公开(公告)号：CN114282218B

公开(公告)日：2024-12-24

申请号：CN202111592672.2

申请日：2021-12-23

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨鹤 ,  赵宁

IPC: G06F21/56 ,  G06N3/0464 ,  G06N3/08

Abstract: 本申请提供一种攻击检测方法、装置、电子设备及存储介质，该方法包括：获取数据响应报文；对数据响应报文进行编码，获得编码数据；使用神经网络模型提取编码数据的数据特征，并对数据特征进行攻击检测，获得攻击检测结果。通过先对数据响应报文进行编码，获得编码数据；然后，使用神经网络模型提取编码数据的数据特征，并对数据特征进行攻击检测，避免了对请求数据进行攻击检测的情况。由于神经网络模型是使用数据响应报文训练的，而不是使用提交的请求数据训练的，因此，该神经网络模型能够预测攻击请求的未知特征，且使用该神经网络模型能够有效地检测出未知特征的攻击请求，从而提高了对命令执行攻击进行检测的准确率。

公开(公告)号：CN115333776A

公开(公告)日：2022-11-11

申请号：CN202210818120.7

申请日：2022-07-12

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨鹤 ,  徐自全

IPC: H04L9/40 ,  H04L67/02 ,  G06K9/62 ,  G06N3/08

Abstract: 本申请涉及网络安全技术领域，提供了一种基于HTTP流量的SQL注入攻击检测方法、装置、设备及介质。所述方法包括：获取目标服务器对应的实时HTTP请求流量；抽取实时HTTP请求流量的载荷中的参数信息，得到待检测文本；对待检测文本执行数据清洗处理，得到更新后的待检测文本；对更新后的待检测文本执行特征提取处理，得到待检测特征向量；将待检测特征向量输入训练好的SQL注入攻击检测模型，得到SQL注入攻击检测结果。本申请提高了SQL注入攻击检测的全面性、准确性及检测效率。

公开(公告)号：CN117749601A

公开(公告)日：2024-03-22

申请号：CN202311701966.3

申请日：2023-12-12

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨鹤 ,  娄扬

IPC: H04L41/0631 ,  H04L41/149 ,  H04L43/045 ,  H04L43/08

Abstract: 本发明提供了一种系统资源预警方法、装置、设备及存储介质，所述系统资源预警方法包括：采集系统的资源数据，所述资源数据包括内存数据、CPU数据、硬盘数据；基于层级实时记忆算法处理采集的所述资源数据，得到关于所述系统的资源数据的异常状态预测值；在所述异常状态预测值满足触发条件的情况下，基于所述异常状态预测值及获得的所述系统的流量数据对所述系统进行资源预警判断。本发明实施例的系统资源预警方法能够高效、准确地对安全网关设备的系统资源进行预警排查。

公开(公告)号：CN115001763B

公开(公告)日：2024-03-19

申请号：CN202210553089.9

申请日：2022-05-20

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨鹤 ,  徐自全

IPC: H04L9/40 ,  H04L67/02 ,  G06F18/2431

Abstract: 本公开实施例公开了一种钓鱼网站攻击检测方法、装置、电子设备及存储介质。其中，钓鱼网站攻击检测方法，包括：获取URL数据信息；在所述URL数据信息中分别提取URL数据、网页内容数据及第三方信息数据；基于所述URL数据、网页内容数据及第三方信息数据进行特征提取，得到提取特征；基于所述提取特征得到算法扰动特征；将所述提取特征与算法扰动特征进行融合，得到特征数据集；基于所述特征数据集和机器学习检测引擎检测出钓鱼网站URL。增加了特征的表征能力，从而能够全面的表征出钓鱼网站，避免钓鱼网站绕过检测，达到检测全面的目的。

公开(公告)号：CN115865504A

公开(公告)日：2023-03-28

申请号：CN202211572711.7

申请日：2022-12-08

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨鹤 ,  娄扬

IPC: H04L9/40

Abstract: 本申请提供一种报文数据检测方法、装置、电子设备和存储介质，其中，报文数据检测方法包括：获取基于WAF引擎得到的异常报文数据；基于ski p‑gram模型提取所述异常报文数据的特征向量；基于分类模型确定所述异常报文数据的检测结果，其中，所述异常报文数据的检测结果为所述异常报文数据的类型或所述异常报文数据关联的述WAF引擎I D，其中，所述异常报文的特征向量作为所述分类模型的输入，所述异常报文数据的类型为所述分类模型的输出，所述异常报文数据的类型包括第一类型和第二类型，所述第一类型表征所述异常报文数据为异常报文，所述第二类型表征所述异常报文数据为误报报文。本申请能够降低报文检测的误报率。

