公开(公告)号：CN115001789B

公开(公告)日：2024-04-02

申请号：CN202210591748.8

申请日：2022-05-27

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张英 ,  郑茂奎 ,  赵粤征 ,  叶建伟 ,  黄俊 ,  叶晓虎

IPC: H04L9/40

Abstract: 本申请涉及网络安全技术领域，具体涉及一种失陷设备检测方法、装置、设备及介质，用于解决如何检测未知失陷设备的问题，该方法包括：获取内网中第一设备的第一外联地址；所述第一外联地址表示与所述第一设备进行通信的外网中第二设备的地址；若确定所述第一外联地址为第一类型地址，则判定所述第一设备为未知失陷设备；其中，所述未知失陷设备为已被攻陷但未添加到黑名单库和情报库的设备，所述第一类型地址表示存在恶意行为但未命中所述黑名单库和所述情报库的样本的外联地址，所述恶意行为表示对所述内网的安全产生威胁的行为。

公开(公告)号：CN114338145B

公开(公告)日：2023-09-26

申请号：CN202111619358.9

申请日：2021-12-27

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 郭兰杰 ,  脱利锋 ,  朱文豪 ,  赵粤征 ,  高辉力

IPC: H04L9/40

Abstract: 一种安全防护方法、装置及电子设备，该方法包括：在检测出安全防护系统中存在威胁事件时，获取检测出威胁事件的安全程序对应的拦截方式以及对威胁事件拦截参数，确定具有相同拦截方式的以及相同类别标识的所有安全程序，并分别设置所有安全程序对应的拦截操作，指示确定出的所有安全程序按照拦截参数以及拦截操作对威胁事件进行拦截，分别得到每个安全程序对威胁事件拦截是否成功的拦截响应信息。通过上述方法，将具有相同拦截方式的安全程序筛选出来在一个流程块中完成编排，确保了筛选出来的安全程序都通过该拦截方式对威胁事件进行拦截，避免了SOAR对不具有确定出的拦截方式的安全程序进行无效编排，避免了SOAR的资源浪费。

公开(公告)号：CN112039871A

公开(公告)日：2020-12-04

申请号：CN202010882622.7

申请日：2020-08-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 郭兰杰 ,  赵粤征

IPC: H04L29/06

Abstract: 本公开涉及网络安全领域，尤其涉及一种确定调用的网络防护设备的方法及装置，解决防护响应动作与执行防护响应动作的设备具有强关联性，制定的防护响应动作策略无法通用的问题，方法为：筛选待防护目标关联的网络防护设备，生成候选网络防护设备集合以及显式管控网段集合，确定所述待防护目标未包含在所述显式管控网段集合对应的网段范围内时，基于各个网络防护设备各自关联的隐式管控网段，生成可管控网段集合，确定所述可管控集合包含待防护目标时，筛选确定被调用执行所述防护响应动作的目标网络防护设备。这样，解耦防护响应动作以及目标网络防护设备之间的绑定关系，实现针对同种网络威胁类型确定的防护响应动作对于不同待防护目标的通用。

公开(公告)号：CN112039871B

公开(公告)日：2022-04-19

申请号：CN202010882622.7

申请日：2020-08-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 郭兰杰 ,  赵粤征

IPC: H04L9/40

Abstract: 本公开涉及网络安全领域，尤其涉及一种确定调用的网络防护设备的方法及装置，解决防护响应动作与执行防护响应动作的设备具有强关联性，制定的防护响应动作策略无法通用的问题，方法为：筛选待防护目标关联的网络防护设备，生成候选网络防护设备集合以及显式管控网段集合，确定所述待防护目标未包含在所述显式管控网段集合对应的网段范围内时，基于各个网络防护设备各自关联的隐式管控网段，生成可管控网段集合，确定所述可管控集合包含待防护目标时，筛选确定被调用执行所述防护响应动作的目标网络防护设备。这样，解耦防护响应动作以及目标网络防护设备之间的绑定关系，实现针对同种网络威胁类型确定的防护响应动作对于不同待防护目标的通用。

公开(公告)号：CN114338145A

公开(公告)日：2022-04-12

申请号：CN202111619358.9

申请日：2021-12-27

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 郭兰杰 ,  脱利锋 ,  朱文豪 ,  赵粤征 ,  高辉力

IPC: H04L9/40

Abstract: 一种安全防护方法、装置及电子设备，该方法包括：在检测出安全防护系统中存在威胁事件时，获取检测出威胁事件的安全程序对应的拦截方式以及对威胁事件拦截参数，确定具有相同拦截方式的以及相同类别标识的所有安全程序，并分别设置所有安全程序对应的拦截操作，指示确定出的所有安全程序按照拦截参数以及拦截操作对威胁事件进行拦截，分别得到每个安全程序对威胁事件拦截是否成功的拦截响应信息。通过上述方法，将具有相同拦截方式的安全程序筛选出来在一个流程块中完成编排，确保了筛选出来的安全程序都通过该拦截方式对威胁事件进行拦截，避免了SOAR对不具有确定出的拦截方式的安全程序进行无效编排，避免了SOAR的资源浪费。

