一种基于行为聚合特征的异常用户检测方法、终端及存储介质与流程

本发明涉及数据处理
技术领域：
，尤其涉及一种基于行为聚合特征的异常用户检测方法、终端设备及存储介质。
背景技术：
：随着计算机网络技术的高速发展，数据信息已成为当前重要的载体。数据信息承载着企业的信息，用户的信息，交易的信息以及通信的信息。数据信息对每个人每个企业均具有十分重要的作用。基于tcp/ip协议的网络架构覆盖了世界的每个角落，给大家的生活带来了很多便利，但是随之而来的是日益严峻的信息安全问题。各个重要机关、大型企业等通过在内网架设防火墙、网络入侵检测系统和杀毒软件等手段来抵御数据的泄露风险，但是单点检测往往只能局限于小部分的规则，无法应对有预谋的窃密行为，导致数据信息的安全性无法保障。技术实现要素：为了克服上述现有技术中的不足，提高检测内网中群组内部异常行为的准确率，本发明提供一种基于行为聚合特征的异常用户检测方法，方法包括：获取预设时间段内的用户行为信息；基于访问地址信息将用户预设时间段内的特征属性进行聚合；基于原始行为特征，做相邻元素列变换，得到尺寸为目标服务器个数的行为方阵，再将每个用户的矩阵配置成一行向量；分别计算任意两个用户之间的相关系数，作为内网群组中两用户在一段时间内的行为相似度；根据用户之间的相似度矩阵，查找相似度最大的两个用户，聚成一类；计算所述类与其他用户之间的相似度，并更新聚成一类用户的相似度矩阵，然后重复迭代计算；重复迭代计算达到预先设定的阈值之后，停止聚类过程，此时脱离内网群组的用户被认定为具有异常行为。进一步需要说明的是，从通信网络的检测器提取用户使用的流量五元组，并截取用户访问的流量数据；在规定的时间窗口粒度按照用户访问过得目标ip聚合行为特征；基于所述行为特征的每个源ip生成行为特征矩阵。进一步需要说明的是，步骤相邻元素列变换包括：将用户ip1与用户ip2的特征维度相邻元素交叉相乘，拼凑成一个新的行为特征方阵：其中m和n均是属于[1,num_distip]区间；m和n用来分别表示元素的下标，矩阵的列索引；i表示行为矩阵的行索引，不超过6的正整数；p表示上述原始行为特征矩阵中的元素。进一步需要说明的是，步骤计算任意两个用户之间的相关系数包括；两个用户行为向量之间的相似度，将用户行为特征矩阵配置成一行向量，执行相似度的计算，用如下公式计算：x,y为两个用户的行为向量；n表示向量的长度；ex,ey表示两个向量的均值。进一步需要说明的是，步骤获取预设时间段内的用户行为信息之前还包括：基于内网用户，获取预设时间段内访问目标服务器的行为信息。进一步需要说明的是，所述访问目标服务器的行为信息包括：内网用户访问每个目标服务器产生的流量信息、时间信息以及所属应用协议的信息。进一步需要说明的是，在预设时间段内，统计与内网用户连接过的目标服务器，并形成目标服务器ip列表；统计内网用户与每个目标服务器连接时，分别产生的上下行流量总和以及分别与每个目标服务器连接的总频次。进一步需要说明的是，在预设时间段内，统计内网用户每次连接目标服务器连接的总时长以及与目标服务器最后一次连接时间距离当前时间的时长，并配置活跃度；在预设时间段内，统计内网用户与目标服务器连接使用的应用层协议种类数。本发明还提供一种实现基于行为聚合特征的异常用户检测方法的终端设备，其特征在于，包括：存储器，用于存储计算机程序及基于行为聚合特征的异常用户检测方法；处理器，用于执行所述计算机程序及基于行为聚合特征的异常用户检测方法，以实现基于行为聚合特征的异常用户检测方法的步骤。本发明还提供一种具有基于行为聚合特征的异常用户检测方法的可读存储介质，其特征在于，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行以实现基于行为聚合特征的异常用户检测方法的步骤。从以上技术方案可以看出，本发明具有以下优点：本发明的通过基于行为聚合特征的异常用户检测方法可以提取出高频共用的规则为行为提取特征，实现复用，例如时间、协议、流量字节以及连接频次等等，基于时间的扩展度高,而且执行效率高，本发明方法可以应用于内网群组中异常检测的场景中。基于相似度的离群点检测可以帮助企业或其他组织安全分析人员追踪溯源内网中失窃密的线索，捕获不易察觉的异常行为，能够尽快处置安全事件，将损失降到最低。在现实场景下，本发明可以满足分析人员处理用户因工作习惯或任务派遣造成的行为分布不平衡问题的需求，克服了无法关联邻接的访问节点信息的问题，大大降低异常检测的误报率。