公开(公告)号：CN114282218A

公开(公告)日：2022-04-05

申请号：CN202111592672.2

申请日：2021-12-23

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨鹤 ,  赵宁

IPC: G06F21/56 ,  G06N3/04 ,  G06N3/08

Abstract: 本申请提供一种攻击检测方法、装置、电子设备及存储介质，该方法包括：获取数据响应报文；对数据响应报文进行编码，获得编码数据；使用神经网络模型提取编码数据的数据特征，并对数据特征进行攻击检测，获得攻击检测结果。通过先对数据响应报文进行编码，获得编码数据；然后，使用神经网络模型提取编码数据的数据特征，并对数据特征进行攻击检测，避免了对请求数据进行攻击检测的情况。由于神经网络模型是使用数据响应报文训练的，而不是使用提交的请求数据训练的，因此，该神经网络模型能够预测攻击请求的未知特征，且使用该神经网络模型能够有效地检测出未知特征的攻击请求，从而提高了对命令执行攻击进行检测的准确率。

公开(公告)号：CN113904837A

公开(公告)日：2022-01-07

申请号：CN202111163045.7

申请日：2021-09-30

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨鹤

IPC: H04L9/40 ,  H04L41/14 ,  H04L41/142

Abstract: 本申请属于检测技术领域，公开了一种攻击检测的方法、装置、电子设备及介质，该方法包括，对待检测的传输数据进行特征提取，获得传输数据的特征集合，基于特征集合，以及预先训练好的攻击检测模型，获得传输数据的攻击检测结果。这样，在对传输数据进行攻击检测时，提高了攻击检测结果的准确度。

公开(公告)号：CN112615870A

公开(公告)日：2021-04-06

申请号：CN202011531760.7

申请日：2020-12-22

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨鹤

IPC: H04L29/06

Abstract: 本申请公开了一种基于NTP报文数据的攻击行为检测方法及装置，用以检测NTP报文数据中是否存在大数据量的攻击行为，提升设备的安全性。所述方法包括：获取NTP报文数据；判断所述NTP报文数据中是否存在扩展域填充字段；当存在扩展域填充字段时，基于随机森林算法模型判断所述扩展域填充字段中是否存在攻击行为；输出与所述随机森林算法模型的判断结果相应的信息。采用本申请所提供的方案：通过对能够承载大数据量攻击行为的扩展域填充字段进行检测，实现了对NTP报文数据中大数据量的攻击行为的检测，提升了接收NTP报文数据的设备的安全性。

公开(公告)号：CN114239551B

公开(公告)日：2024-11-26

申请号：CN202111554384.8

申请日：2021-12-17

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨鹤

IPC: G06F40/216 ,  G06F21/57 ,  G06F18/214 ,  G06F18/2431

Abstract: 本申请提供一种文件传输漏洞检测方法、装置、电子设备及存储介质，涉及网络安全技术领域，该方法包括：从传输的文件内容中提取特征字词，基于所述特征字词的长度对所述字词进行归一化处理，确定所述字词的权重；统计每个所述字词的词频，并根据所述字词的词频、所述字词在文件集中的重要指数以及所述字词的权重确定所述字词的特征值，所述特征值表征所述字词对所述文件内容的重要程度；将所述特征值输入预设分类模型，得到分类结果，基于所述分类结果确定是否存在文件传输漏洞攻击行为。采用本申请实施例提供的方法能够提高文件传输漏洞攻击行为检测的准确率。

公开(公告)号：CN117708814A

公开(公告)日：2024-03-15

申请号：CN202311664499.1

申请日：2023-12-06

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 杨鹤 ,  娄扬

IPC: G06F21/56 ,  G06N3/0455 ,  G06N3/08

Abstract: 本发明提供了一种进程的检测方法、系统、电子设备及存储介质，检测方法包括获取进程的预设信息；基于预设信息和稀疏自编码器检测模型，得到对应于预设信息的检测结果；将检测结果与设定阈值进行比较，得到是否存在有关于至少一个进程的特定代码的判定结果。通过使用稀疏自编码器检测模型实现与预设信息中异常数据的检测，在稀疏自编码器中，编码器的隐含层被设计为具有更少的激活单元，即使输入数据的维度很高，稀疏自编码器只激活其中很少一部分单元，通过引入稀疏性约束，稀疏自编码器检测模型可以学习到更具有判别性的特征表示，以提高对注入式病毒检测的准确性和对新型变种病毒的及时识别，提高了注入式并病毒的检测效率。