公开(公告)号：CN102799954A

公开(公告)日：2012-11-28

申请号：CN201210249442.0

申请日：2012-07-18

Applicant: 中国信息安全测评中心 ,  北京启明星辰信息安全技术有限公司

Inventor： 曲武 ,  刘晖 ,  刘恒 ,  易锦 ,  彭建芬 ,  王星 ,  赵向辉

IPC: G06Q10/04

Abstract: 本发明公开了一种适用于风险评估的多目标优化方法及系统，克服目前企业管理和决策中还没有快速有效地从海量的风险评估数据中找出最风险的相应技术的缺陷，该方法包括：在待评估系统的风险计算中引入指导意见性因素并进行风险计算，获得风险评估值；采用多目标优化方法对所述风险评估值进行查询处理，获得所述待评估系统的多目标优化处理结果。本发明的实施例适用于风险评估的多目标优化，利用本发明的实施例可以对最风险问题进行研究。

公开(公告)号：CN102915347B

公开(公告)日：2016-10-12

申请号：CN201210365295.3

申请日：2012-09-26

Applicant: 中国信息安全测评中心 ,  北京启明星辰信息安全技术有限公司

Inventor： 吴世忠 ,  曲武 ,  李世贤 ,  王君鹤 ,  偰赓 ,  陈巍

IPC: G06F17/30

CPC classification number: H04L9/3236

Abstract: 本发明公开了一种分布式数据流聚类方法及系统，克服目前大多数的数据流聚类算法不能在分布式云环境下运行并不能轻易地进行扩展，运行时间效率较差的不足，该方法包括：对数据流进行概要处理，获得数据流的多个特征向量；利用位置敏感哈希算法获得各自包含有至少一个特征向量的多个聚类簇，并从中选取至少一个聚类簇作为候选聚类簇；周期地使用所述候选聚类簇对新到的数据流的特征向量进行聚类处理。本申请的实施例基于位置敏感哈希的聚类算法保证了比现有技术具有更好的实时性能。

公开(公告)号：CN105681250A

公开(公告)日：2016-06-15

申请号：CN201410655378.5

申请日：2014-11-17

Applicant: 中国信息安全测评中心 ,  北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 胡卫华 ,  班晓芳 ,  曲武 ,  张利 ,  孟祥杰 ,  刘锡峰 ,  梁杰

IPC: H04L29/06

Abstract: 本发明公开了一种僵尸网络分布式实时检测方法和系统，包括：数据生成组件生成网络流量元数据Netflow信息，并发送给数据检测组件；数据检测组件的检测模型训练单元从经过标注的训练数据中提取多个训练检测特征，建立作为实时检测单元的检测标准的检测模型；数据检测组件的实时检测单元接收实时发送的Netflow信息，并提取多个检测特征，与上述检测模型进行比较，当比较结果匹配时，得出包括检测对象标识符的告警信息，将所述告警信息与主机黑白名单比较，得出确认受控僵尸主机和可疑受控僵尸主机。本发明的方案既可以应用在千兆流量的企业网，又可以应用到ISPs网络中；提高了僵尸网络检测的总体检测性能。

公开(公告)号：CN102799954B

公开(公告)日：2015-10-28

申请号：CN201210249442.0

申请日：2012-07-18

Applicant: 中国信息安全测评中心 ,  北京启明星辰信息安全技术有限公司

Inventor： 曲武 ,  刘晖 ,  刘恒 ,  易锦 ,  彭建芬 ,  王星 ,  赵向辉

IPC: G06F17/00

Abstract: 本发明公开了一种适用于风险评估的多目标优化方法及系统，克服目前企业管理和决策中还没有快速有效地从海量的风险评估数据中找出最风险的相应技术的缺陷，该方法包括：在待评估系统的风险计算中引入指导意见性因素并进行风险计算，获得风险评估值；采用多目标优化方法对所述风险评估值进行查询处理，获得所述待评估系统的多目标优化处理结果。本发明的实施例适用于风险评估的多目标优化，利用本发明的实施例可以对最风险问题进行研究。

公开(公告)号：CN105681250B

公开(公告)日：2019-04-02

申请号：CN201410655378.5

申请日：2014-11-17

Applicant: 中国信息安全测评中心 ,  北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 胡卫华 ,  班晓芳 ,  曲武 ,  张利 ,  孟祥杰 ,  刘锡峰 ,  梁杰

IPC: H04L29/06

Abstract: 本发明公开了一种僵尸网络分布式实时检测方法和系统，包括：数据生成组件生成网络流量元数据Netflow信息，并发送给数据检测组件；数据检测组件的检测模型训练单元从经过标注的训练数据中提取多个训练检测特征，建立作为实时检测单元的检测标准的检测模型；数据检测组件的实时检测单元接收实时发送的Netflow信息，并提取多个检测特征，与上述检测模型进行比较，当比较结果匹配时，得出包括检测对象标识符的告警信息，将所述告警信息与主机黑白名单比较，得出确认受控僵尸主机和可疑受控僵尸主机。本发明的方案既可以应用在千兆流量的企业网，又可以应用到ISPs网络中；提高了僵尸网络检测的总体检测性能。

