公开(公告)号：CN114356919A

公开(公告)日：2022-04-15

申请号：CN202111589221.3

申请日：2021-12-23

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  刘文懋 ,  顾杜娟 ,  王真

IPC: G06F16/22 ,  G06F21/62

Abstract: 本申请公开了一种结构化数据库的水印嵌入方法、溯源方法及装置，用以解决目前方案水印无法抵抗主键删除攻击、小批量下载数据导致绕过攻击的问题。本申请结合主密钥、各个接收设备分别对应的标识以及属性组合的数据，生成各个接收设备分别对应第一水印比特值，并将第一水印比特值嵌入到各个接收设备的结构化数据库的可嵌入水印字段中。属性组合采用至少一个不可更改的字段。在对泄露的数据库溯源时，针对每个接收设备确定由不同行的第一水印比特值构成的第一水印比特序列；从泄露的数据库的可嵌入水印字段中获取第二比特序列；通过每个接收设备的第一水印比特序列分别与第二水印比特序列的比较结果确定和溯源到存在数据泄露行为的接收设备。

公开(公告)号：CN112615888A

公开(公告)日：2021-04-06

申请号：CN202011612770.3

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 薛见新 ,  刘文懋 ,  陈磊 ,  王星凯 ,  张润滋

IPC: H04L29/06

Abstract: 本申请公开了一种网络攻击行为的威胁评估方法及装置。包括：根据采集的目标网络在预设时间段内的告警数据，获取目标网络中至少两个IP地址间的多个告警序列；采用预设分析算法，对每个告警序列进行分析，得到每个告警序列中相邻告警事件间的转移概率；采用预设嵌入算法，对每个告警序列和相应告警序列中相邻告警事件间的转移概率进行嵌入处理，得到每个告警序列的序列向量；基于每两个IP地址间告警序列的序列向量和两个IP地址间的攻击行为矩阵，获取两个IP地址间攻击行为的威胁评估结果。该方法实现了高威告警事件的自动快速确定，降低了成本。

公开(公告)号：CN111818067A

公开(公告)日：2020-10-23

申请号：CN202010674631.7

申请日：2020-07-14

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  陈磊 ,  吴子建 ,  童明凯

IPC: H04L29/06 ,  G06F16/903 ,  G06F16/906

Abstract: 本发明涉及网络安全技术领域，尤其涉及流量特征提取方法及装置，包括：获取具有目标特征的目标流量样本；对通过从目标流量样本中抽样获得的目标特征提取样本集进行聚类，获得扫描攻击组和非扫描攻击组；基于递归扫描特征字串提取方法，从扫描攻击组中提取出扫描特征正则表达式；以及，基于用于识别目标特征的流量分类模型，从非扫描攻击组中提取出非扫描特征正则表达式；对包含扫描特征正则表达式和非扫描特征正则表达式的特征表达式集合进行验证，确定目标特征表达式集合；基于目标特征表达式集合，对待处理流量的目标特征进行提取。本发明使得特征提取不仅能够针对具有公共字串的流量，还能够针对没有公共字串的流量，提高了特征提取的准确性。

公开(公告)号：CN111787000A

公开(公告)日：2020-10-16

申请号：CN202010622184.0

申请日：2020-06-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 薛见新 ,  刘文懋 ,  陈磊 ,  吴复迪

IPC: H04L29/06

Abstract: 本发明是关于一种网络安全评估方法及电子设备，涉及网络安全领域，本发明包括：从预设时间段内网络产生的告警信息中，提取多个源IP地址和目的IP地址；构建源IP地址对应的结构向量，以及构建源IP地址对应的属性向量；构建源IP地址作为用户业务的发起地址的情况下的参考结构向量以及参考属性向量；将两个结构向量进行对比得到对比结果，两个属性向量进行对比得到对比结果，根据得到的两个对比结果，确定源IP地址的威胁程度值。由于本发明实施例通过源IP地址为用户业务的发起地址的情况下的信息与实际的信息之间进行对比，而非采用容易导致误报的方式确定威胁程度，这样降低了确定的IP地址的威胁程度的误报率。

公开(公告)号：CN115796276A

公开(公告)日：2023-03-14

申请号：CN202211528209.6

申请日：2022-11-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  雷宇 ,  高翔 ,  王真 ,  张润滋 ,  冉靖

IPC: G06N5/01 ,  G06N20/00 ,  G06N20/20 ,  G06F21/62

Abstract: 本申请公开了一种基于联邦学习的决策树构建方法、装置及存储介质。涉及人工智能技术领域。该方法具体包括：服务器向至少两个终端设备发送第一指示信息，第一指示信息用于指示对样本数据进行统计。然后，服务器接收至少两个样本统计参数，并根据至少两个样本统计参数确定全局统计参数，并根据全局统计参数判断决策树的第一节点是否满足分裂条件。若满足分裂条件，服务器向至少两个终端设备发送第二指示信息，第二指示信息用于指示对样本数据进行分割，分割后获得的样本数据作为下一次需要训练的样本数据。该方法用以解决现有网络模型对样本分类时的泛化能力较差，分类结果容易过拟合的问题。

