-
公开(公告)号:CN109660539A
公开(公告)日:2019-04-19
申请号:CN201811563686.X
申请日:2018-12-20
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
CPC classification number: H04L63/1425 , H04L63/1433 , H04L67/02
Abstract: 本发明公开了一种失陷设备识别方法、装置、电子设备及存储介质,所述方法包括:获取基于流量日志和安全日志生成的安全事件;根据安全事件中的连接方向确定待检测设备,连接方向为数据传递方向;根据待检测设备对应的安全事件中的攻击方向和攻击链阶段确定待检测设备是否为可疑失陷设备,攻击方向为标识安全事件对应的通信双方是否为攻击者或被攻击者的信息,攻击链阶段表示待检测设备受攻击的程度;对可疑失陷设备进行失陷度评估,根据失陷度评估结果确定可疑失陷设备是否为失陷设备。本发明实施例提供的技术方案,能够更加准确地识别可疑失陷设备,再通过对可疑失陷设备的评估结果识别失陷设备,提高了失陷设备识别的准确率,且兼容性更好。
-
公开(公告)号:CN108011939B
公开(公告)日:2020-09-22
申请号:CN201711226643.8
申请日:2017-11-29
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: H04L29/08
Abstract: 本发明公开了一种还原网络会话的方法及装置,所述方法包括:针对每个第一网络流量统计表,查找该第一网络流量统计表映射的第二网络流量统计表,判断第一网络流量统计表中第一流量统计信息是否大于第二网络流量统计表中第二流量统计信息,如果是,确定第一网络流量统计表中的发送方为网络会话发起方,接收方为网络会话响应方,否则,确定第二网络流量统计表中的发送方为网络会话发起方,接收方为网络会话响应方;进而还原网络会话。由于在本发明实施例中,根据第一流量统计信息和第二流量统计信息的大小关系,可以确定网络会话发起方和网络会话响应方,进而还原网络会话。因此,本发明实施例中提供的方案能够实现还原网络会话。
-
公开(公告)号:CN109617885A
公开(公告)日:2019-04-12
申请号:CN201811567279.6
申请日:2018-12-20
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明涉及网络安全技术领域,公开了一种攻陷主机自动判定方法、装置、电子设备及存储介质,所述方法包括:根据安全设备输出的日志生成安全事件,安全事件为描述攻击者活动的事件,安全事件中包含目的IP地址和攻击阶段;聚合目的IP地址相同的安全事件,并根据聚合的安全事件的攻击阶段得到目的IP地址对应的主机的攻击链;查找源IP地址为主机的IP地址的安全事件,并根据查找到的安全事件修正攻击链;根据修正后的攻击链判断主机是否被攻陷。本发明实施例提供的技术方案,实现自动判定主机是否被攻陷的功能,解决了判定主机是否被攻陷必须依靠安全工程师的问题,并能及时对被攻陷主机作出告警,降低主机被攻陷后带来的损失。
-
公开(公告)号:CN107679093A
公开(公告)日:2018-02-09
申请号:CN201710801101.2
申请日:2017-09-07
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F17/30
Abstract: 本发明实施例提供一种数据查询方法及装置,用于解决现有技术中客户端开发成本高的技术问题。所述方法包括:中间层接收客户端发送的查询请求,所述查询请求包括查询条件和目标数据的存储格式;其中,所述查询条件用于定义目标数据的元数据的约束条件;所述中间层获取满足所述查询条件的目标元数据,以及根据数据的存储格式与读命令的映射确定读取所述目标数据的目标读命令;所述中间层根据确定的目标读命令从存储层读取所述目标元数据对应的数据,并将所述目标元数据对应的数据发送给所述客户端,所述目标元数据对应的数据包含所述目标数据。
-
公开(公告)号:CN109739646A
公开(公告)日:2019-05-10
申请号:CN201811621057.8
申请日:2018-12-28
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F9/50
Abstract: 本发明公开了一种数据处理方法及装置。该方法包括:数据访问设备获取所述数据访问设备的中央处理器CPU在第一周期内处理的至少一个数据单元;所述数据访问设备确定所述至少一个数据单元中每个数据单元的冷热数据指标值;所述数据访问设备将所述至少一个数据单元中冷热数据指标值最大的T个数据单元作为第一集合;针对所述至少一个数据单元中的第一数据单元,所述数据访问设备若确定所述第一数据单元在所述第一周期之前的连续N个周期内均位于所述第一集合,且未被存储在所述CPU缓存中,则将所述第一数据单元存储到所述CPU缓存中;所述第一数据单元为所述至少一个数据单元中任一数据单元。
