公开(公告)号：CN115829548A

公开(公告)日：2023-03-21

申请号：CN202211573665.2

申请日：2022-12-08

Applicant: 中移动信息技术有限公司 ,  中国移动通信集团有限公司

Inventor： 冀文 ,  白国涛 ,  舒敏根 ,  张春 ,  罗彭彭

IPC: G06Q10/20 ,  G06Q10/10

Abstract: 本申请公开了一种事件处理方法、装置、计算机设备及存储介质。该方法包括接收待执行事件的事件执行指令，待执行事件对应第一事件处置剧本，第一事件处置剧本包括第一执行环境描述信息；按照预设检测算法，对第一执行环境描述信息进行检测，得到检测结果；在检测结果表示第一执行环境描述信息中包括异常信息的情况下，根据第一事件处置剧本和异常信息，从预设事件处理剧本库中获取第二事件处理剧本；执行与第二事件处理剧本对应的预设任务，得到执行结果。如此，可以感知当前执行环境的运行情况，并在当前执行环境发生变化时，重新确定与待执行事件对应的时间处理剧本，无需人工参与，提高事件处理效率，使得SOAR系统更具可行性和高效性。

公开(公告)号：CN117749446A

公开(公告)日：2024-03-22

申请号：CN202311676908.X

申请日：2023-12-07

Applicant: 中移动信息技术有限公司 ,  中国移动通信集团有限公司

Inventor： 王海光 ,  聂滢 ,  冀文 ,  焦天宇 ,  卢永頔

IPC: H04L9/40

Abstract: 本申请公开了一种攻击对象溯源方法、装置、设备及介质。所述攻击对象溯源方法包括：通过安全检测探针对业务系统中的目标函数进行监控，确定是否存在攻击行为，所述安全检测探针部署于业务系统所在的服务器上；在存在攻击行为的情况下，生成攻击拦截页面，所述攻击拦截页面中预先植入有溯源代码；在攻击对象通过浏览器访问攻击拦截页面的情况下，获取攻击对象的目标特征信息，所述目标特征信息是响应于溯源代码在攻击对象的终端运行得到的；通过安全检测探针将目标特征信息发送至安全检测云端，以使安全检测云端根据目标特征信息对攻击对象进行溯源。根据本申请实施例，可以实现对攻击对象真实特征信息的获取，从而实现对攻击对象的溯源分析。

公开(公告)号：CN119045924A

公开(公告)日：2024-11-29

申请号：CN202411026391.4

申请日：2024-07-29

Applicant: 中移动信息技术有限公司 ,  中国移动通信集团有限公司

Inventor： 姜宁 ,  聂滢 ,  田硕 ,  兰建明 ,  冀文

IPC: G06F9/448 ,  G06F18/214 ,  G06F18/241

Abstract: 本申请公开了一种应用程序接口识别的方法、装置、设备、介质及程序产品，具体技术方案包括：获取待检测网页中的统一资源定位符URL；在URL为应用程序接口API的情况下，向API对应的第三方平台发送调用请求；接收API对应的第三方平台返回的响应内容，响应内容包括API的参数信息；将响应内容输入训练好的API产品识别模型，以便于API产品识别模型提取API的参数信息的特征，预测得到API的产品名，API产品识别模型是利用样本API和样本API的参数信息训练得到的。如此，可以提高API识别的效率。

公开(公告)号：CN117040833A

公开(公告)日：2023-11-10

申请号：CN202310988454.3

申请日：2023-08-07

Applicant: 中移动信息技术有限公司 ,  中国移动通信集团有限公司

Inventor： 冀文 ,  白国涛 ,  陈国 ,  胡建村 ,  王庆栋

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本发明公开了一种服务攻击检测方法、装置、设备和计算机可读存储介质，所述方法包括：获取采集节点采集得到的异常域名，并根据所述异常域名生成黑名单，所述采集节点上部署有含漏洞的服务，所述含漏洞的服务不主动请求解析域名；获取业务节点采集到的服务的实时访问日志，所述业务节点上部署有正常的服务；若所述实时访问日志对应的域名与所述黑名单中域名匹配，则确定所述实时访问日志对应的访问操作为异常攻击操作。本发明提高了攻击检测的全面性和及时性。

公开(公告)号：CN116132139A

公开(公告)日：2023-05-16

申请号：CN202211733600.X

申请日：2022-12-30

Applicant: 中移动信息技术有限公司 ,  中国移动通信集团有限公司

Inventor： 冀文 ,  张春 ,  罗琦芳 ,  舒敏根 ,  白国涛

IPC: H04L9/40

Abstract: 本申请公开了一种剧本执行方法、装置、设备、存储介质及程序产品。该方法包括：针对剧本仓库中的第一剧本，响应于用户的编译指令，编译所述第一剧本，得到所述第一剧本对应的程序包，其中，所述第一剧本为可以编译的剧本，所述程序包可以独立执行，将所述程序包分发至所述程序包对应的目标网络区域，所述目标网络区域可以是所述目标平台所在的网络区域，也可以是所述目标平台之外的网络区域。根据本申请实施例，能够解决现有的多个隔离网络环境下SOAR平台的部署成本过高的问题。

公开(公告)号：CN118869259A

公开(公告)日：2024-10-29

申请号：CN202410851655.3

申请日：2024-06-27

Applicant: 中移动信息技术有限公司 ,  中国移动通信集团有限公司

Inventor： 潘文君 ,  冀文 ,  白雪 ,  李文朋 ,  黄强青 ,  文雪刚 ,  徐良

IPC: H04L9/40 ,  G06F18/22 ,  G06F18/241

Abstract: 本申请公开了一种僵尸网络检测方法、装置、设备、存储介质及程序产品，涉及网络安全技术领域，公开的僵尸网络检测方法，包括：获取目标网络群体的多条网络告警记录；根据所述多条网络告警记录，构建第一有向图；针对所述有向图的任一所述边，计算所述边的目标节点的出边与所述边之间的攻击相似度；保留所述第一有向图中所述攻击相似度大于预设攻击相似度的目标边以及与所述目标边相关联的节点，获得第二有向图；计算得到与第二有向图中各连通子图分别相对应的僵尸网络概率，获得僵尸网络检测结果。本申请可以提高僵尸网络检测的准确率。