公开(公告)号：CN113887942A

公开(公告)日：2022-01-04

申请号：CN202111158384.6

申请日：2021-09-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 郝超 ,  赵粤征 ,  林辉 ,  王振军 ,  张国策 ,  刘军

IPC: G06Q10/06 ,  G06F16/28

Abstract: 本申请公开了一种数据处理方法、装置、电子设备和存储介质，提高风险评估的准确性。本申请实施例中，根据用户对待处理对象的的关联值的选择，以及用户输入的参数值，对参数值和关联值对应的权重进行分类聚合操作，得到待处理对象的风险评估等级值。在本申请实施例中，用户可根据自己的需求选择关联值，并填写该关联值对应的参数，根据参数值和权重确定风险评估等级，提高了对待处理对象的风险评估的准确性。

公开(公告)号：CN112202724A

公开(公告)日：2021-01-08

申请号：CN202010943671.7

申请日：2020-09-09

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 郭兰杰 ,  高辉力 ,  赵粤征

IPC: H04L29/06 ,  G06F9/50

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种多合一编排模式的数据汇聚方法及装置，所述方法应用于多合一编排架构，多合一编排架构包括至少两个上游响应节点、虚拟节点和下游响应节点，至少两个上游响应节点的输出端与虚拟节点的输入端连接，虚拟节点的输出端与下游响应节点的输入端连接，所述方法包括：虚拟节点分别获取各上游响应节点输出的安全事件数据；将各安全事件数据进行合并，生成包含有各安全事件数据的数据集合，以使下游响应节点从数据集合中获取各安全事件数据，并根据各安全事件数据进行相应的响应操作，这样，无需设置多个相同的下游响应节点，下游响应节点只需要对接虚拟节点的安全事件数据即可，提升了执行效率。

公开(公告)号：CN111818068A

公开(公告)日：2020-10-23

申请号：CN202010674713.1

申请日：2020-07-14

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 赵粤征 ,  郭兰杰 ,  周慧芳 ,  陈景妹 ,  叶建伟

IPC: H04L29/06

Abstract: 本申请提供一种微场景案例的编排验证方法、装置、介质及计算机设备，针对任一类型的微场景，基于预设的编排流程编排对应的案例，案例包括：分析函数体、剧本及至少一个验证函数体；调用分析函数体对微场景的数据源进行过滤及分析，判断是否存在安全事件；若确定存在所述安全事件，调用剧本对安全事件进行响应，获得响应结果；剧本中包括有用于响应所述微场景安全事件的各动作函数；调用至少一个验证函数体对所述响应结果进行验证；如此，当通过剧本对微场景的安全事件进行自动响应后，可以调用验证函数体自动对响应结果进行验证；相比人工验证的方式，可以避免由人工技能差异导致的验证误差，提高验证的准确度及效率。

公开(公告)号：CN119254488A

公开(公告)日：2025-01-03

申请号：CN202411353647.2

申请日：2024-09-26

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 汪坤 ,  赵粤征 ,  肖根胜 ,  李浩 ,  叶建伟 ,  黄俊 ,  叶晓虎

IPC: H04L9/40

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种资产威胁分析方法、装置、电子设备及存储介质，用于提高对威胁事件的即时响应能力和安全分析的准确性。该方法包括：建立各场景的初始识别策略，初始识别策略包括：资产模型中的目标资产属性，以及相应场景下日志的关键元素和目标资产属性之间的映射关系；分别将获得的各初始识别策略与相应的各资产信息绑定，获得各资产识别策略，其中，各资产信息包括：相应的资产标识和资产属性值；获取各待处理日志，并基于各资产识别策略，分别确定出各待处理日志对应的资产标识，以及将各待处理日志中具有同一资产标识的各关联日志进行归并；将归并后的各关联日志作为目标事件，并基于目标事件进行安全分析。

公开(公告)号：CN115051977B

公开(公告)日：2023-09-19

申请号：CN202210729514.5

申请日：2022-06-24

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 姜剑 ,  荆昆仑 ,  赵粤征 ,  叶建伟 ,  黄俊 ,  叶晓虎

IPC: H04L67/02 ,  H04L69/16 ,  H04L69/22

Abstract: 本发明公开了一种Web机器人的识别方法、装置、设备和介质，由于该方法中是通过被动获取的每个web数据包提取到的每个TCP/IP指纹、第一操作系统类型及第一操作系统版本，在根据每个TCP/IP指纹生成的第一特征向量输入第一识别模型后得到的第二操作系统类型和第二操作系统版本、与第一操作系统类型及第一操作系统版本对Web机器人进行识别，在第一操作系统类型与第二操作系统类型不匹配，或第一操作系统版本与第二操作系统版本不匹配时，确定客户端为Web机器人，因此不会影响到客户端的性能从而提高了客户体验，并且该方法中不需要依赖用户经验设置阈值，从而提高了Web机器人识别的准确度。