公开(公告)号：CN116866020A

公开(公告)日：2023-10-10

申请号：CN202310786695.X

申请日：2023-06-29

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 员苗 ,  张润滋 ,  童明凯 ,  刘文懋 ,  顾杜娟

IPC: H04L9/40 ,  H04L41/0631

Abstract: 本申请公开了一种告警数据的处理方法及装置，该方法包括第一设备可以根据告警数据获取全部或部分的基础二元告警类型转换的次数；根据第一预设条件和所述基础二元告警类型转换的次数，获得次级二元告警类型转换数据；根据所述次级二元告警类型转换数据进行数据分析。采用该方法，第一设备可以根据预设的条件从获取的基础二元告警类型转换的次数中，获得次级二元告警类型转换数据，再根据次级二元告警类型转换数据进行数据分析，从而实现以粗粒度的方式描述多个告警类型之间的转换关系，再根据次级二元告警类型转换数据进行数据分析，从而提高告警数据的分析效率。

公开(公告)号：CN113676484B

公开(公告)日：2023-04-18

申请号：CN202110993536.8

申请日：2021-08-27

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王星凯 ,  薛见新 ,  吴复迪 ,  刘文懋 ,  张润滋

IPC: H04L9/40

Abstract: 本申请实施例中，通过构建基线模型的方式，去除多余的日志数据，从而缓解终端侧数据之间依赖关系爆炸的问题，降低运算负荷，并从网络侧和终端侧的日志数据中提取出代表性的字段，通过定义日志数据之间的依赖关系，构建时序异构图，并通过构建的知识图谱，定义知识图谱中的节点与时序异构图中节点之间的依赖关系，构建完整的攻击溯源图。本申请实施例提供的攻击溯源方法、装置和电子设备，能够在网络侧与终端侧关联的场景中，基于攻击源与目标对象的相关信息，从攻击溯源图中获得更加完整，且准确性更高的攻击路径。

公开(公告)号：CN115955355A

公开(公告)日：2023-04-11

申请号：CN202211738042.6

申请日：2022-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  汤旭 ,  员苗 ,  刘文懋 ,  薛见新 ,  王星凯 ,  顾杜娟

IPC: H04L9/40

Abstract: 本申请公开了一种攻击事件知识图谱的输出方法及装置，提出根据企业内部已知的攻击事件自动输出高适应性的攻击事件知识图谱，从而提升采用知识图谱从动态事件中定位攻击事件的效率和准确率。该方法包括：响应于接收到的攻击事件知识图谱的请求信息，获取在接收请求信息之前的设定时间段内的多个攻击事件的日志；基于预先配置的不同类型的日志数据之间的关联关系，以及任一攻击事件的日志包括的多项日志数据的类型，确定多项日志数据之间的关联关系；根据多项日志数据和多项日志数据之间的关联关系，生成任一攻击事件对应的子图谱；根据多个攻击事件分别的日志数据，将多个攻击事件分别对应的子图谱进行组合，输出多个攻击事件的知识图谱。

公开(公告)号：CN115103362A

公开(公告)日：2022-09-23

申请号：CN202210740487.1

申请日：2022-06-27

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘文懋 ,  高深 ,  阮博男

IPC: H04W12/12 ,  H04W24/08

Abstract: 本申请公开了一种5G网元调用序列还原方法及装置、电子设备，该方法包括：从核心网流量的历史数据包中筛选出与目标用户设备关联的业务产生的数据包，并基于所述数据包得到至少一个通信信息集合，其中同一个所述通信信息集合包括的通信信息是同一个业务产生的数据包中的通信信息，所述通信信息集合包括的通信信息是按照调用网元的时间排序的；对所述任意一个通信信息集合中的通信信息进行遍历，并根据遍历结果得到网元调用序列。以此解决5G核心网中无法对网元的调用序列进行还原的问题。

公开(公告)号：CN112751863B

公开(公告)日：2022-07-22

申请号：CN202011614330.1

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘文懋 ,  周鸿屹 ,  王焕然

IPC: H04L9/40 ,  G06K9/62

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种攻击行为分析方法及装置，获取网络安全设备采集到的各网络会话数据；分别针对各网络会话数据，根据预设的频繁事件序列挖掘算法，从任意一会话数据所包含的各事件组成的事件序列中，确定出各频繁事件序列模式；根据确定出的各网络会话数据的各频繁事件序列模式，对各网络会话数据进行聚类，获得各类网络会话数据；分别针对各类网络会话数据，识别任意一类网络会话数据中包含的各命令的命令状态类别，并基于识别后的各命令，以及识别后的各命令之间的调用顺序，分析该类网络会话数据的攻击行为，这样，能够提高攻击行为识别的准确度。