公开(公告)号：CN102915347A

公开(公告)日：2013-02-06

申请号：CN201210365295.3

申请日：2012-09-26

Applicant: 中国信息安全测评中心 ,  北京启明星辰信息安全技术有限公司

Inventor： 吴世忠 ,  曲武 ,  李世贤 ,  王君鹤 ,  偰赓 ,  陈巍

IPC: G06F17/30

CPC classification number: H04L9/3236

Abstract: 本发明公开了一种分布式数据流聚类方法及系统，克服目前大多数的数据流聚类算法不能在分布式云环境下运行并不能轻易地进行扩展，运行时间效率较差的不足，该方法包括：对数据流进行概要处理，获得数据流的多个特征向量；利用位置敏感哈希算法获得各自包含有至少一个特征向量的多个聚类簇，并从中选取至少一个聚类簇作为候选聚类簇；周期地使用所述候选聚类簇对新到的数据流的特征向量进行聚类处理。本申请的实施例基于位置敏感哈希的聚类算法保证了比现有技术具有更好的实时性能。

公开(公告)号：CN105024969B

公开(公告)日：2018-04-03

申请号：CN201410155997.8

申请日：2014-04-17

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 侯伟 ,  曲武 ,  周涛

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种实现恶意域名识别的方法及装置，包括：提取域名系统（DNS）域名的动态特征集合，通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断；根据动态特征集合的恶意域名高可信判断结果，确定DNS域名是否为恶意域名，并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中；动态特征集合至少包含：与IP相关的特征、和/或权威DNS服务器主域名一致率。本申请的技术方案实现了根据动态特征集合进行恶意域名确定；通过静态特征高可信判断和动态特征高可信判断，提高了恶意域名的识别效率。

公开(公告)号：CN105337789A

公开(公告)日：2016-02-17

申请号：CN201410394892.8

申请日：2014-08-12

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 李陟 ,  曲武

IPC: H04L12/26

Abstract: 本发明公开了一种监控虚拟网络流量的方法和装置，应用于KVM虚拟化环境中基于Linux Bridge实现的虚拟网络，预先在虚拟网络的宿主系统上设置监控代理，并将宿主系统中的Linux Bridge的工作模式设置为混杂模式；其中，监控代理用于捕获连接多台虚拟机的Linux Bridge的二层数据包；该方法包括：监控代理捕获所有通过Linux Bridge的二层数据包；监控代理判断出需要对捕获的数据包进行安全监控，将捕获的数据包发送给安全虚拟机。本发明通过监控代理在捕获到通过Linux Bridge的二层数据包后，将需要进行安全监控的数据包发送给安全虚拟机进行安全检测，从而实现对虚拟网络流量进行监控。

公开(公告)号：CN103678613A

公开(公告)日：2014-03-26

申请号：CN201310693308.4

申请日：2013-12-17

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 王君鹤 ,  曲武 ,  周涛 ,  叶润国

IPC: G06F17/30

CPC classification number: G06F17/30702 ,  G06Q50/01

Abstract: 本发明公开了一种计算影响力数据的方法与装置；所述方法适用于社交网络，包括：以指定信息的标识作为输入，从预定的社交网络的服务器中爬取所述指定信息的用户操作数据；根据所爬取的所述用户操作数据计算每天的用户参与次数；分别计算每天的参与次数增长率；比较各相邻天的所述参与次数增长率，选出当天的所述参与次数增长率与前N天的参与次数增长率之差均大于第一预定阈值的日期、以及前M天的参与增长率均为负值，当天的所述参与次数增长率为正值且当天的用户参与次数大于第二预定阈值的日期。本发明能够提高社交网络的影响力数据的正确性和可靠性，更加符合实际情况。

公开(公告)号：CN104751055A

公开(公告)日：2015-07-01

申请号：CN201310753120.4

申请日：2013-12-31

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 曲武 ,  王君鹤 ,  周涛 ,  叶润国

IPC: G06F21/56

Abstract: 一种基于纹理的分布式恶意代码检测装置及方法；装置包括：纹理指纹提取单元，用于根据恶意代码PE文件生成恶意代码纹理指纹向量集合，提取待检测样本的纹理指纹向量；布隆过滤器索引结构建立单元，用于将恶意代码纹理指纹向量集合映射到Bloom-Filter索引结构中；分布式LSH索引结构建立单元，用于建立分布式LSH索引结构；分布式变种检测单元用于当精确检测单元未命中时，建立目标查询集，计算其位置敏感哈希值、机器标识和哈希桶标识，根据计算结果在分布式LSH索引结构中找到相应的恶意代码纹理指纹向量，进行比较，得到检测结果。本发明能够检测未知恶意代码及其类型。