公开(公告)号：CN110213254A

公开(公告)日：2019-09-06

申请号：CN201910444380.0

申请日：2019-05-27

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴铁军

IPC: H04L29/06

Abstract: 本申请涉及网络安全领域，特别是涉及一种识别伪造互联网协议IP报文的方法和设备。该方法包括：确定接收到的IP报文中的生存时间TTL值以及所述IP报文中的源地址；将确定的所述TTL值和所述源地址对应的TTL标准值进行比较，其中所述源地址对应的TTL标准值是预先在无攻击的情况下学习得到的；根据比较结果判断所述所述IP报文是否是伪造IP报文。本申请提高了伪造IP报文的识别率，提高了防护能力。

公开(公告)号：CN110417768A

公开(公告)日：2019-11-05

申请号：CN201910671979.8

申请日：2019-07-24

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 杜元正 ,  吴铁军 ,  杨晖

IPC: H04L29/06

Abstract: 本申请公开一种僵尸网络的跟踪方法及装置，属于网络安全技术领域，包括：预先对僵尸网络的恶意程序进行分析确定恶意程序的内存搜索特征，并将恶意程序部署到虚拟机中使虚拟机成为受控端，其中，内存搜索特征包括恶意程序的字符特征和执行特征，后续，受控端对自身运行的任一程序，若确定该程序的执行代码符合恶意程序的字符特征，则在该程序对应的内存中搜索符合恶意程序的执行特征的目标代码，若搜索到目标代码，则确定该程序为恶意程序，进而对搜索到的目标代码进行挂钩，钩取该程序在解密密文恶意指令后执行的明文恶意指令，解析明文恶意指令确定该程序在用户空间中执行的操作，保存该程序在用户空间中的操作信息，以对恶意程序进行跟踪。

公开(公告)号：CN101888311B

公开(公告)日：2013-02-06

申请号：CN200910083751.3

申请日：2009-05-11

Applicant: 北京神州绿盟信息安全科技股份有限公司

Inventor： 欧怀谷 ,  刘志旭 ,  徐祖军 ,  吴铁军 ,  黄明峰 ,  张彦龙

IPC: H04L12/26 ,  H04L29/06 ,  H04L29/08

CPC classification number: H04L41/083 ,  H04L41/0806 ,  H04L63/0254 ,  H04L63/1425 ,  H04L63/1441 ,  H04L2463/145

Abstract: 本发明公开了一种用于防止一个或者多个网络服务器上的网络内容被篡改的系统，包括：内容缓存和提供设备，用于缓存了所述一个或者多个网络服务器上的网络内容；以及内容监控子系统，包括一个或者多个分别并入到所述网络服务器中的内容监控客户端部分和并入到所述内容缓存和提供设备中的内容监控服务器部分。本发明还公开了内容缓存和提供设备、网络内容提供系统和其中使用的方法。根据本发明的系统、设备和方法，可以在有效防止网络内容被篡改的同时，提高了网络内容访问速度和安全性。

公开(公告)号：CN118018244A

公开(公告)日：2024-05-10

申请号：CN202311862192.2

申请日：2023-12-29

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 姜鹏 ,  李晋 ,  赵光远 ,  叶晓虎 ,  吴铁军

IPC: H04L9/40

Abstract: 本申请实施公开了一种网络安全测试方法及相关装置，涉及网络安全技术领域。本申请中，服务器基于一个目标主机中的远程软件周期性发送的心跳数据包，获取远程软件对应的动态标识符，基于动态标识符对远程软件的身份进行合法性验证，若合法性验证通过，且远程软件的注册状态为已注册，则向远程软件发送任务指令，指示远程软件针对目标主机进行网络安全测试。这样，在远程软件与服务器通信时，增加审查验证流程，可以防止蓝队分析人员在运行期间抓取心跳数据包，通过模拟发送心跳数据包获取隐蔽任务指令，并且，针对每个远程软件做唯一标识，可以帮助服务器识别和跟踪每个远程软件的行为，降低了蓝队捕获远程软件进行模拟通信的风险。

公开(公告)号：CN114389863B

公开(公告)日：2024-02-13

申请号：CN202111627021.2

申请日：2021-12-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 魏佩儒 ,  兰星 ,  李玉杰 ,  吴铁军 ,  范敦球

IPC: H04L9/40 ,  G06F21/53

Abstract: 本发明公开了一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质，用以解决现有技术中存在的物联网蜜罐的交互程度低、端口兼容性差、以及部署难度大、成本高的技术问题，该方法包括：确定攻击者踏入的陷阱端口，并获取陷阱端口对应的路由表；其中，路由表用于穷举陷阱端口包含的各种漏洞对应的标准流量特征及对应的标准交互类型，每个标准流量特征与对应标准交互类以流量特征过滤规则的形式存储于对应路由表中；根据攻击者的流量特征信息与路由表中流量特征过滤规则的命中结果，确定流量特征信息对应的实际交互类型；获取与实际交互类型对应的交互规则，生成符合攻击者的交互意图