可以识别掩藏在群组内部的异常用户，保障数据信息的安全性。附图说明为了更清楚地说明本发明的技术方案，下面将对描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为基于行为聚合特征的异常用户检测方法流程图；图2为基于行为聚合特征的异常用户检测方法架构示例图；图3为基于行为聚合特征的异常用户检测方法实施例流程图。具体实施方式本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。本发明为了提高检测内网中群组内部异常用户的准确率，提供一种基于行为聚合特征的异常用户检测方法，如图1所示。方法基于终端设备及可读存储介质来执行。按照预定的方法读取相关信息，统计所述时间内用户的相关数据；充分挖掘相邻目标ip之间的关联信息；也就是相似度的计算，基于处理器运行，通过运行部署在可读存储设备中的代码，执行相似度的运算；异常检测模块是在上一步的计算结果基础上，利用系统聚类法找到潜在的离群用户。本发明涉及的用户是内网用户。内网用户指的是在局域网，或单位办公网而建立的网络。当然内网也可以与外网进行连接。当然也可以是基于光纤专到单体楼、一个社区、或者一个办公区等地域范围比较大基于以太网技术的于内网。在内网中的系统架构100可以包括终端设备101、102、103中的一种或多种，网络104和服务器105。通信网络104是用以在终端设备101、102、103和服务器105之间提供通信链路的介质。通信网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。应该理解，图2中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。比如服务器105可以是多个服务器组成的服务器集群等。需要说明的是，图2示出的电子设备的计算机系统200仅是一个示例，不应对本公开实施方式的功能和使用范围带来任何限制。用户可以使用终端设备101、102、103通过网络104与服务器105交互，以接收或发送消息等。终端设备101、102、103可以是具有显示屏的各种电子设备，包括但不限于智能手机、平板电脑、便携式计算机和台式计算机、数字电影放映机等等。服务器105可以是提供各种服务的服务器。例如用户利用终端设备103(也可以是终端设备101或102)向服务器105发送数据信息。方法具体包括：s101，获取预设时间段内的用户行为信息；预设时间段可以基于实际使用的环境以及使用需要进行设置，可以以小时、天、周或月来设置时间段。用户行为信息是基于终端设备对目标服务器的访问以及数据操作。s102，基于访问地址信息将用户预设时间段内的特征属性进行聚合；访问地址信息包括：访问源ip和访问目标ip。s103，基于原始行为特征，做相邻元素列变换，得到尺寸为目标服务器个数的行为方阵，再将每个用户的矩阵配置成一行向量；s104，分别计算任意两个用户之间的相关系数，作为内网群组中两用户在一段时间内的行为相似度；计算得到的系数越大，相似度越高。s105，根据用户之间的相似度矩阵，查找相似度最大的两个用户，聚成一类；s106，计算所述类与其他用户之间的相似度，并更新聚成一类用户的相似度矩阵，然后重复迭代计算；s107，重复迭代计算达到预先设定的阈值之后，停止聚类过程，此时脱离内网群组的用户被认定为具有异常行为。基于上述方法步骤，通过图1中可以看到因为流量数据的特性，可以提取出高频共用的规则为行为提取特征，实现复用，例如时间、协议、流量字节以及连接频次等等，基于时间的扩展度高,而且执行效率高，本发明方法可以应用于内网群组中异常检测的场景中。基于相似度的离群点检测可以帮助企业或其他组织安全分析人员追踪溯源内网中失窃密的线索，捕获不易察觉的异常行为，能够尽快处置安全事件，将损失降到最低。在现实场景下，本发明可以满足分析人员处理用户因工作习惯或任务派遣造成的行为分布不平衡问题的需求，克服了无法关联邻接的访问节点信息的问题，大大降低异常检测的误报率。可以识别掩藏在群组内部的异常用户，保障数据信息的安全性。本发明提供的基于行为聚合特征的异常用户检测方法的附图中的流程图和框图，图示了按照本公开各种实施方式的方法、装置和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。