公开(公告)号：CN112632966B

公开(公告)日：2023-07-21

申请号：CN202011614604.7

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  陈磊 ,  薛见新 ,  吴复迪

IPC: G06F40/216 ,  G06F40/30 ,  G06N20/00

Abstract: 本发明涉及一种告警信息标记方法、装置、介质和设备。可以利用预先训练出的LDA模型，确定当前接收到的告警信息的类型对应的主题分布向量，并可以确定该告警信息对应的每个上下文文本(根据该告警信息以及其关联告警信息的类型形成的告警语句形成)对应的主题分布向量，进而可以通过主题分布向量之间的欧式距离值来度量当前接收到的告警信息的类型与其对应的每个上下文文本之间的语义偏离值。从而可以在某个欧式距离值较大时，认为当前接收到的告警信息的类型与该欧式距离值对应的上下文文本之间的语义偏离值较大，为当前接收到的告警信息生成对应的上下文异常标签，提示该告警信息针对某个上下文文本可能是高风险告警信息。

公开(公告)号：CN115563275A

公开(公告)日：2023-01-03

申请号：CN202211162557.6

申请日：2022-09-23

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  童明凯 ,  顾杜娟 ,  陈磊

IPC: G06F16/35 ,  G06F16/335 ,  G06F40/284

Abstract: 本申请实施例提供了一种多维度自适应日志分类分级方法和装置，该方法包括：先获取预设时间窗口内的M条日志，基于日志类型标识对M条日志进行分组，获得多个第一日志分组。针对任一第一日志分组，采用多个日志字段标识，对第一日志分组内的N条日志进行分组，获得每个日志字段标识对应的多个第二日志分组。再针对M条日志中的任一条日志，将日志对应的第一日志分组标识以及各第二日志分组标识，作为日志的分类标签，基于获得的多个分类标签，对M条日志进行分类。本申请基于每个预设时间窗口内的M条日志所包含的日志类型标识和日志字段标识对M条日志进行分类，保证了分类、分级的准确性，提升自适应性，减少了对专家经验的依赖程度。

公开(公告)号：CN112615888B

公开(公告)日：2022-08-12

申请号：CN202011612770.3

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 薛见新 ,  刘文懋 ,  陈磊 ,  王星凯 ,  张润滋

IPC: H04L9/40

Abstract: 本申请公开了一种网络攻击行为的威胁评估方法及装置。包括：根据采集的目标网络在预设时间段内的告警数据，获取目标网络中至少两个IP地址间的多个告警序列；采用预设分析算法，对每个告警序列进行分析，得到每个告警序列中相邻告警事件间的转移概率；采用预设嵌入算法，对每个告警序列和相应告警序列中相邻告警事件间的转移概率进行嵌入处理，得到每个告警序列的序列向量；基于每两个IP地址间告警序列的序列向量和两个IP地址间的攻击行为矩阵，获取两个IP地址间攻击行为的威胁评估结果。该方法实现了高威告警事件的自动快速确定，降低了成本。

公开(公告)号：CN110535702B

公开(公告)日：2022-07-12

申请号：CN201910817936.6

申请日：2019-08-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  刘威歆 ,  张胜军 ,  陈磊

IPC: H04L41/0604

Abstract: 本申请公开了一种告警信息处理方法及装置，所述方法包括：提取待评级告警信息的告警类型、源IP地址和目的IP地址；在预设时间段内，获取反映所述告警类型出现频率的告警类型评级数值、反映所述告警信息的威胁源是否首次出现的威胁源评级数值及反映IP地址信息关联威胁程度的IP地址信息评级数值；基于所述告警类型评级数值、所述威胁源评级数值及所述IP地址信息评级数值进行加权求和确定表示所述告警信息威胁程度的告警信息威胁等级，并基于所述告警信息威胁等级对所述告警信息进行排序。应用本申请提供的方案可以，提高威胁事件响应速度。

公开(公告)号：CN111147300B

公开(公告)日：2022-04-29

申请号：CN201911369205.6

申请日：2019-12-26

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  刘威歆 ,  张胜军 ,  陈磊

IPC: H04L9/40 ,  G06F16/18 ,  G06F16/36

Abstract: 本发明公开了一种网络安全告警置信度评估方法及装置，用以解决现有的网络安全告警置信度评估准确性低的问题。所述方法，包括：将每一预设时间周期内接收的日志生成对应的三元组；确定当前时间周期内同一类型日志对应的各三元组的频率因子以及所述同一类型日志对应的所有三元组中的各实体的频率因子；根据待评估告警日志对应的三元组和与所述三元组中的实体相关联的待评估时间周期的前N个时间周期内的各类型的日志对应的三元组构建告警关联图谱；根据构成所述告警关联图谱的各数据边的三元组的频率因子和构成告警关联图谱的各数据点的实体的频率因子，确定待评估告警日志在待评估时间周期内的告警置信度。