-
公开(公告)号:CN109617885A
公开(公告)日:2019-04-12
申请号:CN201811567279.6
申请日:2018-12-20
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明涉及网络安全技术领域,公开了一种攻陷主机自动判定方法、装置、电子设备及存储介质,所述方法包括:根据安全设备输出的日志生成安全事件,安全事件为描述攻击者活动的事件,安全事件中包含目的IP地址和攻击阶段;聚合目的IP地址相同的安全事件,并根据聚合的安全事件的攻击阶段得到目的IP地址对应的主机的攻击链;查找源IP地址为主机的IP地址的安全事件,并根据查找到的安全事件修正攻击链;根据修正后的攻击链判断主机是否被攻陷。本发明实施例提供的技术方案,实现自动判定主机是否被攻陷的功能,解决了判定主机是否被攻陷必须依靠安全工程师的问题,并能及时对被攻陷主机作出告警,降低主机被攻陷后带来的损失。
-
公开(公告)号:CN109617885B
公开(公告)日:2021-04-16
申请号:CN201811567279.6
申请日:2018-12-20
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明涉及网络安全技术领域,公开了一种攻陷主机自动判定方法、装置、电子设备及存储介质,所述方法包括:根据安全设备输出的日志生成安全事件,安全事件为描述攻击者活动的事件,安全事件中包含目的IP地址和攻击阶段;聚合目的IP地址相同的安全事件,并根据聚合的安全事件的攻击阶段得到目的IP地址对应的主机的攻击链;查找源IP地址为主机的IP地址的安全事件,并根据查找到的安全事件修正攻击链;根据修正后的攻击链判断主机是否被攻陷。本发明实施例提供的技术方案,实现自动判定主机是否被攻陷的功能,解决了判定主机是否被攻陷必须依靠安全工程师的问题,并能及时对被攻陷主机作出告警,降低主机被攻陷后带来的损失。
-
公开(公告)号:CN113098852B
公开(公告)日:2022-11-22
申请号:CN202110321168.2
申请日:2021-03-25
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
IPC: H04L9/40
Abstract: 本申请提供了一种日志处理方法及装置,用于在内网攻击事件中区分包含相同IP地址的不同攻击事件,并确定攻击源。所述方法包括:获取第一威胁日志和第二威胁日志;其中,第一威胁日志和第二威胁日志包括相同的源IP地址,第一威胁日志和第二威胁日志包括相同的目的IP地址,所述源IP地址和所述目的IP地址均属于内网的IP地址;当确定所述第一威胁日志来自第一网络设备时,确定所述第一威胁日志由第一攻击事件产生;所述第一攻击事件是由连接所述第一网络设备的终端设备产生的;当确定所述第二威胁日志来自第二网络设备时,确定所述第二威胁日志由第二攻击事件产生;所述第二攻击事件是由连接所述第二网络设备的终端设备产生的。
-
公开(公告)号:CN114357394A
公开(公告)日:2022-04-15
申请号:CN202111542182.1
申请日:2021-12-16
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F21/16
Abstract: 本申请公开了一种数据流转关联识别方法、装置、电子设备及存储介质,包括:将目标API访问日志按照API访问日志的标识划分为对应API访问日志集合;针对目标SQL操作日志中的每一条SQL操作日志,提取SQL操作参数特征和SQL返回结果特征;针对每一API访问日志集合中的每一条API访问日志,提取API请求参数特征和API响应内容特征;针对SQL操作日志与每一API访问日志集合,根据SQL操作参数特征、SQL返回结果特征、各条API访问日志的API请求参数特征和API响应内容特征,确定SQL操作日志与API访问日志集合的相似度;根据相似度对客户端、应用服务器与数据库服务器的数据流转关联关系进行识别。
-
Patent Agency Ranking
公开(公告)号:CN111539644B
公开(公告)日:2023-11-24
申请号:CN202010360291.0
申请日:2020-04-30
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司 , 国家计算机病毒应急处理中心
IPC: G06Q10/0635 , G06Q10/0639
