公开(公告)号：CN110414236A

公开(公告)日：2019-11-05

申请号：CN201910683011.7

申请日：2019-07-26

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  刘文懋 ,  刘威歆 ,  张润滋 ,  薛见新

IPC: G06F21/56

Abstract: 本申请公开一种恶意进程的检测方法及装置，属于网络安全技术领域。该方法包括：获取目标设备的运行日志，对运行日志中的每个待检测进程，根据模糊匹配规则从白名单库中查找与该待检测进程相似的非恶意进程，将该待检测进程的进程名和每个非恶意进程的进程名输入到恶意进程检测模型中，以检测该待检测进程是否是对该非恶意进程进行伪装的恶意进程，然后输出各待检测进程的检测结果。由于恶意进程检测模型是对每个样本对中待检测进程样本和非恶意进程样本的进程名之间的差异进行学习得到的，所以利用恶意进程检测模型可检测出与非恶意进程样本的进程名之间差异较小的一些未知恶意进程，检测未知恶意进程的能力更强。

公开(公告)号：CN110414236B

公开(公告)日：2021-04-16

申请号：CN201910683011.7

申请日：2019-07-26

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  刘文懋 ,  刘威歆 ,  张润滋 ,  薛见新

IPC: G06F21/56

Abstract: 本申请公开一种恶意进程的检测方法及装置，属于网络安全技术领域。该方法包括：获取目标设备的运行日志，对运行日志中的每个待检测进程，根据模糊匹配规则从白名单库中查找与该待检测进程相似的非恶意进程，将该待检测进程的进程名和每个非恶意进程的进程名输入到恶意进程检测模型中，以检测该待检测进程是否是对该非恶意进程进行伪装的恶意进程，然后输出各待检测进程的检测结果。由于恶意进程检测模型是对每个样本对中待检测进程样本和非恶意进程样本的进程名之间的差异进行学习得到的，所以利用恶意进程检测模型可检测出与非恶意进程样本的进程名之间差异较小的一些未知恶意进程，检测未知恶意进程的能力更强。

公开(公告)号：CN111143833A

公开(公告)日：2020-05-12

申请号：CN201911340852.4

申请日：2019-12-23

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘威歆 ,  宁振虎 ,  薛见新 ,  张润滋 ,  陈磊

IPC: G06F21/53 ,  G06F21/55 ,  G06K9/62

Abstract: 本发明提供一种非法应用程序类别识别方法及装置，所述方法包括：获取应用程序样本集，将应用程序样本集中各应用程序在仿真运行平台上虚拟运行，获取运行时生成的序列特征，从各应用程序的安装包中获取表示安装包生成的名称特征；根据各应用程序的序列特征，确定第一相似度，根据各应用程序的名称特征，确定第二相似度；根据所述第一相似度与第二相似度，确定最终相似度；根据最终相似度，确定该待识别的应用程序是否为非法的应用程序，及确定为非法的应用程序时，确定所属的非法的应用程序的类别，利用本发明提供的方法，可以建立对于非法应用程序的各方面进行监测的机制，来分析非法应用程序的行为特征，以便更好的确定非法应用程序的类别。

公开(公告)号：CN111143843A

公开(公告)日：2020-05-12

申请号：CN201911276129.4

申请日：2019-12-12

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘威歆 ,  宁振虎 ,  张润滋 ,  薛见新 ,  陈磊

IPC: G06F21/56

Abstract: 本申请公开了一种恶意应用程序的检测方法及装置。该方法中获取待检测应用程序的证书序列号和程序特征信息，程序特征信息为待检测应用程序设定的待运行的信息，程序特征信息包括调用接口、系统命令和申请权限中的至少两种特征信息；根据预设的证书序列号黑名单，对证书序列号进行检测，证书序列号黑名单包括已知恶意应用程序的证书序列号；若预设的证书序列号黑名单中存在证书序列号，则确定待检测应用程序为恶意应用程序；若预设的证书序列号黑名单中不存在证书序列号，则根据程序特征信息，确定待检测应用程序是否为恶意应用程序。该方法提高了检测准确性与检测效率、降低了测试成本。

公开(公告)号：CN113676484B

公开(公告)日：2023-04-18

申请号：CN202110993536.8

申请日：2021-08-27

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王星凯 ,  薛见新 ,  吴复迪 ,  刘文懋 ,  张润滋

IPC: H04L9/40

Abstract: 本申请实施例中，通过构建基线模型的方式，去除多余的日志数据，从而缓解终端侧数据之间依赖关系爆炸的问题，降低运算负荷，并从网络侧和终端侧的日志数据中提取出代表性的字段，通过定义日志数据之间的依赖关系，构建时序异构图，并通过构建的知识图谱，定义知识图谱中的节点与时序异构图中节点之间的依赖关系，构建完整的攻击溯源图。本申请实施例提供的攻击溯源方法、装置和电子设备，能够在网络侧与终端侧关联的场景中，基于攻击源与目标对象的相关信息，从攻击溯源图中获得更加完整，且准确性更高的攻击路径。

