-
公开(公告)号:CN110928717A
公开(公告)日:2020-03-27
申请号:CN201911112826.6
申请日:2019-11-14
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明公开了一种复杂时序事件检测方法及装置,用以解决现有的事件检测的准确性低的问题。所述复杂时序事件检测方法,包括:对接收的每一条待检测数据标注系统时间戳,其中,所述待检测数据携带有记录时间戳;确定当前时间周期的水位线;将所述当前时间周期内的记录时间大于所述水位线的待检测数据缓存至优先队列中,并按照记录时间的先后顺序对所述优先队列中的待检测数据进行重排序;每当所述水位线更新时,将所述优先队列中记录时间小于所述更新后的水位线的待检测数据从所述优先队列中移出;根据预设的规则森林以及从所述优先队列中移出的每一条待检测数据的系统时间和记录时间对从所述优先队列中移出的每一条待检测数据进行检测。
-
公开(公告)号:CN109660452A
公开(公告)日:2019-04-19
申请号:CN201811599486.X
申请日:2018-12-26
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: H04L12/58
Abstract: 本申请提供一种垃圾邮件源检测方法及装置,该方法包括:确定至少一个邮件源的邮件会话信息,其中,一个邮件会话信息包括一个邮件源在收发邮件时的邮件参数信息。然后根据每个邮件源的邮件会话信息,对邮件源进行评分,得到邮件源的分数信息,之后根据各个邮件源的分数信息,确定上述至少一个邮件源中的垃圾邮件源。该方案中,通过获取网络流量中一个邮件源在收发邮件时产生的邮件参数信息,通过产生的邮件参数信息对一个邮件源进行评分,评分得到的分数信息可以反映该邮件源是垃圾邮件源的可能性,通过该分数信息可以确定一个邮件源是否为垃圾邮件源,并且通过参数信息来检测邮件源的方法无需检测邮件内容,因而更加准确高效。
-
公开(公告)号:CN109462612A
公开(公告)日:2019-03-12
申请号:CN201811609145.6
申请日:2018-12-27
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本申请提供一种僵尸网络中的攻击域名的确定方法及装置,该方法包括:获取N个主机分别通过各自的网络协议IP地址请求访问的域名,N为正整数。然后将N个主机请求访问的域名进行聚类,得到至少一个聚类集合,一个聚类集合包括多个域名,一个聚类集合中的域名之间的关联度满足预设条件。确定每个聚类集合分别对应的攻击域名家族,一个攻击域名家族包括多个具有相同域名特征的域名。本方案中,关联度满足预设条件的域名即为一个攻击域名家族内的两个速变域名,将这些关联度满足预设条件的域名聚类再一起,并根据每个聚类集合内的域名的特征确定每个聚类集合分别对应的攻击域名家族,可以更准确高效地确定出僵尸网络中的攻击域名。
-
Patent Agency Ranking
公开(公告)号:CN109660452B
公开(公告)日:2021-11-02
申请号:CN201811599486.X
申请日:2018-12-26
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
IPC: H04L12/58
Abstract: 本申请提供一种垃圾邮件源检测方法及装置,该方法包括:确定至少一个邮件源的邮件会话信息,其中,一个邮件会话信息包括一个邮件源在收发邮件时的邮件参数信息。然后根据每个邮件源的邮件会话信息,对邮件源进行评分,得到邮件源的分数信息,之后根据各个邮件源的分数信息,确定上述至少一个邮件源中的垃圾邮件源。该方案中,通过获取网络流量中一个邮件源在收发邮件时产生的邮件参数信息,通过产生的邮件参数信息对一个邮件源进行评分,评分得到的分数信息可以反映该邮件源是垃圾邮件源的可能性,通过该分数信息可以确定一个邮件源是否为垃圾邮件源,并且通过参数信息来检测邮件源的方法无需检测邮件内容,因而更加准确高效。
-
公开(公告)号:CN110928717B
公开(公告)日:2023-04-07
申请号:CN201911112826.6
申请日:2019-11-14
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明公开了一种复杂时序事件检测方法及装置,用以解决现有的事件检测的准确性低的问题。所述复杂时序事件检测方法,包括:对接收的每一条待检测数据标注系统时间戳,其中,所述待检测数据携带有记录时间戳;确定当前时间周期的水位线;将所述当前时间周期内的记录时间大于所述水位线的待检测数据缓存至优先队列中,并按照记录时间的先后顺序对所述优先队列中的待检测数据进行重排序;每当所述水位线更新时,将所述优先队列中记录时间小于所述更新后的水位线的待检测数据从所述优先队列中移出;根据预设的规则森林以及从所述优先队列中移出的每一条待检测数据的系统时间和记录时间对从所述优先队列中移出的每一条待检测数据进行检测。
-
公开(公告)号:CN111683102A
公开(公告)日:2020-09-18
申请号:CN202010551781.9
申请日:2020-06-17
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明涉及网络安全技术领域,尤其涉及FTP行为数据处理方法、识别异常FTP行为的方法及装置,所述方法包括:获取FTP行为数据;基于多种用户相关特征,对所述FTP行为数据进行特征提取,获得特征数据,其中,每种所述用户相关特征包括一种以上用户相关子特征;基于所述特征数据,对每种所述用户相关子特征进行核密度估计,获得每种所述用户相关子特征的概率密度值;根据所述用户相关特征包含的所有用户相关子特征的概率密度值,确定每种所述用户相关特征的概率密度值;根据所有用户相关特征的概率密度值,确定所述FTP行为数据的多维度概率密度值,以根据所述FTP行为数据的多维度概率密度值对异常FTP行为进行识别。本发明提高了识别异常FTP行为的准确性。
-
公开(公告)号:CN109462612B
公开(公告)日:2021-06-11
申请号:CN201811609145.6
申请日:2018-12-27
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本申请提供一种僵尸网络中的攻击域名的确定方法及装置,该方法包括:获取N个主机分别通过各自的网络协议IP地址请求访问的域名,N为正整数。然后将N个主机请求访问的域名进行聚类,得到至少一个聚类集合,一个聚类集合包括多个域名,一个聚类集合中的域名之间的关联度满足预设条件。确定每个聚类集合分别对应的攻击域名家族,一个攻击域名家族包括多个具有相同域名特征的域名。本方案中,关联度满足预设条件的域名即为一个攻击域名家族内的两个速变域名,将这些关联度满足预设条件的域名聚类再一起,并根据每个聚类集合内的域名的特征确定每个聚类集合分别对应的攻击域名家族,可以更准确高效地确定出僵尸网络中的攻击域名。
-
公开(公告)号:CN111683102B
公开(公告)日:2022-12-06
申请号:CN202010551781.9
申请日:2020-06-17
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明涉及网络安全技术领域,尤其涉及FTP行为数据处理方法、识别异常FTP行为的方法及装置,所述方法包括:获取FTP行为数据;基于多种用户相关特征,对所述FTP行为数据进行特征提取,获得特征数据,其中,每种所述用户相关特征包括一种以上用户相关子特征;基于所述特征数据,对每种所述用户相关子特征进行核密度估计,获得每种所述用户相关子特征的概率密度值;根据所述用户相关特征包含的所有用户相关子特征的概率密度值,确定每种所述用户相关特征的概率密度值;根据所有用户相关特征的概率密度值,确定所述FTP行为数据的多维度概率密度值,以根据所述FTP行为数据的多维度概率密度值对异常FTP行为进行识别。本发明提高了识别异常FTP行为的准确性。
-
-
-
-
-
-
-
Search Results
8
records
(took 0.053 seconds)
