公开(公告)号：CN109743311A

公开(公告)日：2019-05-10

申请号：CN201811626762.7

申请日：2018-12-28

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张胜军 ,  刘威歆 ,  刘文懋 ,  张润滋

IPC: H04L29/06 ,  G06N3/08 ,  G06N3/04

Abstract: 本申请公开了一种WebShell检测方法、装置及存储介质，涉及网络安全领域，用以解决基于流量的webshell检测方法在专家知识不足或样本覆盖不全面的情况下存在检测能力不足的问题。该方法包括：对待检测的流量数据进行解码，得到解码后的流量数据；对所述解码后的流量数据进行特征提取，得到流量特征向量；调用预先训练好的深度神经网络模型与机器学习模型分别对所述流量特征向量进行检测，得到各模型是否检测到WebShell痕迹的检测结果；通过对各检测结果进行评估，确定所述流量数据中是否含有WebShell痕迹的最终检测结果。实现了在专家知识不足或样本覆盖不全面的情况下，提高了Webshell检测的检测能力。

公开(公告)号：CN111147300A

公开(公告)日：2020-05-12

申请号：CN201911369205.6

申请日：2019-12-26

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  刘威歆 ,  张胜军 ,  陈磊

IPC: H04L12/24 ,  H04L29/06 ,  G06F16/18 ,  G06F16/36

Abstract: 本发明公开了一种网络安全告警置信度评估方法及装置，用以解决现有的网络安全告警置信度评估准确性低的问题。所述方法，包括：将每一预设时间周期内接收的日志生成对应的三元组；确定当前时间周期内同一类型日志对应的各三元组的频率因子以及所述同一类型日志对应的所有三元组中的各实体的频率因子；根据待评估告警日志对应的三元组和与所述三元组中的实体相关联的待评估时间周期的前N个时间周期内的各类型的日志对应的三元组构建告警关联图谱；根据构成所述告警关联图谱的各数据边的三元组的频率因子和构成告警关联图谱的各数据点的实体的频率因子，确定待评估告警日志在待评估时间周期内的告警置信度。

公开(公告)号：CN111143833A

公开(公告)日：2020-05-12

申请号：CN201911340852.4

申请日：2019-12-23

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘威歆 ,  宁振虎 ,  薛见新 ,  张润滋 ,  陈磊

IPC: G06F21/53 ,  G06F21/55 ,  G06K9/62

Abstract: 本发明提供一种非法应用程序类别识别方法及装置，所述方法包括：获取应用程序样本集，将应用程序样本集中各应用程序在仿真运行平台上虚拟运行，获取运行时生成的序列特征，从各应用程序的安装包中获取表示安装包生成的名称特征；根据各应用程序的序列特征，确定第一相似度，根据各应用程序的名称特征，确定第二相似度；根据所述第一相似度与第二相似度，确定最终相似度；根据最终相似度，确定该待识别的应用程序是否为非法的应用程序，及确定为非法的应用程序时，确定所属的非法的应用程序的类别，利用本发明提供的方法，可以建立对于非法应用程序的各方面进行监测的机制，来分析非法应用程序的行为特征，以便更好的确定非法应用程序的类别。

公开(公告)号：CN110535702A

公开(公告)日：2019-12-03

申请号：CN201910817936.6

申请日：2019-08-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  刘威歆 ,  张胜军 ,  陈磊

IPC: H04L12/24

Abstract: 本申请公开了一种告警信息处理方法及装置，所述方法包括：提取待评级告警信息的告警类型、源IP地址和目的IP地址；在预设时间段内，获取反映所述告警类型出现频率的告警类型评级数值、反映所述告警信息的威胁源是否首次出现的威胁源评级数值及反映IP地址信息关联威胁程度的IP地址信息评级数值；基于所述告警类型评级数值、所述威胁源评级数值及所述IP地址信息评级数值进行加权求和确定表示所述告警信息威胁程度的告警信息威胁等级，并基于所述告警信息威胁等级对所述告警信息进行排序。应用本申请提供的方案可以，提高威胁事件响应速度。

公开(公告)号：CN110414236B

公开(公告)日：2021-04-16

申请号：CN201910683011.7

申请日：2019-07-26

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  刘文懋 ,  刘威歆 ,  张润滋 ,  薛见新

IPC: G06F21/56

Abstract: 本申请公开一种恶意进程的检测方法及装置，属于网络安全技术领域。该方法包括：获取目标设备的运行日志，对运行日志中的每个待检测进程，根据模糊匹配规则从白名单库中查找与该待检测进程相似的非恶意进程，将该待检测进程的进程名和每个非恶意进程的进程名输入到恶意进程检测模型中，以检测该待检测进程是否是对该非恶意进程进行伪装的恶意进程，然后输出各待检测进程的检测结果。由于恶意进程检测模型是对每个样本对中待检测进程样本和非恶意进程样本的进程名之间的差异进行学习得到的，所以利用恶意进程检测模型可检测出与非恶意进程样本的进程名之间差异较小的一些未知恶意进程，检测未知恶意进程的能力更强。