Abstract: 本发明公开了一种网络资产风险控制方法及装置,用以解决现有的网络资产风险控制方法的评分准确率较低而影响了网络资产的风险控制效率的问题。所述网络资产风险控制方法,包括:获取网络资产相关数据,所述数据至少包括网络资产标识;当确定从预设网络资产阻断信息列表中查找到所述网络资产标识时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设阈值;根据所述数据确定所述当前时间周期的所述网络资产的风险评分;当确定所述网络资产的风险评分大于等于所述预设阈值时,对所述网络资产进行阻断。
-
公开(公告)号:CN111539644A
公开(公告)日:2020-08-14
申请号:CN202010360291.0
申请日:2020-04-30
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司 , 国家计算机病毒应急处理中心
IPC: G06Q10/06
Abstract: 本发明公开了一种网络资产风险控制方法及装置,用以解决现有的网络资产风险控制方法的评分准确率较低而影响了网络资产的风险控制效率的问题。所述网络资产风险控制方法,包括:获取网络资产相关数据,所述数据至少包括网络资产标识;当确定从预设网络资产阻断信息列表中查找到所述网络资产标识时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设阈值;根据所述数据确定所述当前时间周期的所述网络资产的风险评分;当确定所述网络资产的风险评分大于等于所述预设阈值时,对所述网络资产进行阻断。
-
公开(公告)号:CN119892483A
公开(公告)日:2025-04-25
申请号:CN202510151504.1
申请日:2025-02-11
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
IPC: H04L9/40 , G06N3/088 , G06F18/214
Abstract: 本申请涉及网络安全技术领域,尤其涉及一种网络安全分析方法、装置及电子设备。该方法获取包含访问请求的待检测网络流量数据,从待检测网络流量数据提取用户行为特征。其中,用户行为特征用于表示用户访问应用程序编程接口API时的交互信息。将用户行为特征中用户与目标API的对应关系与访问权限映射集合进行匹配,确定用户是否具有权限访问目标API。若用户具有权限访问目标API,将用户行为特征转换为特征向量。将特征向量输入至异常检测模型中,输出表示访问是否异常的检测结果。上述方案,可以实现提高API安全威胁检测效率、降低误报率。
-
公开(公告)号:CN113098852A
公开(公告)日:2021-07-09
申请号:CN202110321168.2
申请日:2021-03-25
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
IPC: H04L29/06
Abstract: 本申请提供了一种日志处理方法及装置,用于在内网攻击事件中区分包含相同IP地址的不同攻击事件,并确定攻击源。所述方法包括:获取第一威胁日志和第二威胁日志;其中,第一威胁日志和第二威胁日志包括相同的源IP地址,第一威胁日志和第二威胁日志包括相同的目的IP地址,所述源IP地址和所述目的IP地址均属于内网的IP地址;当确定所述第一威胁日志来自第一网络设备时,确定所述第一威胁日志由第一攻击事件产生;所述第一攻击事件是由连接所述第一网络设备的终端设备产生的;当确定所述第二威胁日志来自第二网络设备时,确定所述第二威胁日志由第二攻击事件产生;所述第二攻击事件是由连接所述第二网络设备的终端设备产生的。
-
公开(公告)号:CN114357394B
公开(公告)日:2024-08-23
申请号:CN202111542182.1
申请日:2021-12-16
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F21/16
Abstract: 本申请公开了一种数据流转关联识别方法、装置、电子设备及存储介质,包括:将目标API访问日志按照API访问日志的标识划分为对应API访问日志集合;针对目标SQL操作日志中的每一条SQL操作日志,提取SQL操作参数特征和SQL返回结果特征;针对每一API访问日志集合中的每一条API访问日志,提取API请求参数特征和API响应内容特征;针对SQL操作日志与每一API访问日志集合,根据SQL操作参数特征、SQL返回结果特征、各条API访问日志的API请求参数特征和API响应内容特征,确定SQL操作日志与API访问日志集合的相似度;根据相似度对客户端、应用服务器与数据库服务器的数据流转关联关系进行识别。
-
-
-
-
-
-
-
-
Search Results
9
records
(took 0.067 seconds)
