公开(公告)号：CN110889283B

公开(公告)日：2023-07-11

申请号：CN201911200342.7

申请日：2019-11-29

Applicant: 上海观安信息技术股份有限公司

Inventor： 马影 ,  梁淑云 ,  刘胜 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆 ,  周晓勇

IPC: G06F40/284 ,  G06F21/62

Abstract: 本发明提供一种系统审批理由随意性检测方法及系统，包括以下步骤：S100.获取审批操作日志历史数据并解析，至少获得审批原因文本数据；S200.规则检测，根据预先规定的规则判断，检测出异常审批原因数据，遍历所有数据获得异常数据集合A；S300.文本分析，对审批原因文本数据进行分词、相似度得分计算、计算每条审批操作日志历史数据的平均分，遍历所有历史数据，获得异常审批原因数据集合B；S400.A∪B得到审批操作日志历。本发明从审核理由文本数据本身入手，结合规则判断和文本分词之间相似度得分计算，检测审核理由的随意性和合理性。本实施例采用两种检测方法，全面的将所有可能出现的异常情况考虑进来，检测精度高。

公开(公告)号：CN116070206B

公开(公告)日：2023-06-30

申请号：CN202310313397.9

申请日：2023-03-28

Applicant: 上海观安信息技术股份有限公司

Inventor： 许云风 ,  马振 ,  邹武 ,  梁淑云 ,  殷钱安 ,  魏国富 ,  宋小龙 ,  王雨民 ,  胡绍勇 ,  张照龙

IPC: G06F21/55 ,  G06N3/08

Abstract: 本申请提供了一种异常行为检测方法、系统、电子设备及存储介质，涉及大数据安全用户实体行为分析技术领域。该方法基于操作日志数据，创建行为会话，提取行为会话特征数据；基于行为会话特征数据训练得到行为序列算法模型；使用包含行为序列算法模型和统计算法模型的联合算法模型对待检测数据进行联合异常检测，生成异常检测结果；展示异常检测结果。本申请实施例通过行为会话的引入，加速了行为会话特征数据的提取，提升了行为序列算法模型训练和检测的速度；并且通过联合算法模型，不仅可以追踪异常行为轨迹，还可以从统计特征上面抓取异常行为，两者共同印证，大大提升了检测结果的准确率，且具有良好的解释性。

公开(公告)号：CN113344133B

公开(公告)日：2023-04-18

申请号：CN202110740773.3

申请日：2021-06-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 殷钱安 ,  梁淑云 ,  余贤喆 ,  王启凡 ,  陶景龙 ,  刘胜 ,  马影 ,  周晓勇 ,  魏国富 ,  夏玉明

IPC: G06F18/21 ,  G06F17/18

Abstract: 一种时序行为异常波动检测方法及系统，属于数据处理技术领域，解决在面对各种各样的工业级场景时，如何实现基于业务数据的时间序列行为的异常检测的问题；通过获取时间序列数组、计算变异系数、变异系数差值计算及处理、计算正常行为数值波动区间以及异常对象判断；将不同数量级别对象，统一到同一水平进行考虑，确定时序行为中某些异常程度极高的对象，有效降低安全检测场景误报；随着时间变化按既定周期提取的数据集也会随着时间进行改变，因此行为数据检测结果与近期时间周期内行为相关，不依赖于较早历史数据，剔除了历史规律的影响；将所有对象统一到同一维度进行比较，可以识别出大多数高频检测方法无法识别的低频异常操作对象。

公开(公告)号：CN112738088B

公开(公告)日：2023-03-21

申请号：CN202011589236.5

申请日：2020-12-28

Applicant: 上海观安信息技术股份有限公司

Inventor： 梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  徐明 ,  殷钱安 ,  余贤喆 ,  周晓勇

