公开(公告)号：CN111818067B

公开(公告)日：2022-07-15

申请号：CN202010674631.7

申请日：2020-07-14

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  陈磊 ,  吴子建 ,  童明凯

IPC: H04L9/40 ,  G06F16/903 ,  G06F16/906

Abstract: 本发明涉及网络安全技术领域，尤其涉及流量特征提取方法及装置，包括：获取具有目标特征的目标流量样本；对通过从目标流量样本中抽样获得的目标特征提取样本集进行聚类，获得扫描攻击组和非扫描攻击组；基于递归扫描特征字串提取方法，从扫描攻击组中提取出扫描特征正则表达式；以及，基于用于识别目标特征的流量分类模型，从非扫描攻击组中提取出非扫描特征正则表达式；对包含扫描特征正则表达式和非扫描特征正则表达式的特征表达式集合进行验证，确定目标特征表达式集合；基于目标特征表达式集合，对待处理流量的目标特征进行提取。本发明使得特征提取不仅能够针对具有公共字串的流量，还能够针对没有公共字串的流量，提高了特征提取的准确性。

公开(公告)号：CN114357445A

公开(公告)日：2022-04-15

申请号：CN202111576910.0

申请日：2021-12-22

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王星凯 ,  吴复迪 ,  顾杜娟 ,  薛见新 ,  张润滋 ,  刘文懋

IPC: G06F21/56

Abstract: 本发明公开了一种终端侧攻击路径识别的方法、装置及存储介质，用以解决现有技术中存在的难以智能且准确地识别终端中的攻击路径的技术问题，该方法包括：构建终端侧的第一攻击溯源图；其中，所述第一攻击溯源图用于表征所述终端侧中不同实体间的关联关系；对所述第一攻击溯源图中每对节点间的冗余连线进行优化，获得第二攻击溯源图；其中，所述冗余连线为所述每对节点间表征同种关联关系的连线中起始时刻之外对应的连线，所述第一攻击溯源图中一个节点对应所述终端侧中的一个实体；从所述第二攻击溯源图中确定实际存在攻击行为的实际攻击路径。

公开(公告)号：CN114356919A

公开(公告)日：2022-04-15

申请号：CN202111589221.3

申请日：2021-12-23

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  刘文懋 ,  顾杜娟 ,  王真

IPC: G06F16/22 ,  G06F21/62

Abstract: 本申请公开了一种结构化数据库的水印嵌入方法、溯源方法及装置，用以解决目前方案水印无法抵抗主键删除攻击、小批量下载数据导致绕过攻击的问题。本申请结合主密钥、各个接收设备分别对应的标识以及属性组合的数据，生成各个接收设备分别对应第一水印比特值，并将第一水印比特值嵌入到各个接收设备的结构化数据库的可嵌入水印字段中。属性组合采用至少一个不可更改的字段。在对泄露的数据库溯源时，针对每个接收设备确定由不同行的第一水印比特值构成的第一水印比特序列；从泄露的数据库的可嵌入水印字段中获取第二比特序列；通过每个接收设备的第一水印比特序列分别与第二水印比特序列的比较结果确定和溯源到存在数据泄露行为的接收设备。

公开(公告)号：CN113961245A

公开(公告)日：2022-01-21

申请号：CN202111259722.5

申请日：2021-10-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 浦明 ,  刘文懋 ,  刘世昌 ,  陈建军 ,  肖周林 ,  姚曼

IPC: G06F9/22 ,  G06F9/445 ,  G06F9/455 ,  H04L9/40

Abstract: 本申请涉及微服务应用技术领域，具体涉及一种基于微服务应用的安全防护系统、方法及介质。该系统包括容器集Pod，Pod包括代理Envoy容器和安全容器，安全容器用于接收Envoy容器发送的用户访问微服务应用的请求，从请求中提取多种预设参数类型的参数信息，根据多种预设参数类型的参数信息中是否存在与预设规则库中的预设规则匹配的参数信息，获得请求的检测结果，以及将检测结果发送给Envoy容器。Envoy容器还用于接收检测结果，执行与检测结果对应的流量策略。本申请通过设置单独的安全容器，独立于Envoy容器之外，无需依赖Envoy的开发模式及固有限制，对更多恶意攻击进行检测，提高微服务应用的安全防护能力。

公开(公告)号：CN112615888A

公开(公告)日：2021-04-06

申请号：CN202011612770.3

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 薛见新 ,  刘文懋 ,  陈磊 ,  王星凯 ,  张润滋

IPC: H04L29/06

Abstract: 本申请公开了一种网络攻击行为的威胁评估方法及装置。包括：根据采集的目标网络在预设时间段内的告警数据，获取目标网络中至少两个IP地址间的多个告警序列；采用预设分析算法，对每个告警序列进行分析，得到每个告警序列中相邻告警事件间的转移概率；采用预设嵌入算法，对每个告警序列和相应告警序列中相邻告警事件间的转移概率进行嵌入处理，得到每个告警序列的序列向量；基于每两个IP地址间告警序列的序列向量和两个IP地址间的攻击行为矩阵，获取两个IP地址间攻击行为的威胁评估结果。该方法实现了高威告警事件的自动快速确定，降低了成本。

