公开(公告)号：CN119324817A

公开(公告)日：2025-01-17

申请号：CN202411446315.9

申请日：2024-10-16

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  南京中孚信息技术有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 赖成宾 ,  罗圣美 ,  刘志远 ,  彭远吉 ,  张少校

IPC: H04L9/40 ,  H04L43/045 ,  G06F18/15 ,  G06F18/214 ,  G06F18/2433 ,  G06F18/25 ,  G06N3/042 ,  G06N3/0464 ,  G06N3/098 ,  G06N20/20

Abstract: 本发明属于网络安全技术领域，提供了一种基于关联分析的网络安全威胁溯源方法及系统，其技术方案为：基于多源网络安全数据构建网络安全态势图，基于网络安全态势图，采用图挖掘算法对攻击要素进行关联分析得到关联分析结果，基于关联分析结果，利用多路径溯源策略对攻击进行溯源，确定攻击源头和传播路径，能够自动识别潜在威胁、评估风险并找出最优攻击路径，提高了威胁识别的准确性和溯源效率，为后续的防御和应对措施提供依据。

公开(公告)号：CN118713936A

公开(公告)日：2024-09-27

申请号：CN202411197174.1

申请日：2024-08-29

Applicant: 中孚信息股份有限公司

Inventor： 孙强 ,  赵鑫 ,  魏东晓 ,  罗圣美 ,  刘志远

IPC: H04L9/40

Abstract: 本申请公开了一种基于API流量数据的数据监测方法、系统、设备及介质，主要涉及数据监测技术领域，用以解决现有方案无法检测违规和超限调用风险的问题。包括：定时采集业务流量；从识别业务流量中识别出属于数据提供方的比对API，筛选出同属一个比对API的第一流量数据；从第一流量数据中获取数据访问方与数据提供方之间的第一传输数据、获取数据访问方与数据访问者之间的第二传输数据；对第一传输数据和第二传输数据进行相似性比对，获得相似度；获取相似度大于预设阈值的第二传输数据对应的数据访问者的访问IP和API，与数据提供方备案的API访问IP列表和授权API列表进行对比，确定是否存在违规调用或超限访问的情况。

公开(公告)号：CN114793164B

公开(公告)日：2024-03-15

申请号：CN202111578783.8

申请日：2021-12-22

Applicant: 南京中孚信息技术有限公司 ,  中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 刘志远 ,  苗功勋 ,  徐留杰 ,  孙强 ,  曲志峰 ,  张海文 ,  蔡力兵 ,  赖成宾

IPC: H04L9/40

Abstract: 本发明公开了威胁情报共享平台技术领域的一种基于多特征的APT攻击事件关联方法，包括获取攻击事件报告特征；通过计算TF‑IDF的值得出报告文本相似度；通过计算得出攻击事件TTP相似度；调用在线沙箱技术对恶意IOC进行行为分析，提取攻击链路；设计链路相似度计算方法得到攻击链路相似度；将得到的文本相似度、TTP相似度和攻击链路相似度进行权重的分配得到综合相似度，本发明针对攻击事件报告的不同特征，采用不同的相似度计算方法，进而能够从多方面关联攻击事件，便于整合攻击情报、溯源攻击手段、反馈应对方案，大大提高了主动防御能力，在第一时间对恶意攻击事件提出响应参考措施。

公开(公告)号：CN114793164A

公开(公告)日：2022-07-26

申请号：CN202111578783.8

申请日：2021-12-22

Applicant: 南京中孚信息技术有限公司 ,  中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 刘志远 ,  苗功勋 ,  徐留杰 ,  孙强 ,  曲志峰 ,  张海文 ,  蔡力兵 ,  赖成宾

IPC: H04L9/40

Abstract: 本发明公开了威胁情报共享平台技术领域的一种基于多特征的APT攻击事件关联方法，包括获取攻击事件报告特征；通过计算TF‑IDF的值得出报告文本相似度；通过计算得出攻击事件TTP相似度；调用在线沙箱技术对恶意IOC进行行为分析，提取攻击链路；设计链路相似度计算方法得到攻击链路相似度；将得到的文本相似度、TTP相似度和攻击链路相似度进行权重的分配得到综合相似度，本发明针对攻击事件报告的不同特征，采用不同的相似度计算方法，进而能够从多方面关联攻击事件，便于整合攻击情报、溯源攻击手段、反馈应对方案，大大提高了主动防御能力，在第一时间对恶意攻击事件提出响应参考措施。

公开(公告)号：CN113343241B

公开(公告)日：2023-04-11

申请号：CN202110817175.1

申请日：2021-07-20

Applicant: 南京中孚信息技术有限公司 ,  中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 苗功勋 ,  刘志远 ,  徐留杰 ,  张海文 ,  曲志峰 ,  韦文峰

IPC: G06F21/56

Abstract: 本发明公开了一种基于在线恶意软件扫描平台的动态标签生成方法，包括输入ioc，通过检测引擎判断文件是否为hash；文件为hash，生成hash标签；文件不为hash，继续顺位检测文件是否为ip、domain、url；分别聚合生成对应的ip标签、domain标签、url标签；本发明不仅能够对恶意文件hash进行标记，还能基于恶意软件扫描平台的标记范围，为威胁情报指示器生成标签。

