公开(公告)号：CN106060012A

公开(公告)日：2016-10-26

申请号：CN201610325921.4

申请日：2016-05-17

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 孙建鹏 ,  刘慧兵 ,  肖根胜 ,  余徐昌 ,  喻东阳 ,  周素华

IPC: H04L29/06 ,  H04L12/46 ,  H04L12/911

CPC classification number: H04L63/029 ,  H04L12/4633 ,  H04L47/825

Abstract: 本发明公开了一种多路复用方法及装置，包括：在接收到在客户端和所述服务端之间的待传输的数据时，确定待传输的所述数据的应用协议；在所述客户端和服务端之间的数据传输隧道中，建立与所述应用协议对应的传输通道；基于建立的传输通道，传输所述客户端和服务端之间的数据，能够实现同时传输多种不同协议的数据流。

公开(公告)号：CN114357447B

公开(公告)日：2024-12-31

申请号：CN202111644469.5

申请日：2021-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 邹昊 ,  张德宝 ,  肖根胜 ,  潘登 ,  叶建伟

IPC: G06F21/56 ,  G06F21/55

Abstract: 本申请涉及网络安全技术领域，公开了一种攻击者威胁评分方法及相关装置。本申请通过使用攻击事件命中的情报类型确定的攻击源的情报威胁评分以及使用蜜罐提供的攻击者告警信息的命中情况确定的攻击源的蜜罐威胁评分，确定攻击源的先验知识威胁评分；然后基于攻击事件数量、攻击链阶段数量、攻击链阶段等级、攻击事件威胁等级、攻击事件的置信度、攻击结果、攻击目标的资产状态、攻击指向性等多种维度信息确定攻击源的攻击信息威胁评分，最后基于先验知识威胁评分和攻击信息威胁评分，确定攻击源的攻击者威胁评分，从更多维度准确的评估攻击者，可以提高攻击者威胁评分的准确性，使得用户可以快速发现高威胁源并进行快速处置，提高安全防护能力。

公开(公告)号：CN115314319B

公开(公告)日：2024-08-23

申请号：CN202211032378.0

申请日：2022-08-26

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张德宝 ,  雷鹏 ,  李浩 ,  商学军 ,  肖根胜

IPC: H04L9/40 ,  H04L41/08 ,  H04L43/08 ,  H04L69/22

Abstract: 本发明公开了一种网络资产识别方法、装置、电子设备及存储介质，涉及网络安全技术领域，用于解决无法准确识别IP对应的资产的问题。该方法包括：确定待识别流量数据；对待识别流量数据中的协议数据包进行解析，获得解析结果，解析结果中至少包括协议数据包的包头中的可选字段和包体中的数据；当确定可选字段包含特定标识时，对可选字段中特定标识后的字节对应的内容进行解析，获得网络设备对应的唯一网络设备标识信息；特定标识用于指示协议数据包中包含有发送待识别流量数据的网络设备对应的唯一标识；基于唯一网络设备标识信息和解析结果中的数据，生成网络资产发现日志。

公开(公告)号：CN116366603A

公开(公告)日：2023-06-30

申请号：CN202211623097.2

申请日：2022-12-16

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈頔 ,  黄俊 ,  肖根胜 ,  鄢柯 ,  程俊生 ,  陈彬

IPC: H04L61/5007 ,  H04L61/5092 ,  H04L101/604 ,  H04L101/659

Abstract: 本申请公开了一种活跃IPv6地址的确定方法及装置，用以提升IPv6地址判活的效率和成功率。该方法包括：依次从多个IPv6地址前缀中提取位于第一位置上的半字节，根据多个半字节的熵值确定其所属的集合；集合包括的其他任一位置上的半字节的熵值与第一位置上半字节的熵值之间的差值小于第一预设值；基于确定的集合，分别将多个地址前缀表征为向量；其中，任一地址前缀的向量在任一位置上的取值用于表征任一地址前缀在对应位置上的半字节所属的集合；依次从多个向量中抽取位于第二位置上的取值，当任一向量在第二位置上的取值为第一值，且抽取得到的多个取值中第一值所占的比例大于第二预设值时，确定任一向量对应的地址为活跃地址。

公开(公告)号：CN115484089A

公开(公告)日：2022-12-16

申请号：CN202211103589.9

申请日：2022-09-09

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 孔尧 ,  鄢柯 ,  陈彬 ,  程俊生 ,  李红艳 ,  肖根胜

IPC: H04L9/40

Abstract: 本申请涉及一种流量存储的方法、装置及电子设备，用于解决现有技术在发生恶意网络事件时，无法基于日志获取到更为详细的攻击路径的问题。该方法包括获取终端侧的流量数据，将在指定时段内具有相同的第一五元组信息的流量数据还原为第一会话组，并确定第一会话组的第一标识，然后基于第一五元组信息，生成第一会话组对应的流量数据的第一日志，建立第一日志与第一标识的关联，并将与第一标识关联的第一日志保存到第一存储空间中。基于上述方法可以实现日志与会话组的关联存储，进而实现对终端侧的全流量的存储，另外在发现恶意网络事件时，能够基于日志关联的标识，获取到相应会话组，有助于安全专家基于相应会话组复现出恶意网络事件。

