公开(公告)号：CN114363148B

公开(公告)日：2023-05-26

申请号：CN202111558765.3

申请日：2021-12-20

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴复迪 ,  薛见新 ,  张润滋 ,  王星凯 ,  童明凯 ,  刘文懋 ,  顾杜鹃

IPC: H04L41/0631 ,  H04L9/40 ,  G06N3/04 ,  G06N3/0895

Abstract: 本申请实施例公开了一种检测攻击告警的方法、装置、检测设备及存储介质，该方法包括：提取各个告警信息中的共有可识别的特征字段；基于每个告警信息中的每个特征字段的特征值对各个告警信息进行初始分组，确定各个组对应的描述信息；基于每个组的描述信息中的各个特征字段的特征值，对各个告警信息进行至少一次重新分组，直到重新分组后的每个组的描述信息中包括的特征字段的数量不大于第一预设数量阈值；在得到的各个组中，筛选出至少一个目标组，并根据每个目标组各自对应的目标描述信息确定至少一个基线规则；将待检测的告警信息与至少一个基线规则进行匹配，确定待检测的告警信息是否为非关键告警。提高了检测攻击告警的效率，降低误报率。

公开(公告)号：CN111818067B

公开(公告)日：2022-07-15

申请号：CN202010674631.7

申请日：2020-07-14

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  陈磊 ,  吴子建 ,  童明凯

IPC: H04L9/40 ,  G06F16/903 ,  G06F16/906

Abstract: 本发明涉及网络安全技术领域，尤其涉及流量特征提取方法及装置，包括：获取具有目标特征的目标流量样本；对通过从目标流量样本中抽样获得的目标特征提取样本集进行聚类，获得扫描攻击组和非扫描攻击组；基于递归扫描特征字串提取方法，从扫描攻击组中提取出扫描特征正则表达式；以及，基于用于识别目标特征的流量分类模型，从非扫描攻击组中提取出非扫描特征正则表达式；对包含扫描特征正则表达式和非扫描特征正则表达式的特征表达式集合进行验证，确定目标特征表达式集合；基于目标特征表达式集合，对待处理流量的目标特征进行提取。本发明使得特征提取不仅能够针对具有公共字串的流量，还能够针对没有公共字串的流量，提高了特征提取的准确性。

公开(公告)号：CN114357445A

公开(公告)日：2022-04-15

申请号：CN202111576910.0

申请日：2021-12-22

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王星凯 ,  吴复迪 ,  顾杜娟 ,  薛见新 ,  张润滋 ,  刘文懋

IPC: G06F21/56

Abstract: 本发明公开了一种终端侧攻击路径识别的方法、装置及存储介质，用以解决现有技术中存在的难以智能且准确地识别终端中的攻击路径的技术问题，该方法包括：构建终端侧的第一攻击溯源图；其中，所述第一攻击溯源图用于表征所述终端侧中不同实体间的关联关系；对所述第一攻击溯源图中每对节点间的冗余连线进行优化，获得第二攻击溯源图；其中，所述冗余连线为所述每对节点间表征同种关联关系的连线中起始时刻之外对应的连线，所述第一攻击溯源图中一个节点对应所述终端侧中的一个实体；从所述第二攻击溯源图中确定实际存在攻击行为的实际攻击路径。

公开(公告)号：CN112615888A

公开(公告)日：2021-04-06

申请号：CN202011612770.3

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 薛见新 ,  刘文懋 ,  陈磊 ,  王星凯 ,  张润滋

IPC: H04L29/06

Abstract: 本申请公开了一种网络攻击行为的威胁评估方法及装置。包括：根据采集的目标网络在预设时间段内的告警数据，获取目标网络中至少两个IP地址间的多个告警序列；采用预设分析算法，对每个告警序列进行分析，得到每个告警序列中相邻告警事件间的转移概率；采用预设嵌入算法，对每个告警序列和相应告警序列中相邻告警事件间的转移概率进行嵌入处理，得到每个告警序列的序列向量；基于每两个IP地址间告警序列的序列向量和两个IP地址间的攻击行为矩阵，获取两个IP地址间攻击行为的威胁评估结果。该方法实现了高威告警事件的自动快速确定，降低了成本。

公开(公告)号：CN111818067A

公开(公告)日：2020-10-23

申请号：CN202010674631.7

申请日：2020-07-14

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  陈磊 ,  吴子建 ,  童明凯

IPC: H04L29/06 ,  G06F16/903 ,  G06F16/906

Abstract: 本发明涉及网络安全技术领域，尤其涉及流量特征提取方法及装置，包括：获取具有目标特征的目标流量样本；对通过从目标流量样本中抽样获得的目标特征提取样本集进行聚类，获得扫描攻击组和非扫描攻击组；基于递归扫描特征字串提取方法，从扫描攻击组中提取出扫描特征正则表达式；以及，基于用于识别目标特征的流量分类模型，从非扫描攻击组中提取出非扫描特征正则表达式；对包含扫描特征正则表达式和非扫描特征正则表达式的特征表达式集合进行验证，确定目标特征表达式集合；基于目标特征表达式集合，对待处理流量的目标特征进行提取。本发明使得特征提取不仅能够针对具有公共字串的流量，还能够针对没有公共字串的流量，提高了特征提取的准确性。

