公开(公告)号：CN112783726B

公开(公告)日：2024-12-13

申请号：CN202110113168.3

申请日：2021-01-27

Applicant: 中国信息安全测评中心

Inventor： 杨一未 ,  孙成昊 ,  易锦 ,  张丹

IPC: G06F11/30 ,  G06F16/951

Abstract: 本申请实施例提供了一种报警信息的生成方法、装置、设备及可读存储介质，响应于接收到日志，更新异常次数，若第一计时时间达到第一预设时间时，异常次数不等于0，至少依据历史日志，获取等待恢复时间，在第二计时时间达到等待恢复时间时，在第二计时时间指示的时间段内接收到的日志均为异常日志，生成报警信息。异常次数为连续接收到异常日志的次数，第一计时时间指示连续接收到异常日志的时长，第二计时时间指示距离第一计时时间达到第一预设时间的时刻的时间，说明在第一计时时间内接收到至少一次异常日志后，在等待恢复时间指示的时间内导致异常日志的故障没有恢复。可见，本方法生成的报警信息准确度高。

公开(公告)号：CN112395607B

公开(公告)日：2024-05-07

申请号：CN202011378007.9

申请日：2020-11-30

Applicant: 中国信息安全测评中心

Inventor： 陈佳哲 ,  王蓓蓓 ,  李贺鑫 ,  王宇航 ,  张宝峰 ,  石竑松

IPC: G06F21/55 ,  G06F21/46

Abstract: 本申请提供了一种侧信道分析方法及装置，其中，方法包括：在待分析侧信道曲线文件的大小大于系统待用内存的情况下，获取对待分析侧信道曲线文件进行侧信道分析的类型；在类型为信号处理的情况下，依据系统待用内存可存储待分析侧信道曲线文件中的最大行数，对待分析侧信道文件中的数据按行分批次进行侧信道加速分析；在类型为密钥分析的情况下，依据系统待用内存存储待分析侧信道曲线文件中预设的一列密码数据后，还可存储的侧信道曲线数据的最大列数，对侧信道曲线数据按列分批次进行侧信道加速分析；本申请针对不同类型的侧信道分析的特点，对待分析侧信道曲线文件中的数据，按不同方式分批次进行侧信道分析，避免出现系统内存不足的问题。

公开(公告)号：CN117896082A

公开(公告)日：2024-04-16

申请号：CN202211258794.2

申请日：2022-10-14

Applicant: 中国信息安全测评中心

Inventor： 李烨昊 ,  李娟 ,  梁智溢 ,  蒋仲白

IPC: H04L9/40 ,  H04L41/0604

Abstract: 本发明提供一种APT攻击的跟踪方法及装置，该方法包括：启动APT跟踪系统，应用APT跟踪系统中的各个APT攻击模型监控其对应的监控对象；当目标APT攻击模型监控到其对应的目标监控对象遭受APT攻击时，获取目标监控对象遭受到APT攻击的攻击信息；控制目标APT攻击模型对应的安全设备基于攻击信息，生成目标监控对象对应的攻击链；对攻击链进行整合，生成目标监控对象对应的APT攻击事件；获取目标监控对象的告警日志，并从告警日志中筛查出APT攻击事件对应的告警消息，并将APT攻击事件对应的告警消息标志为有效告警消息。应用本发明提供的方法，可以准确发现和追踪值得关注的APT攻击事件。

公开(公告)号：CN112398794B

公开(公告)日：2024-03-26

申请号：CN201910757317.2

申请日：2019-08-16

Applicant: 中国信息安全测评中心 ,  北京中测安华科技有限公司

Inventor： 王禹 ,  刘彦钊 ,  胡超群 ,  崔梦倩

IPC: H04L9/40

Abstract: 本发明实施例提供了网络异常行为的检测方法、装置、设备及存储介质。该方法包括：实时获取用户请求的日志记录；提取日志记录中的当前关键字段，当前关键字段包括：用户标识ID、用户请求的请求资源所在的服务器、用户代理UA和网页的跳转来源；根据用户ID从预先建立的互斥功能数据库中确定用户ID的互斥功能信息；对比请求资源所在的服务器、UA和网页的跳转来源中至少一个与互斥功能信息中的请求资源所在的服务器、UA和网页的跳转来源是否存在差异；若存在差异，则确定用户的网络行为异常。本发明实施例能够提高判断网络异常行为异常的准确率。

公开(公告)号：CN117009048A

公开(公告)日：2023-11-07

申请号：CN202310572694.5

申请日：2023-05-19

Applicant: 中国信息安全测评中心

Inventor： 孙博文 ,  蒋仲白 ,  熊申铎 ,  梁智溢 ,  张鹏 ,  李烨昊

IPC: G06F9/48 ,  G06F18/214 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明提供一种基于主机日志序列化分析的攻击调查方法，涉及网络安全技术领域。方法包括：S1：采集系统的日志数据；S2：根据日志数据的访问关系，构建系统的进程调用因果图；S3：对进程调用因果图进行预处理，去除不必要的实体；S4：根据预处理后的进程调用因果图，构建每个实体的动作事件序列；S5：将序列进行向量化处理，构建序列研判模型，并采用实体的属性标签对序列研判模型进行训练；S6：利用训练出来的序列研判模型对新的序列进行预测，使新的序列形成预测的属性标签，其中，预测的属性标签反映实体是否具有威胁行为。该方法能够基于单位或机构内部的多源日志进行智能化日志分析，并利用分析结果来判定攻击实体和攻击行为。

