公开(公告)号：CN116192723A

公开(公告)日：2023-05-30

申请号：CN202310199248.4

申请日：2023-02-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴铁军 ,  周庚乾 ,  叶晓虎 ,  范敦球 ,  赵德润

IPC: H04L45/02

Abstract: 本申请涉及通信技术领域，尤其涉及一种网络路由链路生成方法、装置及电子设备。该方法中，根据网络拓扑架构下的NetFlow数据，构建网络路由链路集合。根据网络路由链路集合，构建路由集合以及多个节点集合。从目标路由链路中选择任一路由节点作为目标节点，根据目标节点的节点集合，确定子目标节点。在路由集合中存在目标节点与子目标节点之外的其他路由节点的情况下，遍历其他路由节点的节点集合，在其他路由节点的节点集合满足预设条件的情况下，更新目标路由链路，直至目标路由链路中所有路由节点都作为目标节点确定完毕。上述方案，通过更新目标路由链路，使目标路由链路中的路由节点更完整、全面，提高网络路由链路的准确性、完整性。

公开(公告)号：CN116150746A

公开(公告)日：2023-05-23

申请号：CN202310199254.X

申请日：2023-02-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴铁军 ,  张喆 ,  赵陈菲 ,  叶晓虎 ,  范敦球 ,  杨晖

IPC: G06F21/55 ,  G06N3/042 ,  G06N3/0464 ,  G06N3/048

Abstract: 本申请公开一种攻击检测方法、装置、电子设备及存储介质，涉及计算机技术领域。该方法包括：将所采集的Windows审计日志进行建模，生成主机行为依赖图；对所述主机行为依赖图进行特征提取，得到多视图信息；其中，所述多视图信息包括路径信息、结构信息、事件类型信息；根据所述路径信息、结构信息、事件类型信息，确定出所述Windows审计日志的攻击行为分数；若所述攻击行为分数满足攻击要求，则确定所述Windows审计日志存在攻击行为，用以提高对攻击行为检测的鲁棒性和准确性。

公开(公告)号：CN112788009B

公开(公告)日：2023-01-17

申请号：CN202011612593.9

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 孙建鹏 ,  叶晓虎 ,  叶建伟 ,  范敦球 ,  张宇娜 ,  欧帅

IPC: H04L9/40

Abstract: 本发明涉及一种网络攻击预警方法、装置、介质和设备。可以根据配置有检测规则的检测模板，针对每个攻击组织的每个攻击特征，对网络设备组件中对应的攻击痕迹进行检测，并可以根据检测模板中配置的匹配方法，确定网络设备组件中的攻击痕迹是否与攻击特征匹配，进而可以根据每个攻击组织的每个攻击特征与网络设备组件中的攻击痕迹的匹配结果，确定每个攻击组织的攻击行为与网络设备中的攻击痕迹的相关性，针对相关性较高的攻击组织进行网络攻击预警，确保在攻击组织的潜伏阶段，也可以有效地发现潜伏的攻击组织，实现网络攻击的预警。

公开(公告)号：CN114095261A

公开(公告)日：2022-02-25

申请号：CN202111399106.X

申请日：2021-11-24

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 孙建鹏 ,  张宇娜 ,  李娟 ,  叶建伟 ,  范敦球

IPC: H04L9/40

Abstract: 本公开涉及一种攻击资产标记方法、装置、介质和设备。根据本公开实施例提供的方案，从网络威胁情报中提取攻击资产对应的每种攻击行为的类型以及对应的每种资源类型，并基于提取出的每种攻击行为的类型以及每种资源类型，对攻击资产的失效时间进行判断，根据确定出的失效时间，将攻击资产标记为非攻击资产。利用攻击资产对应的每种攻击行为的类型来判断攻击资产的失效时间，考量了攻击资产被用于实施每种攻击行为的威胁性和可持续性，而利用攻击资产对应的每种资源类型来判断攻击资产的失效时间，考量了攻击资产作为对应资源类型被攻击方的控制程度，相对于通过定时方式将攻击资产失效，可以有效提高攻击资产标记的准确性。

公开(公告)号：CN113158189B

公开(公告)日：2023-12-26

申请号：CN202110466344.1

申请日：2021-04-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 周娟 ,  章瑞康 ,  袁军 ,  李文瑾 ,  范敦球

IPC: G06F21/56 ,  G06F16/36 ,  G06F40/186 ,  G06F40/205 ,  G06F40/295 ,  G06F40/30

Abstract: 本发明公开了一种恶意软件分析报告生成方法、装置、设备和介质，由于该方法中是由设备自动化地根据预先定义的网络安全知识图谱本体、以及预先保存的网络安全数据，确定出包含实体数据的目标网络安全知识图谱的集合，再从该集合中的目标网络安全知识图谱中提取出每个板块的子知识图谱，根据子知识图谱以及板块对应的编解码模型，确定出板块对应的目标文本，从而生成恶意软件的目标分析报告，提高了生成分析报告的自动化程度。

