公开(公告)号：CN106817364A

公开(公告)日：2017-06-09

申请号：CN201611249809.3

申请日：2016-12-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 皮靖 ,  袁帅

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明公开一种暴力破解的检测方法及装置，所述方法包括：确定每次数据传输过程对应的特征向量，其中每个特征向量中包含该数据传输过程中连接发起者发送和接收的数据包数量、数据包大小；针对设定时间长度确定的半径参数和密度阈值，对所述设定时间长度内的特征向量进行聚类处理；针对每个聚类，根据处于该聚类中的每个特征向量，对该特征向量对应的连接发起者和连接响应者的可疑次数更新，当更新后的可疑次数大于预设次数阈值时，确定连接发起者对连接响应者进行暴力破解。由于在本发明实施例中，电子设备根据连接发起者发送和接收的数据包数量、数据包大小，通过聚类处理进行暴力破解的检测，因此不需要检测包内容即可实现暴力破解的检测。

公开(公告)号：CN113672349B

公开(公告)日：2024-10-01

申请号：CN202110958811.2

申请日：2021-08-20

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 皮靖 ,  袁帅 ,  黄俊 ,  喻东阳

IPC: G06F9/455 ,  G06F8/65

Abstract: 本发明实施例提供了一种镜像的更新方法、装置、设备及介质，由于本发明实施例中，待更新的镜像共用一个基础系统镜像，并根据基础系统镜像以及修复后得到的目标基础系统镜像确定不一致的第一目标文件，获取待修复设备中待更新的镜像的基础系统镜像中记录的该第一目标文件对应的文件路径，基于该文件路径及该目标基础系统镜像中对该第一目标文件替换后的第二目标文件，即可完成对待修复设备中镜像的修复，该过程无需重启容器，仅对不一致的文件进行修复，减少了工作量。

公开(公告)号：CN117749519A

公开(公告)日：2024-03-22

申请号：CN202311864326.4

申请日：2023-12-29

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 杜凤珠 ,  袁帅 ,  黄俊

IPC: H04L9/40 ,  H04L9/32

Abstract: 本申请公开了一种周期性行为检测方法、装置、电子设备及存储介质，涉及网络安全技术领域。该方法包括：根据构建的N个行为实体访问各自目的IP的时间，确定N个行为实体各自的时间间隔序列；计算每个时间间隔序列中时间间隔众数的众数占比，并根据各众数占比，从N个行为实体中筛选出符合众数占比要求的M个行为实体；根据设定的间隔递增值，构建M个行为实体各自的递增数列，并根据每个递增数列和M个行为实体的时间戳序列，构建线性回归模型；根据该线性回归模型，确定M个行为实体中存在周期性行为的目标行为实体。

公开(公告)号：CN115001753A

公开(公告)日：2022-09-02

申请号：CN202210512418.5

申请日：2022-05-11

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 余丽辉 ,  王全 ,  章瑞康 ,  袁军 ,  袁帅 ,  黄俊

IPC: H04L9/40

Abstract: 本申请涉及信息安全领域，尤其涉及一种关联告警的分析方法、装置、电子设备及存储介质，解决实现关联告警分析的方式复杂，无法实现有效防护的问题，方法为：确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列，然后，确定所述最长公共子序列不满足预设判定条件时，确定所述待分析告警序列中的末端待分析告警事件，并获取预先确定的各个告警事件与各个其他告警事件间的告警关联度；再针对确定的末端待分析事件，分析确定对应的关联告警事件，这样，能够对可能发生的关联告警事件进行分析，挖掘出告警事件对应的潜在攻击模式，进而能够预见可能发生的安全威胁，实现对于网络安全的有效防护。

公开(公告)号：CN114218577A

公开(公告)日：2022-03-22

申请号：CN202111619481.0

申请日：2021-12-27

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李璇 ,  李新宁 ,  袁帅 ,  黄俊

IPC: G06F21/56 ,  G06F21/55 ,  G06F11/32

Abstract: 本发明实施例提供了一种API的风险确定方法、装置、设备及介质，用以提高每个API风险评估的准确性。由于在本发明实施例中，在确定某一API的目标风险值时，针对预设时间长度内接收到的告警信息，确定的第一风险值，并不只是针对某一次告警信息进行的确定，因此可以准确地确定出该API遭到每个告警类别的攻击的第一风险值。在本发明实施例中根据第一风险值、该API的重要等级及每种告警类别的威胁等级，可以提高该API的风险评估的准确性。

