公开(公告)号：CN115098815A

公开(公告)日：2022-09-23

申请号：CN202210655921.6

申请日：2022-06-10

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 杨胜永 ,  张泽鑫 ,  欧帅 ,  范敦球

IPC: G06F16/958 ,  G06K9/62 ,  G06N7/00

Abstract: 一种网站识别的方法、装置及电子设备，通过将各个候选网站的网站特征与参考网站特征进行匹配，得到各个候选网站的匹配结果，从匹配结果中选取满足预设条件的候选网站作为待识别网站，再确定各个待识别网站的网站特征与各个类别网站之间的最大匹配概率，根据最大匹配概率识别出各个待识别网站的网站类别。基于上述方法可以筛选出与参考网站关联的待识别网站，基于这些关联的待识别网站来识别网站类型更加准确，且筛选待识别网站的过程也有效减少识别网站的数据量，有助于提高识别网站的效率。

公开(公告)号：CN114168945A

公开(公告)日：2022-03-11

申请号：CN202111499080.6

申请日：2021-12-09

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王蕴佳 ,  吴铁军 ,  叶晓虎 ,  范敦球 ,  赵光远

IPC: G06F21/55 ,  G06F16/955 ,  G06F21/57

Abstract: 一种检测子域名潜在风险的方法及装置，用以更全面地检测出目标域名下存在潜在风险的子域名。其中方法包括：获取用户输入的目标域名；根据所述目标域名和预设的域名字典，确定第一子域名集合；所述第一子域名集合中包括所述目标域名下N个可能的子域名；检测所述第一子域名集合中的每个子域名是否存在对应的A记录和CNAME记录，以及检测所述第一子域名集合中存在对应的CNAME记录的子域名的别名是否存在对应的A记录；所述别名是指所述子域名的CNAME记录所指向的其他子域名；将不存在对应的A记录的子域名和子域名的别名作为检测到的存在潜在风险的子域名，返回给用户。

公开(公告)号：CN114398887B

公开(公告)日：2024-11-22

申请号：CN202111620184.8

申请日：2021-12-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 杨晖 ,  吴铁军 ,  范敦球 ,  赵光远 ,  叶晓虎

IPC: G06F16/35 ,  G06F40/289 ,  G06F18/23 ,  G06F18/22 ,  G06N20/00

Abstract: 本申请实施例提供了一种文本分类方法、装置及电子设备，涉及网络安全技术领域。本申请中，基于目标文本的目标存储路径信息，以及日志文件中记录的各个历史文本各自对应的历史存储路径信息，在确定目标存储路径信息中，存在至少一个特有节点名称时，分别确定相应特有节点名称各自的字符转移概率所归属的字符转移概率区间，从而完成对目标文本进行文本分类。采用本申请，根据目标存储路径信息中，特有节点名称各自的字符转移概率所归属的字符转移概率区间，对目标文本进行文本分类，提高了文本分类的准确性。

公开(公告)号：CN116192723B

公开(公告)日：2024-08-30

申请号：CN202310199248.4

申请日：2023-02-28

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 吴铁军 ,  周庚乾 ,  叶晓虎 ,  范敦球 ,  赵德润

IPC: H04L45/02

Abstract: 本申请涉及通信技术领域，尤其涉及一种网络路由链路生成方法、装置及电子设备。该方法中，根据网络拓扑架构下的NetFlow数据，构建网络路由链路集合。根据网络路由链路集合，构建路由集合以及多个节点集合。从目标路由链路中选择任一路由节点作为目标节点，根据目标节点的节点集合，确定子目标节点。在路由集合中存在目标节点与子目标节点之外的其他路由节点的情况下，遍历其他路由节点的节点集合，在其他路由节点的节点集合满足预设条件的情况下，更新目标路由链路，直至目标路由链路中所有路由节点都作为目标节点确定完毕。上述方案，通过更新目标路由链路，使目标路由链路中的路由节点更完整、全面，提高网络路由链路的准确性、完整性。

公开(公告)号：CN113742475B

公开(公告)日：2024-07-26

申请号：CN202111060539.2

申请日：2021-09-10

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 田永 ,  范敦球 ,  吴铁军 ,  赵光远 ,  白睿

IPC: G06F16/335 ,  G06F21/56

Abstract: 本发明公开了一种office文档检测方法、装置、设备及介质，所述方法包括：提取office文档的宏；通过解析所述office文档的宏，确定所述office文档的模板特征参数；将确定出的所述office文档的模板特征参数与预先保存的黑白名单库中的模板特征参数进行匹配，检测所述office文档是否为恶意文档。基于同一个office文档模板，用户即使根据需要删减或增加相应内容，office文档的宏是不变的，因此，根据office文档的宏确定office文档的模板特征参数，然后基于模板特征参数检测office文档是否为恶意文档，解决了现有技术检测office文档的局限性较大的问题。

