公开(公告)号：CN117896082A

公开(公告)日：2024-04-16

申请号：CN202211258794.2

申请日：2022-10-14

Applicant: 中国信息安全测评中心

Inventor： 李烨昊 ,  李娟 ,  梁智溢 ,  蒋仲白

IPC: H04L9/40 ,  H04L41/0604

Abstract: 本发明提供一种APT攻击的跟踪方法及装置，该方法包括：启动APT跟踪系统，应用APT跟踪系统中的各个APT攻击模型监控其对应的监控对象；当目标APT攻击模型监控到其对应的目标监控对象遭受APT攻击时，获取目标监控对象遭受到APT攻击的攻击信息；控制目标APT攻击模型对应的安全设备基于攻击信息，生成目标监控对象对应的攻击链；对攻击链进行整合，生成目标监控对象对应的APT攻击事件；获取目标监控对象的告警日志，并从告警日志中筛查出APT攻击事件对应的告警消息，并将APT攻击事件对应的告警消息标志为有效告警消息。应用本发明提供的方法，可以准确发现和追踪值得关注的APT攻击事件。

公开(公告)号：CN112398794B

公开(公告)日：2024-03-26

申请号：CN201910757317.2

申请日：2019-08-16

Applicant: 中国信息安全测评中心 ,  北京中测安华科技有限公司

Inventor： 王禹 ,  刘彦钊 ,  胡超群 ,  崔梦倩

IPC: H04L9/40

Abstract: 本发明实施例提供了网络异常行为的检测方法、装置、设备及存储介质。该方法包括：实时获取用户请求的日志记录；提取日志记录中的当前关键字段，当前关键字段包括：用户标识ID、用户请求的请求资源所在的服务器、用户代理UA和网页的跳转来源；根据用户ID从预先建立的互斥功能数据库中确定用户ID的互斥功能信息；对比请求资源所在的服务器、UA和网页的跳转来源中至少一个与互斥功能信息中的请求资源所在的服务器、UA和网页的跳转来源是否存在差异；若存在差异，则确定用户的网络行为异常。本发明实施例能够提高判断网络异常行为异常的准确率。

公开(公告)号：CN117009048A

公开(公告)日：2023-11-07

申请号：CN202310572694.5

申请日：2023-05-19

Applicant: 中国信息安全测评中心

Inventor： 孙博文 ,  蒋仲白 ,  熊申铎 ,  梁智溢 ,  张鹏 ,  李烨昊

IPC: G06F9/48 ,  G06F18/214 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明提供一种基于主机日志序列化分析的攻击调查方法，涉及网络安全技术领域。方法包括：S1：采集系统的日志数据；S2：根据日志数据的访问关系，构建系统的进程调用因果图；S3：对进程调用因果图进行预处理，去除不必要的实体；S4：根据预处理后的进程调用因果图，构建每个实体的动作事件序列；S5：将序列进行向量化处理，构建序列研判模型，并采用实体的属性标签对序列研判模型进行训练；S6：利用训练出来的序列研判模型对新的序列进行预测，使新的序列形成预测的属性标签，其中，预测的属性标签反映实体是否具有威胁行为。该方法能够基于单位或机构内部的多源日志进行智能化日志分析，并利用分析结果来判定攻击实体和攻击行为。

公开(公告)号：CN112948884B

公开(公告)日：2022-12-09

申请号：CN202110320025.X

申请日：2021-03-25

Applicant: 中国电子科技集团公司第三十研究所 ,  中国信息安全测评中心

Inventor： 刘从祥 ,  杨洋 ,  陈锦 ,  王禹

IPC: G06F21/62 ,  G06F21/60 ,  G06F16/182 ,  G06F9/445

Abstract: 本发明涉及数据安全领域，公开了一种对应用级用户实施大数据访问控制的方法和系统。该方法包括：对数据进行分级分类，对不同的数据敏感级别、不同的应用级用户创建管控策略；拦截应用级用户访问大数据库的请求，获取应用级用户信息，获取应用级用户的访问行为，匹配管控策略进行权限管控，执行放行、脱敏后放行、阻断。本方法通过策略管控，实现对应用级用户访问大数据库权限的精准管控。

公开(公告)号：CN114579961A

公开(公告)日：2022-06-03

申请号：CN202111572287.1

申请日：2021-12-21

Applicant: 中国信息安全测评中心

Inventor： 杨光 ,  都婧 ,  宋璟 ,  白云波 ,  王立松 ,  佟鑫

IPC: G06F21/55 ,  H04L47/2483

Abstract: 本发明公开了一种基于多行业检测规则的敏感数据识别方法及装置，包括：接收预先选定的敏感数据识别关键项，敏感数据识别关键项至少为一个；将敏感数据识别关键项转换为多行业敏感数据识别规则；获取待识别网络流量，确定待识别网络流量的流入地址和流出地址；对待识别网络流量进行恢复和拆解，得到临时文件；基于多行业敏感数据识别规则对临时文件进行识别，在待识别网络流量中的存在敏感数据的情况下，基于流入地址和流出地址对待识别网络流量中的敏感数据进行溯源。上述过程，在进行敏感数据识别过程中，确定了待识别网络流量中敏感数据的流入地址和流出地址，实现了对待识别网络流量中敏感数据的溯源，保证了敏感数据在网络流量中的安全性。

