公开(公告)号：CN112637207A

公开(公告)日：2021-04-09

申请号：CN202011538629.3

申请日：2020-12-23

Applicant: 中国信息安全测评中心

Inventor： 刘照辉 ,  胡卫华 ,  施蕾 ,  孙岩炜 ,  杨宇晨 ,  孟祥杰 ,  熊申铎 ,  班晓芳 ,  李娟 ,  张鹏 ,  徐君锋 ,  蒋仲白

IPC: H04L29/06

Abstract: 本发明公开了一种网络安全态势的预测方法，包括：获取待预测网络中每个节点的当前网络安全态势要素集；基于当前网络安全态势要素集进行时间维度分析，得到下一时刻的预计网络安全态势要素集；基于当前网络安全态势要素集和预计网络安全态势要素集进行空间维度分析，得到下一时刻的各个攻击序列；计算每一个攻击序列的安全态势影响值，对各个安全态势影响值进行累加求和，得到待预测网络的目标安全态势值。上述方法中，在时间维度对网络安全态势要素进行预测，空间维度基于时间维度的预测结果确定攻击序列，基于攻击序列确定目标安全态势值，因此，目标安全态势值可以反映网络在时序和空间的安全状况，可以完整的体现网络未来的安全态势。

公开(公告)号：CN105681250B

公开(公告)日：2019-04-02

申请号：CN201410655378.5

申请日：2014-11-17

Applicant: 中国信息安全测评中心 ,  北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 胡卫华 ,  班晓芳 ,  曲武 ,  张利 ,  孟祥杰 ,  刘锡峰 ,  梁杰

IPC: H04L29/06

Abstract: 本发明公开了一种僵尸网络分布式实时检测方法和系统，包括：数据生成组件生成网络流量元数据Netflow信息，并发送给数据检测组件；数据检测组件的检测模型训练单元从经过标注的训练数据中提取多个训练检测特征，建立作为实时检测单元的检测标准的检测模型；数据检测组件的实时检测单元接收实时发送的Netflow信息，并提取多个检测特征，与上述检测模型进行比较，当比较结果匹配时，得出包括检测对象标识符的告警信息，将所述告警信息与主机黑白名单比较，得出确认受控僵尸主机和可疑受控僵尸主机。本发明的方案既可以应用在千兆流量的企业网，又可以应用到ISPs网络中；提高了僵尸网络检测的总体检测性能。

公开(公告)号：CN106980789A

公开(公告)日：2017-07-25

申请号：CN201710120552.X

申请日：2017-03-02

Applicant: 中国信息安全测评中心

Inventor： 陈锦 ,  佟鑫 ,  宋璟 ,  王禹 ,  李斌 ,  班晓芳

IPC: G06F21/57

CPC classification number: G06F21/577 ,  G06F2221/034

Abstract: 本发明提供一种业务分析方法及装置、业务安全的评估方法及系统，属于信息安全技术领域，其可解决现有的面向资产的风险评估方法因忽略了业务层面的不同业务的安全需求以及业务自身运行的安全，从而导致评估结果缺乏针对性和有效性的问题。本发明的业务分析方法，包括采用企业构架模型对业务进行分析的步骤；其中，企业构架模型包括由上至下的业务层、数据层、应用层和基础设施层；对业务的描述与业务层对应；与业务对应的输入数据、输出数据和控制数据与数据层对应；支持业务的软件应用系统与应用层对应；支持软件应用系统通信的设施和信息处理的硬件与软件平台与基础设施层对应。

公开(公告)号：CN105681250A

公开(公告)日：2016-06-15

申请号：CN201410655378.5

申请日：2014-11-17

Applicant: 中国信息安全测评中心 ,  北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 胡卫华 ,  班晓芳 ,  曲武 ,  张利 ,  孟祥杰 ,  刘锡峰 ,  梁杰