本发明提供的基于行为聚合特征的异常用户检测方法所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。图3示意性示出了根据本公开的一实施方式的另一种基于行为聚合特征的异常用户检测方法的流程图。本实施方式的方法步骤可以由终端设备执行，也可以由服务端执行，或者由终端设备和服务端交互执行，例如，可以由上述图2中的服务器105执行，但本公开并不限定于此。s201，从通信网络的检测器提取用户使用的流量五元组，并截取用户访问的流量数据；流量五元组包括内网用户ip、端口和目标服务器ip、端口。在规定的时间窗口粒度按照用户访问过得目标ip聚合行为特征；基于所述行为特征的每个源ip生成行为特征矩阵。s202，基于内网用户，获取预设时间段内访问目标服务器的行为信息。s203，所述访问目标服务器的行为信息包括：内网用户访问每个目标服务器产生的流量信息、时间信息以及所属应用协议的信息。s204，在预设时间段内，统计与内网用户连接过的目标服务器，并形成目标服务器ip列表；s205，统计内网用户与每个目标服务器连接时，分别产生的上下行流量总和以及分别与每个目标服务器连接的总频次。s206，在预设时间段内，统计内网用户每次连接目标服务器连接的总时长以及与目标服务器最后一次连接时间距离当前时间的时长，并配置活跃度；s207，在预设时间段内，统计内网用户与目标服务器连接使用的应用层协议种类数。s208，获取预设时间段内的用户行为信息；s209，基于访问地址信息将用户预设时间段内的特征属性进行聚合；s210，基于原始行为特征，做相邻元素列变换，得到尺寸为目标服务器个数的行为方阵，再将每个用户的矩阵配置成一行向量；s211，分别计算任意两个用户之间的相关系数，作为内网群组中两用户在一段时间内的行为相似度；计算得到的系数越大，相似度越高。其中,用户行为特征矩阵如下表1，是一个聚合之后的用户行为特征矩阵，它的构造过程是：表11)从检测器的流量五元组里获取用户访问的流量数据；2)在规定的时间窗口粒度按照用户访问过得目标ip聚合行为特征；3)对所述行为的每个源ip生成行为特征矩阵。对于粗粒度的时间窗口来说，直接聚合全部行为信息，每个源ip只生成一个特征矩阵。对于方法中的步骤相邻元素列变换包括：将用户ip1与用户ip2的特征维度相邻元素交叉相乘，拼凑成一个新的行为特征方阵：其中m和n均是属于[1,num_distip]区间；m和n用来分别表示元素的下标，矩阵的列索引；i表示行为矩阵的行索引，不超过6的正整数；p表示上述原始行为特征矩阵中的元素。计算任意两个用户之间的相关系数包括；两个用户行为向量之间的相似度，将用户行为特征矩阵配置成一行向量，执行相似度的计算，用如下公式计算：x,y为两个用户的行为向量；n表示向量的长度；ex,ey表示两个向量的均值。相关系数是经过中心化的余弦相似度，它能够表示空间中向量的方向是否相似，也对分量不同的量纲做了处理。s212，根据用户之间的相似度矩阵，查找相似度最大的两个用户，聚成一类；s213，计算所述类与其他用户之间的相似度，并更新聚成一类用户的相似度矩阵，然后重复迭代计算；s214，重复迭代计算达到预先设定的阈值之后，停止聚类过程，此时脱离内网群组的用户被认定为具有异常行为。本发明方法可以应用于内网群组中异常检测的场景中。基于相似度的离群点检测可以帮助企业或其他组织安全分析人员追踪溯源内网中失窃密的线索，捕获不易察觉的异常行为，能够尽快处置安全事件，将损失降到最低。在现实场景下，本发明可以满足分析人员处理用户因工作习惯或任务派遣造成的行为分布不平衡问题的需求，克服了无法关联邻接的访问节点信息的问题，大大降低异常检测的误报率。可以识别掩藏在群组内部的异常用户，保障数据信息的安全性。本发明还提供一种实施方式，实施方式的方法步骤可以由终端设备执行，也可以由服务端执行，或者由终端设备和服务端交互执行，例如，可以由上述图2中的服务器105执行，但本公开并不限定于此。从通信网络的检测器提取用户使用的流量五元组，并截取用户访问的流量数据；流量五元组包括内网用户ip、端口和目标服务器ip、端口。在规定的时间窗口粒度按照用户访问过得目标ip聚合行为特征；基于所述行为特征的每个源ip生成行为特征矩阵。基于内网用户，获取预设时间段内访问目标服务器的行为信息。所述访问目标服务器的行为信息包括：内网用户访问每个目标服务器产生的流量信息、时间信息以及所属应用协议的信息。