公开(公告)号：CN110933115A

公开(公告)日：2020-03-27

申请号：CN201911401991.3

申请日：2019-12-31

Applicant: 上海观安信息技术股份有限公司

Inventor： 周晓勇 ,  梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆

IPC: H04L29/06

Abstract: 本发明提供了一种基于动态session的分析对象行为异常检测方法及装置，方法包括：采集分析对象在业务系统中的操作日志；基于所述操作日志，针对每一个分析对象，根据所述分析对象对应的操作时间间隔是否大于预设时长获取各个时间间隔对应的间隔标记，获取所述分析对象对应的间隔特征；对所述间隔特征进行归一化处理，并将归一化后的间隔特征组合成针对所述分析对象的特征向量；将各个分析对象的特征向量作为SOS算法的输入，得到各个分析对象对应的异常概率值。本发明可以减少漏报。

公开(公告)号：CN110781520A

公开(公告)日：2020-02-11

申请号：CN201911057182.5

申请日：2019-10-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 陶景龙 ,  梁淑云 ,  刘胜 ,  马影 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆 ,  周晓勇

IPC: G06F21/62 ,  G06F16/22 ,  G06F16/28

Abstract: 本发明提供一种敏感表群体发的方法和系统，包括以下步骤：S101，确定数据库中已标注敏感数据；S102，获取数据库操作日志，并解析操作日志中的sql语句，获取表与列名，建立血缘关系表；S103，构造数据库中各信息表之间链式创建关系图；S104，基于S103中已建立的链式创建关系图结合S101中已标注的敏感数据，查找与敏感数据存在直接或者间接血缘关系的敏感表群体。本发明提供的方法，在高准确率的前提下，突出展示了敏感表的群体关系，大大提高了企业、组织或个人对数据库的敏感数据存储管理效率。

公开(公告)号：CN110750786A

公开(公告)日：2020-02-04

申请号：CN201911045981.0

申请日：2019-10-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 周晓勇 ,  梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆

IPC: G06F21/55 ,  G06K9/62

Abstract: 本发明提供一种账号异常访问敏感数据行为的检测方法及系统，包括以下步骤：S01，获取数据库操作日志；S02，从数据库操作日志中解析SQL语句，生成账号访问数据表的记录；S03，生成各账号类型的访问行为基准向量；S04，生成各账号的访问行为向量；S05，使用相似度算法，输出特定账号和所有非归属账号类型的相似度集合；S06，通过所述相似度集合中的值大小确定异常访问风险水平。本发明的有点在于，将传统监管机制的粒度从数据库下沉到数据表，特别是对于含有敏感数据的表，为企业保护隐形资产和用户隐私提供有效手段；使用历史数据生成基准，避免人为确定阈值的主观性；量化访问风险，输出风险等级，而且余弦相似度的计算简单方便，结果具有可解释性。

公开(公告)号：CN114254705B

公开(公告)日：2025-03-21

申请号：CN202111574028.2

申请日：2021-12-21

Applicant: 上海观安信息技术股份有限公司

Inventor： 陶景龙 ,  殷钱安 ,  王启凡 ,  魏国富 ,  余贤喆 ,  周晓勇 ,  梁淑云 ,  刘胜 ,  马影 ,  夏玉明

IPC: G06F18/2433

Abstract: 本发明公开了一种异常数据的检测方法、装置、存储介质及计算机设备，涉及信息技术领域，主要在于能够提高异常数据的检测效率和检测精度。其中方法包括：获取待检测数据集对应的属性特征；将所述属性特征输入至预设异常检测算法预测模型中进行算法预测，得到所述待检测数据集适用的目标异常检测算法；利用所述目标异常检测算法对所述待检测数据集中的异常数据进行检测，得到所述待检测数据集对应的异常数据检测结果。本发明适用于对异常数据进行检测。

公开(公告)号：CN113704761B

公开(公告)日：2024-06-28

申请号：CN202111016033.1

申请日：2021-08-31

Applicant: 上海观安信息技术股份有限公司

Inventor： 余贤喆 ,  梁淑云 ,  殷钱安 ,  王启凡 ,  陶景龙 ,  徐明 ,  刘胜 ,  马影 ,  周晓勇 ,  魏国富 ,  夏玉明

IPC: G06F21/56

Abstract: 本发明公开了一种恶意文件的检测方法、装置、计算机设备及存储介质，涉及信息技术领域，主要在于能够减轻恶意文件检测的计算压力。其中方法包括：获取待检测文件对应的调用接口序列；确定所述调用接口序列对应的特征序列，并根据所述特征序列，确定所述待检测文件对应的最小哈希签名；根据所述待检测文件对应的最小哈希签名，将所述待检测文件分配到不同哈希区间下相应的哈希桶中，其中，任意一个哈希区间下存在多个哈希桶；确定在所述不同哈希区间下与所述待检测文件分配到同一个哈希桶中的第一目标样本文件；根据所述第一目标样本文件对应的类别信息，判定所述待检测文件是否为恶意文件。本发明适用于恶意文件的检测。