公开(公告)号：CN112615889B

公开(公告)日：2022-11-04

申请号：CN202011614621.0

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 范敦球 ,  李文瑾 ,  吴铁军 ,  傅政雄 ,  代宇

IPC: H04L9/40 ,  H04L12/46 ,  H04L69/163 ,  H04L69/22 ,  H04L45/745

Abstract: 本发明涉及网络安全技术领域，公开了一种网络攻击处理方法、探针设备和电子设备，本实施例的方法包括：探针设备响应通过第一目标网卡接收的第一数据帧，根据探针设备的第二网卡的地址和所述探针设备连接的电子设备的第三网卡的地址，对所述第一数据帧进行封装得到第二数据帧，其中，所述第一目标网卡的地址与所述第一数据帧的目的地址相同；通过所述第二网卡将所述第二数据帧发送到所述第三网卡，以使所述电子设备基于所述第二数据帧中携带的第一数据帧，从所述电子设备的工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡，并基于所述目标工作网卡和所述第一数据帧进行网络攻击处理，提高网络攻击的捕获成功率。

公开(公告)号：CN111368304B

公开(公告)日：2022-07-05

申请号：CN202010241438.4

申请日：2020-03-31

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 杜元正 ,  滑亚康 ,  吴铁军 ,  李文瑾

IPC: G06F21/56 ,  G06V10/774 ,  G06V10/764 ,  G06K9/62

Abstract: 本发明提供一种恶意样本类别检测方法和装置及设备，包括：获取恶意样本并基于虚拟系统程序运行恶意样本得到对应的函数调用图；将函数调用图中任一函数作为调用函数，将调用函数对函数调用图中各函数是否有调用关系用不同的取值表示得到邻接矩阵；根据表示有调用关系的取值的密度分布，通过满足密度分区分割条件时对应的分区，定位属于本地函数的调用函数的分区；并将该分区映射为目标函数调用图，提取目标函数调用图的特征并输入到分类预测模型确定所述恶意样本的类别。本发明可以通过分离恶意样本的本地函数及分类预测模型，解决叠加壳保护后恶意样本特征趋于一致，同源判断的效果不理想及需要对控制流程图的大小进行标准化处理的问题。

公开(公告)号：CN114363036A

公开(公告)日：2022-04-15

申请号：CN202111645946.X

申请日：2021-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 周庚乾 ,  张喆 ,  吴铁军 ,  赵陈菲 ,  滑亚康 ,  叶晓虎

IPC: H04L9/40

Abstract: 本申请提供了一种网络攻击路径获取方法、装置及电子设备，通过该方法可以根据预设网络攻击事件图谱，建立网络攻击事件中各类型节点实体之间关联关系，也就是参与网络攻击事件各个网络设备之间的关联关系，从而根据该关联关系得到网络攻击事件对应的网络攻击路径，进而实现了RAT远程控制网络的攻击路径还原，避免人工参与流量数据分析导致攻击路径还原效率低以及准确性低的问题。

公开(公告)号：CN114168945A

公开(公告)日：2022-03-11

申请号：CN202111499080.6

申请日：2021-12-09

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王蕴佳 ,  吴铁军 ,  叶晓虎 ,  范敦球 ,  赵光远

IPC: G06F21/55 ,  G06F16/955 ,  G06F21/57

Abstract: 一种检测子域名潜在风险的方法及装置，用以更全面地检测出目标域名下存在潜在风险的子域名。其中方法包括：获取用户输入的目标域名；根据所述目标域名和预设的域名字典，确定第一子域名集合；所述第一子域名集合中包括所述目标域名下N个可能的子域名；检测所述第一子域名集合中的每个子域名是否存在对应的A记录和CNAME记录，以及检测所述第一子域名集合中存在对应的CNAME记录的子域名的别名是否存在对应的A记录；所述别名是指所述子域名的CNAME记录所指向的其他子域名；将不存在对应的A记录的子域名和子域名的别名作为检测到的存在潜在风险的子域名，返回给用户。

公开(公告)号：CN111368304A

公开(公告)日：2020-07-03

申请号：CN202010241438.4

申请日：2020-03-31

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 杜元正 ,  滑亚康 ,  吴铁军 ,  李文瑾

IPC: G06F21/56 ,  G06K9/62

Abstract: 本发明提供一种恶意样本类别检测方法和装置及设备，包括：获取恶意样本并基于虚拟系统程序运行恶意样本得到对应的函数调用图；将函数调用图中任一函数作为调用函数，将调用函数对函数调用图中各函数是否有调用关系用不同的取值表示得到邻接矩阵；根据表示有调用关系的取值的密度分布，通过满足密度分区分割条件时对应的分区，定位属于本地函数的调用函数的分区；并将该分区映射为目标函数调用图，提取目标函数调用图的特征并输入到分类预测模型确定所述恶意样本的类别。本发明可以通过分离恶意样本的本地函数及分类预测模型，解决叠加壳保护后恶意样本特征趋于一致，同源判断的效果不理想及需要对控制流程图的大小进行标准化处理的问题。