公开(公告)号：CN110417768A

公开(公告)日：2019-11-05

申请号：CN201910671979.8

申请日：2019-07-24

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 杜元正 ,  吴铁军 ,  杨晖

IPC: H04L29/06

Abstract: 本申请公开一种僵尸网络的跟踪方法及装置，属于网络安全技术领域，包括：预先对僵尸网络的恶意程序进行分析确定恶意程序的内存搜索特征，并将恶意程序部署到虚拟机中使虚拟机成为受控端，其中，内存搜索特征包括恶意程序的字符特征和执行特征，后续，受控端对自身运行的任一程序，若确定该程序的执行代码符合恶意程序的字符特征，则在该程序对应的内存中搜索符合恶意程序的执行特征的目标代码，若搜索到目标代码，则确定该程序为恶意程序，进而对搜索到的目标代码进行挂钩，钩取该程序在解密密文恶意指令后执行的明文恶意指令，解析明文恶意指令确定该程序在用户空间中执行的操作，保存该程序在用户空间中的操作信息，以对恶意程序进行跟踪。

公开(公告)号：CN114398887B

公开(公告)日：2024-11-22

申请号：CN202111620184.8

申请日：2021-12-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 杨晖 ,  吴铁军 ,  范敦球 ,  赵光远 ,  叶晓虎

IPC: G06F16/35 ,  G06F40/289 ,  G06F18/23 ,  G06F18/22 ,  G06N20/00

Abstract: 本申请实施例提供了一种文本分类方法、装置及电子设备，涉及网络安全技术领域。本申请中，基于目标文本的目标存储路径信息，以及日志文件中记录的各个历史文本各自对应的历史存储路径信息，在确定目标存储路径信息中，存在至少一个特有节点名称时，分别确定相应特有节点名称各自的字符转移概率所归属的字符转移概率区间，从而完成对目标文本进行文本分类。采用本申请，根据目标存储路径信息中，特有节点名称各自的字符转移概率所归属的字符转移概率区间，对目标文本进行文本分类，提高了文本分类的准确性。

公开(公告)号：CN114065203B

公开(公告)日：2025-02-14

申请号：CN202111430029.X

申请日：2021-11-29

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 魏阳 ,  宋倚天 ,  赵光远 ,  杨晖 ,  吴铁军

IPC: G06F21/56 ,  G06F21/55

Abstract: 本申请公开一种富文本文档的风险检测方法、装置及可读存储介质，用以解决现有技术中存在的检测富文本文档风险的方法不准确的问题。该方法包括：在富文本文档中，定位第一数据流；其中，所述第一数据流是设定的第一控制字前的起始符与所述起始符匹配的结束符之间的数据；读取所述第一数据流中控制字的读位属性，基于所述读位属性删除或保留所述第一数据流中控制字后的数据，得到第一数据；其中，当读位属性为删除时，指示删除对应控制字之后到相邻的下一个控制字之间的数据；基于所述第一数据中的内嵌对象或者链接，确定所述富文本文档存在风险。

公开(公告)号：CN114065203A

公开(公告)日：2022-02-18

申请号：CN202111430029.X

申请日：2021-11-29

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 魏阳 ,  宋倚天 ,  赵光远 ,  杨晖 ,  吴铁军

IPC: G06F21/56 ,  G06F21/55

Abstract: 本申请公开一种富文本文档的风险检测方法、装置及可读存储介质，用以解决现有技术中存在的检测富文本文档风险的方法不准确的问题。该方法包括：在富文本文档中，定位第一数据流；其中，所述第一数据流是设定的第一控制字前的起始符与所述起始符匹配的结束符之间的数据；读取所述第一数据流中控制字的读位属性，基于所述读位属性删除或保留所述第一数据流中控制字后的数据，得到第一数据；其中，当读位属性为删除时，指示删除对应控制字之后到相邻的下一个控制字之间的数据；基于所述第一数据中的内嵌对象或者链接，确定所述富文本文档存在风险。

公开(公告)号：CN116150746A

公开(公告)日：2023-05-23

申请号：CN202310199254.X

申请日：2023-02-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴铁军 ,  张喆 ,  赵陈菲 ,  叶晓虎 ,  范敦球 ,  杨晖

IPC: G06F21/55 ,  G06N3/042 ,  G06N3/0464 ,  G06N3/048

Abstract: 本申请公开一种攻击检测方法、装置、电子设备及存储介质，涉及计算机技术领域。该方法包括：将所采集的Windows审计日志进行建模，生成主机行为依赖图；对所述主机行为依赖图进行特征提取，得到多视图信息；其中，所述多视图信息包括路径信息、结构信息、事件类型信息；根据所述路径信息、结构信息、事件类型信息，确定出所述Windows审计日志的攻击行为分数；若所述攻击行为分数满足攻击要求，则确定所述Windows审计日志存在攻击行为，用以提高对攻击行为检测的鲁棒性和准确性。

公开(公告)号：CN110417768B

公开(公告)日：2021-10-08

申请号：CN201910671979.8

申请日：2019-07-24

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 杜元正 ,  吴铁军 ,  杨晖

IPC: H04L29/06

Abstract: 本申请公开一种僵尸网络的跟踪方法及装置，属于网络安全技术领域，包括：预先对僵尸网络的恶意程序进行分析确定恶意程序的内存搜索特征，并将恶意程序部署到虚拟机中使虚拟机成为受控端，其中，内存搜索特征包括恶意程序的字符特征和执行特征，后续，受控端对自身运行的任一程序，若确定该程序的执行代码符合恶意程序的字符特征，则在该程序对应的内存中搜索符合恶意程序的执行特征的目标代码，若搜索到目标代码，则确定该程序为恶意程序，进而对搜索到的目标代码进行挂钩，钩取该程序在解密密文恶意指令后执行的明文恶意指令，解析明文恶意指令确定该程序在用户空间中执行的操作，保存该程序在用户空间中的操作信息，以对恶意程序进行跟踪。

公开(公告)号：CN114398887A

公开(公告)日：2022-04-26

申请号：CN202111620184.8

申请日：2021-12-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 杨晖 ,  吴铁军 ,  范敦球 ,  赵光远 ,  叶晓虎

IPC: G06F40/289 ,  G06K9/62 ,  G06N20/00

Abstract: 本申请实施例提供了一种文本分类方法、装置及电子设备，涉及网络安全技术领域。本申请中，基于目标文本的目标存储路径信息，以及日志文件中记录的各个历史文本各自对应的历史存储路径信息，在确定目标存储路径信息中，存在至少一个特有节点名称时，分别确定相应特有节点名称各自的字符转移概率所归属的字符转移概率区间，从而完成对目标文本进行文本分类。采用本申请，根据目标存储路径信息中，特有节点名称各自的字符转移概率所归属的字符转移概率区间，对目标文本进行文本分类，提高了文本分类的准确性。