公开(公告)号：CN115622793A

公开(公告)日：2023-01-17

申请号：CN202211419857.8

申请日：2022-11-14

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40 ,  H04L41/0631 ,  H04L41/069 ,  H04L41/147 ,  H04L41/16

Abstract: 本申请提供一种攻击类型识别方法、装置、电子设备及存储介质，该方法包括：从待处理的多条告警日志的每条告警日志中提取出多个特征属性值，获得多组特征属性值；以告警日志为节点，以多组特征属性值之间的相似程度为边，构建图结构；对多条告警日志中的每条告警日志进行编码，获得节点的编码向量；使用图注意力网络模型根据节点的编码向量对图结构进行类型识别，获得图结构的攻击类型。由于图注意力网络模型在训练过程中已经学习了所有历史告警日志的规则，无需人工编写新规则，所以使用图注意力网络模型能够有效地预测出未知攻击。

公开(公告)号：CN115603960A

公开(公告)日：2023-01-13

申请号：CN202211195681.2

申请日：2022-09-28

Applicant: 北京天融信网络安全技术有限公司(CN) ,  北京天融信科技有限公司(CN) ,  北京天融信软件有限公司(CN)

Inventor： 安晓宁

IPC: H04L9/40 ,  H04L9/08

Abstract: 本申请提供一种加密流量检测方法及装置，该方法包括：对网络流量进行采集，得到流量数据；对流量数据进行特征提取，得到数据特征；数据特征包括全局数据特征和局部数据特征；通过特征向量提取模型组对数据特征进行提取，得到特征向量；通过多级特征融合模型对特征向量进行加密流量检测，得到加密流量检测结果。可见，该方法能够提高加密流量检测的准确性。

公开(公告)号：CN115277102A

公开(公告)日：2022-11-01

申请号：CN202210764380.0

申请日：2022-06-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40 ,  H04L41/12 ,  H04L41/14

Abstract: 本公开涉及一种网络攻击检测方法、装置、电子设备及存储介质，其中，所述方法包括：采集时间窗口内的流量作为待检测流量，并从待检测流量中提取每条流量的第一类特征信息、第二类特征信息和第三类特征信息，生成特征文件；基于特征文件，生成待检测流量对应的无向拓扑图以及无向拓扑图中无向边的边特征，无向拓扑图中的节点根据第一类特征信息和第二类特征信息生成，边特征根据第三类特征信息确定；将无向拓扑图和边特征输入预先训练的网络攻击检测模型，以获取无向拓扑图中的每个节点为异常节点的预测概率；根据预测概率，从待检测流量中确定出攻击流量。由此，能够提升网络流量表征能力，从而有利于提高网络攻击检测的准确率。

公开(公告)号：CN117254951A

公开(公告)日：2023-12-19

申请号：CN202311205618.7

申请日：2023-09-18

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40 ,  G06F18/2433 ,  G06N3/0455

Abstract: 本申请提供一种异常流量检测方法、模型训练方法及相关装置，该方法包括：获取多个流量报文的标记流序列，标记流序列是对多个流量报文进行标记获得的；使用预训练语言模型对标记流序列进行异常检测，预训练语言模型是使用正常样本报文训练获得的。在上述方案的实现过程中，通过使用正常样本报文训练获得的预训练语言模型来对多个流量报文的标记流序列进行异常检测，由于该预训练语言模型是通过多个正常样本报文训练获得的，因此该预训练语言模型能够检测出正常样本报文之外的新未知攻击的检测结果，从而有效地提高了对流量报文进行检测的准确率。

公开(公告)号：CN116933862A

公开(公告)日：2023-10-24

申请号：CN202310943985.0

申请日：2023-07-28

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: G06N3/092 ,  G06N3/045 ,  G06F40/216 ,  G06F40/284

Abstract: 本申请实施例提供一种BERT模型的微调方法、装置、设备及存储介质，涉及计算机技术领域。所述方法包括：根据文本语料生成原始词元列表，并获取所述原始词元列表的词频统计信息；基于所述词频统计信息确定掩码生成策略，并根据所述掩码生成策略对所述原始词元列表进行掩码处理，得到掩码处理结果；基于所述掩码处理结果对预训练的BERT模型进行迭代学习直至满足预设的条件，得到微调BERT模型。本申请通过统计文本语料对应的词频信息，并根据词频自适应调整掩码生成概率，使得不同频率的词元生成的掩码分布更加均匀，更好地保留了文本语料的语义信息，从而提高了BERT模型对掩码语料的学习能力。

