公开(公告)号：CN109284317B

公开(公告)日：2021-07-06

申请号：CN201811259183.3

申请日：2018-10-26

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 李兴国 ,  苗功勋 ,  郑传义 ,  王蒙 ,  崔新安 ,  张庆亮

IPC: G06F16/2458

Abstract: 本发明提供一种基于时序有向图的窃取信息线索提取与分段评估方法，包括如下步骤：获取整个内网中的日志信息，包括内网中各种防护和监管设备生成的海量日志数据，并在获取过程中对日志信息进行清洗和标注，形成范式化（格式化）线索数据。范式化的线索数据，至少要包含线索主体，关联属性，线索所属阶段和线索时间四方面的信息。然后，将每个线索数据作为顶点，关联属性作为边，对选定时间内的所有线索数据进行有向串联，形成一个内网线索和关联属性组成的有向图。之后，遍历有向图提取出信息窃取线索链，建立信息窃取评估函数对每一条线索链进行线索评估，评估主要通过线索点数量和线索阶段完整度评测。对线索链评估风险值较高的线索链进行提取和告警。

公开(公告)号：CN111259088A

公开(公告)日：2020-06-09

申请号：CN202010030995.1

申请日：2020-01-13

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 李兴国 ,  郑传义 ,  曲志峰 ,  苗功勋 ,  武巧莉

IPC: G06F16/28

Abstract: 一种基于画像技术的用户网络行为审计建模方法，该方法包括以下步骤：通过画像技术还原网络中实体行为，形成实体的关系图谱；通过实体的关系图谱将不同的网络安全数据合并到综合图空间中；对综合图空间进行数据挖掘，建立E-R图分析模型。能够全面的表述还原网络中各类审计数据、告警事件、人员及设备之间的归属关系、设备与设备之间的流量关系等，进行了全面刻画，能够完整的描述审计的行为在发生时所处的环境、状态以及相关的事件。为后续进行大数据和人工智能分析提供了良好的数据基础，为后续风险事件的溯源提供了数据支撑。

公开(公告)号：CN109284317A

公开(公告)日：2019-01-29

申请号：CN201811259183.3

申请日：2018-10-26

Applicant: 山东中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 李兴国 ,  苗功勋 ,  郑传义 ,  王蒙 ,  崔新安 ,  张庆亮

IPC: G06F16/2458

Abstract: 本发明提供一种基于时序有向图的窃取信息线索提取与分段评估方法，包括如下步骤：获取整个内网中的日志信息，包括内网中各种防护和监管设备生成的海量日志数据，并在获取过程中对日志信息进行清洗和标注，形成范式化（格式化）线索数据。范式化的线索数据，至少要包含线索主体，关联属性，线索所属阶段和线索时间四方面的信息。然后，将每个线索数据作为顶点，关联属性作为边，对选定时间内的所有线索数据进行有向串联，形成一个内网线索和关联属性组成的有向图。之后，遍历有向图提取出信息窃取线索链，建立信息窃取评估函数对每一条线索链进行线索评估，评估主要通过线索点数量和线索阶段完整度评测。对线索链评估风险值较高的线索链进行提取和告警。