公开(公告)号：CN118282835A

公开(公告)日：2024-07-02

申请号：CN202410346294.7

申请日：2024-03-26

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司 ,  神州绿盟成都科技有限公司

Inventor： 员苗 ,  张润滋 ,  沈育良 ,  刘文懋 ,  顾杜娟

IPC: H04L41/0631 ,  H04L9/40

Abstract: 本申请公开了一种告警噪声识别方法及电子设备，获取待预测的告警日志信息中的源IP，确定所述源IP发起的访问请求中携带的请求方法、请求目的IP、请求域名和请求目录；根据所述请求方法、请求目的IP、请求域名和请求目录，确定所述源IP访问的业务实体；根据所述源IP、所述业务实体以及二者之间的访问请求关系，建立三元组；根据预先训练完成的知识表示学习模型对所述三元组的属性信息向量化，得到所述三元组的特征向量，根据所述特征向量确定所述三元组对应的告警日志信息是否为噪声。降低了告警噪声识别的复杂度，提高了告警噪声识别的效率。

公开(公告)号：CN113890821B

公开(公告)日：2023-11-17

申请号：CN202111123943.X

申请日：2021-09-24

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  吴复迪 ,  王星凯 ,  刘文懋 ,  顾杜娟

IPC: H04L41/069 ,  H04L41/0631

Abstract: 本申请公开一种日志关联的方法、装置及电子设备，该方法包括基于机器学习模型，获取预设时间窗口长度的多个序列对，并基于机器学习模型对序列对进行检测，当检测到序列对中的第一向量序列存在异常时，获取所述第一向量序列对应的第一预测结果，并根据第一预测结果得到与第一向量序列关联的目标日志，当检测到序列对中的第二向量序列存在异常时，获取第二向量序列对应的第二预测结果，并根据第二预测结果得到与第二向量序列关联的目标日志。基于上述方法又可以根据网络侧的网络告警，关联定位到终端侧的行为日志，同时可以根据终端侧的行为日志，关联到一种可能的网络侧的网络告警。解决难以完整准确定位与溯源对应的关联日志的问题。

公开(公告)号：CN112632966B

公开(公告)日：2023-07-21

申请号：CN202011614604.7

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  陈磊 ,  薛见新 ,  吴复迪

IPC: G06F40/216 ,  G06F40/30 ,  G06N20/00

Abstract: 本发明涉及一种告警信息标记方法、装置、介质和设备。可以利用预先训练出的LDA模型，确定当前接收到的告警信息的类型对应的主题分布向量，并可以确定该告警信息对应的每个上下文文本(根据该告警信息以及其关联告警信息的类型形成的告警语句形成)对应的主题分布向量，进而可以通过主题分布向量之间的欧式距离值来度量当前接收到的告警信息的类型与其对应的每个上下文文本之间的语义偏离值。从而可以在某个欧式距离值较大时，认为当前接收到的告警信息的类型与该欧式距离值对应的上下文文本之间的语义偏离值较大，为当前接收到的告警信息生成对应的上下文异常标签，提示该告警信息针对某个上下文文本可能是高风险告警信息。

公开(公告)号：CN115563275A

公开(公告)日：2023-01-03

申请号：CN202211162557.6

申请日：2022-09-23

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  童明凯 ,  顾杜娟 ,  陈磊

IPC: G06F16/35 ,  G06F16/335 ,  G06F40/284

Abstract: 本申请实施例提供了一种多维度自适应日志分类分级方法和装置，该方法包括：先获取预设时间窗口内的M条日志，基于日志类型标识对M条日志进行分组，获得多个第一日志分组。针对任一第一日志分组，采用多个日志字段标识，对第一日志分组内的N条日志进行分组，获得每个日志字段标识对应的多个第二日志分组。再针对M条日志中的任一条日志，将日志对应的第一日志分组标识以及各第二日志分组标识，作为日志的分类标签，基于获得的多个分类标签，对M条日志进行分类。本申请基于每个预设时间窗口内的M条日志所包含的日志类型标识和日志字段标识对M条日志进行分类，保证了分类、分级的准确性，提升自适应性，减少了对专家经验的依赖程度。

公开(公告)号：CN112615888B

公开(公告)日：2022-08-12

申请号：CN202011612770.3

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 薛见新 ,  刘文懋 ,  陈磊 ,  王星凯 ,  张润滋

IPC: H04L9/40

Abstract: 本申请公开了一种网络攻击行为的威胁评估方法及装置。包括：根据采集的目标网络在预设时间段内的告警数据，获取目标网络中至少两个IP地址间的多个告警序列；采用预设分析算法，对每个告警序列进行分析，得到每个告警序列中相邻告警事件间的转移概率；采用预设嵌入算法，对每个告警序列和相应告警序列中相邻告警事件间的转移概率进行嵌入处理，得到每个告警序列的序列向量；基于每两个IP地址间告警序列的序列向量和两个IP地址间的攻击行为矩阵，获取两个IP地址间攻击行为的威胁评估结果。该方法实现了高威告警事件的自动快速确定，降低了成本。