公开(公告)号：CN116866020A

公开(公告)日：2023-10-10

申请号：CN202310786695.X

申请日：2023-06-29

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 员苗 ,  张润滋 ,  童明凯 ,  刘文懋 ,  顾杜娟

IPC: H04L9/40 ,  H04L41/0631

Abstract: 本申请公开了一种告警数据的处理方法及装置，该方法包括第一设备可以根据告警数据获取全部或部分的基础二元告警类型转换的次数；根据第一预设条件和所述基础二元告警类型转换的次数，获得次级二元告警类型转换数据；根据所述次级二元告警类型转换数据进行数据分析。采用该方法，第一设备可以根据预设的条件从获取的基础二元告警类型转换的次数中，获得次级二元告警类型转换数据，再根据次级二元告警类型转换数据进行数据分析，从而实现以粗粒度的方式描述多个告警类型之间的转换关系，再根据次级二元告警类型转换数据进行数据分析，从而提高告警数据的分析效率。

公开(公告)号：CN113676484B

公开(公告)日：2023-04-18

申请号：CN202110993536.8

申请日：2021-08-27

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王星凯 ,  薛见新 ,  吴复迪 ,  刘文懋 ,  张润滋

IPC: H04L9/40

Abstract: 本申请实施例中，通过构建基线模型的方式，去除多余的日志数据，从而缓解终端侧数据之间依赖关系爆炸的问题，降低运算负荷，并从网络侧和终端侧的日志数据中提取出代表性的字段，通过定义日志数据之间的依赖关系，构建时序异构图，并通过构建的知识图谱，定义知识图谱中的节点与时序异构图中节点之间的依赖关系，构建完整的攻击溯源图。本申请实施例提供的攻击溯源方法、装置和电子设备，能够在网络侧与终端侧关联的场景中，基于攻击源与目标对象的相关信息，从攻击溯源图中获得更加完整，且准确性更高的攻击路径。

公开(公告)号：CN115955355A

公开(公告)日：2023-04-11

申请号：CN202211738042.6

申请日：2022-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  汤旭 ,  员苗 ,  刘文懋 ,  薛见新 ,  王星凯 ,  顾杜娟

IPC: H04L9/40

Abstract: 本申请公开了一种攻击事件知识图谱的输出方法及装置，提出根据企业内部已知的攻击事件自动输出高适应性的攻击事件知识图谱，从而提升采用知识图谱从动态事件中定位攻击事件的效率和准确率。该方法包括：响应于接收到的攻击事件知识图谱的请求信息，获取在接收请求信息之前的设定时间段内的多个攻击事件的日志；基于预先配置的不同类型的日志数据之间的关联关系，以及任一攻击事件的日志包括的多项日志数据的类型，确定多项日志数据之间的关联关系；根据多项日志数据和多项日志数据之间的关联关系，生成任一攻击事件对应的子图谱；根据多个攻击事件分别的日志数据，将多个攻击事件分别对应的子图谱进行组合，输出多个攻击事件的知识图谱。

公开(公告)号：CN115796276A

公开(公告)日：2023-03-14

申请号：CN202211528209.6

申请日：2022-11-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  雷宇 ,  高翔 ,  王真 ,  张润滋 ,  冉靖

IPC: G06N5/01 ,  G06N20/00 ,  G06N20/20 ,  G06F21/62

Abstract: 本申请公开了一种基于联邦学习的决策树构建方法、装置及存储介质。涉及人工智能技术领域。该方法具体包括：服务器向至少两个终端设备发送第一指示信息，第一指示信息用于指示对样本数据进行统计。然后，服务器接收至少两个样本统计参数，并根据至少两个样本统计参数确定全局统计参数，并根据全局统计参数判断决策树的第一节点是否满足分裂条件。若满足分裂条件，服务器向至少两个终端设备发送第二指示信息，第二指示信息用于指示对样本数据进行分割，分割后获得的样本数据作为下一次需要训练的样本数据。该方法用以解决现有网络模型对样本分类时的泛化能力较差，分类结果容易过拟合的问题。

公开(公告)号：CN113890821A

公开(公告)日：2022-01-04

申请号：CN202111123943.X

申请日：2021-09-24

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  吴复迪 ,  王星凯 ,  刘文懋 ,  顾杜娟

IPC: H04L41/069 ,  H04L41/0631

Abstract: 本申请公开一种日志关联的方法、装置及电子设备，该方法包括基于机器学习模型，获取预设时间窗口长度的多个序列对，并基于机器学习模型对序列对进行检测，当检测到序列对中的第一向量序列存在异常时，获取所述第一向量序列对应的第一预测结果，并根据第一预测结果得到与第一向量序列关联的目标日志，当检测到序列对中的第二向量序列存在异常时，获取第二向量序列对应的第二预测结果，并根据第二预测结果得到与第二向量序列关联的目标日志。基于上述方法又可以根据网络侧的网络告警，关联定位到终端侧的行为日志，同时可以根据终端侧的行为日志，关联到一种可能的网络侧的网络告警。解决难以完整准确定位与溯源对应的关联日志的问题。