公开(公告)号：CN112613576A

公开(公告)日：2021-04-06

申请号：CN202011612726.2

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴子建 ,  吴复迪 ,  刘文懋 ,  薛见新 ,  张润滋

IPC: G06K9/62 ,  G06Q10/00 ,  G06Q10/06

Abstract: 本申请提供一种确定告警的方法、装置、电子设备和存储介质，涉及网络安全技术领域。由于真正有威胁的告警信息中的攻击行为与安全的告警信息中的攻击行为有明显的区别，因此，对于目标安全设备中的多个告警信息，分别提取每个告警信息中用于描述攻击行为的特征信息；将多个告警信息进行分类，得到多个告警信息序列；根据任意两个告警信息序列中的告警信息的特征信息的相似度，确定任意两个告警信息序列的相似度；根据任意两个告警信息序列的相似度，可以确定与其他告警信息序列相似度较低的目标告警信息序列，该目标告警信息序列中的告警信息为真正有威胁的告警信息，从而确定目标告警信息，可以减轻安全运维人员的排查告警的压力。

公开(公告)号：CN112035874A

公开(公告)日：2020-12-04

申请号：CN202010882739.5

申请日：2020-08-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  刘文懋 ,  薛见新 ,  张润滋 ,  童明凯

IPC: G06F21/62 ,  G06F40/126

Abstract: 本发明涉及数据处理领域，尤其涉及一种数据匿名化处理的方法及装置，解决不区分影响指标对待研究指标的影响程度统一进行简单泛化处理，导致匿名化处理后的数据丧失可研究性的问题，方法为：确定用户数据列表中的目标列数据，分别计算各个准标识符属性标签关联的列数据对所述目标列数据的影响系数以及取值跨度，基于得到的影响系数和取值跨度，确定至少一个等价组，将数字型列数据中取值的平均值作为对应的泛化值，以及筛选出文本型列数据中取值频次达到设定阈值的前N种文本内容，作为对应的泛化值。这样，通过计算影响系数和取值跨度，确定各个列数据对目标列数据的影响程度，进而适应性地进行泛化处理，使得匿名化处理后的数据不丧失可研究性。

公开(公告)号：CN112632564B

公开(公告)日：2024-04-05

申请号：CN202011614530.7

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 叶晓虎 ,  刘文懋 ,  王星凯 ,  薛见新 ,  吴子建

IPC: G06F21/57 ,  G06N3/0464 ,  H04L43/04

Abstract: 一种威胁评估方法及装置，用于对威胁评估的结果提供可解释性。方法包括：确定所述N个节点中的高危节点；获取M个关联图，所述关联图用于描述节点以及不同节点之间的关联关系；其中，所述M个关联图中每个关联图缺少M个节点中的一个节点；所述M个节点为所述N个节点中除去所述高危节点之外的剩余节点；将所述M个关联图输入到神经网络，得到M个评估结果；确定M个评估结果中满足条件的K个评估结果；确定所述K个评估结果对应的K个关联图中每个关联图所缺少的节点；根据所述缺少的节点，得到第一相关子图；所述第一相关子图可用于解释所述高危节点处于高危状态的原因。

公开(公告)号：CN112632966B

公开(公告)日：2023-07-21

申请号：CN202011614604.7

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  陈磊 ,  薛见新 ,  吴复迪

IPC: G06F40/216 ,  G06F40/30 ,  G06N20/00

Abstract: 本发明涉及一种告警信息标记方法、装置、介质和设备。可以利用预先训练出的LDA模型，确定当前接收到的告警信息的类型对应的主题分布向量，并可以确定该告警信息对应的每个上下文文本(根据该告警信息以及其关联告警信息的类型形成的告警语句形成)对应的主题分布向量，进而可以通过主题分布向量之间的欧式距离值来度量当前接收到的告警信息的类型与其对应的每个上下文文本之间的语义偏离值。从而可以在某个欧式距离值较大时，认为当前接收到的告警信息的类型与该欧式距离值对应的上下文文本之间的语义偏离值较大，为当前接收到的告警信息生成对应的上下文异常标签，提示该告警信息针对某个上下文文本可能是高风险告警信息。

公开(公告)号：CN112615888B

公开(公告)日：2022-08-12

申请号：CN202011612770.3

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 薛见新 ,  刘文懋 ,  陈磊 ,  王星凯 ,  张润滋

IPC: H04L9/40

Abstract: 本申请公开了一种网络攻击行为的威胁评估方法及装置。包括：根据采集的目标网络在预设时间段内的告警数据，获取目标网络中至少两个IP地址间的多个告警序列；采用预设分析算法，对每个告警序列进行分析，得到每个告警序列中相邻告警事件间的转移概率；采用预设嵌入算法，对每个告警序列和相应告警序列中相邻告警事件间的转移概率进行嵌入处理，得到每个告警序列的序列向量；基于每两个IP地址间告警序列的序列向量和两个IP地址间的攻击行为矩阵，获取两个IP地址间攻击行为的威胁评估结果。该方法实现了高威告警事件的自动快速确定，降低了成本。