公开(公告)号：CN113890821A

公开(公告)日：2022-01-04

申请号：CN202111123943.X

申请日：2021-09-24

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  吴复迪 ,  王星凯 ,  刘文懋 ,  顾杜娟

IPC: H04L41/069 ,  H04L41/0631

Abstract: 本申请公开一种日志关联的方法、装置及电子设备，该方法包括基于机器学习模型，获取预设时间窗口长度的多个序列对，并基于机器学习模型对序列对进行检测，当检测到序列对中的第一向量序列存在异常时，获取所述第一向量序列对应的第一预测结果，并根据第一预测结果得到与第一向量序列关联的目标日志，当检测到序列对中的第二向量序列存在异常时，获取第二向量序列对应的第二预测结果，并根据第二预测结果得到与第二向量序列关联的目标日志。基于上述方法又可以根据网络侧的网络告警，关联定位到终端侧的行为日志，同时可以根据终端侧的行为日志，关联到一种可能的网络侧的网络告警。解决难以完整准确定位与溯源对应的关联日志的问题。

公开(公告)号：CN109617977B

公开(公告)日：2021-12-03

申请号：CN201811583302.0

申请日：2018-12-24

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张星 ,  刘文懋 ,  诸葛鸣晨

IPC: H04L29/08

Abstract: 本发明提供一种网页请求处理方法及装置，涉及计算机技术领域，方法包括：WEB服务器确定网页访问请求的访问目标符合区块链存储规则，则向代理服务器发送所述网页访问请求对应的操作请求；所述代理服务器用于访问区块链系统以获取所述访问目标；所述WEB服务器接收所述代理服务器返回的网页访问结果。与现有技术相比，通过代理服务器从区块链系统读取访问目标的网页文件，利用区块链不可篡改的特性，保证了网页文件的安全性，同时利用代理服务器来获取访问目标，可以减少多个WEB服务器与代理服务器之间的耦合，在代理服务器一个设备上进行代码的修改，就可以实现多个WEB服务器网页请求处理的方法流程。

公开(公告)号：CN112131249B

公开(公告)日：2024-07-26

申请号：CN202011038322.7

申请日：2020-09-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴复迪 ,  刘文懋 ,  薛见新 ,  张润滋 ,  吴子建

IPC: G06F16/245 ,  G06F21/57

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种攻击意图识别方法及装置，获取告警载荷数据，并对所述告警载荷数据进行特征提取，获得所述告警载荷数据的载荷特征，其中，所述告警载荷数据为产生告警信息的原始输入的数据；基于已训练的攻击意图识别模型，以所述载荷特征为输入参数，根据所述攻击意图识别模型中的回归函数和所述载荷特征向量，确定所述告警载荷数据的攻击意图向量，其中，所述回归函数为根据载荷特征样本和攻击意图向量样本通过迭代训练获得的；根据所述攻击意图向量，确定所述告警信息指示的攻击行为的攻击意图，这样，通过预先训练的攻击意图模型确定告警信息所指示的攻击行为的攻击意图，能够提高识别攻击意图的准确度。

公开(公告)号：CN114422174B

公开(公告)日：2023-07-25

申请号：CN202111499088.2

申请日：2021-12-09

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 彭添 ,  叶建伟 ,  刘文懋 ,  谢正明 ,  顾杜娟 ,  赵洪亮 ,  王萌

IPC: H04L9/40 ,  H04L43/028

Abstract: 本公开涉及一种网络流量过滤方法、装置、介质和设备。其中，根据报文的五元组信息确定报文所属会话，根据属于该会话的报文确定预设的过滤参数对应的加权系数值，基于加权系数值，对对应的过滤参数值进行加权求和，利用加权求和值来确定会话属于加密代理网络流量的概率。进一步将获得的概率与设定的阈值进行比较，从而确定该会话是否属于加密代理网络流量。在确定出一个会话是否属于加密代理网络流量之后，属于该会话的报文是否属于加密代理网络流量即可以得到确定。从而可以比较准确地区分加密代理网络流量和非加密代理网络流量，实现加密代理网络流量的准确过滤，以便后续进一步针对加密代理网络流量和非加密代理网络流量分别进行处理。

公开(公告)号：CN114363148B

公开(公告)日：2023-05-26

申请号：CN202111558765.3

申请日：2021-12-20

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴复迪 ,  薛见新 ,  张润滋 ,  王星凯 ,  童明凯 ,  刘文懋 ,  顾杜鹃

IPC: H04L41/0631 ,  H04L9/40 ,  G06N3/04 ,  G06N3/0895

Abstract: 本申请实施例公开了一种检测攻击告警的方法、装置、检测设备及存储介质，该方法包括：提取各个告警信息中的共有可识别的特征字段；基于每个告警信息中的每个特征字段的特征值对各个告警信息进行初始分组，确定各个组对应的描述信息；基于每个组的描述信息中的各个特征字段的特征值，对各个告警信息进行至少一次重新分组，直到重新分组后的每个组的描述信息中包括的特征字段的数量不大于第一预设数量阈值；在得到的各个组中，筛选出至少一个目标组，并根据每个目标组各自对应的目标描述信息确定至少一个基线规则；将待检测的告警信息与至少一个基线规则进行匹配，确定待检测的告警信息是否为非关键告警。提高了检测攻击告警的效率，降低误报率。