公开(公告)号：CN107609179B

公开(公告)日：2020-02-07

申请号：CN201710910062.X

申请日：2017-09-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 顾杜娟 ,  叶晓虎 ,  范敦球

IPC: G06F16/33 ,  G06F21/57

Abstract: 本发明实施例提供一种数据处理方法及设备，用于解决现有技术中各漏洞数据库中漏洞记录无法融合共享的技术问题。该方法包括：获取来自至少两个漏洞数据库的至少两个漏洞记录；其中，漏洞记录用于描述不同机构所对应系统的漏洞的数据内容；对至少两个漏洞记录中每个漏洞记录的属性特征进行义素分析；其中，在不同属性特征的漏洞记录对应于不同的分级类型，分级类型与漏洞记录所表征的数据内容的类型相关；将至少两个漏洞记录中属性特征之间存在的共同义素的漏洞记录与第一分级类型进行关联，并生成包含至少一个第一分级类型的标准漏洞数据库；其中，第一分级类型下的漏洞记录具有至少一个相同的属性特征。

公开(公告)号：CN111160749A

公开(公告)日：2020-05-15

申请号：CN201911340849.2

申请日：2019-12-23

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 孙建鹏 ,  张宏斌 ,  叶建伟 ,  周素华 ,  张宇娜 ,  范敦球

IPC: G06Q10/06

Abstract: 本发明公开了一种情报质量评估和情报融合方法及装置，用以解决现有的威胁情报数据融合方法在情报融合过程中无法保证威胁情报数据的质量和融合后的情报的质量的问题。所述情报质量评估方法，包括：接收情报源输出的情报，其中，所述情报源为威胁情报数据源，所述情报为威胁情报数据；针对每一情报源，确定所述情报源的可信度评分以及所述情报源中的各情报的可信度评分；根据所述情报源的可信度评分和所述各情报的可信度评分评估所述各情报的质量。

公开(公告)号：CN106960040A

公开(公告)日：2017-07-18

申请号：CN201710190117.4

申请日：2017-03-27

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 翟东旭 ,  周素华 ,  范敦球 ,  叶晓虎

IPC: G06F17/30

Abstract: 本发明实施例公开了一种URL的类别确定方法及装置，用以解决现有技术中URL分类不准确的问题。所述方法包括：在待分类的URL对应的网页内容中，获取预设的每个特征对应的每个特征字段；针对每个特征字段，将该特征字段划分为至少一个第一词组，根据预先保存的每个词组在每个特征中的目标分类概率和非目标分类概率，确定该特征字段的第一特征值；根据确定的所述待分类的URL对应的每个第一特征值，及预先训练完成的URL分类模型，确定所述待分类的URL对应的类别。由于在本发明实施例中，待分类的URL对应的网页内容中每个特征字段的第一特征值，确定待分类的URL的类别，在一定程度上提高确定待分类的URL的类别的准确性。

公开(公告)号：CN116192723A

公开(公告)日：2023-05-30

申请号：CN202310199248.4

申请日：2023-02-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴铁军 ,  周庚乾 ,  叶晓虎 ,  范敦球 ,  赵德润

IPC: H04L45/02

Abstract: 本申请涉及通信技术领域，尤其涉及一种网络路由链路生成方法、装置及电子设备。该方法中，根据网络拓扑架构下的NetFlow数据，构建网络路由链路集合。根据网络路由链路集合，构建路由集合以及多个节点集合。从目标路由链路中选择任一路由节点作为目标节点，根据目标节点的节点集合，确定子目标节点。在路由集合中存在目标节点与子目标节点之外的其他路由节点的情况下，遍历其他路由节点的节点集合，在其他路由节点的节点集合满足预设条件的情况下，更新目标路由链路，直至目标路由链路中所有路由节点都作为目标节点确定完毕。上述方案，通过更新目标路由链路，使目标路由链路中的路由节点更完整、全面，提高网络路由链路的准确性、完整性。

公开(公告)号：CN116150746A

公开(公告)日：2023-05-23

申请号：CN202310199254.X

申请日：2023-02-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴铁军 ,  张喆 ,  赵陈菲 ,  叶晓虎 ,  范敦球 ,  杨晖

IPC: G06F21/55 ,  G06N3/042 ,  G06N3/0464 ,  G06N3/048

Abstract: 本申请公开一种攻击检测方法、装置、电子设备及存储介质，涉及计算机技术领域。该方法包括：将所采集的Windows审计日志进行建模，生成主机行为依赖图；对所述主机行为依赖图进行特征提取，得到多视图信息；其中，所述多视图信息包括路径信息、结构信息、事件类型信息；根据所述路径信息、结构信息、事件类型信息，确定出所述Windows审计日志的攻击行为分数；若所述攻击行为分数满足攻击要求，则确定所述Windows审计日志存在攻击行为，用以提高对攻击行为检测的鲁棒性和准确性。

公开(公告)号：CN112788009B

公开(公告)日：2023-01-17

申请号：CN202011612593.9

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 孙建鹏 ,  叶晓虎 ,  叶建伟 ,  范敦球 ,  张宇娜 ,  欧帅

