公开(公告)号：CN109688009B

公开(公告)日：2022-03-11

申请号：CN201811625046.7

申请日：2018-12-28

Applicant: 山东中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 李兴国 ,  王蒙 ,  苗功勋 ,  郑传义 ,  张庆亮 ,  崔新安

IPC: H04L41/142 ,  H04L43/08 ,  H04L43/0823

Abstract: 本发明提供一种基于业务流量空间图的网络异常数据挖掘方法，包括如下步骤:分析业务流量特征；根据部门间的业务流量形成业务流量矩阵，其中，业务流量矩阵中的每个元素代表两部门之间的业务流量可达关系；根据业务流量特征识别流量数据的具体业务数据并对业务流量矩阵进行初始化；通过对部门间的业务流量数据进行检测判断，进行业务流量矩阵的刷新；业务流量矩阵中表示部门之间流量可达占比变化低于设定阈值时视为网络关系确定，完成网络异常数据的筛选。

公开(公告)号：CN112202867A

公开(公告)日：2021-01-08

申请号：CN202011030185.2

申请日：2020-09-27

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 董方辉 ,  王蒙 ,  李兴国 ,  苗功勋

IPC: H04L29/08 ,  H04L29/06 ,  G06K9/62 ,  G06F17/16

Abstract: 本发明提供了一种应用于网络安全环境的工作流节点处置方法与系统，本发明通过对流程资源库中不满足流程匹配度的流程从流程资源库中删除，构建候选流程集，并对候选流程集中找到与推荐流程p满足给定的流程匹配度的流程，并从每个找到的流程中提取以流程p的结束节点为起始节点的流程路径作为推荐流程路径，构成推荐流程路径集，从而实现工作流节点的处置，本申请满足流程的多样性，适合复杂多样流程场景，并通过广度优先搜索算法，执行效率较高，且具有智能匹配性，流程不再需要繁琐的固化实现，极大提高了事件处置流程节点自动匹配和动态调整的效率。本发明不限于当前的网络安全环境，且可以抽象使用于更加泛化的场景。

公开(公告)号：CN109284317B

公开(公告)日：2021-07-06

申请号：CN201811259183.3

申请日：2018-10-26

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 李兴国 ,  苗功勋 ,  郑传义 ,  王蒙 ,  崔新安 ,  张庆亮

IPC: G06F16/2458

Abstract: 本发明提供一种基于时序有向图的窃取信息线索提取与分段评估方法，包括如下步骤：获取整个内网中的日志信息，包括内网中各种防护和监管设备生成的海量日志数据，并在获取过程中对日志信息进行清洗和标注，形成范式化（格式化）线索数据。范式化的线索数据，至少要包含线索主体，关联属性，线索所属阶段和线索时间四方面的信息。然后，将每个线索数据作为顶点，关联属性作为边，对选定时间内的所有线索数据进行有向串联，形成一个内网线索和关联属性组成的有向图。之后，遍历有向图提取出信息窃取线索链，建立信息窃取评估函数对每一条线索链进行线索评估，评估主要通过线索点数量和线索阶段完整度评测。对线索链评估风险值较高的线索链进行提取和告警。

公开(公告)号：CN111817888A

公开(公告)日：2020-10-23

申请号：CN202010609429.6

申请日：2020-06-29

Applicant: 中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司 ,  南京中孚信息技术有限公司

Inventor： 于通 ,  王蒙 ,  李兴国 ,  苗功勋

IPC: H04L12/24 ,  H04L29/06

Abstract: 本发明提供了一种基于单一状态机的网络日志解析方法，本发明语法简单、复用率高，因为状态机的特性，可以提取出高频共用的规则为公共状态机，实现复用，例如各种格式的时间、地区、设备厂商、IP地址等，新日志可以继续使用旧有的抽取的关键字直接替代；执行效率高，在日志处理过程中只经过一个整合过的状态机，不再有多余的处理；可扩展性强，通过不断编译增强的状态机可以解决各种复杂日志，在利用共用的关键字的基础上，增加相关规则即可；还原业务场景度较高，在现实场景下，对单词的识别会比一串字符有更高的识别准确率，加入词义的规则过滤，更加有利于消除日志表述中的歧义，为数据采集提供更准确的信息。

公开(公告)号：CN109284317A

公开(公告)日：2019-01-29

申请号：CN201811259183.3

申请日：2018-10-26

Applicant: 山东中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 李兴国 ,  苗功勋 ,  郑传义 ,  王蒙 ,  崔新安 ,  张庆亮

IPC: G06F16/2458

Abstract: 本发明提供一种基于时序有向图的窃取信息线索提取与分段评估方法，包括如下步骤：获取整个内网中的日志信息，包括内网中各种防护和监管设备生成的海量日志数据，并在获取过程中对日志信息进行清洗和标注，形成范式化（格式化）线索数据。范式化的线索数据，至少要包含线索主体，关联属性，线索所属阶段和线索时间四方面的信息。然后，将每个线索数据作为顶点，关联属性作为边，对选定时间内的所有线索数据进行有向串联，形成一个内网线索和关联属性组成的有向图。之后，遍历有向图提取出信息窃取线索链，建立信息窃取评估函数对每一条线索链进行线索评估，评估主要通过线索点数量和线索阶段完整度评测。对线索链评估风险值较高的线索链进行提取和告警。

公开(公告)号：CN109688009A

公开(公告)日：2019-04-26

申请号：CN201811625046.7

申请日：2018-12-28

Applicant: 山东中孚安全技术有限公司 ,  中孚信息股份有限公司 ,  北京中孚泰和科技发展股份有限公司

Inventor： 李兴国 ,  王蒙 ,  苗功勋 ,  郑传义 ,  张庆亮 ,  崔新安

IPC: H04L12/24 ,  H04L12/26

CPC classification number: H04L41/142 ,  H04L43/08 ,  H04L43/0823

Abstract: 本发明提供一种基于业务流量空间图的网络异常数据挖掘方法，包括如下步骤:分析业务流量特征；根据部门间的业务流量形成业务流量矩阵，其中，业务流量矩阵中的每个元素代表两部门之间的业务流量可达关系；根据业务流量特征识别流量数据的具体业务数据并对业务流量矩阵进行初始化；通过对部门间的业务流量数据进行检测判断，进行业务流量矩阵的刷新；业务流量矩阵中表示部门之间流量可达占比变化低于设定阈值时视为网络关系确定，完成网络异常数据的筛选。