公开(公告)号：CN112948884B

公开(公告)日：2022-12-09

申请号：CN202110320025.X

申请日：2021-03-25

Applicant: 中国电子科技集团公司第三十研究所 ,  中国信息安全测评中心

Inventor： 刘从祥 ,  杨洋 ,  陈锦 ,  王禹

IPC: G06F21/62 ,  G06F21/60 ,  G06F16/182 ,  G06F9/445

Abstract: 本发明涉及数据安全领域，公开了一种对应用级用户实施大数据访问控制的方法和系统。该方法包括：对数据进行分级分类，对不同的数据敏感级别、不同的应用级用户创建管控策略；拦截应用级用户访问大数据库的请求，获取应用级用户信息，获取应用级用户的访问行为，匹配管控策略进行权限管控，执行放行、脱敏后放行、阻断。本方法通过策略管控，实现对应用级用户访问大数据库权限的精准管控。

公开(公告)号：CN114579961A

公开(公告)日：2022-06-03

申请号：CN202111572287.1

申请日：2021-12-21

Applicant: 中国信息安全测评中心

Inventor： 杨光 ,  都婧 ,  宋璟 ,  白云波 ,  王立松 ,  佟鑫

IPC: G06F21/55 ,  H04L47/2483

Abstract: 本发明公开了一种基于多行业检测规则的敏感数据识别方法及装置，包括：接收预先选定的敏感数据识别关键项，敏感数据识别关键项至少为一个；将敏感数据识别关键项转换为多行业敏感数据识别规则；获取待识别网络流量，确定待识别网络流量的流入地址和流出地址；对待识别网络流量进行恢复和拆解，得到临时文件；基于多行业敏感数据识别规则对临时文件进行识别，在待识别网络流量中的存在敏感数据的情况下，基于流入地址和流出地址对待识别网络流量中的敏感数据进行溯源。上述过程，在进行敏感数据识别过程中，确定了待识别网络流量中敏感数据的流入地址和流出地址，实现了对待识别网络流量中敏感数据的溯源，保证了敏感数据在网络流量中的安全性。

公开(公告)号：CN109101816B

公开(公告)日：2022-02-08

申请号：CN201810912373.4

申请日：2018-08-10

Applicant: 北京理工大学 ,  中国信息安全测评中心

Inventor： 王勇 ,  史小东 ,  梁杰 ,  孙青煜 ,  张继 ,  刘振岩 ,  薛静锋

IPC: G06F21/56

Abstract: 本发明公开了一种基于系统调用控制流图的恶意代码同源性分析方法，首先构造待分析程序的系统调用控制流图；所述系统调用控制流图是由系统调用节点构成的有向无权图，边的方向表示系统调用执行的先后关系；比较不同待分析程序的系统调用控制流图，以根据图相似度作为同源性分析的相似性度量，实现同源性分析。本发明利用系统调用控制流图进行同源性分析，系统调用控制流图完全忽略了软件代码的细节，只关注所调用的系统调用函数，因此简化了需要处理的数据量，所以基于系统调用的控制流图对程序行为的抽象程度最好。而且，由于只考虑系统调用从而在很大程度上规避了指令层的混淆，起到了抗混淆作用。

公开(公告)号：CN110163009B

公开(公告)日：2021-06-15

申请号：CN201910434154.4

申请日：2019-05-23

Applicant: 北京交通大学 ,  中国信息安全测评中心

Inventor： 李坚 ,  张振江 ,  刘云 ,  李佳欣

IPC: G06F21/64 ,  G06F16/182 ,  G06F16/16 ,  G06F16/11 ,  G06F11/14

Abstract: 本发明提供了一种HDFS存储平台的安全校验及修复的方法和装置。该装置设置在HDFS存储平台上，包括名字节点和数据节点；名字节点用于管理文件块的存储数据节点信息，接收数据节点发送的损坏的文件块的查询请求，向数据节点返回损坏的文件块的备份存储数据节点信息；数据节点用于存储文件块，对存储的文件块进行定期校验，检测文件块是否发生损坏，根据名字节点返回的损坏的文件块的备份存储数据节点信息从其它数据节点下载数据块，完成损坏的文件块的修复操作。本发明通过使用不可逆的MD5算法计算文件块校验值，解决了原系统中可能出现的文件篡改问题，保证了校验的可靠性，并实现了根据需要对校验间隔的调整，提高了校验效率。

公开(公告)号：CN111600637B

公开(公告)日：2021-05-25

申请号：CN202010401691.1

申请日：2020-05-13

Applicant: 中国信息安全测评中心

Inventor： 李贺鑫 ,  王宇航 ,  王蓓蓓 ,  陈佳哲 ,  孙亚飞 ,  张宝峰 ,  石竑松 ,  杨永生

IPC: H04B5/00

Abstract: 本申请提供了一种非接设备的侧信道信号采集系统，包括：读卡器、非接设备和与电磁线圈连接的信号采集设备；读卡器包括非接通信芯片和时钟输出装置；时钟输出装置，用于在预设程序控制下，输出载波参考时钟和采样时钟；采样时钟的频率是载波参考时钟的频率的整数倍；采样时钟的相位与载波参考时钟的相位间的差值为预设差值；非接通信芯片依据载波参考时钟控制天线模块产生初始载波信号；信号采集设备依据采样时钟采集目标载波信号的波峰值，和/或，波谷值，形成侧信道信号。本申请提高信号采集设备采集到的侧信道信号的准确性。