公开(公告)号：CN107707547A

公开(公告)日：2018-02-16

申请号：CN201710911625.7

申请日：2017-09-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘文辉 ,  陈裕涛 ,  何坤 ,  张磊

IPC: H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/1416

Abstract: 本发明公开了一种DDoS攻击的检测方法及设备，便于及时准确地检测出肉鸡群的DDoS的攻击。其中的DDoS攻击的检测方法包括：根据两两用户之间的行为相似度将访问服务器的用户划分为至少一个簇；其中，所述行为相似度用于指示两个用户分别与所述服务器交互的行为的相似程度，每个簇包括至少两个用户，每个簇中两两用户之间的行为相似度处于同一个区间范围内；在预设时间段内监控访问所述服务器的用户，若所述用户不属于所述至少一个簇中的任意一个簇或者已存在簇中出现大量的新用户，则确定所述服务器受到DDoS攻击。

公开(公告)号：CN107528859A

公开(公告)日：2017-12-29

申请号：CN201710908810.0

申请日：2017-09-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘文辉 ,  陈裕涛 ,  何坤 ,  张磊

IPC: H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/1416

Abstract: 本发明公开了一种DDoS攻击的防御方法及设备，用于提高从用户群中区别出肉鸡用户的准确度，进而制定出有效的防护策略。其中的DDoS攻击的防御方法包括：确定每个用户的至少一个行为相关度集合，其中，一个行为相关度集合包括一个用户与服务器交互的一种行为分别与其他种行为之间的行为相关度，行为相关度用于指示一种行为分别与其他种行为中的任意一种行为之间的关联程度；根据至少一个行为相关度集合包括的多个行为相关度确定至少一个区间范围，一个行为相关度集合对应一个区间范围；在预设时间段内，若确定第一用户的所有行为相关度中的每个行为相关度均不在每个行为相关度所在行为相关度集合对应的区间范围内，则封禁第一用户的IP地址。

公开(公告)号：CN107395632A

公开(公告)日：2017-11-24

申请号：CN201710741489.1

申请日：2017-08-25

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 赵跃明 ,  叶晓虎 ,  何坤

IPC: H04L29/06 ,  H04L1/16

CPC classification number: H04L63/0236 ,  H04L1/1607 ,  H04L63/0263 ,  H04L63/1458 ,  H04L63/166 ,  H04L69/163

Abstract: 本发明公开了一种SYN Flood攻击的防护方法、装置、清洗设备及存储介质，所述方法包括：接收终端发送的SYN报文，判断信任列表或限制列表中是否记录有终端的信息；如果否，丢弃SYN报文，向终端发送ACK探测报文；判断是否接收到RST报文，如果是，在信任列表中添加终端的信息，如果否，在限制列表中添加终端的信息。由于在本发明实施例中，清洗设备中保存有信任列表和限制列表，如果终端未记录在上述任一列表中，向所述终端发送ACK探测报文，ACK探测报文不会破坏所述终端与服务器的TCP协议连接，根据终端是否发送RST报文，确定将终端添加到哪个列表。SYN报文被丢弃，无需占用资源，提高了清洗设备的处理效率。

公开(公告)号：CN105491060A

公开(公告)日：2016-04-13

申请号：CN201511021292.8

申请日：2015-12-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈涛 ,  何坤

IPC: H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/0245 ,  H04L63/0263 ,  H04L63/0435 ,  H04L63/1416 ,  H04L69/22 ,  H04L2463/121 ,  H04L63/1433

Abstract: 本发明提供防御分布式拒绝服务攻击的方法、装置、客户端及设备，其中一种方法包括：截取客户端向服务器发送的业务报文；根据与所述客户端约定的规则，获取所述业务报文的第一预设字段携带的信息、所述业务报文的固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息；按照与客户端约定的哈希算法，对所述固有信息以及至少一个添加信息进行哈希处理，得到哈希结果；确定所述哈希结果与所述第一预设字段携带的信息不同时，丢弃所述业务报文。本发明由于预先与客户端约定了规则和哈希算法，不需要统计各种业务报文中的特征，实现复杂度相对较低，误丢弃非攻击报文的概率较小。

公开(公告)号：CN104202329A

公开(公告)日：2014-12-10

申请号：CN201410465475.8

申请日：2014-09-12

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈寒冰 ,  郑彬 ,  何坤

IPC: H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/1425

Abstract: 本发明提供一种DDoS攻击检测方法和装置，通过采样获得在第一周期内的目标时刻的网络流量之后，查询预先获得的流量周期变化曲线，确定与目标时刻对应的预测流量，若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击，由于流量周期变化曲线用于指示预测流量的周期性变化规律，因此，在每一个目标时刻进行DDoS攻击检测前，仅需要根据流量周期变化曲线，确定与该目标时刻对应的预测流量，而不需要在每一次DDoS攻击检测前根据大量历史流量数据计算预测流量，减小了计算量。