公开(公告)号：CN115720169A

公开(公告)日：2023-02-28

申请号：CN202211457580.8

申请日：2022-11-21

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本申请实施例提供一种基于流量特征的攻击检测方法及系统，涉及数据检测技术领域。该基于流量特征的攻击检测方法包括：获取待识别域名在预设时间窗内的流量数据；基于所述流量数据生成特征向量信息，所述特征向量信息包括所述待识别域名的域名静态特征、域名统计特征、上下文特征中的一种或多种；加载预训练模型并将所述特征向量信息输入至所述预训练模型；基于所述预训练模型和所述特征向量信息获得所述待识别域名为C&C攻击的评估结果。该方法可以实现提高对C&C攻击的检测效果。

公开(公告)号：CN115225583A

公开(公告)日：2022-10-21

申请号：CN202210817360.5

申请日：2022-07-12

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁

IPC: H04L47/2441

Abstract: 本公开涉及一种流量数据的内容类型识别方法、装置、设备及存储介质，其中，方法包括：采集网络流量数据，并提取所述网络流量数据中每个数据包的有效载荷；对所述有效载荷对应的样本序列进行特征提取，获取所述样本序列的信息熵、指定字符熵、卡方值和近似转移概率特征，以生成所述样本序列对应的特征向量；根据所述样本序列对应的特征向量输入预训练的分类模型进行处理，生成所述每个数据包的分类结果。根据本公开的技术方案，能够从多个维度表征有效载荷，能够准确地检测明文文本、图像、加密数据、压缩数据和编码数据，提高了网络流量数据内容识别的准确性和精准度。

公开(公告)号：CN115001994A

公开(公告)日：2022-09-02

申请号：CN202210893751.5

申请日：2022-07-27

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 李雪莹 ,  安晓宁

IPC: H04L43/04 ,  G06K9/62

Abstract: 本公开实施例涉及一种流量数据包分类方法、装置、设备及介质，其中该方法包括：获取流量信息，流量信息包括至少一个流量数据包；获取各流量数据包包括的多个字段；针对每个流量数据包，根据各字段的字段类型，确定各字段对应的信息区间；其中，相同字段类型的字段对应的信息区间相同，信息区间为字段填充的区间范围；对每个流量数据包的各字段对应的信息区间进行填充，获得对应的提取信息；将提取信息输入数据包分类模型中，获取至少一个流量数据包的分类结果。本公开实施例，实现了对流量数据包的自动化、标准化处理，并且通过提取信息能够从多个维度对流量数据包进行表征，提高了流量数据包分类结果的准确性。

公开(公告)号：CN113660210A

公开(公告)日：2021-11-16

申请号：CN202110819680.X

申请日：2021-07-20

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁 ,  潘季明

IPC: H04L29/06 ,  H04L12/24 ,  G06K9/62

Abstract: 本发明公开了一种恶意TLS加密流量检测模型训练方法、检测方法及终端，包括：获取TLS流量样本，TLS流量样本中包括若干条恶意TLS加密流量数据和若干条正常流量数据；为TLS流量样本中的各条流量数据提取其在握手阶段的不同类别的特征值；为不同类别的特征值建立相应的逻辑回归模型；通过设置的训练集来调节逻辑回归模型的超参数，使得逻辑回归模型基于验证集的效果达到最优；将训练好的逻辑回归模型作为恶意TLS加密流量检测模型。通过本发明方法，在检测阶段可以在确定该流量数据任意类别特征值符合预设条件的情况下，即可判定该流量为恶意流量。本公开的方法能够提高检测模型的泛化能力，并提高模型的检测速度。

公开(公告)号：CN114095176B

公开(公告)日：2024-04-09

申请号：CN202111272225.9

申请日：2021-10-29

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 安晓宁 ,  潘季明

IPC: H04L9/32 ,  H04L9/40 ,  H04L41/16 ,  H04L61/4511 ,  G06N3/04 ,  G06N3/084

Abstract: 本发明公开了一种恶意域名检测方法及装置，包括：获取待检测的域名，并基于所述待检测各域名基于预先构建的二分图集生成该域名的二分图；基于该域名的二分图生成该域名的编码向量；将所述编码向量输入训练好的检测模型；基于所述检测模型的输出结果确定该域名是否为恶意域名。本公开的方法将域名的连接关系转换为该域名的二分图，并基于相应的二分图来生成待检测域名节点的编码向量，并使用训练好的检测模型对域名进行分类，有效提高恶意域名的识别效果。