公开(公告)号：CN115955355A

公开(公告)日：2023-04-11

申请号：CN202211738042.6

申请日：2022-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  汤旭 ,  员苗 ,  刘文懋 ,  薛见新 ,  王星凯 ,  顾杜娟

IPC: H04L9/40

Abstract: 本申请公开了一种攻击事件知识图谱的输出方法及装置，提出根据企业内部已知的攻击事件自动输出高适应性的攻击事件知识图谱，从而提升采用知识图谱从动态事件中定位攻击事件的效率和准确率。该方法包括：响应于接收到的攻击事件知识图谱的请求信息，获取在接收请求信息之前的设定时间段内的多个攻击事件的日志；基于预先配置的不同类型的日志数据之间的关联关系，以及任一攻击事件的日志包括的多项日志数据的类型，确定多项日志数据之间的关联关系；根据多项日志数据和多项日志数据之间的关联关系，生成任一攻击事件对应的子图谱；根据多个攻击事件分别的日志数据，将多个攻击事件分别对应的子图谱进行组合，输出多个攻击事件的知识图谱。

公开(公告)号：CN112131249B

公开(公告)日：2024-07-26

申请号：CN202011038322.7

申请日：2020-09-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴复迪 ,  刘文懋 ,  薛见新 ,  张润滋 ,  吴子建

IPC: G06F16/245 ,  G06F21/57

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种攻击意图识别方法及装置，获取告警载荷数据，并对所述告警载荷数据进行特征提取，获得所述告警载荷数据的载荷特征，其中，所述告警载荷数据为产生告警信息的原始输入的数据；基于已训练的攻击意图识别模型，以所述载荷特征为输入参数，根据所述攻击意图识别模型中的回归函数和所述载荷特征向量，确定所述告警载荷数据的攻击意图向量，其中，所述回归函数为根据载荷特征样本和攻击意图向量样本通过迭代训练获得的；根据所述攻击意图向量，确定所述告警信息指示的攻击行为的攻击意图，这样，通过预先训练的攻击意图模型确定告警信息所指示的攻击行为的攻击意图，能够提高识别攻击意图的准确度。

公开(公告)号：CN114363148B

公开(公告)日：2023-05-26

申请号：CN202111558765.3

申请日：2021-12-20

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴复迪 ,  薛见新 ,  张润滋 ,  王星凯 ,  童明凯 ,  刘文懋 ,  顾杜鹃

IPC: H04L41/0631 ,  H04L9/40 ,  G06N3/04 ,  G06N3/0895

Abstract: 本申请实施例公开了一种检测攻击告警的方法、装置、检测设备及存储介质，该方法包括：提取各个告警信息中的共有可识别的特征字段；基于每个告警信息中的每个特征字段的特征值对各个告警信息进行初始分组，确定各个组对应的描述信息；基于每个组的描述信息中的各个特征字段的特征值，对各个告警信息进行至少一次重新分组，直到重新分组后的每个组的描述信息中包括的特征字段的数量不大于第一预设数量阈值；在得到的各个组中，筛选出至少一个目标组，并根据每个目标组各自对应的目标描述信息确定至少一个基线规则；将待检测的告警信息与至少一个基线规则进行匹配，确定待检测的告警信息是否为非关键告警。提高了检测攻击告警的效率，降低误报率。

公开(公告)号：CN114357445A

公开(公告)日：2022-04-15

申请号：CN202111576910.0

申请日：2021-12-22

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王星凯 ,  吴复迪 ,  顾杜娟 ,  薛见新 ,  张润滋 ,  刘文懋

IPC: G06F21/56

Abstract: 本发明公开了一种终端侧攻击路径识别的方法、装置及存储介质，用以解决现有技术中存在的难以智能且准确地识别终端中的攻击路径的技术问题，该方法包括：构建终端侧的第一攻击溯源图；其中，所述第一攻击溯源图用于表征所述终端侧中不同实体间的关联关系；对所述第一攻击溯源图中每对节点间的冗余连线进行优化，获得第二攻击溯源图；其中，所述冗余连线为所述每对节点间表征同种关联关系的连线中起始时刻之外对应的连线，所述第一攻击溯源图中一个节点对应所述终端侧中的一个实体；从所述第二攻击溯源图中确定实际存在攻击行为的实际攻击路径。

公开(公告)号：CN112615888A

公开(公告)日：2021-04-06

申请号：CN202011612770.3

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 薛见新 ,  刘文懋 ,  陈磊 ,  王星凯 ,  张润滋

IPC: H04L29/06

Abstract: 本申请公开了一种网络攻击行为的威胁评估方法及装置。包括：根据采集的目标网络在预设时间段内的告警数据，获取目标网络中至少两个IP地址间的多个告警序列；采用预设分析算法，对每个告警序列进行分析，得到每个告警序列中相邻告警事件间的转移概率；采用预设嵌入算法，对每个告警序列和相应告警序列中相邻告警事件间的转移概率进行嵌入处理，得到每个告警序列的序列向量；基于每两个IP地址间告警序列的序列向量和两个IP地址间的攻击行为矩阵，获取两个IP地址间攻击行为的威胁评估结果。该方法实现了高威告警事件的自动快速确定，降低了成本。