公开(公告)号：CN115314319A

公开(公告)日：2022-11-08

申请号：CN202211032378.0

申请日：2022-08-26

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张德宝 ,  雷鹏 ,  李浩 ,  商学军 ,  肖根胜

IPC: H04L9/40 ,  H04L41/08 ,  H04L43/08 ,  H04L69/22

Abstract: 本发明公开了一种网络资产识别方法、装置、电子设备及存储介质，涉及网络安全技术领域，用于解决无法准确识别IP对应的资产的问题。该方法包括：确定待识别流量数据；对待识别流量数据中的协议数据包进行解析，获得解析结果，解析结果中至少包括协议数据包的包头中的可选字段和包体中的数据；当确定可选字段包含特定标识时，对可选字段中特定标识后的字节对应的内容进行解析，获得网络设备对应的唯一网络设备标识信息；特定标识用于指示协议数据包中包含有发送待识别流量数据的网络设备对应的唯一标识；基于唯一网络设备标识信息和解析结果中的数据，生成网络资产发现日志。

公开(公告)号：CN119254488A

公开(公告)日：2025-01-03

申请号：CN202411353647.2

申请日：2024-09-26

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 汪坤 ,  赵粤征 ,  肖根胜 ,  李浩 ,  叶建伟 ,  黄俊 ,  叶晓虎

IPC: H04L9/40

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种资产威胁分析方法、装置、电子设备及存储介质，用于提高对威胁事件的即时响应能力和安全分析的准确性。该方法包括：建立各场景的初始识别策略，初始识别策略包括：资产模型中的目标资产属性，以及相应场景下日志的关键元素和目标资产属性之间的映射关系；分别将获得的各初始识别策略与相应的各资产信息绑定，获得各资产识别策略，其中，各资产信息包括：相应的资产标识和资产属性值；获取各待处理日志，并基于各资产识别策略，分别确定出各待处理日志对应的资产标识，以及将各待处理日志中具有同一资产标识的各关联日志进行归并；将归并后的各关联日志作为目标事件，并基于目标事件进行安全分析。

公开(公告)号：CN113518086B

公开(公告)日：2023-07-25

申请号：CN202110776921.7

申请日：2021-07-09

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李浩 ,  肖根胜

IPC: H04L9/40 ,  H04L41/147 ,  H04L41/12

Abstract: 本发明公开了一种网络攻击预测的方法、装置及存储介质，用以解决现有技术中存在的网络攻击预测准确度不高的技术问题，该方法包括：根据网络中存在攻击行为的第一网络设备与相邻的各个网络设备的相似度，确定第一网络设备的风险传播值；将风险传播值累加到每个网络设备的风险值中；根据当前各个网络设备的风险值，构建以第一网络设备为起点的攻击链路，将攻击链路作为网络中存在网络攻击的预测结果。

公开(公告)号：CN114357447A

公开(公告)日：2022-04-15

申请号：CN202111644469.5

申请日：2021-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 邹昊 ,  张德宝 ,  肖根胜 ,  潘登 ,  叶建伟

IPC: G06F21/56 ,  G06F21/55 ,  G06Q10/06

Abstract: 本申请涉及网络安全技术领域，公开了一种攻击者威胁评分方法及相关装置。本申请通过使用攻击事件命中的情报类型确定的攻击源的情报威胁评分以及使用蜜罐提供的攻击者告警信息的命中情况确定的攻击源的蜜罐威胁评分，确定攻击源的先验知识威胁评分；然后基于攻击事件数量、攻击链阶段数量、攻击链阶段等级、攻击事件威胁等级、攻击事件的置信度、攻击结果、攻击目标的资产状态、攻击指向性等多种维度信息确定攻击源的攻击信息威胁评分，最后基于先验知识威胁评分和攻击信息威胁评分，确定攻击源的攻击者威胁评分，从更多维度准确的评估攻击者，可以提高攻击者威胁评分的准确性，使得用户可以快速发现高威胁源并进行快速处置，提高安全防护能力。

公开(公告)号：CN113518086A

公开(公告)日：2021-10-19

申请号：CN202110776921.7

申请日：2021-07-09

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李浩 ,  肖根胜

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种网络攻击预测的方法、装置及存储介质，用以解决现有技术中存在的网络攻击预测准确度不高的技术问题，该方法包括：根据网络中存在攻击行为的第一网络设备与相邻的各个网络设备的相似度，确定第一网络设备的风险传播值；将风险传播值累加到每个网络设备的风险值中；根据当前各个网络设备的风险值，构建以第一网络设备为起点的攻击链路，将攻击链路作为网络中存在网络攻击的预测结果。