公开(公告)号：CN111143833B

公开(公告)日：2022-03-11

申请号：CN201911340852.4

申请日：2019-12-23

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘威歆 ,  宁振虎 ,  薛见新 ,  张润滋 ,  陈磊

IPC: G06F21/53 ,  G06F21/55 ,  G06K9/62

Abstract: 本发明提供一种非法应用程序类别识别方法及装置，所述方法包括：获取应用程序样本集，将应用程序样本集中各应用程序在仿真运行平台上虚拟运行，获取运行时生成的序列特征，从各应用程序的安装包中获取表示安装包生成的名称特征；根据各应用程序的序列特征，确定第一相似度，根据各应用程序的名称特征，确定第二相似度；根据所述第一相似度与第二相似度，确定最终相似度；根据最终相似度，确定该待识别的应用程序是否为非法的应用程序，及确定为非法的应用程序时，确定所属的非法的应用程序的类别，利用本发明提供的方法，可以建立对于非法应用程序的各方面进行监测的机制，来分析非法应用程序的行为特征，以便更好的确定非法应用程序的类别。

公开(公告)号：CN110535702B

公开(公告)日：2022-07-12

申请号：CN201910817936.6

申请日：2019-08-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  刘威歆 ,  张胜军 ,  陈磊

IPC: H04L41/0604

Abstract: 本申请公开了一种告警信息处理方法及装置，所述方法包括：提取待评级告警信息的告警类型、源IP地址和目的IP地址；在预设时间段内，获取反映所述告警类型出现频率的告警类型评级数值、反映所述告警信息的威胁源是否首次出现的威胁源评级数值及反映IP地址信息关联威胁程度的IP地址信息评级数值；基于所述告警类型评级数值、所述威胁源评级数值及所述IP地址信息评级数值进行加权求和确定表示所述告警信息威胁程度的告警信息威胁等级，并基于所述告警信息威胁等级对所述告警信息进行排序。应用本申请提供的方案可以，提高威胁事件响应速度。

公开(公告)号：CN111147300B

公开(公告)日：2022-04-29

申请号：CN201911369205.6

申请日：2019-12-26

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  刘威歆 ,  张胜军 ,  陈磊

IPC: H04L9/40 ,  G06F16/18 ,  G06F16/36

Abstract: 本发明公开了一种网络安全告警置信度评估方法及装置，用以解决现有的网络安全告警置信度评估准确性低的问题。所述方法，包括：将每一预设时间周期内接收的日志生成对应的三元组；确定当前时间周期内同一类型日志对应的各三元组的频率因子以及所述同一类型日志对应的所有三元组中的各实体的频率因子；根据待评估告警日志对应的三元组和与所述三元组中的实体相关联的待评估时间周期的前N个时间周期内的各类型的日志对应的三元组构建告警关联图谱；根据构成所述告警关联图谱的各数据边的三元组的频率因子和构成告警关联图谱的各数据点的实体的频率因子，确定待评估告警日志在待评估时间周期内的告警置信度。

公开(公告)号：CN109743311B

公开(公告)日：2021-10-22

申请号：CN201811626762.7

申请日：2018-12-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张胜军 ,  刘威歆 ,  刘文懋 ,  张润滋

IPC: H04L29/06 ,  G06N3/08 ,  G06N3/04

Abstract: 本申请公开了一种WebShell检测方法、装置及存储介质，涉及网络安全领域，用以解决基于流量的webshell检测方法在专家知识不足或样本覆盖不全面的情况下存在检测能力不足的问题。该方法包括：对待检测的流量数据进行解码，得到解码后的流量数据；对所述解码后的流量数据进行特征提取，得到流量特征向量；调用预先训练好的深度神经网络模型与机器学习模型分别对所述流量特征向量进行检测，得到各模型是否检测到WebShell痕迹的检测结果；通过对各检测结果进行评估，确定所述流量数据中是否含有WebShell痕迹的最终检测结果。实现了在专家知识不足或样本覆盖不全面的情况下，提高了Webshell检测的检测能力。