公开(公告)号：CN119728129A

公开(公告)日：2025-03-28

申请号：CN202311267213.6

申请日：2023-09-28

Applicant: 北京邮电大学 ,  绿盟科技集团股份有限公司

Inventor： 谷勇浩 ,  李墨 ,  宁静 ,  朱林 ,  陈永威 ,  孙睿 ,  吴铁军 ,  叶晓虎 ,  赵光远 ,  范敦球

IPC: H04L9/40 ,  G06N20/00

Abstract: 本发明公开了互联网领域一种木马病毒检测方法及装置，所述方法包括：配置木马病毒环境，并在所述木马病毒环境下搜集流量数据；针对所搜集的流量数据按照五元组进行双向流量划分，并进行特征提取，获得流量特征数据；获取针对所述流量特征数据进行处理后得到的训练集数据，以利用所述训练集数据训练机器学习模型，获得木马病毒识别模型；其中，所述处理包括：对流量特征数据进行归一化处理；利用所述木马病毒识别模型识别木马病毒的隐匿方式以及木马活动阶段。本发明实现了在高隐匿情况下，检测木马的流量，锁定木马的隐匿方式，识别木马的活动阶段。

公开(公告)号：CN118018244A

公开(公告)日：2024-05-10

申请号：CN202311862192.2

申请日：2023-12-29

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 姜鹏 ,  李晋 ,  赵光远 ,  叶晓虎 ,  吴铁军

IPC: H04L9/40

Abstract: 本申请实施公开了一种网络安全测试方法及相关装置，涉及网络安全技术领域。本申请中，服务器基于一个目标主机中的远程软件周期性发送的心跳数据包，获取远程软件对应的动态标识符，基于动态标识符对远程软件的身份进行合法性验证，若合法性验证通过，且远程软件的注册状态为已注册，则向远程软件发送任务指令，指示远程软件针对目标主机进行网络安全测试。这样，在远程软件与服务器通信时，增加审查验证流程，可以防止蓝队分析人员在运行期间抓取心跳数据包，通过模拟发送心跳数据包获取隐蔽任务指令，并且，针对每个远程软件做唯一标识，可以帮助服务器识别和跟踪每个远程软件的行为，降低了蓝队捕获远程软件进行模拟通信的风险。

公开(公告)号：CN114389863B

公开(公告)日：2024-02-13

申请号：CN202111627021.2

申请日：2021-12-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 魏佩儒 ,  兰星 ,  李玉杰 ,  吴铁军 ,  范敦球

IPC: H04L9/40 ,  G06F21/53

Abstract: 本发明公开了一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质，用以解决现有技术中存在的物联网蜜罐的交互程度低、端口兼容性差、以及部署难度大、成本高的技术问题，该方法包括：确定攻击者踏入的陷阱端口，并获取陷阱端口对应的路由表；其中，路由表用于穷举陷阱端口包含的各种漏洞对应的标准流量特征及对应的标准交互类型，每个标准流量特征与对应标准交互类以流量特征过滤规则的形式存储于对应路由表中；根据攻击者的流量特征信息与路由表中流量特征过滤规则的命中结果，确定流量特征信息对应的实际交互类型；获取与实际交互类型对应的交互规则，生成符合攻击者的交互意图

公开(公告)号：CN112615889B

公开(公告)日：2022-11-04

申请号：CN202011614621.0

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 范敦球 ,  李文瑾 ,  吴铁军 ,  傅政雄 ,  代宇

IPC: H04L9/40 ,  H04L12/46 ,  H04L69/163 ,  H04L69/22 ,  H04L45/745

Abstract: 本发明涉及网络安全技术领域，公开了一种网络攻击处理方法、探针设备和电子设备，本实施例的方法包括：探针设备响应通过第一目标网卡接收的第一数据帧，根据探针设备的第二网卡的地址和所述探针设备连接的电子设备的第三网卡的地址，对所述第一数据帧进行封装得到第二数据帧，其中，所述第一目标网卡的地址与所述第一数据帧的目的地址相同；通过所述第二网卡将所述第二数据帧发送到所述第三网卡，以使所述电子设备基于所述第二数据帧中携带的第一数据帧，从所述电子设备的工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡，并基于所述目标工作网卡和所述第一数据帧进行网络攻击处理，提高网络攻击的捕获成功率。

公开(公告)号：CN111368304B

公开(公告)日：2022-07-05

申请号：CN202010241438.4

申请日：2020-03-31

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 杜元正 ,  滑亚康 ,  吴铁军 ,  李文瑾

IPC: G06F21/56 ,  G06V10/774 ,  G06V10/764 ,  G06K9/62

Abstract: 本发明提供一种恶意样本类别检测方法和装置及设备，包括：获取恶意样本并基于虚拟系统程序运行恶意样本得到对应的函数调用图；将函数调用图中任一函数作为调用函数，将调用函数对函数调用图中各函数是否有调用关系用不同的取值表示得到邻接矩阵；根据表示有调用关系的取值的密度分布，通过满足密度分区分割条件时对应的分区，定位属于本地函数的调用函数的分区；并将该分区映射为目标函数调用图，提取目标函数调用图的特征并输入到分类预测模型确定所述恶意样本的类别。本发明可以通过分离恶意样本的本地函数及分类预测模型，解决叠加壳保护后恶意样本特征趋于一致，同源判断的效果不理想及需要对控制流程图的大小进行标准化处理的问题。

