公开(公告)号：CN114124522A

公开(公告)日：2022-03-01

申请号：CN202111388463.6

申请日：2021-11-22

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波 ,  周晓阳 ,  万可

IPC: H04L9/40 ,  G06N3/08

Abstract: 本公开涉及一种用于多级系统的模型训练方法、装置、设备及存储介质，其中，方法包括：第一级系统向每个第二级系统发送待训练的网络攻击检测模型，每个第二级系统根据本地的网络攻击数据训练网络攻击检测模型，并将训练后的模型参数发送至第一级系统；第一级系统将接收的多个模型参数进行聚合，生成目标模型参数，并根据目标模型参数更新网络攻击检测模型，以及向每个第二级系统发送更新后的网络攻击检测模型；重复以上步骤直至满足预设的停止条件，第一级系统根据当前的目标模型参数生成网络攻击检测模型。根据本公开的技术方案，应用于多级隐私环境下，在保护数据隐私的同时保证了网络攻击检测模型的准确度。

公开(公告)号：CN110839040B

公开(公告)日：2021-12-14

申请号：CN201911153175.5

申请日：2019-11-20

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波

IPC: H04L29/06 ,  H04L12/24

Abstract: 本申请实施例提供了一种流量的监控方法、模型的训练方法、装置及存储介质。方法包括：获取网络在多个历史时刻时的历史流量；将所述历史流量转换成所述历史流量所在的流量区间对应的一个数值；通过预设的流量预估模型处理所述数值，预估出所述网络在预估时刻时的预估流量；在所述预估时刻时，获取所述网络的实际流量；根据所述实际流量与所述预估流量，确定所述网络的流量是否异常。通过将流量转换成该流量所在的流量区间对应的一个数值，可实现数据的泛化。流量预估模型通过处理被泛化的数据，可以准确的预测出结果，以实现通过预估准确的确定出流量是否异常。

公开(公告)号：CN113408281B

公开(公告)日：2024-02-09

申请号：CN202110796816.X

申请日：2021-07-14

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波

IPC: G06F40/289 ,  G06F40/216 ,  G06F40/30 ,  G06F18/214 ,  G06F18/2431 ,  G06N3/0464 ,  G06N3/08 ,  H04L51/42

Abstract: 本申请提供一种邮箱账号异常检测方法、装置、电子设备及存储介质，该方法包括：获取第一邮箱账号在预设时间段内的多个邮件数据；对每一所述邮件数据进行特征提取，获得每一所述邮件数据对应的邮件特征；将所述账号通信特征、所述通联关系特征和所述邮件内容特征输入预先构建的检测模型中，获得所述检测模型输出的所述第一邮箱账号是否异常的检测结果。本申请实施例通过同时使用账号通信特征、通联关系特征和邮件内容特征作为特征向量，利用机器学习算法对多个邮件数据进行分析，从而从多个维度确定第一邮箱账号是否存在异常情况，提高了检测的准确性。

公开(公告)号：CN114095270B

公开(公告)日：2024-01-23

申请号：CN202111436562.7

申请日：2021-11-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波

IPC: H04L9/40 ,  G06N3/0442 ,  G06N3/08

Abstract: 本申请实施例提供一种网络攻击预测方法及装置，涉及网络安全技术领域，该网络攻击预测方法包括：先获取待检测的网络攻击行为数据；然后对网络攻击行为数据进行预处理，得到预处理数据；再根据预处理数据构建攻击事件序列；进一步地，通过预先构建的网络攻击预测模型对攻击事件序列进行预测处理，得到预测结果；最后根据预测结果确定被攻击目标地址以及被攻击目标地址对应的被攻击概率，能够对网络攻击行为进行预测，预测准确性高，进而又有利于及时维护网络安全。

公开(公告)号：CN114928492B

公开(公告)日：2023-11-24

申请号：CN202210556235.3

申请日：2022-05-20

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波

IPC: H04L9/40

Abstract: 本公开涉及信息安全技术领域，提供了一种高级持续威胁攻击识别方法、装置和设备。所述方法包括：基于至少两个目标网络行为数据，获取至少两个目标网络行为分别对应的属性信息；根据第一预设时长内至少两个目标网络行为分别对应的属性信息，构建目标三维张量；根据目标三维张量以及目标三维张量中的元素值，在目标三维张量中确定目标稠密块；基于目标稠密块，在至少两个目标网络行为中确定目标攻击行为；基于历史高级持续威胁攻击行为，在目标攻击行为中识别高级持续威胁攻击行为。采用该方式能够提高对高级持续威胁攻击的识别效率。