公开(公告)号：CN109101816B

公开(公告)日：2022-02-08

申请号：CN201810912373.4

申请日：2018-08-10

Applicant: 北京理工大学 ,  中国信息安全测评中心

Inventor： 王勇 ,  史小东 ,  梁杰 ,  孙青煜 ,  张继 ,  刘振岩 ,  薛静锋

IPC: G06F21/56

Abstract: 本发明公开了一种基于系统调用控制流图的恶意代码同源性分析方法，首先构造待分析程序的系统调用控制流图；所述系统调用控制流图是由系统调用节点构成的有向无权图，边的方向表示系统调用执行的先后关系；比较不同待分析程序的系统调用控制流图，以根据图相似度作为同源性分析的相似性度量，实现同源性分析。本发明利用系统调用控制流图进行同源性分析，系统调用控制流图完全忽略了软件代码的细节，只关注所调用的系统调用函数，因此简化了需要处理的数据量，所以基于系统调用的控制流图对程序行为的抽象程度最好。而且，由于只考虑系统调用从而在很大程度上规避了指令层的混淆，起到了抗混淆作用。

公开(公告)号：CN110163009B

公开(公告)日：2021-06-15

申请号：CN201910434154.4

申请日：2019-05-23

Applicant: 北京交通大学 ,  中国信息安全测评中心

Inventor： 李坚 ,  张振江 ,  刘云 ,  李佳欣

IPC: G06F21/64 ,  G06F16/182 ,  G06F16/16 ,  G06F16/11 ,  G06F11/14

Abstract: 本发明提供了一种HDFS存储平台的安全校验及修复的方法和装置。该装置设置在HDFS存储平台上，包括名字节点和数据节点；名字节点用于管理文件块的存储数据节点信息，接收数据节点发送的损坏的文件块的查询请求，向数据节点返回损坏的文件块的备份存储数据节点信息；数据节点用于存储文件块，对存储的文件块进行定期校验，检测文件块是否发生损坏，根据名字节点返回的损坏的文件块的备份存储数据节点信息从其它数据节点下载数据块，完成损坏的文件块的修复操作。本发明通过使用不可逆的MD5算法计算文件块校验值，解决了原系统中可能出现的文件篡改问题，保证了校验的可靠性，并实现了根据需要对校验间隔的调整，提高了校验效率。

公开(公告)号：CN111600637B

公开(公告)日：2021-05-25

申请号：CN202010401691.1

申请日：2020-05-13

Applicant: 中国信息安全测评中心

Inventor： 李贺鑫 ,  王宇航 ,  王蓓蓓 ,  陈佳哲 ,  孙亚飞 ,  张宝峰 ,  石竑松 ,  杨永生

IPC: H04B5/00

Abstract: 本申请提供了一种非接设备的侧信道信号采集系统，包括：读卡器、非接设备和与电磁线圈连接的信号采集设备；读卡器包括非接通信芯片和时钟输出装置；时钟输出装置，用于在预设程序控制下，输出载波参考时钟和采样时钟；采样时钟的频率是载波参考时钟的频率的整数倍；采样时钟的相位与载波参考时钟的相位间的差值为预设差值；非接通信芯片依据载波参考时钟控制天线模块产生初始载波信号；信号采集设备依据采样时钟采集目标载波信号的波峰值，和/或，波谷值，形成侧信道信号。本申请提高信号采集设备采集到的侧信道信号的准确性。

公开(公告)号：CN112637207A

公开(公告)日：2021-04-09

申请号：CN202011538629.3

申请日：2020-12-23

Applicant: 中国信息安全测评中心

Inventor： 刘照辉 ,  胡卫华 ,  施蕾 ,  孙岩炜 ,  杨宇晨 ,  孟祥杰 ,  熊申铎 ,  班晓芳 ,  李娟 ,  张鹏 ,  徐君锋 ,  蒋仲白

IPC: H04L29/06

Abstract: 本发明公开了一种网络安全态势的预测方法，包括：获取待预测网络中每个节点的当前网络安全态势要素集；基于当前网络安全态势要素集进行时间维度分析，得到下一时刻的预计网络安全态势要素集；基于当前网络安全态势要素集和预计网络安全态势要素集进行空间维度分析，得到下一时刻的各个攻击序列；计算每一个攻击序列的安全态势影响值，对各个安全态势影响值进行累加求和，得到待预测网络的目标安全态势值。上述方法中，在时间维度对网络安全态势要素进行预测，空间维度基于时间维度的预测结果确定攻击序列，基于攻击序列确定目标安全态势值，因此，目标安全态势值可以反映网络在时序和空间的安全状况，可以完整的体现网络未来的安全态势。

公开(公告)号：CN112579469A

公开(公告)日：2021-03-30

申请号：CN202011586940.5

申请日：2020-12-29

Applicant: 中国信息安全测评中心

Inventor： 王晓萌 ,  管志斌 ,  辛伟 ,  王嘉捷 ,  崔静 ,  景湘评

IPC: G06F11/36

Abstract: 本申请提供的源代码缺陷检测方法与装置，针对待进行缺陷检测的软件源代码，基于其语法结构，提取软件源代码中的数据流关系和控制流关系，并根据数据流关系和控制流关系，对软件源代码进行切片处理，生成用于输入至人工智能模型进行缺陷检测的蕴含上下文语义的代码片段，无需编译即可完成源代码解析及代码片段生成过程，从而，从输入数据角度来看，本申请同时支持输入可编译和/或不可编译的软件源代码，扩展了软件源代码缺陷检测的范围；同时，本申请利用人工智能技术自动学习源代码解析生成的语法树、数据流、控制流等代码上下文蕴含的缺陷模式和正常模式，在不依赖检测规则、专家经验和编译环境前提下即可实现源代码缺陷检测。