IPC: H04L9/40 ,  G06F18/2415 ,  G06F18/2431 ,  G06N3/088

Abstract: 本发明提供一种基于无监督算法的行为序列异常检测方法，该方法基于企业web系统操作数据，通过用户操作的先后顺序，计算两次操作的时间间隔，根据两次操作的时间间隔是否大于预设阈值，对用户行为序列进行分割，进而训练概率后缀树模型，根据概率后缀树模型输出用户行为序列对应的概率值，将用户对应的概率值作为特征即孤立森林模型的输入，根据模型输出结果判断用户行为是否异常。

公开(公告)号：CN114299365B

公开(公告)日：2022-07-05

申请号：CN202210206913.3

申请日：2022-03-04

Applicant: 上海观安信息技术股份有限公司

Inventor： 周晓勇 ,  梁淑云 ,  刘胜 ,  马影 ,  陶景龙 ,  王启凡 ,  魏国富 ,  夏玉明 ,  徐明 ,  殷钱安 ,  余贤喆

IPC: G06V10/774 ,  G06V10/764 ,  G06V10/46 ,  G06K9/62

Abstract: 本发明公开了一种图像模型隐蔽后门的检测方法及系统、存储介质、终端，与现有技术相比，本发明通过将每个训练样本图像分别转换为频谱图像，对频谱图像进行目标检测得到目标图像，将目标图像从与其对应频谱图像上提取并作为待定频谱图像碎片，再分别统计每一相同的所述待定频谱图像碎片的个数，并根据每一相同的所述待定频谱图像碎片的个数确定嵌入所述频谱图像中的触发器图案；最后基于所述触发器图案，确定触发器图案所在的频谱图像，以完成对带有触发器图案的后门样本图像的检测，进而解决触发器图案隐蔽在训练样本图像上难以被检测的问题。

公开(公告)号：CN114244632B

公开(公告)日：2022-05-03

申请号：CN202210168266.1

申请日：2022-02-24

Applicant: 上海观安信息技术股份有限公司

Inventor： 徐明 ,  李晓冉 ,  辜乘风 ,  魏国富 ,  殷钱安 ,  周晓勇 ,  陶景龙 ,  余贤喆 ,  梁淑云 ,  刘胜 ,  王启凡 ,  马影

IPC: H04L9/40 ,  H04L41/12

Abstract: 本发明公开了一种检测ICMP网络扫描攻击行为的方法、装置、电子设备及介质，该方法首先获取实时数据、实时数据的源IP地址、历史ICMP通信结构图以及历史ICMP通信结构图的各节点的IP地址及对应的特征信息，然后基于实时数据，更新历史ICMP通信结构图，得到新的ICMP通信结构图；再基于实时数据的源IP地址及新的ICMP通信结构图，确定源IP地址对应的节点的特征信息；之后基于源IP地址、源IP地址对应的节点的特征信息、历史ICMP通信结构图的各节点的IP地址及对应的特征信息，得到新的ICMP通信结构图中每个节点对应的键值对，最后通过建模判断是否存在ICMP网络扫描攻击行为。由此该方能够及时检测出ICMP网络扫描攻击行为，提高了网络的安全性。

公开(公告)号：CN114266041A

公开(公告)日：2022-04-01

申请号：CN202111532841.3

申请日：2021-12-15

Applicant: 上海观安信息技术股份有限公司

Inventor： 刘胜 ,  魏国富 ,  夏玉明 ,  马影 ,  周晓勇 ,  殷钱安 ,  梁淑云 ,  余贤喆 ,  陶景龙 ,  王启凡 ,  徐明

IPC: G06F21/55 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明实施例公开了一种模型的后门防御能力提升方法、装置及系统。其中，该方法包括：获取目标神经网络模型与目标任务下的干净训练样本集；根据触发器逆向工程反演出所述目标神经网络模型中的目标触发器及目标触发器对应的目标标签；采用所述目标触发器随机对所述干净训练样本集中的干净训练样本进行污染，将被污染的干净训练样本的原标注标签均修改为所述目标标签，得到第一污染样本集；采用所述第一污染样本集对所述目标神经网络模型进行攻击测试，根据攻击测试结果对所述目标神经网络模型进行调优，得到最优神经网络模型。本发明提高了神经网络模型抵御后门攻击的能力，同时保证模型的识别准确度。