公开(公告)号：CN114363036A

公开(公告)日：2022-04-15

申请号：CN202111645946.X

申请日：2021-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 周庚乾 ,  张喆 ,  吴铁军 ,  赵陈菲 ,  滑亚康 ,  叶晓虎

IPC: H04L9/40

Abstract: 本申请提供了一种网络攻击路径获取方法、装置及电子设备，通过该方法可以根据预设网络攻击事件图谱，建立网络攻击事件中各类型节点实体之间关联关系，也就是参与网络攻击事件各个网络设备之间的关联关系，从而根据该关联关系得到网络攻击事件对应的网络攻击路径，进而实现了RAT远程控制网络的攻击路径还原，避免人工参与流量数据分析导致攻击路径还原效率低以及准确性低的问题。

公开(公告)号：CN114168945A

公开(公告)日：2022-03-11

申请号：CN202111499080.6

申请日：2021-12-09

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王蕴佳 ,  吴铁军 ,  叶晓虎 ,  范敦球 ,  赵光远

IPC: G06F21/55 ,  G06F16/955 ,  G06F21/57

Abstract: 一种检测子域名潜在风险的方法及装置，用以更全面地检测出目标域名下存在潜在风险的子域名。其中方法包括：获取用户输入的目标域名；根据所述目标域名和预设的域名字典，确定第一子域名集合；所述第一子域名集合中包括所述目标域名下N个可能的子域名；检测所述第一子域名集合中的每个子域名是否存在对应的A记录和CNAME记录，以及检测所述第一子域名集合中存在对应的CNAME记录的子域名的别名是否存在对应的A记录；所述别名是指所述子域名的CNAME记录所指向的其他子域名；将不存在对应的A记录的子域名和子域名的别名作为检测到的存在潜在风险的子域名，返回给用户。

公开(公告)号：CN111368304A

公开(公告)日：2020-07-03

申请号：CN202010241438.4

申请日：2020-03-31

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 杜元正 ,  滑亚康 ,  吴铁军 ,  李文瑾

IPC: G06F21/56 ,  G06K9/62

Abstract: 本发明提供一种恶意样本类别检测方法和装置及设备，包括：获取恶意样本并基于虚拟系统程序运行恶意样本得到对应的函数调用图；将函数调用图中任一函数作为调用函数，将调用函数对函数调用图中各函数是否有调用关系用不同的取值表示得到邻接矩阵；根据表示有调用关系的取值的密度分布，通过满足密度分区分割条件时对应的分区，定位属于本地函数的调用函数的分区；并将该分区映射为目标函数调用图，提取目标函数调用图的特征并输入到分类预测模型确定所述恶意样本的类别。本发明可以通过分离恶意样本的本地函数及分类预测模型，解决叠加壳保护后恶意样本特征趋于一致，同源判断的效果不理想及需要对控制流程图的大小进行标准化处理的问题。

公开(公告)号：CN119537219A

公开(公告)日：2025-02-28

申请号：CN202411593810.2

申请日：2024-11-08

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴铁军 ,  叶晓虎 ,  孙蔚 ,  傅政雄 ,  李明

IPC: G06F11/3668

Abstract: 本申请公开了一种应用程序测试方法、装置、电子设备及存储介质，提高了应用程序自动化测试的覆盖率和准确性。所述方法，包括：当目标应用程序运行后，获取目标应用程序的图形用户界面的页面状态信息；根据自然语言描述模板生成页面状态信息对应的页面状态描述文本；将页面状态描述文本作为提示文本输入大语言模型中，得到操作指示信息，大语言模型用于基于提示文本预测下一步的操作指示信息；根据操作指示信息指示目标应用程序执行对应的操作。

公开(公告)号：CN118377960A

公开(公告)日：2024-07-23

申请号：CN202410482782.0

申请日：2024-04-22

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张慧霞 ,  吴铁军 ,  周庚乾 ,  叶晓虎 ,  兰星 ,  吴金平 ,  王迪

IPC: G06F16/9535 ,  G06F16/9538 ,  G06N3/042 ,  G06N3/0464

Abstract: 本公开提供APT组织资产的拓线方法、装置、电子设备及存储介质。用于提高对APT组织资产拓线的准确率。包括：获取与选定的IP节点对应的指纹特征；利用IP节点对应的指纹特征对预存的资产关系图进行压缩，得到与IP节点对应的子资产关系图，其中，资产关系图是描述IP节点、指纹特征以及资产三者之间的关联关系的；将与IP节点对应的子资产关系图输入至预设的图神经网络算法中对IP节点的APT组织进行预测，得到IP节点的APT组织；通过IP节点的APT组织对资产关系图进行资产拓线，得到拓线后的资产信息。