G06N20/00 ,  G06K9/62

Abstract: 本发明公开了一种基于报文分析的DNS劫持检测方法及系统，具体步骤如下：步骤1，网络报文数据解析；步骤2，数据预处理；步骤3，特征提取；步骤4，机器学习模型识别DNS劫持攻击；步骤5，DNS劫持攻击分类；步骤6，模型优化。本发明通过深入研究各种类型DNS劫持攻击的实现原理，针对性地构造出了具有非常强的区分度特征，结合机器学习的方法，通过不断地优化分析，实现了以报文数据为媒介，训练模型使之具备精确的检测能力，有效弥补了传统的规则检测或恶意情报库匹配方法中无法识别新型攻击和易被绕过的问题，同时通过进一步的模型分析，能够将DNS攻击进行细化分类，准确定位DNS劫持行为是产生在DNS请求过程中的哪一个环节。

公开(公告)号：CN110428291A

公开(公告)日：2019-11-08

申请号：CN201910726773.0

申请日：2019-08-07

Applicant: 上海观安信息技术股份有限公司

Inventor： 陈曦 ,  魏国富 ,  辜乘风 ,  钟丹阳

IPC: G06Q30/02 ,  G06F16/245 ,  G06N3/00

Abstract: 本发明公开了一种利用有向无环图识别黑产团伙的方法，要解决的是现有黑产团伙识别中存在的问题。本发明具体步骤如下：步骤一，利用图数据库寻找邀请群体；步骤二，抽取邀请群体的行为特征值；步骤三，对邀请群体的行为特征值利用机器学习分类方法进行识别即可。本发明设计合理，用基尼系数描述群体中子节点集的分布均匀状态，通过群体的生长方式的动态属性描述图，并最终识别黑客行为；本发明采用了群体视角，可以发现更多的问题，相对于现有的单个用户的模型，可以发现更多具有黑客行为的异常账号，使用效果好。

公开(公告)号：CN109413048A

公开(公告)日：2019-03-01

申请号：CN201811158439.1

申请日：2018-09-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 王文君 ,  宋秋霞 ,  周恒 ,  李明蕊 ,  许超凡 ,  郑力达 ,  陈曦 ,  辜乘风

IPC: H04L29/06

Abstract: 本申请实施例中提供了一种基于文件型蜜罐检测勒索软件方法、电子设备及程序产品，能够在一定程度上保护了终端或者网络中真实的文件，提高了终端或者网络的安全性。本发明实施例提供的基于文件型蜜罐检测勒索软件方法，包括：监测映射文件夹对应的日志文件；所述映射文件夹为根据当前使用环境中的原始文件生成的虚拟文件夹；当所述日志文件中指定指令发生的顺序和指令执行时间满足预设条件，确定当前使用环境中具有攻击源的机器行为。