公开(公告)号：CN113935028A

公开(公告)日：2022-01-14

申请号：CN202111336112.0

申请日：2021-11-12

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 薛见新 ,  刘文懋 ,  王星凯 ,  张润滋 ,  顾杜娟

IPC: G06F21/55 ,  G06F21/56 ,  G06K9/62

Abstract: 一种攻击行为识别的方法及装置，用于从安全检测设备获取的海量日志中，自动识别出攻击行为。在本申请中，方法包括：从主机日志中提取出多个三元组，其中三元组包括源节点、目标节点和边，所述边用于指示所述源节点与所述目标节点之间的操作；根据所述多个三元组中源节点、目标节点和边，确定所述主机日志的属性异构图；根据所述属性异构图，进行模型训练得到语义推理模型；根据所述语义推理模型和所述属性异构图，得到一个或多个子图；从所述一个或多个子图对应的行为中确定出攻击行为。

公开(公告)号：CN112632966A

公开(公告)日：2021-04-09

申请号：CN202011614604.7

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  陈磊 ,  薛见新 ,  吴复迪

IPC: G06F40/216 ,  G06F40/30 ,  G06N20/00

Abstract: 本发明涉及一种告警信息标记方法、装置、介质和设备。可以利用预先训练出的LDA模型，确定当前接收到的告警信息的类型对应的主题分布向量，并可以确定该告警信息对应的每个上下文文本(根据该告警信息以及其关联告警信息的类型形成的告警语句形成)对应的主题分布向量，进而可以通过主题分布向量之间的欧式距离值来度量当前接收到的告警信息的类型与其对应的每个上下文文本之间的语义偏离值。从而可以在某个欧式距离值较大时，认为当前接收到的告警信息的类型与该欧式距离值对应的上下文文本之间的语义偏离值较大，为当前接收到的告警信息生成对应的上下文异常标签，提示该告警信息针对某个上下文文本可能是高风险告警信息。

公开(公告)号：CN112632564A

公开(公告)日：2021-04-09

申请号：CN202011614530.7

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 叶晓虎 ,  刘文懋 ,  王星凯 ,  薛见新 ,  吴子建

IPC: G06F21/57 ,  G06N3/04 ,  H04L12/26

Abstract: 一种威胁评估方法及装置，用于对威胁评估的结果提供可解释性。方法包括：确定所述N个节点中的高危节点；获取M个关联图，所述关联图用于描述节点以及不同节点之间的关联关系；其中，所述M个关联图中每个关联图缺少M个节点中的一个节点；所述M个节点为所述N个节点中除去所述高危节点之外的剩余节点；将所述M个关联图输入到神经网络，得到M个评估结果；确定M个评估结果中满足条件的K个评估结果；确定所述K个评估结果对应的K个关联图中每个关联图所缺少的节点；根据所述缺少的节点，得到第一相关子图；所述第一相关子图可用于解释所述高危节点处于高危状态的原因。

公开(公告)号：CN112131249A

公开(公告)日：2020-12-25

申请号：CN202011038322.7

申请日：2020-09-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴复迪 ,  刘文懋 ,  薛见新 ,  张润滋 ,  吴子建

IPC: G06F16/245 ,  G06F21/57

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种攻击意图识别方法及装置，获取告警载荷数据，并对所述告警载荷数据进行特征提取，获得所述告警载荷数据的载荷特征，其中，所述告警载荷数据为产生告警信息的原始输入的数据；基于已训练的攻击意图识别模型，以所述载荷特征为输入参数，根据所述攻击意图识别模型中的回归函数和所述载荷特征向量，确定所述告警载荷数据的攻击意图向量，其中，所述回归函数为根据载荷特征样本和攻击意图向量样本通过迭代训练获得的；根据所述攻击意图向量，确定所述告警信息指示的攻击行为的攻击意图，这样，通过预先训练的攻击意图模型确定告警信息所指示的攻击行为的攻击意图，能够提高识别攻击意图的准确度。

公开(公告)号：CN111737750A

公开(公告)日：2020-10-02

申请号：CN202010622044.3

申请日：2020-06-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  刘文懋 ,  张润滋 ,  吴子建 ,  薛见新

IPC: G06F21/62 ,  G06F21/57

Abstract: 本发明公开了一种数据处理方法、装置、电子设备及存储介质，用以自动对脱敏数据进行风险评估，提高风险评估效率。本发明实施例对原始数据集中的数据进行脱敏处理，得到多个脱敏数据集；从脱敏数据集中选择目标属性类型对应的脱敏数据集，并确定至少一个目标数据集合；根据各目标数据集合对应的概率值以及危害值确定风险值，若风险值大于预设阈值，则调整脱敏处理的方式。本发明实施例从脱敏数据被利用的可能性以及利用脱敏数据成功还原业务数据所造成的危害两个方面进行风险评估，并且实现自动确定风险值，定量确定数据泄露风险高低；并根据确定出的风险值调整脱敏处理的方式，以降低数据泄露风险。