公开(公告)号：CN112035839A

公开(公告)日：2020-12-04

申请号：CN202010806212.4

申请日：2020-08-12

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 阮博男 ,  刘文懋 ,  江国龙 ,  浦明

IPC: G06F21/57

Abstract: 本申请涉及计算机技术领域，尤其涉及一种竞态条件漏洞利用的检测方法及装置，获取包含有各子程序的子程序集合；获取预设的漏洞特征信息集合，若确定所述漏洞特征信息集合中的各子程序均包含于所述子程序集合中，则分别计算所述漏洞特征信息集合中的各子程序在所述子程序集合中出现的次数值，其中，所述漏洞特征信息集合中包括触发竞态条件漏洞时所必要调用的子程序；若确定计算出的各次数值均大于对应的预设次数阈值，则确定检测到竞态条件漏洞利用，这样，通过设置次数阈值，能够实现对竞态条件漏洞利用的检测。

公开(公告)号：CN111818067A

公开(公告)日：2020-10-23

申请号：CN202010674631.7

申请日：2020-07-14

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  陈磊 ,  吴子建 ,  童明凯

IPC: H04L29/06 ,  G06F16/903 ,  G06F16/906

Abstract: 本发明涉及网络安全技术领域，尤其涉及流量特征提取方法及装置，包括：获取具有目标特征的目标流量样本；对通过从目标流量样本中抽样获得的目标特征提取样本集进行聚类，获得扫描攻击组和非扫描攻击组；基于递归扫描特征字串提取方法，从扫描攻击组中提取出扫描特征正则表达式；以及，基于用于识别目标特征的流量分类模型，从非扫描攻击组中提取出非扫描特征正则表达式；对包含扫描特征正则表达式和非扫描特征正则表达式的特征表达式集合进行验证，确定目标特征表达式集合；基于目标特征表达式集合，对待处理流量的目标特征进行提取。本发明使得特征提取不仅能够针对具有公共字串的流量，还能够针对没有公共字串的流量，提高了特征提取的准确性。

公开(公告)号：CN111787000A

公开(公告)日：2020-10-16

申请号：CN202010622184.0

申请日：2020-06-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 薛见新 ,  刘文懋 ,  陈磊 ,  吴复迪

IPC: H04L29/06

Abstract: 本发明是关于一种网络安全评估方法及电子设备，涉及网络安全领域，本发明包括：从预设时间段内网络产生的告警信息中，提取多个源IP地址和目的IP地址；构建源IP地址对应的结构向量，以及构建源IP地址对应的属性向量；构建源IP地址作为用户业务的发起地址的情况下的参考结构向量以及参考属性向量；将两个结构向量进行对比得到对比结果，两个属性向量进行对比得到对比结果，根据得到的两个对比结果，确定源IP地址的威胁程度值。由于本发明实施例通过源IP地址为用户业务的发起地址的情况下的信息与实际的信息之间进行对比，而非采用容易导致误报的方式确定威胁程度，这样降低了确定的IP地址的威胁程度的误报率。

公开(公告)号：CN119106449A

公开(公告)日：2024-12-10

申请号：CN202411305778.3

申请日：2024-09-19

Applicant: 应急管理部大数据中心 ,  北京神州绿盟科技有限公司

Inventor： 房玉东 ,  黄玉钏 ,  佘笑梅 ,  李振平 ,  蔡亚飞 ,  张伟 ,  孙世超 ,  李文广 ,  于卫欣 ,  顾奇 ,  刘文懋 ,  高翔

IPC: G06F21/62 ,  G06F16/242

Abstract: 本发明提供了一种面向数据可控共享的流转安全数据库代理系统与方法，涉及数据库安全控制技术领域，该系统包括数据库代理模块、数据库引擎、数据库客户端、外部授权模块、改写规则模块以及配置存储模块，数据库代理模块解析访问请求，根据改写规则和配置信息对上行报文进行改写，并将其传递给数据库引擎。改写规则模块根据原始SQL报文的用户信息和数据库信息实现策略的具体改写。外部授权控制模块用于将授权信息写入配置存储模块中，以触发数据库代理的授权验证。针对四类代理管控策略，具体实现了控制数据库可用时间、查询次数、每次查询返回的数据行数以及查询内容的总大小。

公开(公告)号：CN118282835A

公开(公告)日：2024-07-02

申请号：CN202410346294.7

申请日：2024-03-26

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司 ,  神州绿盟成都科技有限公司

Inventor： 员苗 ,  张润滋 ,  沈育良 ,  刘文懋 ,  顾杜娟

IPC: H04L41/0631 ,  H04L9/40

Abstract: 本申请公开了一种告警噪声识别方法及电子设备，获取待预测的告警日志信息中的源IP，确定所述源IP发起的访问请求中携带的请求方法、请求目的IP、请求域名和请求目录；根据所述请求方法、请求目的IP、请求域名和请求目录，确定所述源IP访问的业务实体；根据所述源IP、所述业务实体以及二者之间的访问请求关系，建立三元组；根据预先训练完成的知识表示学习模型对所述三元组的属性信息向量化，得到所述三元组的特征向量，根据所述特征向量确定所述三元组对应的告警日志信息是否为噪声。降低了告警噪声识别的复杂度，提高了告警噪声识别的效率。