公开(公告)号：CN110535702B

公开(公告)日：2022-07-12

申请号：CN201910817936.6

申请日：2019-08-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  刘威歆 ,  张胜军 ,  陈磊

IPC: H04L41/0604

Abstract: 本申请公开了一种告警信息处理方法及装置，所述方法包括：提取待评级告警信息的告警类型、源IP地址和目的IP地址；在预设时间段内，获取反映所述告警类型出现频率的告警类型评级数值、反映所述告警信息的威胁源是否首次出现的威胁源评级数值及反映IP地址信息关联威胁程度的IP地址信息评级数值；基于所述告警类型评级数值、所述威胁源评级数值及所述IP地址信息评级数值进行加权求和确定表示所述告警信息威胁程度的告警信息威胁等级，并基于所述告警信息威胁等级对所述告警信息进行排序。应用本申请提供的方案可以，提高威胁事件响应速度。

公开(公告)号：CN111147300B

公开(公告)日：2022-04-29

申请号：CN201911369205.6

申请日：2019-12-26

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  刘威歆 ,  张胜军 ,  陈磊

IPC: H04L9/40 ,  G06F16/18 ,  G06F16/36

Abstract: 本发明公开了一种网络安全告警置信度评估方法及装置，用以解决现有的网络安全告警置信度评估准确性低的问题。所述方法，包括：将每一预设时间周期内接收的日志生成对应的三元组；确定当前时间周期内同一类型日志对应的各三元组的频率因子以及所述同一类型日志对应的所有三元组中的各实体的频率因子；根据待评估告警日志对应的三元组和与所述三元组中的实体相关联的待评估时间周期的前N个时间周期内的各类型的日志对应的三元组构建告警关联图谱；根据构成所述告警关联图谱的各数据边的三元组的频率因子和构成告警关联图谱的各数据点的实体的频率因子，确定待评估告警日志在待评估时间周期内的告警置信度。

公开(公告)号：CN113935028A

公开(公告)日：2022-01-14

申请号：CN202111336112.0

申请日：2021-11-12

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 薛见新 ,  刘文懋 ,  王星凯 ,  张润滋 ,  顾杜娟

IPC: G06F21/55 ,  G06F21/56 ,  G06K9/62

Abstract: 一种攻击行为识别的方法及装置，用于从安全检测设备获取的海量日志中，自动识别出攻击行为。在本申请中，方法包括：从主机日志中提取出多个三元组，其中三元组包括源节点、目标节点和边，所述边用于指示所述源节点与所述目标节点之间的操作；根据所述多个三元组中源节点、目标节点和边，确定所述主机日志的属性异构图；根据所述属性异构图，进行模型训练得到语义推理模型；根据所述语义推理模型和所述属性异构图，得到一个或多个子图；从所述一个或多个子图对应的行为中确定出攻击行为。

公开(公告)号：CN112632966A

公开(公告)日：2021-04-09

申请号：CN202011614604.7

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  陈磊 ,  薛见新 ,  吴复迪

IPC: G06F40/216 ,  G06F40/30 ,  G06N20/00

Abstract: 本发明涉及一种告警信息标记方法、装置、介质和设备。可以利用预先训练出的LDA模型，确定当前接收到的告警信息的类型对应的主题分布向量，并可以确定该告警信息对应的每个上下文文本(根据该告警信息以及其关联告警信息的类型形成的告警语句形成)对应的主题分布向量，进而可以通过主题分布向量之间的欧式距离值来度量当前接收到的告警信息的类型与其对应的每个上下文文本之间的语义偏离值。从而可以在某个欧式距离值较大时，认为当前接收到的告警信息的类型与该欧式距离值对应的上下文文本之间的语义偏离值较大，为当前接收到的告警信息生成对应的上下文异常标签，提示该告警信息针对某个上下文文本可能是高风险告警信息。

公开(公告)号：CN112131249A

公开(公告)日：2020-12-25

申请号：CN202011038322.7

申请日：2020-09-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴复迪 ,  刘文懋 ,  薛见新 ,  张润滋 ,  吴子建

IPC: G06F16/245 ,  G06F21/57

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种攻击意图识别方法及装置，获取告警载荷数据，并对所述告警载荷数据进行特征提取，获得所述告警载荷数据的载荷特征，其中，所述告警载荷数据为产生告警信息的原始输入的数据；基于已训练的攻击意图识别模型，以所述载荷特征为输入参数，根据所述攻击意图识别模型中的回归函数和所述载荷特征向量，确定所述告警载荷数据的攻击意图向量，其中，所述回归函数为根据载荷特征样本和攻击意图向量样本通过迭代训练获得的；根据所述攻击意图向量，确定所述告警信息指示的攻击行为的攻击意图，这样，通过预先训练的攻击意图模型确定告警信息所指示的攻击行为的攻击意图，能够提高识别攻击意图的准确度。