公开(公告)号：CN115455412A

公开(公告)日：2022-12-09

申请号：CN202211219654.4

申请日：2022-09-30

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司 ,  北京网御星云信息技术有限公司

Inventor： 李陟 ,  米华 ,  罗欢

IPC: G06F21/55 ,  H04L9/40

Abstract: 本申请提供一种用于SOAR的安全事件防御处置剧本生成系统及其方法，系统包括数据库模块、安全事件获取模块、策略映射模块、动作映射模块和剧本编排模块，所述数据库模块包括第一映射模块和第二映射模块；所述策略映射模块用于根据第一映射模块中的映射关系获得待处理安全事件的防御策略；所述动作映射模块用于根据第二映射模块中的映射关系获得待处理安全事件的防御策略的防御动作；所述剧本编排模块用于将策略映射模块和动作映射模块获得的防御策略和防御动作以可视化选项的方式向用户提供选择，并针对最终选择的防御动作生成防御处置剧本。本申请能够极大降低编排难度、提高剧本生成的质量和效率。

公开(公告)号：CN115829098A

公开(公告)日：2023-03-21

申请号：CN202211468954.6

申请日：2022-11-22

Applicant: 北京网御星云信息技术有限公司 ,  北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 李陟 ,  田源 ,  罗欢

IPC: G06Q10/04 ,  G06N20/00

Abstract: 一种预测模型的自学习方法，包括：获取预测模型的预测边界阈值，所述预测模型是网络安全态势感知的预测模型；连续采集N个窗口的数据样本，N≥2；根据所述预测边界阈值和所述采集的数据样本计算偏离阈值区间，其中所述偏离阈值区间用于表示所述数据样本相对于所述预测边界阈值发生偏离的阈值；判断每个窗口内实时数据的偏离值是否超过所述偏离阈值区间，在实时数据的偏离值大于所述偏离阈值区间的情况下，重新训练预测模型并更新预测模型。上述预测模型的自学习方法，能够持续采集实时数据、分析数据偏差的趋势，判断真实数据与基线发生明显偏离后，自动训练更新预测模型，从而避免固定模型自学习周期设置太短带来的计算资源浪费，设置太长带来的模型更新滞后性的问题。

公开(公告)号：CN115766154A

公开(公告)日：2023-03-07

申请号：CN202211385419.4

申请日：2022-11-07

Applicant: 北京网御星云信息技术有限公司 ,  北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 李陟 ,  田源 ,  罗欢

IPC: H04L9/40

Abstract: 本申请实施例公开了一种攻击技术的预测方法。在该方法中，采集安全事件；根据所述安全事件更新攻击模式监测列表；基于预设的概率模型和更新后的攻击模式监测列表预测攻击技术发生的概率。由此可见，利用本申请实施例提供的方案，通过实时更新攻击模式监测列表，能够使得预测安全攻击发生的概率随着时间的推进而发生变化，通过预设的概率模型和实时更新的攻击模式监测列表计算概率值，能够预测具体攻击技术的发生概率，并且提高计算的概率值的准确度，从而为用户提供更高价值的安全防护预警。

公开(公告)号：CN115603986A

公开(公告)日：2023-01-13

申请号：CN202211218308.4

申请日：2022-09-30

Applicant: 北京启明星辰信息安全技术有限公司(CN) ,  启明星辰信息技术集团股份有限公司(CN)

Inventor： 李陟 ,  韩亚宁 ,  罗欢

IPC: H04L9/40

Abstract: 一种安全事件的动态分级方法，包括：获取发生第一安全事件的第一资产的脆弱性信息，所述脆弱性信息包括软件信息和/或硬件信息；根据所述第一安全事件与所述第一资产的脆弱性信息确定所述安全事件与所述第一资产的相关性；根据所述第一安全事件与所述第一资产的相关性，确定所述第一安全事件的分级指标。上述安全事件的动态分级方法通过资产固有脆弱性和预设周期内已发生安全事件的情况，能够更好的结合实际场景给出更加合理的分级指标，通过对攻击者视角中对资产关注度和资产特定脆弱性点的关注度的行为特征分析，迅速提高具有此类特征的安全事件的分级指标值，让有意图有效的攻击能够被迅速注意到并被处理。