公开(公告)号：CN114398887A

公开(公告)日：2022-04-26

申请号：CN202111620184.8

申请日：2021-12-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 杨晖 ,  吴铁军 ,  范敦球 ,  赵光远 ,  叶晓虎

IPC: G06F40/289 ,  G06K9/62 ,  G06N20/00

Abstract: 本申请实施例提供了一种文本分类方法、装置及电子设备，涉及网络安全技术领域。本申请中，基于目标文本的目标存储路径信息，以及日志文件中记录的各个历史文本各自对应的历史存储路径信息，在确定目标存储路径信息中，存在至少一个特有节点名称时，分别确定相应特有节点名称各自的字符转移概率所归属的字符转移概率区间，从而完成对目标文本进行文本分类。采用本申请，根据目标存储路径信息中，特有节点名称各自的字符转移概率所归属的字符转移概率区间，对目标文本进行文本分类，提高了文本分类的准确性。

公开(公告)号：CN112788009A

公开(公告)日：2021-05-11

申请号：CN202011612593.9

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 孙建鹏 ,  叶晓虎 ,  叶建伟 ,  范敦球 ,  张宇娜 ,  欧帅

IPC: H04L29/06

Abstract: 本发明涉及一种网络攻击预警方法、装置、介质和设备。可以根据配置有检测规则的检测模板，针对每个攻击组织的每个攻击特征，对网络设备组件中对应的攻击痕迹进行检测，并可以根据检测模板中配置的匹配方法，确定网络设备组件中的攻击痕迹是否与攻击特征匹配，进而可以根据每个攻击组织的每个攻击特征与网络设备组件中的攻击痕迹的匹配结果，确定每个攻击组织的攻击行为与网络设备中的攻击痕迹的相关性，针对相关性较高的攻击组织进行网络攻击预警，确保在攻击组织的潜伏阶段，也可以有效地发现潜伏的攻击组织，实现网络攻击的预警。

公开(公告)号：CN114095261B

公开(公告)日：2023-06-09

申请号：CN202111399106.X

申请日：2021-11-24

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 孙建鹏 ,  张宇娜 ,  李娟 ,  叶建伟 ,  范敦球

IPC: H04L9/40

Abstract: 本公开涉及一种攻击资产标记方法、装置、介质和设备。根据本公开实施例提供的方案，从网络威胁情报中提取攻击资产对应的每种攻击行为的类型以及对应的每种资源类型，并基于提取出的每种攻击行为的类型以及每种资源类型，对攻击资产的失效时间进行判断，根据确定出的失效时间，将攻击资产标记为非攻击资产。利用攻击资产对应的每种攻击行为的类型来判断攻击资产的失效时间，考量了攻击资产被用于实施每种攻击行为的威胁性和可持续性，而利用攻击资产对应的每种资源类型来判断攻击资产的失效时间，考量了攻击资产作为对应资源类型被攻击方的控制程度，相对于通过定时方式将攻击资产失效，可以有效提高攻击资产标记的准确性。

公开(公告)号：CN114389863A

公开(公告)日：2022-04-22

申请号：CN202111627021.2

申请日：2021-12-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 魏佩儒 ,  兰星 ,  李玉杰 ,  吴铁军 ,  范敦球

IPC: H04L9/40 ,  G06F21/53

Abstract: 本发明公开了一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质，用以解决现有技术中存在的物联网蜜罐的交互程度低、端口兼容性差、以及部署难度大、成本高的技术问题，该方法包括：确定攻击者踏入的陷阱端口，并获取陷阱端口对应的路由表；其中，路由表用于穷举陷阱端口包含的各种漏洞对应的标准流量特征及对应的标准交互类型，每个标准流量特征与对应标准交互类以流量特征过滤规则的形式存储于对应路由表中；根据攻击者的流量特征信息与路由表中流量特征过滤规则的命中结果，确定流量特征信息对应的实际交互类型；获取与实际交互类型对应的交互规则，生成符合攻击者的交互意图的交互欺骗信息，并返回给攻击者。

公开(公告)号：CN114153759A

公开(公告)日：2022-03-08

申请号：CN202111423944.6

申请日：2021-11-26

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 傅政雄 ,  吴铁军 ,  范敦球 ,  蔡莉 ,  叶晓虎

IPC: G06F12/0877 ,  G06F9/30

Abstract: 本申请公开了一种内存取证方法、装置及电子设备，该方法包括：在获取到物联网IOT样本时，通过操作系统内核态执行IOT样本中的中断指令；在检测到中断指令的执行过程符合第一预设规则时，通过预设方式访问IOT样本对应的内存地址空间；读取内存地址空间对应的内存数据，并基于所述内存数据对所述IOT样本进行内存取证。基于以上方法，在检测到IOT样本中的中断指令执行过程符合预设规则时，进一步访问IOT样本对应的内存地址空间，进而读取用于进行内存取证的内存数据，这种内存取证方式不需要模拟执行操作系统的操作指令，并且不需要IOT样本运行结束就可以快速获取IOT样本对应的内存数据，从而提高内存取证的效率与准确性。