公开(公告)号：CN119254509A

公开(公告)日：2025-01-03

申请号：CN202411428936.4

申请日：2024-10-12

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 鲍杰 ,  罗家强

IPC: H04L9/40

Abstract: 本申请公开了一种威胁情报感知方法、装置、设备及介质，涉及信息安全技术领域，包括：根据目标网络中各节点的历史威胁情报数据构建网络矩阵；利用快速扩展随机树算法对网络矩阵进行迭代模拟，得到网络矩阵中的各攻击路径以及攻击路径中各节点的信息素；基于攻击路径和节点的信息素获取各节点之间的信息素重要值，将根据信息素重要值分别从历史威胁情报数据、攻击路径中筛选出的威胁特征样本、威胁情报数据链路保存在预设规则库中；采集目标网络中各节点的当前流量数据，将当前流量数据与威胁特征样本、威胁情报数据链路进行比对，以便根据得到的比对结果确定当前流量数据是否存在威胁性攻击。通过上述方案，能够提高威胁情报感知的效率。

公开(公告)号：CN116244534A

公开(公告)日：2023-06-09

申请号：CN202211591687.1

申请日：2022-12-12

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 王雪薇 ,  罗家强

IPC: G06F16/957 ,  G06F21/62

Abstract: 本申请涉及一种安全事件展示方法、装置、计算机设备和存储介质。所述方法包括：获取工作流的节点信息，所述节点信息包括输出样式信息；实时获取所述工作流中产生的数据；基于所述节点信息对所述数据进行格式转换；将所述数据在系统界面中进行展示。采用本方法能够实现数据根据用户需求进行对应格式的自定义可视化呈现，提高SOAR系统的数据可读性，满足用户的多样化展示需求，达到提高安全事件处理效率的效果。

公开(公告)号：CN111181918B

公开(公告)日：2021-11-16

申请号：CN201911203152.0

申请日：2019-11-29

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 罗家强 ,  范渊

IPC: H04L29/06

Abstract: 本发明提供一种基于TTP的高风险资产发现和网络攻击溯源方法，包括以下步骤：对已经触发了TTP相关规则的进程进行进程树溯源，并查询进程树上的其他进程是否也检测到TTP威胁，之后将所有检测到的TTP信息显示到进程树上对应的进程。通过告警规则模型，来检测每一个攻击技术Techniques，检测到技术Techniques后每一个技术都对应一个Techniques编号(TTP编号)，除了Techniques编号外还有战术Tactics编号。当检测到攻击技术Techniques时，溯源这个攻击进程的进程树。分析进程树上是否覆盖了多个攻击技术Techniques，设想当一个进程树上只检测到一个攻击技术Techniques可能是检测规则的误报，若一个进程树上检测到多个攻击技术Techniques，那大概率这个设备已经沦陷，并且被攻击者控制，进行多个恶意的攻击行为。

公开(公告)号：CN111835781B

公开(公告)日：2022-05-20

申请号：CN202010704927.9

申请日：2020-07-21

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 罗家强 ,  范渊 ,  刘博

IPC: H04L9/40 ,  H04L41/0681 ,  H04L41/14 ,  G06K9/62

Abstract: 本发明公开了一种基于失陷主机发现同源攻击的主机的方法、装置、设备及存储介质，该方法包括：获取失陷的目标主机及与目标主机位于同一网络内其他各主机的告警标记；确定告警标记分布与目标主机的告警标记分布的相似度达到相似度阈值的主机为与目标主机类别相同的待测主机；如果任一待测主机中目标标记的数量达到预设的数量阈值和/或该任一待测主机与目标主机连接过相同的攻击源域名，则确定该任一待测主机为与目标主机同源攻击的主机；其中，目标标记为该任一待测主机与目标主机基于相同进程触发得到相同告警标记时该相同的告警标记。本申请能够有效准确的确定出与失陷主机被同一攻击源攻击的其他主机，便于工作人员对网络安全的控制及维护等。

公开(公告)号：CN119628971B

公开(公告)日：2025-05-16

申请号：CN202510159028.8

申请日：2025-02-12

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 郑金钰 ,  孙佳 ,  罗家强

IPC: H04L9/40 ,  H04L41/0604 ,  G06F18/10 ,  G06F18/22

Abstract: 本申请公开了一种安全告警数据降噪方法、装置、设备及存储介质，涉及网络安全技术领域，包括：若本地预先创建的动态表中已存在与目标告警数据相匹配的目标表项，则利用所述目标表项对所述目标告警数据进行工程化研判，以便基于目标表项中预先记录的告警数据研判结果确定当前研判结果；若动态表中不存在与目标告警数据相匹配的目标表项，则利用预设大模型对目标告警数据进行分析研判得到当前研判结果，并在动态表中基于当前研判结果生成与目标告警数据对应的目标表项；基于当前研判结果确定目标告警数据是否达到预设安全威胁程度，若否，则对所述目标告警数据进行剔除处理。防止攻击被绕过以提高研判告警的覆盖率。