-
Patent Agency Ranking
公开(公告)号:CN108011939A
公开(公告)日:2018-05-08
申请号:CN201711226643.8
申请日:2017-11-29
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: H04L29/08
Abstract: 本发明公开了一种还原网络会话的方法及装置,所述方法包括:针对每个第一网络流量统计表,查找该第一网络流量统计表映射的第二网络流量统计表,判断第一网络流量统计表中第一流量统计信息是否大于第二网络流量统计表中第二流量统计信息,如果是,确定第一网络流量统计表中的发送方为网络会话发起方,接收方为网络会话响应方,否则,确定第二网络流量统计表中的发送方为网络会话发起方,接收方为网络会话响应方;进而还原网络会话。由于在本发明实施例中,根据第一流量统计信息和第二流量统计信息的大小关系,可以确定网络会话发起方和网络会话响应方,进而还原网络会话。因此,本发明实施例中提供的方案能够实现还原网络会话。
-
公开(公告)号:CN109617885B
公开(公告)日:2021-04-16
申请号:CN201811567279.6
申请日:2018-12-20
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明涉及网络安全技术领域,公开了一种攻陷主机自动判定方法、装置、电子设备及存储介质,所述方法包括:根据安全设备输出的日志生成安全事件,安全事件为描述攻击者活动的事件,安全事件中包含目的IP地址和攻击阶段;聚合目的IP地址相同的安全事件,并根据聚合的安全事件的攻击阶段得到目的IP地址对应的主机的攻击链;查找源IP地址为主机的IP地址的安全事件,并根据查找到的安全事件修正攻击链;根据修正后的攻击链判断主机是否被攻陷。本发明实施例提供的技术方案,实现自动判定主机是否被攻陷的功能,解决了判定主机是否被攻陷必须依靠安全工程师的问题,并能及时对被攻陷主机作出告警,降低主机被攻陷后带来的损失。
-
公开(公告)号:CN109660539B
公开(公告)日:2020-12-25
申请号:CN201811563686.X
申请日:2018-12-20
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明公开了一种失陷设备识别方法、装置、电子设备及存储介质,所述方法包括:获取基于流量日志和安全日志生成的安全事件;根据安全事件中的连接方向确定待检测设备,连接方向为数据传递方向;根据待检测设备对应的安全事件中的攻击方向和攻击链阶段确定待检测设备是否为可疑失陷设备,攻击方向为标识安全事件对应的通信双方是否为攻击者或被攻击者的信息,攻击链阶段表示待检测设备受攻击的程度;对可疑失陷设备进行失陷度评估,根据失陷度评估结果确定可疑失陷设备是否为失陷设备。本发明实施例提供的技术方案,能够更加准确地识别可疑失陷设备,再通过对可疑失陷设备的评估结果识别失陷设备,提高了失陷设备识别的准确率,且兼容性更好。
-
公开(公告)号:CN107679093B
公开(公告)日:2020-04-07
申请号:CN201710801101.2
申请日:2017-09-07
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F16/14
Abstract: 本发明实施例提供一种数据查询方法及装置,用于解决现有技术中客户端开发成本高的技术问题。所述方法包括:中间层接收客户端发送的查询请求,所述查询请求包括查询条件和目标数据的存储格式;其中,所述查询条件用于定义目标数据的元数据的约束条件;所述中间层获取满足所述查询条件的目标元数据,以及根据数据的存储格式与读命令的映射确定读取所述目标数据的目标读命令;所述中间层根据确定的目标读命令从存储层读取所述目标元数据对应的数据,并将所述目标元数据对应的数据发送给所述客户端,所述目标元数据对应的数据包含所述目标数据。
-
公开(公告)号:CN109714351A
公开(公告)日:2019-05-03
申请号:CN201811648015.3
申请日:2018-12-29
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种资产保护方法及服务器,该方法包括:服务器获取所有核心资产信息;服务器根据所有核心资产信息确定对应的所有基础事件;基础事件为用其他设备给核心资产进行监控时得到的没有经过处理的事件;基础事件为使用核心资产的事件;服务器将基础事件与网络安全websafe云端监测信息和威胁情报信息从所有核心资产中筛选出核心高危资产;核心高危资产为容易被攻陷的核心资产;服务器将核心高危资产发送给防护设备,以使防护设备对核心高危资产进行监测和防御。通过这种方式,可以提高核心资产的保护效率和防御性能。
-
-
-
-
-
-
-
-
-
Search Results
36
records
(took 0.058 seconds)
