公开(公告)号：CN110875928A

公开(公告)日：2020-03-10

申请号：CN201911112809.2

申请日：2019-11-14

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李璇 ,  余丽辉 ,  闻楷 ,  袁帅

IPC: H04L29/06

Abstract: 本发明涉及一种主机行为关联的攻击溯源方法、装置、介质和设备。本发明实施例提供了一种基于主机行为进行攻击溯源的方案。包括：基于定义的主机行为模板，确定与可疑主机行为存在关联的同主机或其他主机中的主机行为，并可以根据确定出的主机行为之间的关联，生成针对可疑主机行为的溯源有向图，实现攻击溯源。由于本发明实施例提供的方案从主机行为的视角出发，溯源覆盖整个攻击的全生命周期的主机行为，根据检测到的异常主机行为，关联与之相关的其他主机行为，形成异常主机行为发生的全景行为视图，定位异常行为发生的上下文，因此可以定位攻击发生的根本原因，解决了基于流量日志的溯源，无法定位攻击发生的根本原因的问题。

公开(公告)号：CN115001753A

公开(公告)日：2022-09-02

申请号：CN202210512418.5

申请日：2022-05-11

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 余丽辉 ,  王全 ,  章瑞康 ,  袁军 ,  袁帅 ,  黄俊

IPC: H04L9/40

Abstract: 本申请涉及信息安全领域，尤其涉及一种关联告警的分析方法、装置、电子设备及存储介质，解决实现关联告警分析的方式复杂，无法实现有效防护的问题，方法为：确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列，然后，确定所述最长公共子序列不满足预设判定条件时，确定所述待分析告警序列中的末端待分析告警事件，并获取预先确定的各个告警事件与各个其他告警事件间的告警关联度；再针对确定的末端待分析事件，分析确定对应的关联告警事件，这样，能够对可能发生的关联告警事件进行分析，挖掘出告警事件对应的潜在攻击模式，进而能够预见可能发生的安全威胁，实现对于网络安全的有效防护。

公开(公告)号：CN110875928B

公开(公告)日：2022-09-06

申请号：CN201911112809.2

申请日：2019-11-14

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李璇 ,  余丽辉 ,  闻楷 ,  袁帅

IPC: H04L9/40

Abstract: 本发明涉及一种主机行为关联的攻击溯源方法、装置、介质和设备。本发明实施例提供了一种基于主机行为进行攻击溯源的方案。包括：基于定义的主机行为模板，确定与可疑主机行为存在关联的同主机或其他主机中的主机行为，并可以根据确定出的主机行为之间的关联，生成针对可疑主机行为的溯源有向图，实现攻击溯源。由于本发明实施例提供的方案从主机行为的视角出发，溯源覆盖整个攻击的全生命周期的主机行为，根据检测到的异常主机行为，关联与之相关的其他主机行为，形成异常主机行为发生的全景行为视图，定位异常行为发生的上下文，因此可以定位攻击发生的根本原因，解决了基于流量日志的溯源，无法定位攻击发生的根本原因的问题。

公开(公告)号：CN115001753B

公开(公告)日：2023-06-09

申请号：CN202210512418.5

申请日：2022-05-11

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 余丽辉 ,  王全 ,  章瑞康 ,  袁军 ,  袁帅 ,  黄俊

IPC: H04L9/40

Abstract: 本申请涉及信息安全领域，尤其涉及一种关联告警的分析方法、装置、电子设备及存储介质，解决实现关联告警分析的方式复杂，无法实现有效防护的问题，方法为：确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列，然后，确定所述最长公共子序列不满足预设判定条件时，确定所述待分析告警序列中的末端待分析告警事件，并获取预先确定的各个告警事件与各个其他告警事件间的告警关联度；再针对确定的末端待分析事件，分析确定对应的关联告警事件，这样，能够对可能发生的关联告警事件进行分析，挖掘出告警事件对应的潜在攻击模式，进而能够预见可能发生的安全威胁，实现对于网络安全的有效防护。

公开(公告)号：CN112822166B

公开(公告)日：2022-11-04

申请号：CN202011612727.7

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李璇 ,  黄俊 ,  闻楷 ,  余丽辉 ,  钟敏 ,  杨钦

IPC: H04L9/40 ,  H04L43/16

Abstract: 本发明公开了一种异常进程检测方法、装置、设备及介质，用以解决现有技术中对异常进程检测不够准确的问题。基于通常情况下，多个主机中出现某进程的主机的占比越大，即出现该进程的主机数量越多，该进程为正常进程的概率越大；相反，多个主机中出现某进程的主机的占比越小，即出现该进程的主机数量越少，该进程为异常进程的概率越大。由于本申请可以针对每个第一进程的进程标识，确定产生该进程标识的主机的第一数量，根据该第一数量和主机的总数量，确定该进程标识对应的第一占比，若该第一占比小于预设的占比阈值，则可以确定该第一进程为异常进程，从而可以快捷的提高检测异常进程的准确性。

公开(公告)号：CN112822166A

公开(公告)日：2021-05-18

申请号：CN202011612727.7

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李璇 ,  黄俊 ,  闻楷 ,  余丽辉 ,  钟敏 ,  杨钦

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种异常进程检测方法、装置、设备及介质，用以解决现有技术中对异常进程检测不够准确的问题。基于通常情况下，多个主机中出现某进程的主机的占比越大，即出现该进程的主机数量越多，该进程为正常进程的概率越大；相反，多个主机中出现某进程的主机的占比越小，即出现该进程的主机数量越少，该进程为异常进程的概率越大。由于本申请可以针对每个第一进程的进程标识，确定产生该进程标识的主机的第一数量，根据该第一数量和主机的总数量，确定该进程标识对应的第一占比，若该第一占比小于预设的占比阈值，则可以确定该第一进程为异常进程，从而可以快捷的提高检测异常进程的准确性。