公开(公告)号：CN111160749B

公开(公告)日：2023-07-21

申请号：CN201911340849.2

申请日：2019-12-23

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 孙建鹏 ,  张宏斌 ,  叶建伟 ,  周素华 ,  张宇娜 ,  范敦球

IPC: G06Q10/0639

Abstract: 本发明公开了一种情报质量评估和情报融合方法及装置，用以解决现有的威胁情报数据融合方法在情报融合过程中无法保证威胁情报数据的质量和融合后的情报的质量的问题。所述情报质量评估方法，包括：接收情报源输出的情报，其中，所述情报源为威胁情报数据源，所述情报为威胁情报数据；针对每一情报源，确定所述情报源的可信度评分以及所述情报源中的各情报的可信度评分；根据所述情报源的可信度评分和所述各情报的可信度评分评估所述各情报的质量。

公开(公告)号：CN116366457A

公开(公告)日：2023-06-30

申请号：CN202310226251.0

申请日：2023-03-03

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 赵德润 ,  周庚乾 ,  叶晓虎 ,  范敦球 ,  吴铁军 ,  张喆

IPC: H04L41/12 ,  H04L43/04

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种网络拓扑结构的异常检测方法、装置、设备及介质。用于解决现有内网的异常检测方案无法检测出内网的宏观结构层面的异常情况问题，该方法为：基于待检测网络的目标图数据和预设子图集，得到子图集包括的每个子图对应的SRP数值；基于每个子图对应的SRP数值，得到目标图数据对应的表征向量，并基于表征向量和基准向量确定的偏差值，以及偏差阈值的比对结果，确定待检测网络的拓扑结构检测结果，基准向量表征基准向量对应的网络的拓扑结构无异常；这样，可以准确检测出该待检测网络是否存在拓扑结构异常问题。

公开(公告)号：CN116192462A

公开(公告)日：2023-05-30

申请号：CN202211732234.6

申请日：2022-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈冠宏 ,  吴铁军 ,  叶晓虎 ,  范敦球 ,  周庚乾 ,  宋倚天

IPC: H04L9/40 ,  G06F18/23

Abstract: 本申请涉及网络信息安全技术领域，尤其涉及一种基于PE文件格式的恶意软件分析方法及装置。该方法中，获取多个PE文件。解析多个PE文件，得到文件信息。根据文件信息，确定多个PE文件对应的特征向量。对特征向量集合中每个特征向量进行聚类，得到聚簇集合。其中，聚簇集合中任一聚簇包括的特征向量之间的相似度小于等于第一阈值。对聚簇集合中每个聚簇进行聚类，得到目标聚簇集合。其中，目标聚簇集合中任一目标聚簇包括的聚簇之间的相似度小于等于第二阈值，第二阈值大于第一阈值。显示目标聚簇集合。上述方案，采用聚类方法实现对PE文件格式的恶意软件进行分析，提升分析恶意软件的效率。

公开(公告)号：CN112769792B

公开(公告)日：2023-05-02

申请号：CN202011612734.7

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 范敦球 ,  李文瑾 ,  吴铁军 ,  王蕴佳

IPC: H04L9/40 ,  H04L67/02

Abstract: 本发明公开了一种ISP攻击检测方法、装置、电子设备及存储介质，所述方法包括：获取当前浏览的第一网页的第一文档对象模型DOM信息；获取预先保存的白名单中所述第一网页的第二DOM信息，判断所述第一DOM信息和所述第二DOM信息是否相同；如果是，确定所述第一网页不存在ISP攻击，如果否，确定所述第一网页存在ISP攻击。本发明实施例提供的ISP攻击检测方法不需要安全人员分析页面内容，解决了现有技术检测ISP攻击耗时耗力的问题，并且检测效率大大提高。

公开(公告)号：CN113742475A

公开(公告)日：2021-12-03

申请号：CN202111060539.2

申请日：2021-09-10

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 田永 ,  范敦球 ,  吴铁军 ,  赵光远 ,  白睿

IPC: G06F16/335 ,  G06F21/56

Abstract: 本发明公开了一种office文档检测方法、装置、设备及介质，所述方法包括：提取office文档的宏；通过解析所述office文档的宏，确定所述office文档的模板特征参数；将确定出的所述office文档的模板特征参数与预先保存的黑白名单库中的模板特征参数进行匹配，检测所述office文档是否为恶意文档。基于同一个office文档模板，用户即使根据需要删减或增加相应内容，office文档的宏是不变的，因此，根据office文档的宏确定office文档的模板特征参数，然后基于模板特征参数检测office文档是否为恶意文档，解决了现有技术检测office文档的局限性较大的问题。