公开(公告)号：CN116015823A

公开(公告)日：2023-04-25

申请号：CN202211634738.4

申请日：2022-12-19

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 郭兰杰 ,  丁杰 ,  赵粤征

IPC: H04L9/40

Abstract: 本申请实施例提供一种事件检测方法、装置、电子设备及存储介质，响应于设定的碰撞时机，获取情报指标集合，并从流量指标库中，获取针对所述碰撞时机的流量指标集合，其中，每个情报指标关联本地情报库中的一个增量情报，每个增量情报的情报记录时间不早于设定的历史检测时间，每个流量指标关联流量消息队列中的一个回溯流量，每个回溯流量通过历史日志解析获得，进一步的，对情报指标集合与流量指标集合进行碰撞及分析，获得各回溯威胁事件，从而基于上述方式，对情报产生前的攻击行为进行回溯检测，提升溯源出的网络攻击链的完整性。

公开(公告)号：CN112202724B

公开(公告)日：2023-04-07

申请号：CN202010943671.7

申请日：2020-09-09

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 郭兰杰 ,  高辉力 ,  赵粤征

IPC: H04L41/0246 ,  H04L41/342 ,  H04L9/40

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种多合一编排模式的数据汇聚方法及装置，所述方法应用于多合一编排架构，多合一编排架构包括至少两个上游响应节点、虚拟节点和下游响应节点，至少两个上游响应节点的输出端与虚拟节点的输入端连接，虚拟节点的输出端与下游响应节点的输入端连接，所述方法包括：虚拟节点分别获取各上游响应节点输出的安全事件数据；将各安全事件数据进行合并，生成包含有各安全事件数据的数据集合，以使下游响应节点从数据集合中获取各安全事件数据，并根据各安全事件数据进行相应的响应操作，这样，无需设置多个相同的下游响应节点，下游响应节点只需要对接虚拟节点的安全事件数据即可，提升了执行效率。

公开(公告)号：CN111818068B

公开(公告)日：2022-07-15

申请号：CN202010674713.1

申请日：2020-07-14

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 赵粤征 ,  郭兰杰 ,  周慧芳 ,  陈景妹 ,  叶建伟

IPC: H04L9/40

Abstract: 本申请提供一种微场景案例的编排验证方法、装置、介质及计算机设备，针对任一类型的微场景，基于预设的编排流程编排对应的案例，案例包括：分析函数体、剧本及至少一个验证函数体；调用分析函数体对微场景的数据源进行过滤及分析，判断是否存在安全事件；若确定存在所述安全事件，调用剧本对安全事件进行响应，获得响应结果；剧本中包括有用于响应所述微场景安全事件的各动作函数；调用至少一个验证函数体对所述响应结果进行验证；如此，当通过剧本对微场景的安全事件进行自动响应后，可以调用验证函数体自动对响应结果进行验证；相比人工验证的方式，可以避免由人工技能差异导致的验证误差，提高验证的准确度及效率。

公开(公告)号：CN114443291A

公开(公告)日：2022-05-06

申请号：CN202210041985.7

申请日：2022-01-14

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 彭晓军 ,  张原 ,  陈永萍 ,  赵粤征 ,  叶建伟 ,  黄俊 ,  叶晓虎

IPC: G06F9/50 ,  G06F9/4401 ,  G06K9/62 ,  G06N5/00 ,  H04L69/22

Abstract: 本申请涉及通信技术领域，具体涉及一种基于多核处理器的报文分发方法、装置、设备及介质，用于提高多核处理器处理报文的效率。该方法包括接收当前周期内的第一全部报文；根据所述第一全部报文中的样本报文的各多元组的信息增益，构建决策树；根据所述第一全部报文的各多元组的第一信息增益和上一周期内的第二全部报文的各多元组的第二信息增益，依次遍历所述决策树，确定所述第一全部报文的分发策略；根据所述分发策略，将所述第一全部报文分发到所述多核处理器中的各个处理核，其中，若所述各多元组中任一多元组的第一信息增益等于所述任一多元组的第二信息增益，则所述分发策略为将所述第一全部报文平均分发到多核处理器中的各个处理核。

公开(公告)号：CN111835768A

公开(公告)日：2020-10-27

申请号：CN202010674680.0

申请日：2020-07-14

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 阮博男 ,  刘文懋 ,  赵粤征 ,  浦明 ,  郭兰杰

IPC: H04L29/06 ,  G06F9/50

Abstract: 本申请提供一种用于处理安全事件的方法、系统、介质及计算机设备，方法包括：接收由监测设备发送的至少一个安全事件，查找至少一个安全事件对应的剧本；为每个剧本创建对应的子进程，基于每个子进程调用对应的剧本入口函数；调用接口为每个剧本的子进程创建至少一个子线程，返回接口的主线程；基于至少一个子线程并行执行对应剧本中的各动作函数；因在对安全事件的响应过程中，可以通过相应的子进程并行执行不同的剧本；在执行剧本时，因接口在创建当前子线程后，返回主线程，因此各子线程中的动作函数可并行执行，满足对大规模安全事件的自动响应，提高对安全事件的响应效率。

