公开(公告)号：CN110414236A

公开(公告)日：2019-11-05

申请号：CN201910683011.7

申请日：2019-07-26

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  刘文懋 ,  刘威歆 ,  张润滋 ,  薛见新

IPC: G06F21/56

Abstract: 本申请公开一种恶意进程的检测方法及装置，属于网络安全技术领域。该方法包括：获取目标设备的运行日志，对运行日志中的每个待检测进程，根据模糊匹配规则从白名单库中查找与该待检测进程相似的非恶意进程，将该待检测进程的进程名和每个非恶意进程的进程名输入到恶意进程检测模型中，以检测该待检测进程是否是对该非恶意进程进行伪装的恶意进程，然后输出各待检测进程的检测结果。由于恶意进程检测模型是对每个样本对中待检测进程样本和非恶意进程样本的进程名之间的差异进行学习得到的，所以利用恶意进程检测模型可检测出与非恶意进程样本的进程名之间差异较小的一些未知恶意进程，检测未知恶意进程的能力更强。

公开(公告)号：CN110414236B

公开(公告)日：2021-04-16

申请号：CN201910683011.7

申请日：2019-07-26

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  刘文懋 ,  刘威歆 ,  张润滋 ,  薛见新

IPC: G06F21/56

Abstract: 本申请公开一种恶意进程的检测方法及装置，属于网络安全技术领域。该方法包括：获取目标设备的运行日志，对运行日志中的每个待检测进程，根据模糊匹配规则从白名单库中查找与该待检测进程相似的非恶意进程，将该待检测进程的进程名和每个非恶意进程的进程名输入到恶意进程检测模型中，以检测该待检测进程是否是对该非恶意进程进行伪装的恶意进程，然后输出各待检测进程的检测结果。由于恶意进程检测模型是对每个样本对中待检测进程样本和非恶意进程样本的进程名之间的差异进行学习得到的，所以利用恶意进程检测模型可检测出与非恶意进程样本的进程名之间差异较小的一些未知恶意进程，检测未知恶意进程的能力更强。

公开(公告)号：CN111143843A

公开(公告)日：2020-05-12

申请号：CN201911276129.4

申请日：2019-12-12

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘威歆 ,  宁振虎 ,  张润滋 ,  薛见新 ,  陈磊

IPC: G06F21/56

Abstract: 本申请公开了一种恶意应用程序的检测方法及装置。该方法中获取待检测应用程序的证书序列号和程序特征信息，程序特征信息为待检测应用程序设定的待运行的信息，程序特征信息包括调用接口、系统命令和申请权限中的至少两种特征信息；根据预设的证书序列号黑名单，对证书序列号进行检测，证书序列号黑名单包括已知恶意应用程序的证书序列号；若预设的证书序列号黑名单中存在证书序列号，则确定待检测应用程序为恶意应用程序；若预设的证书序列号黑名单中不存在证书序列号，则根据程序特征信息，确定待检测应用程序是否为恶意应用程序。该方法提高了检测准确性与检测效率、降低了测试成本。

公开(公告)号：CN106570142A

公开(公告)日：2017-04-19

申请号：CN201610965356.8

申请日：2016-11-04

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 郑彬 ,  陈磊 ,  董泽奎 ,  樊宇 ,  王岩

IPC: G06F17/30

Abstract: 本发明公开了一种数据渲染方法和装置，所述方法，包括：在进行数据渲染时，根据滑动块相对于滚动条顶部的距离、待展示数据集合大小和展示区域高度确定展示区域内首行展示数据在待展示数据集合中的第一序列标识；以及根据单位展示高度、所述第一序列标识以及展示区域高度确定展示区域内末行展示数据在待展示数据集合中的第二序列标识；根据第一序列标识和第二序列标识确定本次在展示区域展示的第一数据；根据所述第一数据进行渲染显示，采用本发明提供的方法，可以采用尽可能少的DOM节点来渲染海量数据，不仅节省了内存开销，且提高了用户体验。

公开(公告)号：CN111147300A

公开(公告)日：2020-05-12

申请号：CN201911369205.6

申请日：2019-12-26

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  刘威歆 ,  张胜军 ,  陈磊

IPC: H04L12/24 ,  H04L29/06 ,  G06F16/18 ,  G06F16/36

Abstract: 本发明公开了一种网络安全告警置信度评估方法及装置，用以解决现有的网络安全告警置信度评估准确性低的问题。所述方法，包括：将每一预设时间周期内接收的日志生成对应的三元组；确定当前时间周期内同一类型日志对应的各三元组的频率因子以及所述同一类型日志对应的所有三元组中的各实体的频率因子；根据待评估告警日志对应的三元组和与所述三元组中的实体相关联的待评估时间周期的前N个时间周期内的各类型的日志对应的三元组构建告警关联图谱；根据构成所述告警关联图谱的各数据边的三元组的频率因子和构成告警关联图谱的各数据点的实体的频率因子，确定待评估告警日志在待评估时间周期内的告警置信度。

