公开(公告)号：CN114356743A

公开(公告)日：2022-04-15

申请号：CN202210234545.3

申请日：2022-03-11

Applicant: 军事科学院系统工程研究院网络信息研究所

Inventor： 杨林 ,  李东阳 ,  马琳茹 ,  王晓磊 ,  张洪广

IPC: G06F11/34 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提出一种基于序列重建的异常事件自动检测方法和系统。所述方法包括：步骤S1、利用预定义的事件模板，从多源日志中确定离散事件序列，所述离散事件序列由同一用户的多个事件日志按照时间顺序拼接而成；步骤S2、对所述离散事件序列进行拆分处理来获取若干原始子序列，并通过对所述若干原始子序列进行特征嵌入，进一步获取无监督检测模型的输入子序列，所述无监督检测模型包括LSTM编码器、变分组件和LSTM解码器，用于基于所述输入子序列生成所述离散事件序列的重建子序列；步骤S3、基于所述原始子序列和所述离散事件序列的重建子序列，利用评判准则来判断所述多个事件的异常属性。

公开(公告)号：CN114356642A

公开(公告)日：2022-04-15

申请号：CN202210234572.0

申请日：2022-03-11

Applicant: 军事科学院系统工程研究院网络信息研究所

Inventor： 杨林 ,  李东阳 ,  马琳茹 ,  王晓磊 ,  张洪广

IPC: G06F11/07 ,  G06K9/62

Abstract: 本发明提出一种基于流程挖掘的异常事件自动诊断方法和系统。所述方法包括：步骤S1、基于历史正常离散事件序列，利用流程发现技术来构建工作流模型库；步骤S2、获取异常事件序列，利用经训练的无监督聚类算法预测所述异常事件序列的所属类别，并基于所述所属类别从所述工作流模型库中选取与所述所属类别对应的工作流模型；步骤S3、基于所述异常事件序列和选取的所述工作流模型，利用一致性检查方法确定所述异常事件序列中的缺失事件、额外事件、以及所述缺失事件和所述额外事件在所述异常事件序列中的位置，作为对所述异常事件序列的诊断结果。

公开(公告)号：CN113919239B

公开(公告)日：2022-02-11

申请号：CN202111526630.9

申请日：2021-12-15

Applicant: 军事科学院系统工程研究院网络信息研究所

Inventor： 杨林 ,  李东阳 ,  马琳茹 ,  王晓磊 ,  张洪广

IPC: G06F30/27 ,  G06F17/16 ,  G06K9/62 ,  G06V10/762 ,  G06V10/774 ,  G06V10/764

Abstract: 本发明提出一种基于时空特征融合的内部威胁智能检测方法和系统。方法利用用户行为的时间特性和空间特性来确定所述用户行为的异常程度，具体包括：步骤S1、调用基础特征提取模块，提取所述用户行为的基础特征并对所述基础特征进行编码；步骤S2、调用时间特性分析模块，构建用户行为混合矩阵以训练时间表征模型；步骤S3、调用空间特性分析模块，获取属于同一角色的用户的经编码的基础特征以训练空间共用组模型；步骤S4、调用异常整合分析模块，计算所述用户行为的异常程度。

公开(公告)号：CN113919239A

公开(公告)日：2022-01-11

申请号：CN202111526630.9

申请日：2021-12-15

Applicant: 军事科学院系统工程研究院网络信息研究所

Inventor： 杨林 ,  李东阳 ,  马琳茹 ,  王晓磊 ,  张洪广

IPC: G06F30/27 ,  G06F17/16 ,  G06K9/62 ,  G06V10/762 ,  G06V10/774 ,  G06V10/764

Abstract: 本发明提出一种基于时空特征融合的内部威胁智能检测方法和系统。方法利用用户行为的时间特性和空间特性来确定所述用户行为的异常程度，具体包括：步骤S1、调用基础特征提取模块，提取所述用户行为的基础特征并对所述基础特征进行编码；步骤S2、调用时间特性分析模块，构建用户行为混合矩阵以训练时间表征模型；步骤S3、调用空间特性分析模块，获取属于同一角色的用户的经编码的基础特征以训练空间共用组模型；步骤S4、调用异常整合分析模块，计算所述用户行为的异常程度。

公开(公告)号：CN114356743B

公开(公告)日：2022-06-07

申请号：CN202210234545.3

申请日：2022-03-11

Applicant: 军事科学院系统工程研究院网络信息研究所

Inventor： 杨林 ,  李东阳 ,  马琳茹 ,  王晓磊 ,  张洪广

IPC: G06F11/34 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提出一种基于序列重建的异常事件自动检测方法和系统。所述方法包括：步骤S1、利用预定义的事件模板，从多源日志中确定离散事件序列，所述离散事件序列由同一用户的多个事件日志按照时间顺序拼接而成；步骤S2、对所述离散事件序列进行拆分处理来获取若干原始子序列，并通过对所述若干原始子序列进行特征嵌入，进一步获取无监督检测模型的输入子序列，所述无监督检测模型包括LSTM编码器、变分组件和LSTM解码器，用于基于所述输入子序列生成所述离散事件序列的重建子序列；步骤S3、基于所述原始子序列和所述离散事件序列的重建子序列，利用评判准则来判断所述多个事件的异常属性。

公开(公告)号：CN114356642B

公开(公告)日：2022-05-17

申请号：CN202210234572.0

申请日：2022-03-11

Applicant: 军事科学院系统工程研究院网络信息研究所

Inventor： 杨林 ,  李东阳 ,  马琳茹 ,  王晓磊 ,  张洪广

IPC: G06F11/07 ,  G06K9/62

Abstract: 本发明提出一种基于流程挖掘的异常事件自动诊断方法和系统。所述方法包括：步骤S1、基于历史正常离散事件序列，利用流程发现技术来构建工作流模型库；步骤S2、获取异常事件序列，利用经训练的无监督聚类算法预测所述异常事件序列的所属类别，并基于所述所属类别从所述工作流模型库中选取与所述所属类别对应的工作流模型；步骤S3、基于所述异常事件序列和选取的所述工作流模型，利用一致性检查方法确定所述异常事件序列中的缺失事件、额外事件、以及所述缺失事件和所述额外事件在所述异常事件序列中的位置，作为对所述异常事件序列的诊断结果。