公开(公告)号：CN109714312B

公开(公告)日：2020-04-24

申请号：CN201811377152.8

申请日：2018-11-19

Applicant: 中国科学院信息工程研究所

Inventor： 李凤华 ,  王竹 ,  李子孚 ,  耿魁 ,  李莉

IPC: H04L29/06 ,  G06F16/35

Abstract: 本发明实施例提供一种基于外部威胁的采集策略生成方法及系统。方法包括：若接收到外部威胁预警信息，则基于外部威胁预警信息和预先存储的信息库，确定网络中需激活的采集代理集合，并从采集代理集合中选取任意一个或多个采集代理，组成目标采集代理集合；确定目标采集代理集合中采集代理对应的分项信息；基于目标采集代理集合中采集代理及对应的分项信息，生成网络中的采集策略集合。本发明实施例提供的方法及系统，通过外部威胁预警信息和预先存储的信息库，制定协同采集策略，能够根据采集能力进行差异化采集，保证了采集得到的数据的有效性，使得网络中计算、存储和带宽等资源的浪费率降低，也能同时保证对网络威胁的有效检测。

公开(公告)号：CN109688105B

公开(公告)日：2020-07-07

申请号：CN201811377198.X

申请日：2018-11-19

Applicant: 中国科学院信息工程研究所

Inventor： 李凤华 ,  张玲翠 ,  李莉 ,  周曙光

IPC: H04L29/06

Abstract: 本发明实施例提供一种威胁报警信息生成方法及系统。其中，方法包括：根据威胁特征库，判定获取到的目标信息是否可表征网络受到威胁，其中，目标信息为原始采集信息或异常行为信息；若判定目标信息可表征网络受到威胁，则根据威胁特征库、网络上下文信息和目标信息中的任意一种或多种，生成威胁报警信息，其中，威胁报警信息基于统一描述格式进行归一化描述。本发明实施例提供一种威胁报警信息生成方法及系统，通过将多系统、多用户、多时间、多地域的原始采集信息和/或异常行为信息进行汇聚分析，识别出威胁事件，并转换为统一的威胁报警格式，使得对网络安全进行有效监测，为数据采集、网络安全监测和威胁处置提供有效的支撑。

公开(公告)号：CN109639648B

公开(公告)日：2020-07-07

申请号：CN201811376265.6

申请日：2018-11-19

Applicant: 中国科学院信息工程研究所

Inventor： 李凤华 ,  谢绒娜 ,  张玲翠 ,  金伟 ,  李莉

IPC: H04L29/06

Abstract: 本发明实施例提供一种基于采集数据异常的采集策略生成方法及系统，方法包括：若判定获知目标网络中的采集代理上报的采集数据异常，则根据异常采集数据对应的采集项和预先存储的信息库，确定目标网络中需激活的采集代理集合，以及采集代理集合中采集代理的采集项、采集频率和采集优先级，生成目标网络中的采集策略。本发明实施例提供的方法及系统，针对异常采集数据制定协同采集策略，能够使得采集代理根据采集能力进行差异化数据采集，保证了采集得到的采集数据的有效性，使得网络中计算、存储和带宽等资源的浪费率大大降低，也能同时保证对网络运行状况的重点监测和威胁的有效检测。

公开(公告)号：CN109714312A

公开(公告)日：2019-05-03

申请号：CN201811377152.8

申请日：2018-11-19

Applicant: 中国科学院信息工程研究所

Inventor： 李凤华 ,  王竹 ,  李子孚 ,  耿魁 ,  李莉

IPC: H04L29/06 ,  G06F16/35

Abstract: 本发明实施例提供一种基于外部威胁的采集策略生成方法及系统。方法包括：若接收到外部威胁预警信息，则基于外部威胁预警信息和预先存储的信息库，确定网络中需激活的采集代理集合，并从采集代理集合中选取任意一个或多个采集代理，组成目标采集代理集合；确定目标采集代理集合中采集代理对应的分项信息；基于目标采集代理集合中采集代理及对应的分项信息，生成网络中的采集策略集合。本发明实施例提供的方法及系统，通过外部威胁预警信息和预先存储的信息库，制定协同采集策略，能够根据采集能力进行差异化采集，保证了采集得到的数据的有效性，使得网络中计算、存储和带宽等资源的浪费率降低，也能同时保证对网络威胁的有效检测。

公开(公告)号：CN109688105A

公开(公告)日：2019-04-26

申请号：CN201811377198.X

申请日：2018-11-19

Applicant: 中国科学院信息工程研究所

Inventor： 李凤华 ,  张玲翠 ,  李莉 ,  周曙光

IPC: H04L29/06

Abstract: 本发明实施例提供一种威胁报警信息生成方法及系统。其中，方法包括：根据威胁特征库，判定获取到的目标信息是否可表征网络受到威胁，其中，目标信息为原始采集信息或异常行为信息；若判定目标信息可表征网络受到威胁，则根据威胁特征库、网络上下文信息和目标信息中的任意一种或多种，生成威胁报警信息，其中，威胁报警信息基于统一描述格式进行归一化描述。本发明实施例提供一种威胁报警信息生成方法及系统，通过将多系统、多用户、多时间、多地域的原始采集信息和/或异常行为信息进行汇聚分析，识别出威胁事件，并转换为统一的威胁报警格式，使得对网络安全进行有效监测，为数据采集、网络安全监测和威胁处置提供有效的支撑。

公开(公告)号：CN109639648A

公开(公告)日：2019-04-16

申请号：CN201811376265.6

申请日：2018-11-19

Applicant: 中国科学院信息工程研究所

Inventor： 李凤华 ,  谢绒娜 ,  张玲翠 ,  金伟 ,  李莉

IPC: H04L29/06

Abstract: 本发明实施例提供一种基于采集数据异常的采集策略生成方法及系统，方法包括：若判定获知目标网络中的采集代理上报的采集数据异常，则根据异常采集数据对应的采集项和预先存储的信息库，确定目标网络中需激活的采集代理集合，以及采集代理集合中采集代理的采集项、采集频率和采集优先级，生成目标网络中的采集策略。本发明实施例提供的方法及系统，针对异常采集数据制定协同采集策略，能够使得采集代理根据采集能力进行差异化数据采集，保证了采集得到的采集数据的有效性，使得网络中计算、存储和带宽等资源的浪费率大大降低，也能同时保证对网络运行状况的重点监测和威胁的有效检测。