公开(公告)号：CN114286306A

公开(公告)日：2022-04-05

申请号：CN202111613410.X

申请日：2021-12-27

Applicant: 南京中孚信息技术有限公司 ,  中孚信息股份有限公司 ,  中孚安全技术有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 苗功勋 ,  刘志远 ,  王帅 ,  范金平 ,  刘毅

IPC: H04W4/33 ,  H04W64/00 ,  H04B17/318 ,  G01S5/06

Abstract: 本申请提供一种室内信号定位方法、装置、计算机设备及存储介质，涉及通信技术领域。该方法包括：根据待测三维空间的尺寸信息，对预设的基准三维空间的强度指纹库进行处理，得到待测三维空间的强度指纹库；其中，基准三维空间的强度指纹库有：信号源在基准三维空间内多个基准位置处的基准信号强度值，待测三维空间的强度指纹库有：信号源在待测三维空间内多个基准位置处的预测信号强度值；获取待测三维空间内信号检测仪采集的目标信号强度值；根据目标信号强度值，采用待测三维空间的强度指纹库，确定与目标信号强度值最匹配的预测信号强度值对应的信号源的位置为目标位置。本申请可以实现室内信号定位方法的大范围推广使用。

公开(公告)号：CN113364772A

公开(公告)日：2021-09-07

申请号：CN202110624468.8

申请日：2021-06-04

Applicant: 中孚信息股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 刘志远 ,  赖成宾 ,  韦文峰 ,  徐留杰 ,  张海文 ,  嵇飞

IPC: H04L29/06 ,  H04L12/58

Abstract: 本发明公开了一种恶意IOC自动采集方法，该方法包括以下步骤：S1、利用邮件采集器订阅原始威胁情报邮件，并将原始威胁情报邮件汇总存储到同一邮件存储库中；S2、利用邮件存储库的下载协议获取原始威胁情报邮件内容；S3、利用解析器将原始威胁情报邮件转化为可读邮件；S4、设置附件获取器检测可读邮件中编码函数，处理非法数据并输出最终的附件内容；S5、提取原始威胁情报邮件内容或附件内容中的威胁情报IOC信息。有益效果：本发明设计的正则表达式考虑了不同类型IOC的特征，包括但不限于长度、种类、格式、特殊字符等方法，能够有针对性地准确提取出威胁情报IOC信息，避免了解析不同的邮箱。

公开(公告)号：CN113343241A

公开(公告)日：2021-09-03

申请号：CN202110817175.1

申请日：2021-07-20

Applicant: 南京中孚信息技术有限公司 ,  中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 苗功勋 ,  刘志远 ,  徐留杰 ,  张海文 ,  曲志峰 ,  韦文峰

IPC: G06F21/56

Abstract: 本发明公开了一种基于在线恶意软件扫描平台的动态标签生成方法，包括输入ioc，通过检测引擎判断文件是否为hash；文件为hash，生成hash标签；文件不为hash，继续顺位检测文件是否为ip、domain、url；分别聚合生成对应的ip标签、domain标签、url标签；本发明不仅能够对恶意文件hash进行标记，还能基于恶意软件扫描平台的标记范围，为威胁情报指示器生成标签。

公开(公告)号：CN118713936B

公开(公告)日：2025-01-10

申请号：CN202411197174.1

申请日：2024-08-29

Applicant: 中孚信息股份有限公司

Inventor： 孙强 ,  赵鑫 ,  魏东晓 ,  罗圣美 ,  刘志远

IPC: H04L9/40

Abstract: 本申请公开了一种基于API流量数据的数据监测方法、系统、设备及介质，主要涉及数据监测技术领域，用以解决现有方案无法检测违规和超限调用风险的问题。包括：定时采集业务流量；从识别业务流量中识别出属于数据提供方的比对API，筛选出同属一个比对API的第一流量数据；从第一流量数据中获取数据访问方与数据提供方之间的第一传输数据、获取数据访问方与数据访问者之间的第二传输数据；对第一传输数据和第二传输数据进行相似性比对，获得相似度；获取相似度大于预设阈值的第二传输数据对应的数据访问者的访问IP和API，与数据提供方备案的API访问IP列表和授权API列表进行对比，确定是否存在违规调用或超限访问的情况。

公开(公告)号：CN114297061A

公开(公告)日：2022-04-08

申请号：CN202111615895.6

申请日：2021-12-27

Applicant: 南京中孚信息技术有限公司 ,  中孚信息股份有限公司 ,  中孚安全技术有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 刘志远 ,  韦文峰 ,  刘广伟 ,  成晓庆

IPC: G06F11/36

Abstract: 本发明提供了一种软件项目故障定位方法、装置及电子设备，涉及计算机技术领域，在进行软件项目故障定位时，先获取基于目标包名监听得到的目标页面操作对应的目标调用信息；然后按照请求来源标识对目标调用信息进行分组，得到至少一个集合；进而生成每个集合对应的调用链，以使研发人员基于各个集合对应的调用链定位目标软件项目的故障原因。这样一次性获取与页面触发效果相关的所有函数调用信息，并将其转换成调用链给研发人员排查，不需要运维人员与研发人员多次沟通，研发人员可以基于调用链快速定位故障原因，与相关现有技术相比，降低了运维人员和研发人员的沟通成本，提高了故障定位效率。