公开(公告)号：CN107528859B

公开(公告)日：2020-07-10

申请号：CN201710908810.0

申请日：2017-09-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘文辉 ,  陈裕涛 ,  何坤 ,  张磊

IPC: H04L29/06

Abstract: 本发明公开了一种DDoS攻击的防御方法及设备，用于提高从用户群中区别出肉鸡用户的准确度，进而制定出有效的防护策略。其中的DDoS攻击的防御方法包括：确定每个用户的至少一个行为相关度集合，其中，一个行为相关度集合包括一个用户与服务器交互的一种行为分别与其他种行为之间的行为相关度，行为相关度用于指示一种行为分别与其他种行为中的任意一种行为之间的关联程度；根据至少一个行为相关度集合包括的多个行为相关度确定至少一个区间范围，一个行为相关度集合对应一个区间范围；在预设时间段内，若确定第一用户的所有行为相关度中的每个行为相关度均不在每个行为相关度所在行为相关度集合对应的区间范围内，则封禁第一用户的IP地址。

公开(公告)号：CN106557315B

公开(公告)日：2020-04-07

申请号：CN201610965358.7

申请日：2016-11-04

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 郑彬 ,  何坤 ,  倪映 ,  杨宏勇 ,  王岩

IPC: G06F8/38

Abstract: 本发明公开了一种Web面板布局方法和装置，所述方法包括：对画布进行栅格化，栅格化后的画布包括至少一个画布宽度单元和至少一个画布高度单元，其中，每一画布高度单元包含多个画布宽度单元；针对任一面板模块，获取该面板模块包含的面板高度单元数和面板宽度单元数；遍历画布高度单元，确定当前遍历画布高度单元中的空闲画布宽度单元；根据所述面板高度单元数和面板宽度单元数，从所述空闲画布宽度单元开始确定该面板模块占用的画布宽度单元，采用此方法支持各种布局，且当面板模块或画布发生变化时，只需对发生变化的面板模块进行渲染，具有较高的灵活性和扩展性。

公开(公告)号：CN109639712A

公开(公告)日：2019-04-16

申请号：CN201811640337.3

申请日：2018-12-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 贺艳 ,  邓军 ,  叶晓虎 ,  何坤 ,  张磊 ,  袁玫 ,  杨雪皎

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1458 ,  H04L63/08 ,  H04L67/141 ,  H04L69/163

Abstract: 本发明公开了一种防护DDOS攻击的方法及系统，该方法包括客户端在重传间隔时间经过中间清洗设备向服务器发送SYN请求报文，中间清洗设备记录SYN请求报文中的第一五元组信息和第一序列号信息，在接收到服务器的发送的具有正确确认号的SYN确认报文后，确定当前连接请求是否超时，若否，则经过中间清洗设备向服务器发送确认报文，中间清洗设备根据确认报文对客户端进行验证，并在验证通过后将确认报文发送给服务器，从而与所述服务器建立TCP连接。由于不存在客户端不响应错误确认号的[SYN,ACK]报文行为或客户端不响应被对端断掉TCP连接的两种行为，在实现防护DDOS攻击的同时保证正常客户端与服务器的正常通信。

公开(公告)号：CN108600145A

公开(公告)日：2018-09-28

申请号：CN201711421274.8

申请日：2017-12-25

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张磊 ,  叶晓虎 ,  何坤

IPC: H04L29/06

CPC classification number: H04L63/1425 ,  G06F21/56 ,  H04L63/1458

Abstract: 本发明实施例提供一种确定DDoS攻击设备的方法及装置，用于解决现有技术中确定DDoS攻击设备的方法存在无法识别具备完整协议栈行为的DDoS攻击设备、且用户体验差的技术问题。所述方法包括：在接收到N个客户端发送的HTTP请求时，获取所述N个客户端中每个客户端的特征值，所述特征值表征客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征；将特征值相同各个客户端划分在同一个类别中，统计各个类别的客户端在预定时间范围内的流量；在确定任一类别的客户端在预定时间范围内的流量超过第一阈值时，将所述任一类别的客户端确定为DDoS攻击设备。

公开(公告)号：CN110674530A

公开(公告)日：2020-01-10

申请号：CN201910937153.1

申请日：2019-09-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 谭皇 ,  樊宇 ,  何坤 ,  叶晓虎

IPC: G06F21/62 ,  G06F8/71

Abstract: 本发明公开了一种基于用户态的文件访问控制方法、设备和装置，用以解决针对不同版本的内核需要配置不同版本的编译程序的问题。本发明实施例若确定监控序列中的文件被访问控制，则生成所述文件对应的操作事件；根据文件防护规则确定所述操作事件是否被允许；若所述操作事件被允许，则将访问控制后的文件在备份区中进行备份；若所述操作事件不被允许，则从备份区中恢复所述文件。本发明无需针对不同版本的内核配置不同版本的编译程序以在内核态运行访问控制机制，从而针对不同版本的内核只需要配置一套编译程序以在用户态运行访问控制机制，进而提高系统的兼容性。