公开(公告)号：CN117009048A

公开(公告)日：2023-11-07

申请号：CN202310572694.5

申请日：2023-05-19

Applicant: 中国信息安全测评中心

Inventor： 孙博文 ,  蒋仲白 ,  熊申铎 ,  梁智溢 ,  张鹏 ,  李烨昊

IPC: G06F9/48 ,  G06F18/214 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明提供一种基于主机日志序列化分析的攻击调查方法，涉及网络安全技术领域。方法包括：S1：采集系统的日志数据；S2：根据日志数据的访问关系，构建系统的进程调用因果图；S3：对进程调用因果图进行预处理，去除不必要的实体；S4：根据预处理后的进程调用因果图，构建每个实体的动作事件序列；S5：将序列进行向量化处理，构建序列研判模型，并采用实体的属性标签对序列研判模型进行训练；S6：利用训练出来的序列研判模型对新的序列进行预测，使新的序列形成预测的属性标签，其中，预测的属性标签反映实体是否具有威胁行为。该方法能够基于单位或机构内部的多源日志进行智能化日志分析，并利用分析结果来判定攻击实体和攻击行为。

公开(公告)号：CN112637207A

公开(公告)日：2021-04-09

申请号：CN202011538629.3

申请日：2020-12-23

Applicant: 中国信息安全测评中心

Inventor： 刘照辉 ,  胡卫华 ,  施蕾 ,  孙岩炜 ,  杨宇晨 ,  孟祥杰 ,  熊申铎 ,  班晓芳 ,  李娟 ,  张鹏 ,  徐君锋 ,  蒋仲白

IPC: H04L29/06

Abstract: 本发明公开了一种网络安全态势的预测方法，包括：获取待预测网络中每个节点的当前网络安全态势要素集；基于当前网络安全态势要素集进行时间维度分析，得到下一时刻的预计网络安全态势要素集；基于当前网络安全态势要素集和预计网络安全态势要素集进行空间维度分析，得到下一时刻的各个攻击序列；计算每一个攻击序列的安全态势影响值，对各个安全态势影响值进行累加求和，得到待预测网络的目标安全态势值。上述方法中，在时间维度对网络安全态势要素进行预测，空间维度基于时间维度的预测结果确定攻击序列，基于攻击序列确定目标安全态势值，因此，目标安全态势值可以反映网络在时序和空间的安全状况，可以完整的体现网络未来的安全态势。

公开(公告)号：CN107566376B

公开(公告)日：2020-05-05

申请号：CN201710811532.7

申请日：2017-09-11

Applicant: 中国信息安全测评中心

Inventor： 胡卫华 ,  田斌 ,  刘遥 ,  阙为涛 ,  张利 ,  易锦 ,  彭勇 ,  刘照辉 ,  偰赓 ,  冯永胜 ,  张鹏

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62

Abstract: 本发明实施例提供了一种威胁情报生成方法、装置及系统，通过对DNS流量进行分析，得到过滤掉合法域名的目标域名，并利用机器学习方法对目标域名进行聚类，将聚类后的域名过滤后得到恶意域名，将恶意域名和其映射后的IP与预设的网络信息进行关联，生成威胁情报图谱，最后再根据证据链传递算法和威胁情报关联图谱中已标注的威胁情报，对未知威胁数据进行标注，确定出未知威胁数据的属性，并对确定出属性的未知威胁数据进行过滤，得到新的威胁情报。由此，利用了各个数据之间的联系，自动生成了新的威胁情报，并且在一定程度上解决了“数据孤岛”问题。并且本发明实施例提供的威胁情报关联图谱具有良好的可视化威胁追溯取证能力。

公开(公告)号：CN107682399A

公开(公告)日：2018-02-09

申请号：CN201710753611.7

申请日：2017-08-29

Applicant: 中国信息安全测评中心 ,  成都科来软件有限公司

Inventor： 孟祥杰 ,  田斌 ,  张利 ,  易锦 ,  刘照辉 ,  胡卫华 ,  梁杰 ,  姚原岗 ,  偰赓 ,  刘遥 ,  张鹏 ,  罗鹰 ,  侯勇军 ,  钟峰 ,  田红伟 ,  陈伟清 ,  刘智