公开(公告)号：CN119628971A

公开(公告)日：2025-03-14

申请号：CN202510159028.8

申请日：2025-02-12

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 郑金钰 ,  孙佳 ,  罗家强

IPC: H04L9/40 ,  H04L41/0604 ,  G06F18/10 ,  G06F18/22

Abstract: 本申请公开了一种安全告警数据降噪方法、装置、设备及存储介质，涉及网络安全技术领域，包括：若本地预先创建的动态表中已存在与目标告警数据相匹配的目标表项，则利用所述目标表项对所述目标告警数据进行工程化研判，以便基于目标表项中预先记录的告警数据研判结果确定当前研判结果；若动态表中不存在与目标告警数据相匹配的目标表项，则利用预设大模型对目标告警数据进行分析研判得到当前研判结果，并在动态表中基于当前研判结果生成与目标告警数据对应的目标表项；基于当前研判结果确定目标告警数据是否达到预设安全威胁程度，若否，则对所述目标告警数据进行剔除处理。防止攻击被绕过以提高研判告警的覆盖率。

公开(公告)号：CN117134966A

公开(公告)日：2023-11-28

申请号：CN202311086651.2

申请日：2023-08-28

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 宋振 ,  刘书航 ,  王瑞 ,  罗家强

IPC: H04L9/40 ,  H04L41/0604 ,  H04L41/0631

Abstract: 本发明提供了一种数据降噪分级方法、装置及电子设备，涉及信息安全的技术领域，包括：获取待处理安全事件集合；通过数据降噪单元对待处理安全事件集合进行数据过滤处理，确定目标安全事件集合，其中，目标安全事件为真实告警的安全事件集合；通过数据分级单元对目标安全事件集合进行告警分级处理，确定各项目标安全事件的分级标签。本发明可以通过数据降噪单元和数据分级单元，对安全事件进行深度降噪和告警分级，从而显著提升真实告警的识别效率和分析效率。

公开(公告)号：CN113691627B

公开(公告)日：2022-09-27

申请号：CN202110981359.1

申请日：2021-08-25

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 罗家强 ,  范渊 ,  刘博

IPC: H04L67/125 ,  H04L41/0803 ,  H04L41/0631 ,  H04L43/0817 ,  H04L43/50 ,  H04L9/40

Abstract: 本申请公开了一种SOAR联动设备的控制方法、装置、设备及介质，该方法包括：当收到SOAR中工作流引擎所下发的目标指令时，则获取与目标指令相对应目标第三方设备的目标配置信息，并建立缓存队列；将目标指令缓存至缓存队列；根据目标配置信息确定目标第三方设备的目标联动频率，并控制缓存队列以目标联动频率向目标第三方设备发送目标指令，以使SOAR对目标第三方设备进行联动控制。因为通过该方法可以使得缓存队列根据目标第三方设备的实际处理能力将目标指令有序、有效地下发至目标第三方设备，所以，在此设置方式下，即使目标第三方设备的执行效率较低，也能够使得SOAR成功联动到目标第三方设备。

公开(公告)号：CN113691627A

公开(公告)日：2021-11-23

申请号：CN202110981359.1

申请日：2021-08-25

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 罗家强 ,  范渊 ,  刘博

IPC: H04L29/08 ,  H04L12/24 ,  H04L12/26 ,  H04L29/06

Abstract: 本申请公开了一种SOAR联动设备的控制方法、装置、设备及介质，该方法包括：当收到SOAR中工作流引擎所下发的目标指令时，则获取与目标指令相对应目标第三方设备的目标配置信息，并建立缓存队列；将目标指令缓存至缓存队列；根据目标配置信息确定目标第三方设备的目标联动频率，并控制缓存队列以目标联动频率向目标第三方设备发送目标指令，以使SOAR对目标第三方设备进行联动控制。因为通过该方法可以使得缓存队列根据目标第三方设备的实际处理能力将目标指令有序、有效地下发至目标第三方设备，所以，在此设置方式下，即使目标第三方设备的执行效率较低，也能够使得SOAR成功联动到目标第三方设备。

公开(公告)号：CN115514553A

公开(公告)日：2022-12-23

申请号：CN202211136443.4

申请日：2022-09-19

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 宋振 ,  刘书航 ,  罗家强

IPC: H04L9/40

Abstract: 本申请公开了一种漏洞修复方法、装置、设备及介质，涉及信息安全技术领域，包括：每隔预设时间间隔获取漏洞预警通告，并判断当前是否已预警过与所述漏洞预警通告对应的漏洞信息；若未预警过，则提取出所述漏洞预警通告中的web应用框架信息，并判断当前资产系统中是否存在与所述web应用框架信息匹配的目标资产；若存在，则判断防火墙中是否具备与所述漏洞预警通告对应的虚拟补丁；若不具备，则向预设安全管理员发送预警消息，以便所述预设安全管理员基于所述预警消息更新相应的虚拟补丁，并基于所述漏洞预警通告编写临时防护策略以修复漏洞。可以通过定时自动获取漏洞信息，并完成漏洞修复，提高了工作效率，并有效防止网络安全事件的发生。