公开(公告)号：CN116015763A

公开(公告)日：2023-04-25

申请号：CN202211577802.X

申请日：2022-12-09

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王星凯 ,  吴复迪 ,  张现山 ,  薛见新 ,  童明凯 ,  张润滋 ,  顾杜娟 ,  刘文懋

IPC: H04L9/40 ,  H04L41/0604

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种威胁度检测方法、装置、电子设备及存储介质，对待检测告警对应的告警载荷进行属性识别，确定告警载荷中包含的各属性信息和各未解码信息，分别对各属性信息进行向量化处理，获得相应的属性信息对应的属性特征，以及，分别对各未解码信息进行向量化处理，获得相应的未解码信息对应的未解码特征，基于各属性特征，从预设的各候选攻击特征中，确定出匹配的目标攻击特征，基于匹配的各目标攻击特征，对相应的属性特征进行向量取值更新，获得包含有更新后的属性特征和各未解码特征的目标向量序列，基于目标向量序列，确定告警载荷的威胁度检测结果。这样，提高了威胁度检测的准确度。

公开(公告)号：CN111143843B

公开(公告)日：2022-04-12

申请号：CN201911276129.4

申请日：2019-12-12

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘威歆 ,  宁振虎 ,  张润滋 ,  薛见新 ,  陈磊

IPC: G06F21/56

Abstract: 本申请公开了一种恶意应用程序的检测方法及装置。该方法中获取待检测应用程序的证书序列号和程序特征信息，程序特征信息为待检测应用程序设定的待运行的信息，程序特征信息包括调用接口、系统命令和申请权限中的至少两种特征信息；根据预设的证书序列号黑名单，对证书序列号进行检测，证书序列号黑名单包括已知恶意应用程序的证书序列号；若预设的证书序列号黑名单中存在证书序列号，则确定待检测应用程序为恶意应用程序；若预设的证书序列号黑名单中不存在证书序列号，则根据程序特征信息，确定待检测应用程序是否为恶意应用程序。该方法提高了检测准确性与检测效率、降低了测试成本。

公开(公告)号：CN111143833B

公开(公告)日：2022-03-11

申请号：CN201911340852.4

申请日：2019-12-23

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘威歆 ,  宁振虎 ,  薛见新 ,  张润滋 ,  陈磊

IPC: G06F21/53 ,  G06F21/55 ,  G06K9/62

Abstract: 本发明提供一种非法应用程序类别识别方法及装置，所述方法包括：获取应用程序样本集，将应用程序样本集中各应用程序在仿真运行平台上虚拟运行，获取运行时生成的序列特征，从各应用程序的安装包中获取表示安装包生成的名称特征；根据各应用程序的序列特征，确定第一相似度，根据各应用程序的名称特征，确定第二相似度；根据所述第一相似度与第二相似度，确定最终相似度；根据最终相似度，确定该待识别的应用程序是否为非法的应用程序，及确定为非法的应用程序时，确定所属的非法的应用程序的类别，利用本发明提供的方法，可以建立对于非法应用程序的各方面进行监测的机制，来分析非法应用程序的行为特征，以便更好的确定非法应用程序的类别。

公开(公告)号：CN113676484A

公开(公告)日：2021-11-19

申请号：CN202110993536.8

申请日：2021-08-27

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王星凯 ,  薛见新 ,  吴复迪 ,  刘文懋 ,  张润滋

IPC: H04L29/06

Abstract: 本申请实施例中，通过构建基线模型的方式，去除多余的日志数据，从而缓解终端侧数据之间依赖关系爆炸的问题，降低运算负荷，并从网络侧和终端侧的日志数据中提取出代表性的字段，通过定义日志数据之间的依赖关系，构建时序异构图，并通过构建的知识图谱，定义知识图谱中的节点与时序异构图中节点之间的依赖关系，构建完整的攻击溯源图。本申请实施例提供的攻击溯源方法、装置和电子设备，能够在网络侧与终端侧关联的场景中，基于攻击源与目标对象的相关信息，从攻击溯源图中获得更加完整，且准确性更高的攻击路径。

公开(公告)号：CN111737750B

公开(公告)日：2023-12-26

申请号：CN202010622044.3

申请日：2020-06-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  刘文懋 ,  张润滋 ,  吴子建 ,  薛见新

IPC: G06F21/62 ,  G06F21/57

Abstract: 本发明公开了一种数据处理方法、装置、电子设备及存储介质，用以自动对脱敏数据进行风险评估，提高风险评估效率。本发明实施例对原始数据集中的数据进行脱敏处理，得到多个脱敏数据集；从脱敏数据集中选择目标属性类型对应的脱敏数据集，并确定至少一个目标数据集合；根据各目标数据集合对应的概率值以及危害值确定风险值，若风险值大于预设阈值，则调整脱敏处理的方式。本发明实施例从脱敏数据被利用的可能性以及利用脱敏数据成功还原业务数据所造成的危害两个方面进行风险评估，并且实现自动确定风险值，定量确定数据泄露风险高低；并根据确定出的风险值调整脱敏处理的方式，以降低数据泄露风险。