公开(公告)号：CN114357190B

公开(公告)日：2025-01-21

申请号：CN202111652510.3

申请日：2021-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王全 ,  黄俊 ,  袁帅

IPC: G06F16/36 ,  G06F16/901 ,  G06F16/9035 ,  G06F16/9038 ,  G06F40/143 ,  G06F40/289 ,  G06F40/295 ,  H04L9/40

Abstract: 本申请公开了一种数据检测方法、装置、电子设备及存储介质，所述数据检测方法，包括：确定接收的待检测数据所属的第一业务类型，若确定从构建的网络安全知识图谱中匹配到第一业务类型的基线子图，则提取待检测数据中的实体和实体间的关系，其中，网络安全知识图谱包含网络安全领域中至少两种业务类型的基线子图，将待检测数据中的实体和实体间的关系与第一业务类型的基线子图进行匹配，获得第一匹配结果，将待检测数据中的实体和实体间的关系与网络安全知识图谱中除第一业务类型的基线子图之外的其他业务类型的基线子图进行匹配，获得第二匹配结果，根据第一匹配结果和第二匹配结果确定待检测数据的检测结果。

公开(公告)号：CN110928717B

公开(公告)日：2023-04-07

申请号：CN201911112826.6

申请日：2019-11-14

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 皮靖 ,  袁帅 ,  梁莎 ,  李景

IPC: G06F11/07 ,  G06F16/22 ,  G06F16/23

Abstract: 本发明公开了一种复杂时序事件检测方法及装置，用以解决现有的事件检测的准确性低的问题。所述复杂时序事件检测方法，包括：对接收的每一条待检测数据标注系统时间戳，其中，所述待检测数据携带有记录时间戳；确定当前时间周期的水位线；将所述当前时间周期内的记录时间大于所述水位线的待检测数据缓存至优先队列中，并按照记录时间的先后顺序对所述优先队列中的待检测数据进行重排序；每当所述水位线更新时，将所述优先队列中记录时间小于所述更新后的水位线的待检测数据从所述优先队列中移出；根据预设的规则森林以及从所述优先队列中移出的每一条待检测数据的系统时间和记录时间对从所述优先队列中移出的每一条待检测数据进行检测。

公开(公告)号：CN115729676A

公开(公告)日：2023-03-03

申请号：CN202211529420.X

申请日：2022-11-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 皮靖 ,  黄俊 ,  袁帅

IPC: G06F9/455 ,  G06F9/50

Abstract: 本申请公开了一种计算实例的迁移方法及装置，该方法包括获取迁移请求，迁移请求用于请求对具有第一标识的第一计算实例进行迁移，第一计算实例属于第一宿主机的至少一个计算实例中的一个，第一计算实例的镜像文件存储在第一分布式存储设备中；根据第一标识和第一对应关系确定第一分布式存储设备，第一对应关系为计算实例的镜像文件与分布式存储设备之间的对应关系；根据第一标识从第一分布式存储设备中获取第一计算实例的第一镜像文件。该方法可以根据第一标识与第一对应关系从第一分布式存储设备中获取第一镜像文件，不需要同步镜像文件，从而提高计算实例的迁移效率。

公开(公告)号：CN110875928B

公开(公告)日：2022-09-06

申请号：CN201911112809.2

申请日：2019-11-14

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李璇 ,  余丽辉 ,  闻楷 ,  袁帅

IPC: H04L9/40

Abstract: 本发明涉及一种主机行为关联的攻击溯源方法、装置、介质和设备。本发明实施例提供了一种基于主机行为进行攻击溯源的方案。包括：基于定义的主机行为模板，确定与可疑主机行为存在关联的同主机或其他主机中的主机行为，并可以根据确定出的主机行为之间的关联，生成针对可疑主机行为的溯源有向图，实现攻击溯源。由于本发明实施例提供的方案从主机行为的视角出发，溯源覆盖整个攻击的全生命周期的主机行为，根据检测到的异常主机行为，关联与之相关的其他主机行为，形成异常主机行为发生的全景行为视图，定位异常行为发生的上下文，因此可以定位攻击发生的根本原因，解决了基于流量日志的溯源，无法定位攻击发生的根本原因的问题。

公开(公告)号：CN114357190A

公开(公告)日：2022-04-15

申请号：CN202111652510.3

申请日：2021-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王全 ,  黄俊 ,  袁帅

IPC: G06F16/36 ,  G06F16/901 ,  G06F16/9035 ,  G06F16/9038 ,  G06F40/143 ,  G06F40/289 ,  G06F40/295 ,  H04L9/40

Abstract: 本申请公开了一种数据检测方法、装置、电子设备及存储介质，所述数据检测方法，包括：确定接收的待检测数据所属的第一业务类型，若确定从构建的网络安全知识图谱中匹配到第一业务类型的基线子图，则提取待检测数据中的实体和实体间的关系，其中，网络安全知识图谱包含网络安全领域中至少两种业务类型的基线子图，将待检测数据中的实体和实体间的关系与第一业务类型的基线子图进行匹配，获得第一匹配结果，将待检测数据中的实体和实体间的关系与网络安全知识图谱中除第一业务类型的基线子图之外的其他业务类型的基线子图进行匹配，获得第二匹配结果，根据第一匹配结果和第二匹配结果确定待检测数据的检测结果。