公开(公告)号：CN113904921B

公开(公告)日：2024-04-30

申请号：CN202111227745.8

申请日：2021-10-21

Applicant: 上海观安信息技术股份有限公司

Inventor： 余贤喆 ,  梁淑云 ,  殷钱安 ,  王启凡 ,  陶景龙 ,  徐明 ,  刘胜 ,  马影 ,  周晓勇 ,  魏国富 ,  夏玉明

IPC: H04L41/069 ,  H04L41/12 ,  H04L41/22 ,  H04L43/08 ,  G06F16/36

Abstract: 本发明公开一种基于日志和图的动态网络拓扑图生成方法，包括：S1，数据收集，通过流的方式收集各服务器流量、ssh、ftp、web系统日志；S2，数据解析，从步骤S1收集的各类日志中解析各服务器的特征信息；S3，图谱创建，利用步骤S2解析出的特征信息构建有向图；所述有向图的边的方向有连接发起者指向被访问服务器；S4，网络拓扑状态查询，利用步骤S3中创建的有向图，查询网络拓扑状态。本发明根据服务器之间的连接、流量等日志，解析服务器之间的关系，存在关系的服务器必然是存在数据交换的活跃状态，解析出连接关系后创建图，可以随时发现网络的变化，利用图的概念和相关算法，可用根据边进行任意时间段的网络活跃情况展示以及内网用户行为的分析。

公开(公告)号：CN111753547B

公开(公告)日：2024-02-27

申请号：CN202010610999.7

申请日：2020-06-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 马影 ,  梁淑云 ,  刘胜 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆 ,  周晓勇

IPC: G06F40/295 ,  G06F40/216 ,  G06Q10/107 ,  G06F16/35 ,  G06F16/31

Abstract: 本发明公开了一种用于敏感数据泄露检测的关键词提取方法及检测系统，包括对源文本数据进行清洗，去时间、日期，得到目标文档；针对目标文档，采用TF‑IDF算法进行关键词提取，得到TF‑IDF关键词候选；针对目标文档，进行非中文处理，得到邮箱、URL、IP、手机号、最长公共子串关键词；将得到的TF‑IDF关键词候选与邮箱、URL、IP、手机号、最长公共子串关键词进行剔重

公开(公告)号：CN113722199B

公开(公告)日：2024-01-30

申请号：CN202111045796.9

申请日：2021-09-07

Applicant: 上海观安信息技术股份有限公司

Inventor： 梁淑云 ,  殷钱安 ,  余贤喆 ,  王启凡 ,  陶景龙 ,  徐明 ,  刘胜 ,  马影 ,  周晓勇 ,  魏国富 ,  夏玉明

IPC: G06F18/2433 ,  G06Q30/0207

Abstract: 本发明公开了一种异常行为检测方法、装置、计算机设备及存储介质，涉及信息技术领域，主要在于能够避免造成用户行为数据统计上的偏差，从而能够提高用户异常行为的检测精度。其中方法包括：获取待检测用户的多个操作行为分别对应的操作时间；基于所述操作时间，确定按照时间顺序排序的多个操作时间间隔；计算所述多个操作时间间隔共同对应的周期分割阈值，并根据所述周期分割阈值，确定所述多个操作时间间隔中存在的周期间时间间隔；基于所述周期间时间间隔，将所述多个操作时间间隔划分成不同的时间窗口；根据所述待检测用户在所述不同时间窗口下的操作频次，判定所述待检测用户是否存在异常操作行为。本发明适用于异常行为的检测。

公开(公告)号：CN114338593B

公开(公告)日：2023-07-04

申请号：CN202111594056.0

申请日：2021-12-23

Applicant: 上海观安信息技术股份有限公司

Inventor： 徐明 ,  辜乘风 ,  魏国富 ,  夏玉明 ,  殷钱安 ,  周晓勇 ,  陶景龙 ,  余贤喆 ,  梁淑云 ,  刘胜 ,  王启凡 ,  马影

IPC: H04L61/103 ,  H04L9/40

Abstract: 本申请公开了一种利用地址解析协议进行网络扫描的行为检测方法及装置、存储介质和计算机设备。方法包括：获取通信信息，其中，通信信息包括源地址、目的地址、请求时间以及请求结果；根据目的地址以及请求时间，确定源地址对应的请求规律；根据请求规律确定请求规律得分，根据源地址对应的请求结果确定请求结果得分，根据源地址对应的目的地址确定请求广度得分；根据请求规律得分、请求结果得分以及请求广度得分，在多个通信信息对应的源地址中，确定与网络扫描对应的目标源地址，并确定目标源地址对应的目标请求为网络扫描行为。本申请的方法，提高了ARP网络扫描行为检测的准确率。

公开(公告)号：CN111752727B

公开(公告)日：2023-06-20

申请号：CN202010611005.3

申请日：2020-06-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 王启凡 ,  陶景龙 ,  梁淑云 ,  刘胜 ,  马影 ,  魏国富 ,  殷钱安 ,  余贤喆 ,  周晓勇

IPC: G06F9/54 ,  G06F16/242 ,  G06F16/25 ,  G06F16/28

Abstract: 本发明提供了一种基于日志分析的数据库三层关联的识别方法，通过对request日志和sql日志进行筛选和处理，通过时间窗口特征获得主体对象的相关率，并结合参数相关值确定三层关联关系。本发明提供的基于日志分析的数据库三层关联的识别方法的优点在于：仅通过对request和sql日志进行分析，就能精准识别出数据库的三层关联，不需要对系统进行改造，成本较低，在得到表K后能够对现有日志进行三层关联识别，对新的日志进行三层关联的预测，而且本发明提供的方法是根据历史数据不断更新的，能够不断学习，随着数据样本越来越多，识别的准确性也越来越高；通过参数的相关值和主体对象的相关率综合考虑关联性排序，识别结果准确。