公开(公告)号：CN114363148A

公开(公告)日：2022-04-15

申请号：CN202111558765.3

申请日：2021-12-20

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴复迪 ,  薛见新 ,  张润滋 ,  王星凯 ,  童明凯 ,  刘文懋 ,  顾杜鹃

IPC: H04L41/0631 ,  H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本申请实施例公开了一种检测攻击告警的方法、装置、检测设备及存储介质，该方法包括：提取各个告警信息中的共有可识别的特征字段；基于每个告警信息中的每个特征字段的特征值对各个告警信息进行初始分组，确定各个组对应的描述信息；基于每个组的描述信息中的各个特征字段的特征值，对各个告警信息进行至少一次重新分组，直到重新分组后的每个组的描述信息中包括的特征字段的数量不大于第一预设数量阈值；在得到的各个组中，筛选出至少一个目标组，并根据每个目标组各自对应的目标描述信息确定至少一个基线规则；将待检测的告警信息与至少一个基线规则进行匹配，确定待检测的告警信息是否为非关键告警。提高了检测攻击告警的效率，降低误报率。

公开(公告)号：CN109743311B

公开(公告)日：2021-10-22

申请号：CN201811626762.7

申请日：2018-12-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张胜军 ,  刘威歆 ,  刘文懋 ,  张润滋

IPC: H04L29/06 ,  G06N3/08 ,  G06N3/04

Abstract: 本申请公开了一种WebShell检测方法、装置及存储介质，涉及网络安全领域，用以解决基于流量的webshell检测方法在专家知识不足或样本覆盖不全面的情况下存在检测能力不足的问题。该方法包括：对待检测的流量数据进行解码，得到解码后的流量数据；对所述解码后的流量数据进行特征提取，得到流量特征向量；调用预先训练好的深度神经网络模型与机器学习模型分别对所述流量特征向量进行检测，得到各模型是否检测到WebShell痕迹的检测结果；通过对各检测结果进行评估，确定所述流量数据中是否含有WebShell痕迹的最终检测结果。实现了在专家知识不足或样本覆盖不全面的情况下，提高了Webshell检测的检测能力。

公开(公告)号：CN112613576A

公开(公告)日：2021-04-06

申请号：CN202011612726.2

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴子建 ,  吴复迪 ,  刘文懋 ,  薛见新 ,  张润滋

IPC: G06K9/62 ,  G06Q10/00 ,  G06Q10/06

Abstract: 本申请提供一种确定告警的方法、装置、电子设备和存储介质，涉及网络安全技术领域。由于真正有威胁的告警信息中的攻击行为与安全的告警信息中的攻击行为有明显的区别，因此，对于目标安全设备中的多个告警信息，分别提取每个告警信息中用于描述攻击行为的特征信息；将多个告警信息进行分类，得到多个告警信息序列；根据任意两个告警信息序列中的告警信息的特征信息的相似度，确定任意两个告警信息序列的相似度；根据任意两个告警信息序列的相似度，可以确定与其他告警信息序列相似度较低的目标告警信息序列，该目标告警信息序列中的告警信息为真正有威胁的告警信息，从而确定目标告警信息，可以减轻安全运维人员的排查告警的压力。

公开(公告)号：CN112035874A

公开(公告)日：2020-12-04

申请号：CN202010882739.5

申请日：2020-08-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  刘文懋 ,  薛见新 ,  张润滋 ,  童明凯

IPC: G06F21/62 ,  G06F40/126

Abstract: 本发明涉及数据处理领域，尤其涉及一种数据匿名化处理的方法及装置，解决不区分影响指标对待研究指标的影响程度统一进行简单泛化处理，导致匿名化处理后的数据丧失可研究性的问题，方法为：确定用户数据列表中的目标列数据，分别计算各个准标识符属性标签关联的列数据对所述目标列数据的影响系数以及取值跨度，基于得到的影响系数和取值跨度，确定至少一个等价组，将数字型列数据中取值的平均值作为对应的泛化值，以及筛选出文本型列数据中取值频次达到设定阈值的前N种文本内容，作为对应的泛化值。这样，通过计算影响系数和取值跨度，确定各个列数据对目标列数据的影响程度，进而适应性地进行泛化处理，使得匿名化处理后的数据不丧失可研究性。

公开(公告)号：CN112131249B

公开(公告)日：2024-07-26

申请号：CN202011038322.7

申请日：2020-09-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴复迪 ,  刘文懋 ,  薛见新 ,  张润滋 ,  吴子建

IPC: G06F16/245 ,  G06F21/57

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种攻击意图识别方法及装置，获取告警载荷数据，并对所述告警载荷数据进行特征提取，获得所述告警载荷数据的载荷特征，其中，所述告警载荷数据为产生告警信息的原始输入的数据；基于已训练的攻击意图识别模型，以所述载荷特征为输入参数，根据所述攻击意图识别模型中的回归函数和所述载荷特征向量，确定所述告警载荷数据的攻击意图向量，其中，所述回归函数为根据载荷特征样本和攻击意图向量样本通过迭代训练获得的；根据所述攻击意图向量，确定所述告警信息指示的攻击行为的攻击意图，这样，通过预先训练的攻击意图模型确定告警信息所指示的攻击行为的攻击意图，能够提高识别攻击意图的准确度。