IPC: H04L9/40

Abstract: 本发明涉及一种网络攻击预警方法、装置、介质和设备。可以根据配置有检测规则的检测模板，针对每个攻击组织的每个攻击特征，对网络设备组件中对应的攻击痕迹进行检测，并可以根据检测模板中配置的匹配方法，确定网络设备组件中的攻击痕迹是否与攻击特征匹配，进而可以根据每个攻击组织的每个攻击特征与网络设备组件中的攻击痕迹的匹配结果，确定每个攻击组织的攻击行为与网络设备中的攻击痕迹的相关性，针对相关性较高的攻击组织进行网络攻击预警，确保在攻击组织的潜伏阶段，也可以有效地发现潜伏的攻击组织，实现网络攻击的预警。

公开(公告)号：CN114095261A

公开(公告)日：2022-02-25

申请号：CN202111399106.X

申请日：2021-11-24

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 孙建鹏 ,  张宇娜 ,  李娟 ,  叶建伟 ,  范敦球

IPC: H04L9/40

Abstract: 本公开涉及一种攻击资产标记方法、装置、介质和设备。根据本公开实施例提供的方案，从网络威胁情报中提取攻击资产对应的每种攻击行为的类型以及对应的每种资源类型，并基于提取出的每种攻击行为的类型以及每种资源类型，对攻击资产的失效时间进行判断，根据确定出的失效时间，将攻击资产标记为非攻击资产。利用攻击资产对应的每种攻击行为的类型来判断攻击资产的失效时间，考量了攻击资产被用于实施每种攻击行为的威胁性和可持续性，而利用攻击资产对应的每种资源类型来判断攻击资产的失效时间，考量了攻击资产作为对应资源类型被攻击方的控制程度，相对于通过定时方式将攻击资产失效，可以有效提高攻击资产标记的准确性。

公开(公告)号：CN114095261B

公开(公告)日：2023-06-09

申请号：CN202111399106.X

申请日：2021-11-24

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 孙建鹏 ,  张宇娜 ,  李娟 ,  叶建伟 ,  范敦球

IPC: H04L9/40

Abstract: 本公开涉及一种攻击资产标记方法、装置、介质和设备。根据本公开实施例提供的方案，从网络威胁情报中提取攻击资产对应的每种攻击行为的类型以及对应的每种资源类型，并基于提取出的每种攻击行为的类型以及每种资源类型，对攻击资产的失效时间进行判断，根据确定出的失效时间，将攻击资产标记为非攻击资产。利用攻击资产对应的每种攻击行为的类型来判断攻击资产的失效时间，考量了攻击资产被用于实施每种攻击行为的威胁性和可持续性，而利用攻击资产对应的每种资源类型来判断攻击资产的失效时间，考量了攻击资产作为对应资源类型被攻击方的控制程度，相对于通过定时方式将攻击资产失效，可以有效提高攻击资产标记的准确性。

公开(公告)号：CN114389863A

公开(公告)日：2022-04-22

申请号：CN202111627021.2

申请日：2021-12-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 魏佩儒 ,  兰星 ,  李玉杰 ,  吴铁军 ,  范敦球

IPC: H04L9/40 ,  G06F21/53

Abstract: 本发明公开了一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质，用以解决现有技术中存在的物联网蜜罐的交互程度低、端口兼容性差、以及部署难度大、成本高的技术问题，该方法包括：确定攻击者踏入的陷阱端口，并获取陷阱端口对应的路由表；其中，路由表用于穷举陷阱端口包含的各种漏洞对应的标准流量特征及对应的标准交互类型，每个标准流量特征与对应标准交互类以流量特征过滤规则的形式存储于对应路由表中；根据攻击者的流量特征信息与路由表中流量特征过滤规则的命中结果，确定流量特征信息对应的实际交互类型；获取与实际交互类型对应的交互规则，生成符合攻击者的交互意图的交互欺骗信息，并返回给攻击者。

公开(公告)号：CN114153759A

公开(公告)日：2022-03-08

申请号：CN202111423944.6

申请日：2021-11-26

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 傅政雄 ,  吴铁军 ,  范敦球 ,  蔡莉 ,  叶晓虎

IPC: G06F12/0877 ,  G06F9/30

Abstract: 本申请公开了一种内存取证方法、装置及电子设备，该方法包括：在获取到物联网IOT样本时，通过操作系统内核态执行IOT样本中的中断指令；在检测到中断指令的执行过程符合第一预设规则时，通过预设方式访问IOT样本对应的内存地址空间；读取内存地址空间对应的内存数据，并基于所述内存数据对所述IOT样本进行内存取证。基于以上方法，在检测到IOT样本中的中断指令执行过程符合预设规则时，进一步访问IOT样本对应的内存地址空间，进而读取用于进行内存取证的内存数据，这种内存取证方式不需要模拟执行操作系统的操作指令，并且不需要IOT样本运行结束就可以快速获取IOT样本对应的内存数据，从而提高内存取证的效率与准确性。