在预设时间段内，统计与内网用户连接过的目标服务器，并形成目标服务器ip列表；统计内网用户在预设时间段内与所连接过的目标服务器的ip列表、与每一个目标服务器连接所产生的上下行流量总和、与目标服务器连接的总频次；统计内网用户在预设时间段内每次连接的结束时间减去起始时间，即与每个目标服务器连接的总时长、与每个目标服务器最后一次连接的时间距离当前时间的时长，表示为活跃度；统计内网用户在所述时间段内与每个目标服务器连接一共使用的应用层协议种类数。再构建矩阵，基于上述获取到的统计特征，按照用户sourceip和访问服务器distip分别聚合。每个用户生成一个行为特征矩阵。用户行为特征矩阵如下表1，是一个聚合之后的用户行为特征矩阵，它的构造过程是这样：表1dstip_1dstip_2dstip_3dstip_4……dstip_n连接频次上行流量下行流量协议种类连接时长最后连接计算相似度a)特征工程基于上述获取行为特征矩阵步骤，得到预处理之后的数据，对该特征矩阵再做特征工程以满足算法的要求：粗粒度情形下的相邻元素列变换；作为预设时间段内的行为信息总聚合，原始特征矩阵里保存了用户长期的行为信息，但是对于不同目标服务器之间的相关性没有进一步挖掘，往往号段相邻的两台服务器具有较多的相关信息，因此在表1的行为特征矩阵基础上做如下变换：最终输出一个尺寸为访问目标服务器个数的行为特征方阵。b)行为向量间的相关系数假设两个用户q和c，要计算他们之间的相关系数：为方便计算过程，将上述特征工程步骤得到的行为特征矩阵，拉直成一行向量，然后进行如下公式的计算，在仅使用流量数据的情况下，用户q和c之间行为的相似度为表3形式：表3用户相似度矩阵示例qcsimilarity(q,c)定位异常用户根据相似度去找到内网中群组里的异常用户。a)基于如上述步骤所得的全部用户之间相似度矩阵，则假设初始所有n个用户自成一类。b)矩阵中相似度最大的两个用户聚为一类，然后计算它们与其它用户之间的距离，假设k类是由i和j两用户合并而成，则用户h和k之间的距离为：。c)更新相似度的矩阵，然后重复步骤b的方法，迭代计算。结合实际业务情况设定阈值，使计算过程在达到预期效果后停止，若此时有单独成一类的用户，则推断出行为异常的用户。本发明还原业务场景种类多，克服痛点多。在现实场景下，能够从用户每天的行为特征入手去衡量用户之间的相似程度，降低了异常检测的误报率。降低异常检测的误报率。可以识别掩藏在群组内部的异常用，保障数据信息的安全性。基于上述方法本发明还提供一种实现基于行为聚合特征的异常用户检测方法的终端设备，包括：存储器，用于存储计算机程序及基于行为聚合特征的异常用户检测方法；处理器，用于执行所述计算机程序及基于行为聚合特征的异常用户检测方法，以实现基于行为聚合特征的异常用户检测方法的步骤。基于上述方法本发明还提供一种具有基于行为聚合特征的异常用户检测方法的可读存储介质，可读存储介质上存储有计算机程序，所述计算机程序被处理器执行以实现基于行为聚合特征的异常用户检测方法的步骤。终端设备包括中央处理单元(cpu，centralprocessingunit)，其可以根据存储在只读存储器(rom，read-onlymemory)中的程序以及基于行为聚合特征的异常用户检测方法。或者从储存部分加载到随机访问存储器(ram，randomaccessmemory)中的程序而执行基于行为聚合特征的异常用户检测方法。在ram中，还存储有系统操作所需的各种程序和数据。cpu、rom以及ram通过总线彼此相连。输入/输出(i/o)接口也连接至总线。以下部件连接至i/o接口：包括键盘、鼠标等的输入部分；包括诸如阴极射线管(crt，cathoderaytube)、液晶显示器(lcd，liquidcrystaldisplay)等以及扬声器等的输出部分；包括硬盘等的储存部分；以及包括诸如lan(localareanetwork，局域网)卡、调制解调器等的网络接口卡的通信部分。通信部分经由诸如因特网的网络执行通信处理。驱动器也根据需要连接至i/o接口。可拆卸介质，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器上，以便于从其上读出的计算机程序根据需要被安装入储存部分。实现基于行为聚合特征的异常用户检测方法的终端设备是结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。当前第1页1 2 3 
技术特征：