IPC: H04L29/08 ,  G06F17/30

Abstract: 本发明公开了一种基于大数据的文件夹断点续传方法，其特征在于，包括以下步骤：步骤1：客服端选择待上传文件夹，并向NameNode服务器发送文件上传请求；步骤2：NameNode服务器解析并获取待上传文件夹的协议头信息，同时根据获取的协议头信息生成该待上传文件夹的数据信息等步骤。本发明将生成的待上传文件夹的数据信息存入NameNode服务器的内存数据库中，从而对NameNode服务器进行改造，使服务器支持文件夹的断点续传；当文件夹在上传的过程中其内部的文件出现上传失败时，下一次上传则可以从断点位置开始将剩余未上传的文件进行上传，而无需从头开始重新上传文件夹，因此其极大的提高了文件夹的上传效率。

公开(公告)号：CN107566376A

公开(公告)日：2018-01-09

申请号：CN201710811532.7

申请日：2017-09-11

Applicant: 中国信息安全测评中心

Inventor： 胡卫华 ,  田斌 ,  刘遥 ,  阙为涛 ,  张利 ,  易锦 ,  彭勇 ,  刘照辉 ,  偰赓 ,  冯永胜 ,  张鹏

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62

Abstract: 本发明实施例提供了一种威胁情报生成方法、装置及系统，通过对DNS流量进行分析，得到过滤掉合法域名的目标域名，并利用机器学习方法对目标域名进行聚类，将聚类后的域名过滤后得到恶意域名，将恶意域名和其映射后的IP与预设的网络信息进行关联，生成威胁情报图谱，最后再根据证据链传递算法和威胁情报关联图谱中已标注的威胁情报，对未知威胁数据进行标注，确定出未知威胁数据的属性，并对确定出属性的未知威胁数据进行过滤，得到新的威胁情报。由此，利用了各个数据之间的联系，自动生成了新的威胁情报，并且在一定程度上解决了“数据孤岛”问题。并且本发明实施例提供的威胁情报关联图谱具有良好的可视化威胁追溯取证能力。

公开(公告)号：CN111522555A

公开(公告)日：2020-08-11

申请号：CN202010336411.3

申请日：2020-04-24

Applicant: 中国信息安全测评中心

Inventor： 徐君锋 ,  刘照辉 ,  张鹏 ,  施蕾 ,  孙博文

IPC: G06F8/41 ,  G06F8/53 ,  G06F11/36

Abstract: 本申请提供了apk文件加固方法、加固apk文件解密方法及相关装置，其中，apk文件加固方法包括：对预置apk文件进行逆向工程编译，得到第一dex文件，对待加固的原始apk文件进行异或；对异或后的apk文件中的dex文件采用密钥进行加密，得到处理后的apk文件；将处理后的apk文件、处理后的apk文件的大小，以及加固标识写到第一dex文件的尾部，得到第二dex文件；对第二dex文件进行修复；采用修复后的第二dex文件替换预置apk文件中的dex文件；删除预置apk文件的签名文件；对预置apk文件重新进行签名。由于生成不同终端的加固apk文件过程中对原始apk文件中的dex文件进行加密所采用的密钥不同，增加了攻击者获取到原始apk文件的实现细节的难度，从而，提高对原始apk文件的保护力度。

公开(公告)号：CN107682399B

公开(公告)日：2020-07-14

申请号：CN201710753611.7

申请日：2017-08-29

Applicant: 中国信息安全测评中心 ,  成都科来软件有限公司

Inventor： 孟祥杰 ,  田斌 ,  张利 ,  易锦 ,  刘照辉 ,  胡卫华 ,  梁杰 ,  姚原岗 ,  偰赓 ,  刘遥 ,  张鹏 ,  罗鹰 ,  侯勇军 ,  钟峰 ,  田红伟 ,  陈伟清 ,  刘智

IPC: H04L29/08 ,  G06F16/245

Abstract: 本发明公开了一种基于大数据的文件夹断点续传方法，其特征在于，包括以下步骤：步骤1：客服端选择待上传文件夹，并向NameNode服务器发送文件上传请求；步骤2：NameNode服务器解析并获取待上传文件夹的协议头信息，同时根据获取的协议头信息生成该待上传文件夹的数据信息等步骤。本发明将生成的待上传文件夹的数据信息存入NameNode服务器的内存数据库中，从而对NameNode服务器进行改造，使服务器支持文件夹的断点续传；当文件夹在上传的过程中其内部的文件出现上传失败时，下一次上传则可以从断点位置开始将剩余未上传的文件进行上传，而无需从头开始重新上传文件夹，因此其极大的提高了文件夹的上传效率。