公开(公告)号：CN111367629A

公开(公告)日：2020-07-03

申请号：CN202010236020.4

申请日：2020-03-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 郭兰杰 ,  浦明 ,  赵粤征 ,  刘文懋

IPC: G06F9/46 ,  G06F9/48

Abstract: 本发明公开了一种延时任务处理方法及装置，用以解决现有的SOAR平台的剧本的延时任务处理方法中，延时执行的动作会阻塞剧本中该动作后面的其它需要实时执行的动作的执行，而使得剧本的执行效率较低、资源占用无法及时释放的问题。所述延时任务处理方法，包括：当解析到延时任务时，获取所述延时任务中的待执行延时动作的上下文信息，所述上下文信息包括所述待执行延时动作的执行时间；将所述上下文信息存储到预设数据库中；将所述待执行延时动作加入预设轮询进程中，当确定轮询到所述执行时间时，根据所述上下文信息执行所述待执行延时动作。

公开(公告)号：CN114710468B

公开(公告)日：2024-05-14

申请号：CN202210336645.7

申请日：2022-03-31

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 穆建光 ,  张龙 ,  赵粤征 ,  叶建伟 ,  黄俊

IPC: H04L61/30 ,  H04L61/301 ,  H04L61/3015

Abstract: 本申请公开了一种域名生成和识别方法、装置、设备及介质。由于预先配置有域名变形规则，使得根据该域名变形规则，可以对待保护域名中包含的核心字符串进行变换，从而获取到核心字符串对应的近似字符串，进而根据获取到的近似字符串，确定待保护域名对应的近似域名，从而实现尽可能地获取到所有可能仿冒待保护域名对应的近似域名，无需通过收集的方式获取待保护域名对应的近似域名，极大地减少了获取待保护域名对应的近似域名所需的工作量以及耗费的成本。

公开(公告)号：CN111831275B

公开(公告)日：2023-06-30

申请号：CN202010675633.8

申请日：2020-07-14

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 浦明 ,  阮博男 ,  刘文懋 ,  赵粤征 ,  郭兰杰

IPC: G06F8/34 ,  G06F3/0486 ,  H04L9/40

Abstract: 本申请提供一种编排微场景剧本的方法、服务器、介质及计算机设备，方法包括：针对任一类型的微场景，接收开始函数块，开始函数块与开始函数体相关联；接收对应的过滤函数块，过滤函数块与过滤函数体相关联；接收对应的动作函数块；动作函数块与动作函数体相关联；接收结束函数块，结束函数块与结束函数体相关联；根据开始函数块、过滤函数块、动作函数块及结束函数块生成微场景对应的剧本；在编排微场景时，因各个函数块和对应的函数体之间存在关联关系，因此可通过拖拽相应的函数块实现对微场景剧本的编排；这种通过在编排界面上搭建各个函数块来生成剧本的方式，用户无需输入大量的代码，可脱离复杂的编码过程，降低微场景剧本编排的复杂度及难度。

公开(公告)号：CN115022243A

公开(公告)日：2022-09-06

申请号：CN202210747051.5

申请日：2022-06-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 郭兰杰 ,  高辉力 ,  赵粤征

IPC: H04L47/12 ,  H04L47/125

Abstract: 本申请公开了数据流量控制方法、装置、系统、电子设备及存储介质，该方法为：数据接入模块若确定超量缓存模块中缓存的数据量满足数据获取条件时，获取待处理数据流量；若批处理缓存模块中缓存的数据流量的数量小于设定数量，则根据待处理数据流量的数量和批处理缓存模块中缓存的数据流量的数量确定待处理数据流量的目标数量，将目标数量的待处理数据流量发送至批处理缓存模块进行缓存，若存在剩余的待处理数据流量，将剩余的待处理流量缓存至超量缓存模块；若批处理缓存模块中缓存的数据流量的数量等于设定数量，则将待处理数据流量存储至超量缓存模块，待批处理缓存模块中的数据被处理完毕后，将待处理数据流量发送至批处理缓存模块中进行缓存。

公开(公告)号：CN115001789A

公开(公告)日：2022-09-02

申请号：CN202210591748.8

申请日：2022-05-27

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张英 ,  郑茂奎 ,  赵粤征 ,  叶建伟 ,  黄俊 ,  叶晓虎

IPC: H04L9/40

Abstract: 本申请涉及网络安全技术领域，具体涉及一种失陷设备检测方法、装置、设备及介质，用于解决如何检测未知失陷设备的问题，该方法包括：获取内网中第一设备的第一外联地址；所述第一外联地址表示与所述第一设备进行通信的外网中第二设备的地址；若确定所述第一外联地址为第一类型地址，则判定所述第一设备为未知失陷设备；其中，所述未知失陷设备为已被攻陷但未添加到黑名单库和情报库的设备，所述第一类型地址表示存在恶意行为但未命中所述黑名单库和所述情报库的样本的外联地址，所述恶意行为表示对所述内网的安全产生威胁的行为。