1.一种基于行为聚合特征的异常用户检测方法，其特征在于，方法包括：

获取预设时间段内的用户行为信息；

基于访问地址信息将用户预设时间段内的特征属性进行聚合；

基于原始行为特征，做相邻元素列变换，得到尺寸为目标服务器个数的行为方阵，再将每个用户的矩阵配置成一行向量；

分别计算任意两个用户之间的相关系数，作为内网群组中两用户在一段时间内的行为相似度；

根据用户之间的相似度矩阵，查找相似度最大的两个用户，聚成一类；

计算所述类与其他用户之间的相似度，并更新聚成一类用户的相似度矩阵，然后重复迭代计算；

重复迭代计算达到预先设定的阈值之后，停止聚类过程，此时脱离内网群组的用户被认定为具有异常行为。

2.根据权利要求1所述的基于行为聚合特征的异常用户检测方法，其特征在于，

从通信网络的检测器提取用户使用的流量五元组，并截取用户访问的流量数据；

在规定的时间窗口粒度按照用户访问过得目标ip聚合行为特征；

基于所述行为特征的每个源ip生成行为特征矩阵。

3.根据权利要求1所述的基于行为聚合特征的异常用户检测方法，其特征在于，

步骤相邻元素列变换包括：

将用户ip1与用户ip2的特征维度相邻元素交叉相乘，拼凑成一个新的行为特征方阵：

其中m和n均是属于[1,num_distip]区间；

m和n用来分别表示元素的下标，矩阵的列索引；

i表示行为矩阵的行索引，不超过6的正整数；

p表示上述原始行为特征矩阵中的元素。

4.根据权利要求1所述的基于行为聚合特征的异常用户检测方法，其特征在于，

步骤计算任意两个用户之间的相关系数包括；

两个用户行为向量之间的相似度，将用户行为特征矩阵配置成一行向量，执行相似度的计算，用如下公式计算：

x,y为两个用户的行为向量；

n表示向量的长度；

ex,ey表示两个向量的均值。

5.根据权利要求1所述的基于行为聚合特征的异常用户检测方法，其特征在于，

步骤获取预设时间段内的用户行为信息之前还包括：

基于内网用户，获取预设时间段内访问目标服务器的行为信息。

6.根据权利要求5所述的基于行为聚合特征的异常用户检测方法，其特征在于，

所述访问目标服务器的行为信息包括：内网用户访问每个目标服务器产生的流量信息、时间信息以及所属应用协议的信息。

7.根据权利要求5所述的基于行为聚合特征的异常用户检测方法，其特征在于，

在预设时间段内，统计与内网用户连接过的目标服务器，并形成目标服务器ip列表；

统计内网用户与每个目标服务器连接时，分别产生的上下行流量总和以及分别与每个目标服务器连接的总频次。

8.根据权利要求5所述的基于行为聚合特征的异常用户检测方法，其特征在于，

在预设时间段内，统计内网用户每次连接目标服务器连接的总时长以及与目标服务器最后一次连接时间距离当前时间的时长，并配置活跃度；

在预设时间段内，统计内网用户与目标服务器连接使用的应用层协议种类数。

9.一种实现基于行为聚合特征的异常用户检测方法的终端设备，其特征在于，包括：

存储器，用于存储计算机程序及基于行为聚合特征的异常用户检测方法；

处理器，用于执行所述计算机程序及基于行为聚合特征的异常用户检测方法，以实现如权利要求1至8任意一项所述基于行为聚合特征的异常用户检测方法的步骤。

10.一种具有基于行为聚合特征的异常用户检测方法的可读存储介质，其特征在于，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行以实现如权利要求1至8任意一项所述基于行为聚合特征的异常用户检测方法的步骤。

技术总结
本发明提供一种基于行为聚合特征的异常用户检测方法、终端及存储介质，获取预设时间段内的用户行为信息；基于访问地址信息将用户预设时间段内的特征属性进行聚合；将每个用户的矩阵配置成一行向量；分别计算任意两个用户之间的相关系数，作为行为相似度；查找相似度最大的两个用户，聚成一类；计算所述类与其他用户之间的相似度，并更新聚成一类用户的相似度矩阵，然后重复迭代计算；重复迭代计算达到预先设定的阈值之后，停止聚类过程，此时脱离内网群组的用户被认定为具有异常行为。这样，本发明降低了异常检测的误报率。可以识别掩藏在群组内部的异常用，保障数据信息的安全性。

技术研发人员：李兴国;邹斯达;苗功勋;路冰;孙宁
受保护的技术使用者：中孚安全技术有限公司;中孚信息股份有限公司;北京中孚泰和科技发展股份有限公司;南京中孚信息技术有限公司
技术研发日：2020.11.26
技术公布日：2021.03.12