IPC: H04L29/06

Abstract: 本发明公开了一种僵尸网络分布式实时检测方法和系统，包括：数据生成组件生成网络流量元数据Netflow信息，并发送给数据检测组件；数据检测组件的检测模型训练单元从经过标注的训练数据中提取多个训练检测特征，建立作为实时检测单元的检测标准的检测模型；数据检测组件的实时检测单元接收实时发送的Netflow信息，并提取多个检测特征，与上述检测模型进行比较，当比较结果匹配时，得出包括检测对象标识符的告警信息，将所述告警信息与主机黑白名单比较，得出确认受控僵尸主机和可疑受控僵尸主机。本发明的方案既可以应用在千兆流量的企业网，又可以应用到ISPs网络中；提高了僵尸网络检测的总体检测性能。

公开(公告)号：CN113496032A

公开(公告)日：2021-10-12

申请号：CN202010262937.1

申请日：2020-04-03

Applicant: 中国信息安全测评中心 ,  北京奇虎科技有限公司

Inventor： 范新普 ,  齐文渊 ,  班晓芳 ,  王禹 ,  陈锦 ,  成林

IPC: G06F21/55 ,  G06F21/60 ,  G06F21/62

Abstract: 本发明公开了一种基于分布式计算和规则引擎的大数据作业异常监控系统，所述系统通过日志采集系统，通过从大数据作业平台中获得分布式消息队列获得待分析日志；从预设安全策略库中获得与待分析日志的日志类别对应的目标安全策略；根据预设平台异常行为特征和目标安全策略对待分析日志进行审计和聚合分析；根据目标分析结果确定是否告警，并将目标分析结果进行存储，能够对用户提交作业、日志及访问数据等行为进行监控审计，提高对异常行为数据进行针对性的分析，根据对应的安全策略对异常行为数据进行相应的处理，能够实现对大数据平台上的异常行为数据进行快速发现和响应，保证了大数据平台数据的安全性和稳定性，提高了用户使用体验。

公开(公告)号：CN111914257A

公开(公告)日：2020-11-10

申请号：CN202010771525.0

申请日：2020-08-04

Applicant: 中国信息安全测评中心

Inventor： 崔甲 ,  施蕾 ,  胡卫华 ,  班晓芳

IPC: G06F21/56 ,  G06K9/62 ,  G06F16/35

Abstract: 本申请提供了一种文档检测的方法、装置、设备、及计算机存储介质，该方法包括：获取待检测文档中的每一个文件的路径特征和内容特征；将所有的路径特征和所有的内容特征进行筛选，分别将筛选得到的每一个路径特征和每一个内容特征，作为待检测文档的待检测特征；分别针对每一个待检测特征，将待检测特征输入至文档检测模型中，得到待检测特征的判断结果；其中，判断结果用于说明待检测特征对应的文件是否为恶意文件；文档检测模型由多个训练样本文档各自对应的特征集合对随机森林分类器进行训练得到。从而达到无论恶意文件是否已知，都可以准确识别在大规模的文档中的恶意文件的目的。

公开(公告)号：CN101908117A

公开(公告)日：2010-12-08

申请号：CN201010263360.2

申请日：2010-08-26

Applicant: 中国信息安全测评中心 ,  北京天融信科技有限公司

Inventor： 汤泰鼎 ,  张利 ,  胡卫华 ,  班晓芳 ,  姚轶崭

IPC: G06F21/00 ,  G06Q10/00

Abstract: 本发明公开了一种基于资产CIA的信息安全事件的定级管理方法，包括：A、利用事件分类映射获取信息安全事件的初始级别；B、确定信息安全事件的主要受影响资产；C、根据主要受影响资产的CIA和信息安全事件的初始级别，计算信息安全事件的最终级别；D、根据信息安全事件的最终级别进行信息安全事件的管理。本发明还公开了一种基于资产CIA的信息安全事件定级管理装置。本发明通过主要受影响资产的CIA和信息安全事件的初始级别计算出来的信息安全事件的最终级别，对信息安全事件进行管理，更准确、有效的反应信息安全事件在企业和组织中需要被关注的程度，提高企业与组织对信息安全事件的管理效率，更有效的满足企业和组织对信息安全事件的管理需求。