公开(公告)号：CN114254705A

公开(公告)日：2022-03-29

申请号：CN202111574028.2

申请日：2021-12-21

Applicant: 上海观安信息技术股份有限公司

Inventor： 陶景龙 ,  殷钱安 ,  王启凡 ,  魏国富 ,  余贤喆 ,  周晓勇 ,  梁淑云 ,  刘胜 ,  马影 ,  夏玉明

IPC: G06K9/62

Abstract: 本发明公开了一种异常数据的检测方法、装置、存储介质及计算机设备，涉及信息技术领域，主要在于能够提高异常数据的检测效率和检测精度。其中方法包括：获取待检测数据集对应的属性特征；将所述属性特征输入至预设异常检测算法预测模型中进行算法预测，得到所述待检测数据集适用的目标异常检测算法；利用所述目标异常检测算法对所述待检测数据集中的异常数据进行检测，得到所述待检测数据集对应的异常数据检测结果。本发明适用于对异常数据进行检测。

公开(公告)号：CN114244632A

公开(公告)日：2022-03-25

申请号：CN202210168266.1

申请日：2022-02-24

Applicant: 上海观安信息技术股份有限公司

Inventor： 徐明 ,  李晓冉 ,  辜乘风 ,  魏国富 ,  殷钱安 ,  周晓勇 ,  陶景龙 ,  余贤喆 ,  梁淑云 ,  刘胜 ,  王启凡 ,  马影

IPC: H04L9/40 ,  H04L41/12

Abstract: 本发明公开了一种检测ICMP网络扫描攻击行为的方法、装置、电子设备及介质，该方法首先获取实时数据、实时数据的源IP地址、历史ICMP通信结构图以及历史ICMP通信结构图的各节点的IP地址及对应的特征信息，然后基于实时数据，更新历史ICMP通信结构图，得到新的ICMP通信结构图；再基于实时数据的源IP地址及新的ICMP通信结构图，确定源IP地址对应的节点的特征信息；之后基于源IP地址、源IP地址对应的节点的特征信息、历史ICMP通信结构图的各节点的IP地址及对应的特征信息，得到新的ICMP通信结构图中每个节点对应的键值对，最后通过建模判断是否存在ICMP网络扫描攻击行为。由此该方能够及时检测出ICMP网络扫描攻击行为，提高了网络的安全性。

公开(公告)号：CN114239702A

公开(公告)日：2022-03-25

申请号：CN202111441246.9

申请日：2021-11-30

Applicant: 上海观安信息技术股份有限公司

Inventor： 马影 ,  魏国富 ,  周晓勇 ,  夏玉明 ,  刘胜 ,  徐明 ,  王启凡 ,  梁淑云 ,  余贤喆 ,  陶景龙 ,  殷钱安

IPC: G06K9/62

Abstract: 本发明公开一种数据集偏移检测方法、装置、系统及计算机存储介质。其中，该方法包括：通过数据集仓库获取第一数据集和第二数据集；计算第一数据集和第二数据集中全部相同特征一一对应的JS散度值；将每个所述JS散度值分别与预设阈值作比较，根据比较结果判断每个所述JS散度值对应的特征是否存在分布偏移。本发明中，通过该方法，可以判断两个数据集的哪些特征存在分布偏移，当不存在分布偏移时，再直接使用两个数据集，解决了现有技术中不判断训练集和测试集的分布是否一致，而是直接使用训练集训练模型和测试集通过训练的模型进行预测，所造成的测试集预测时，准确率下降以及给人工智能模型效果带来安全隐患的问题，提高了预测的准确率。