公开(公告)号：CN111143833A

公开(公告)日：2020-05-12

申请号：CN201911340852.4

申请日：2019-12-23

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘威歆 ,  宁振虎 ,  薛见新 ,  张润滋 ,  陈磊

IPC: G06F21/53 ,  G06F21/55 ,  G06K9/62

Abstract: 本发明提供一种非法应用程序类别识别方法及装置，所述方法包括：获取应用程序样本集，将应用程序样本集中各应用程序在仿真运行平台上虚拟运行，获取运行时生成的序列特征，从各应用程序的安装包中获取表示安装包生成的名称特征；根据各应用程序的序列特征，确定第一相似度，根据各应用程序的名称特征，确定第二相似度；根据所述第一相似度与第二相似度，确定最终相似度；根据最终相似度，确定该待识别的应用程序是否为非法的应用程序，及确定为非法的应用程序时，确定所属的非法的应用程序的类别，利用本发明提供的方法，可以建立对于非法应用程序的各方面进行监测的机制，来分析非法应用程序的行为特征，以便更好的确定非法应用程序的类别。

公开(公告)号：CN110535702A

公开(公告)日：2019-12-03

申请号：CN201910817936.6

申请日：2019-08-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  刘威歆 ,  张胜军 ,  陈磊

IPC: H04L12/24

Abstract: 本申请公开了一种告警信息处理方法及装置，所述方法包括：提取待评级告警信息的告警类型、源IP地址和目的IP地址；在预设时间段内，获取反映所述告警类型出现频率的告警类型评级数值、反映所述告警信息的威胁源是否首次出现的威胁源评级数值及反映IP地址信息关联威胁程度的IP地址信息评级数值；基于所述告警类型评级数值、所述威胁源评级数值及所述IP地址信息评级数值进行加权求和确定表示所述告警信息威胁程度的告警信息威胁等级，并基于所述告警信息威胁等级对所述告警信息进行排序。应用本申请提供的方案可以，提高威胁事件响应速度。

公开(公告)号：CN106570142B

公开(公告)日：2019-09-17

申请号：CN201610965356.8

申请日：2016-11-04

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 郑彬 ,  陈磊 ,  董泽奎 ,  樊宇 ,  王岩

IPC: G06F16/958 ,  G06F16/957

Abstract: 本发明公开了一种数据渲染方法和装置，所述方法，包括：在进行数据渲染时，根据滑动块相对于滚动条顶部的距离、待展示数据集合大小和展示区域高度确定展示区域内首行展示数据在待展示数据集合中的第一序列标识；以及根据单位展示高度、所述第一序列标识以及展示区域高度确定展示区域内末行展示数据在待展示数据集合中的第二序列标识；根据第一序列标识和第二序列标识确定本次在展示区域展示的第一数据；根据所述第一数据进行渲染显示，采用本发明提供的方法，可以采用尽可能少的DOM节点来渲染海量数据，不仅节省了内存开销，且提高了用户体验。

公开(公告)号：CN113282931B

公开(公告)日：2024-11-29

申请号：CN202110544359.5

申请日：2021-05-19

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司 ,  神州绿盟成都科技有限公司

Inventor： 牟黎明 ,  张宏 ,  王豪 ,  郑彬 ,  陈磊

IPC: G06F21/57 ,  G06F21/62

Abstract: 一种风险评估方法、装置、设备及介质，用以解决现有技术无法精准评估数据风险的问题。该方法包括：根据第一数据的第一信息确定其风险值，其中第一数据包括数据列表中的m0列数据，第一信息用于描述第一数据中#imgabs0#组数据分别的重复程度；根据第一数据的风险值确定数据列表的风险等级。采用该方法，可对第一数据进行分组，并根据每组数据的重复程度确定第一数据的风险值，进一步根据风险值确定第一数据的风险等级提，能够提高数据发现评估的准确性。

公开(公告)号：CN111818067B

公开(公告)日：2022-07-15

申请号：CN202010674631.7

申请日：2020-07-14

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  陈磊 ,  吴子建 ,  童明凯

IPC: H04L9/40 ,  G06F16/903 ,  G06F16/906

Abstract: 本发明涉及网络安全技术领域，尤其涉及流量特征提取方法及装置，包括：获取具有目标特征的目标流量样本；对通过从目标流量样本中抽样获得的目标特征提取样本集进行聚类，获得扫描攻击组和非扫描攻击组；基于递归扫描特征字串提取方法，从扫描攻击组中提取出扫描特征正则表达式；以及，基于用于识别目标特征的流量分类模型，从非扫描攻击组中提取出非扫描特征正则表达式；对包含扫描特征正则表达式和非扫描特征正则表达式的特征表达式集合进行验证，确定目标特征表达式集合；基于目标特征表达式集合，对待处理流量的目标特征进行提取。本发明使得特征提取不仅能够针对具有公共字串的流量，还能够针对没有公共字串的流量，提高了特征提取的准确性。