公开(公告)号：CN111787000A

公开(公告)日：2020-10-16

申请号：CN202010622184.0

申请日：2020-06-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 薛见新 ,  刘文懋 ,  陈磊 ,  吴复迪

IPC: H04L29/06

Abstract: 本发明是关于一种网络安全评估方法及电子设备，涉及网络安全领域，本发明包括：从预设时间段内网络产生的告警信息中，提取多个源IP地址和目的IP地址；构建源IP地址对应的结构向量，以及构建源IP地址对应的属性向量；构建源IP地址作为用户业务的发起地址的情况下的参考结构向量以及参考属性向量；将两个结构向量进行对比得到对比结果，两个属性向量进行对比得到对比结果，根据得到的两个对比结果，确定源IP地址的威胁程度值。由于本发明实施例通过源IP地址为用户业务的发起地址的情况下的信息与实际的信息之间进行对比，而非采用容易导致误报的方式确定威胁程度，这样降低了确定的IP地址的威胁程度的误报率。

公开(公告)号：CN112613576B

公开(公告)日：2024-03-19

申请号：CN202011612726.2

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴子建 ,  吴复迪 ,  刘文懋 ,  薛见新 ,  张润滋

IPC: G06V10/74 ,  G06V10/764 ,  G06Q10/0631 ,  G06Q10/20

Abstract: 本申请提供一种确定告警的方法、装置、电子设备和存储介质，涉及网络安全技术领域。由于真正有威胁的告警信息中的攻击行为与安全的告警信息中的攻击行为有明显的区别，因此，对于目标安全设备中的多个告警信息，分别提取每个告警信息中用于描述攻击行为的特征信息；将多个告警信息进行分类，得到多个告警信息序列；根据任意两个告警信息序列中的告警信息的特征信息的相似度，确定任意两个告警信息序列的相似度；根据任意两个告警信息序列的相似度，可以确定与其他告警信息序列相似度较低的目标告警信息序列，该目标告警信息序列中的告警信息为真正有威胁的告警信息，从而确定目标告警信息，可以减轻安全运维人员的排查告警的压力。

公开(公告)号：CN116305096A

公开(公告)日：2023-06-23

申请号：CN202211732475.0

申请日：2022-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王星凯 ,  董智勇 ,  薛见新 ,  杨堃 ,  顾杜娟 ,  刘红涛 ,  张润滋 ,  吴复迪 ,  童明凯

IPC: G06F21/55 ,  G06F21/56

Abstract: 本发明公开了一种基于属性图的异常程序检测方法及装置，用于提高检测异常程序的准确度。该方法为：基于预设的异常程序攻击的至少两项内容中两两内容之间的依赖关系，确定用于建立属性图的本体结构；确定各项内容所对应的威胁度；将各项内容作为本体结构中各个节点的内容，确定各个节点的自身特性，以及将各项内容所对应的威胁度，作为各个节点与其它节点间的关系的特性；并基于获得的节点的内容、节点的自身特性、节点与其它节点间的关系的特性以及本体结构，确定待检测设备中运行的程序对应的比对属性图；对比对属性图进行异常检测，确定运行的程序所涉及的内容是否存在异常程序。

公开(公告)号：CN116015763A

公开(公告)日：2023-04-25

申请号：CN202211577802.X

申请日：2022-12-09

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王星凯 ,  吴复迪 ,  张现山 ,  薛见新 ,  童明凯 ,  张润滋 ,  顾杜娟 ,  刘文懋

IPC: H04L9/40 ,  H04L41/0604

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种威胁度检测方法、装置、电子设备及存储介质，对待检测告警对应的告警载荷进行属性识别，确定告警载荷中包含的各属性信息和各未解码信息，分别对各属性信息进行向量化处理，获得相应的属性信息对应的属性特征，以及，分别对各未解码信息进行向量化处理，获得相应的未解码信息对应的未解码特征，基于各属性特征，从预设的各候选攻击特征中，确定出匹配的目标攻击特征，基于匹配的各目标攻击特征，对相应的属性特征进行向量取值更新，获得包含有更新后的属性特征和各未解码特征的目标向量序列，基于目标向量序列，确定告警载荷的威胁度检测结果。这样，提高了威胁度检测的准确度。

公开(公告)号：CN111143843B

公开(公告)日：2022-04-12

申请号：CN201911276129.4

申请日：2019-12-12

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘威歆 ,  宁振虎 ,  张润滋 ,  薛见新 ,  陈磊

IPC: G06F21/56

Abstract: 本申请公开了一种恶意应用程序的检测方法及装置。该方法中获取待检测应用程序的证书序列号和程序特征信息，程序特征信息为待检测应用程序设定的待运行的信息，程序特征信息包括调用接口、系统命令和申请权限中的至少两种特征信息；根据预设的证书序列号黑名单，对证书序列号进行检测，证书序列号黑名单包括已知恶意应用程序的证书序列号；若预设的证书序列号黑名单中存在证书序列号，则确定待检测应用程序为恶意应用程序；若预设的证书序列号黑名单中不存在证书序列号，则根据程序特征信息，确定待检测应用程序是否为恶意应用程序。该方法提高了检测准确性与检测效率、降低了测试成本。