公开(公告)号：CN110414236A

公开(公告)日：2019-11-05

申请号：CN201910683011.7

申请日：2019-07-26

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  刘文懋 ,  刘威歆 ,  张润滋 ,  薛见新

IPC: G06F21/56

Abstract: 本申请公开一种恶意进程的检测方法及装置，属于网络安全技术领域。该方法包括：获取目标设备的运行日志，对运行日志中的每个待检测进程，根据模糊匹配规则从白名单库中查找与该待检测进程相似的非恶意进程，将该待检测进程的进程名和每个非恶意进程的进程名输入到恶意进程检测模型中，以检测该待检测进程是否是对该非恶意进程进行伪装的恶意进程，然后输出各待检测进程的检测结果。由于恶意进程检测模型是对每个样本对中待检测进程样本和非恶意进程样本的进程名之间的差异进行学习得到的，所以利用恶意进程检测模型可检测出与非恶意进程样本的进程名之间差异较小的一些未知恶意进程，检测未知恶意进程的能力更强。

公开(公告)号：CN111143843A

公开(公告)日：2020-05-12

申请号：CN201911276129.4

申请日：2019-12-12

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘威歆 ,  宁振虎 ,  张润滋 ,  薛见新 ,  陈磊

IPC: G06F21/56

Abstract: 本申请公开了一种恶意应用程序的检测方法及装置。该方法中获取待检测应用程序的证书序列号和程序特征信息，程序特征信息为待检测应用程序设定的待运行的信息，程序特征信息包括调用接口、系统命令和申请权限中的至少两种特征信息；根据预设的证书序列号黑名单，对证书序列号进行检测，证书序列号黑名单包括已知恶意应用程序的证书序列号；若预设的证书序列号黑名单中存在证书序列号，则确定待检测应用程序为恶意应用程序；若预设的证书序列号黑名单中不存在证书序列号，则根据程序特征信息，确定待检测应用程序是否为恶意应用程序。该方法提高了检测准确性与检测效率、降低了测试成本。

公开(公告)号：CN118432861A

公开(公告)日：2024-08-02

申请号：CN202410423272.6

申请日：2024-04-09

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司 ,  神州绿盟成都科技有限公司

Inventor： 员苗 ,  张润滋 ,  顾杜娟 ,  刘文懋 ,  杨正兴 ,  王谦 ,  黄锋

IPC: H04L9/40 ,  H04L67/02

Abstract: 本公开涉及一种分布式爬虫检测方法、装置及设备，该方法包括：获取设定时间段内的包括多条告警数据的初始数据集，告警数据是入侵防御系统检测到异常访问请求时基于所述异常访问请求确定的；对初始数据集中的告警数据按照源IP地址进行分组，得到至少一个目标数据组，同一所述目标数据组中的告警数据的源IP地址相同；针对任意一个源IP地址，基于源IP地址对应的目标数据组中的告警数据的URL信息、User Agent信息和请求时间中的部分或全部，确定源IP地址的行为特征信息；基于源IP地址的行为特征信息，判断源IP地址是否为分布式爬虫IP地址。本公开能够实现分布式爬虫检测，并提高分布式爬虫检测的准确性。

公开(公告)号：CN112613576B

公开(公告)日：2024-03-19

申请号：CN202011612726.2

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴子建 ,  吴复迪 ,  刘文懋 ,  薛见新 ,  张润滋

IPC: G06V10/74 ,  G06V10/764 ,  G06Q10/0631 ,  G06Q10/20

Abstract: 本申请提供一种确定告警的方法、装置、电子设备和存储介质，涉及网络安全技术领域。由于真正有威胁的告警信息中的攻击行为与安全的告警信息中的攻击行为有明显的区别，因此，对于目标安全设备中的多个告警信息，分别提取每个告警信息中用于描述攻击行为的特征信息；将多个告警信息进行分类，得到多个告警信息序列；根据任意两个告警信息序列中的告警信息的特征信息的相似度，确定任意两个告警信息序列的相似度；根据任意两个告警信息序列的相似度，可以确定与其他告警信息序列相似度较低的目标告警信息序列，该目标告警信息序列中的告警信息为真正有威胁的告警信息，从而确定目标告警信息，可以减轻安全运维人员的排查告警的压力。

公开(公告)号：CN116305096A

公开(公告)日：2023-06-23

申请号：CN202211732475.0

申请日：2022-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王星凯 ,  董智勇 ,  薛见新 ,  杨堃 ,  顾杜娟 ,  刘红涛 ,  张润滋 ,  吴复迪 ,  童明凯

IPC: G06F21/55 ,  G06F21/56

Abstract: 本发明公开了一种基于属性图的异常程序检测方法及装置，用于提高检测异常程序的准确度。该方法为：基于预设的异常程序攻击的至少两项内容中两两内容之间的依赖关系，确定用于建立属性图的本体结构；确定各项内容所对应的威胁度；将各项内容作为本体结构中各个节点的内容，确定各个节点的自身特性，以及将各项内容所对应的威胁度，作为各个节点与其它节点间的关系的特性；并基于获得的节点的内容、节点的自身特性、节点与其它节点间的关系的特性以及本体结构，确定待检测设备中运行的程序对应的比对属性图；对比对属性图进行异常检测，确定运行的程序所涉及的内容是否存在异常程序。