公开(公告)号：CN116015848A

公开(公告)日：2023-04-25

申请号：CN202211669115.0

申请日：2022-12-23

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 陈天草 ,  鲍青波 ,  刘俊潮 ,  李小华

IPC: H04L9/40

Abstract: 本申请提供一种IOC对象的自动化运营方法及装置，该方法包括：获取待分析IOC对象；对待分析IOC对象进行监测，得到监测数据记录；识别监测数据记录中的监测告警数据；基于监测告警数据，生成攻击关系图；对攻击关系图进行运营评分，得到评分分值；当评分分值大于预设阈值时，将待分析IOC对象确定为运营对象，并对运营对象进行运营。可见，该方法及装置能够通过对IOC对象进行自动运营分析，从而避免人工分析方式中存在的问题，进而能够提高IOC对象的自动运营分析效率和效果。

公开(公告)号：CN115225532B

公开(公告)日：2023-04-07

申请号：CN202210864728.3

申请日：2022-07-21

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波

IPC: H04L43/08 ,  H04L43/16 ,  H04L43/50 ,  H04L9/40

Abstract: 本公开涉及一种网络安全态势预测方法、装置、设备及存储介质，其中，方法包括：对监测目标的风险指标数据进行预处理，生成所述监测目标的风险指标向量；根据所述监测目标的基础数据，生成所述监测目标的知识图谱，并基于所述知识图谱和所述监测目标的外部突发事件报告数据进行预处理，生成所述监测目标的事件嵌入向量；将所述风险指标向量和所述事件嵌入向量输入预训练的时间卷积网络，生成所述监测目标的风险预测结果。根据本公开的技术方案，能够提高网络安全态势感知和风险预测的及时性和有效性。

公开(公告)号：CN115314310A

公开(公告)日：2022-11-08

申请号：CN202210964118.0

申请日：2022-08-11

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘柱 ,  鲍青波 ,  张楠

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本申请实施例提供一种基于稠密子图的域名检测方法及系统，涉及网络通信技术领域。该基于稠密子图的域名检测方法包括：获取待检测的日志数据；根据所述日志数据构建域名‑主机关联二部图；对所述域名‑主机关联二部图进行挖掘，生成与所述域名‑主机关联二部图对应的稠密子图，所述稠密子图包括恶意域名数据；对所述稠密子图进行处理，生成恶意域名的风险分数数据。该基于稠密子图的域名检测方法可以实现提高恶意域名检测的准确性、可解释性和检测效率的技术效果。

公开(公告)号：CN114330331B

公开(公告)日：2022-09-16

申请号：CN202111616516.5

申请日：2021-12-27

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 李雪莹 ,  鲍青波 ,  万卉 ,  张楠 ,  王煜

IPC: G06F40/284 ,  G06F16/955 ,  H04L9/40

Abstract: 本申请提供一种链接中分词重要度确定方法和装置，该方法包括对目标链接文本进行分词处理，获得分词序列；根据多个分词生成每个分词对应的邻域信息，其中，每个分词对应的邻域信息通过所述分词和所述分词的排序前N个分词和排序后N个分词构成；根据每个分词对应的邻域信息生成每个分词对应的多个剩余邻域信息；根据每一剩余邻域信息结合对应邻域信息以外的其他分词生成每个分词对应的多个更新链接文本，其中，该多个更新链接文本包括具有分词的更新链接文本和不具有分词的更新链接文本；对每个分词对应的多个更新链接文本进行恶意链接检测，并根据检测结果确定目标链接文本中分词重要度，从而确定目标链接文本中每个分词的重要性。

公开(公告)号：CN114422267A

公开(公告)日：2022-04-29

申请号：CN202210202225.X

申请日：2022-03-03

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 鲍青波 ,  万可 ,  黄娜

IPC: H04L9/40 ,  G06K9/62

Abstract: 本公开实施例涉及一种流量检测方法、装置、设备及介质，其中该方法包括：获取待检测端的访问时序图谱；其中，访问时序图谱包括至少一个具有异常流量标识的目标图谱节点；对访问时序图谱进行图表示学习，得到访问时序图谱中每个图谱节点对应的时序向量；根据预设的聚类算法对时序向量进行聚类处理，得到多个聚类类别；从多个聚类类别中获取目标图谱节点所属的目标聚类类别，并基于目标聚类类别确定待检测端的异常流量。本公开实施例中，提高了对未知规律异常流量的检出率，保障了网络安全，并且提高了长时间周期下异常流量标注的自动化程度，降低了进行异常流量标注所消耗的人力成本。