公开(公告)号：CN111143833B

公开(公告)日：2022-03-11

申请号：CN201911340852.4

申请日：2019-12-23

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘威歆 ,  宁振虎 ,  薛见新 ,  张润滋 ,  陈磊

IPC: G06F21/53 ,  G06F21/55 ,  G06K9/62

Abstract: 本发明提供一种非法应用程序类别识别方法及装置，所述方法包括：获取应用程序样本集，将应用程序样本集中各应用程序在仿真运行平台上虚拟运行，获取运行时生成的序列特征，从各应用程序的安装包中获取表示安装包生成的名称特征；根据各应用程序的序列特征，确定第一相似度，根据各应用程序的名称特征，确定第二相似度；根据所述第一相似度与第二相似度，确定最终相似度；根据最终相似度，确定该待识别的应用程序是否为非法的应用程序，及确定为非法的应用程序时，确定所属的非法的应用程序的类别，利用本发明提供的方法，可以建立对于非法应用程序的各方面进行监测的机制，来分析非法应用程序的行为特征，以便更好的确定非法应用程序的类别。

公开(公告)号：CN113676484A

公开(公告)日：2021-11-19

申请号：CN202110993536.8

申请日：2021-08-27

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王星凯 ,  薛见新 ,  吴复迪 ,  刘文懋 ,  张润滋

IPC: H04L29/06

Abstract: 本申请实施例中，通过构建基线模型的方式，去除多余的日志数据，从而缓解终端侧数据之间依赖关系爆炸的问题，降低运算负荷，并从网络侧和终端侧的日志数据中提取出代表性的字段，通过定义日志数据之间的依赖关系，构建时序异构图，并通过构建的知识图谱，定义知识图谱中的节点与时序异构图中节点之间的依赖关系，构建完整的攻击溯源图。本申请实施例提供的攻击溯源方法、装置和电子设备，能够在网络侧与终端侧关联的场景中，基于攻击源与目标对象的相关信息，从攻击溯源图中获得更加完整，且准确性更高的攻击路径。

公开(公告)号：CN111737750B

公开(公告)日：2023-12-26

申请号：CN202010622044.3

申请日：2020-06-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  刘文懋 ,  张润滋 ,  吴子建 ,  薛见新

IPC: G06F21/62 ,  G06F21/57

Abstract: 本发明公开了一种数据处理方法、装置、电子设备及存储介质，用以自动对脱敏数据进行风险评估，提高风险评估效率。本发明实施例对原始数据集中的数据进行脱敏处理，得到多个脱敏数据集；从脱敏数据集中选择目标属性类型对应的脱敏数据集，并确定至少一个目标数据集合；根据各目标数据集合对应的概率值以及危害值确定风险值，若风险值大于预设阈值，则调整脱敏处理的方式。本发明实施例从脱敏数据被利用的可能性以及利用脱敏数据成功还原业务数据所造成的危害两个方面进行风险评估，并且实现自动确定风险值，定量确定数据泄露风险高低；并根据确定出的风险值调整脱敏处理的方式，以降低数据泄露风险。

公开(公告)号：CN114363148A

公开(公告)日：2022-04-15

申请号：CN202111558765.3

申请日：2021-12-20

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴复迪 ,  薛见新 ,  张润滋 ,  王星凯 ,  童明凯 ,  刘文懋 ,  顾杜鹃

IPC: H04L41/0631 ,  H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本申请实施例公开了一种检测攻击告警的方法、装置、检测设备及存储介质，该方法包括：提取各个告警信息中的共有可识别的特征字段；基于每个告警信息中的每个特征字段的特征值对各个告警信息进行初始分组，确定各个组对应的描述信息；基于每个组的描述信息中的各个特征字段的特征值，对各个告警信息进行至少一次重新分组，直到重新分组后的每个组的描述信息中包括的特征字段的数量不大于第一预设数量阈值；在得到的各个组中，筛选出至少一个目标组，并根据每个目标组各自对应的目标描述信息确定至少一个基线规则；将待检测的告警信息与至少一个基线规则进行匹配，确定待检测的告警信息是否为非关键告警。提高了检测攻击告警的效率，降低误报率。

公开(公告)号：CN111787000B

公开(公告)日：2022-03-25

申请号：CN202010622184.0

申请日：2020-06-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 薛见新 ,  刘文懋 ,  陈磊 ,  吴复迪

IPC: H04L9/40

Abstract: 本发明是关于一种网络安全评估方法及电子设备，涉及网络安全领域，本发明包括：从预设时间段内网络产生的告警信息中，提取多个源IP地址和目的IP地址；构建源IP地址对应的结构向量，以及构建源IP地址对应的属性向量；构建源IP地址作为用户业务的发起地址的情况下的参考结构向量以及参考属性向量；将两个结构向量进行对比得到对比结果，两个属性向量进行对比得到对比结果，根据得到的两个对比结果，确定源IP地址的威胁程度值。由于本发明实施例通过源IP地址为用户业务的发起地址的情况下的信息与实际的信息之间进行对比，而非采用容易导致误报的方式确定威胁程度，这样降低了确定的IP地址的威胁程度的误报率。