公开(公告)号：CN107730096A

公开(公告)日：2018-02-23

申请号：CN201710911247.2

申请日：2017-09-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 顾杜娟 ,  叶晓虎 ,  欧帅

IPC: G06Q10/06 ,  G06F17/30

CPC classification number: G06Q10/0639 ,  G06F17/30536

Abstract: 本发明公开了一种情报数据源的质量评估方法及装置。该方法应用于一情报数据源的质量评估平台，该方法包括：平台接收N个情报数据源发送的N个情报数据；N为大于等于2的正整数；平台将N个情报数据源中的第一情报数据源发送的第一情报数据与N个情报数据源中除第一情报数据源之外的其它N-1个情报数据源发送的第二情报数据进行比较；其中，第一情报数据源为N个情报数据源中的任意一个情报数据源；若第一情报数据和第二情报数据中存在的相同的情报数据的数量达到第一预设值，则平台确定第一情报数据源的质量达标。通过这种方式下，平台可以综合多个情报数据源发送的情报数据来对某一个情报数据源进行质量评估，提高了对情报数据源的质量评估的准确性。

公开(公告)号：CN107395632A

公开(公告)日：2017-11-24

申请号：CN201710741489.1

申请日：2017-08-25

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 赵跃明 ,  叶晓虎 ,  何坤

IPC: H04L29/06 ,  H04L1/16

CPC classification number: H04L63/0236 ,  H04L1/1607 ,  H04L63/0263 ,  H04L63/1458 ,  H04L63/166 ,  H04L69/163

Abstract: 本发明公开了一种SYN Flood攻击的防护方法、装置、清洗设备及存储介质，所述方法包括：接收终端发送的SYN报文，判断信任列表或限制列表中是否记录有终端的信息；如果否，丢弃SYN报文，向终端发送ACK探测报文；判断是否接收到RST报文，如果是，在信任列表中添加终端的信息，如果否，在限制列表中添加终端的信息。由于在本发明实施例中，清洗设备中保存有信任列表和限制列表，如果终端未记录在上述任一列表中，向所述终端发送ACK探测报文，ACK探测报文不会破坏所述终端与服务器的TCP协议连接，根据终端是否发送RST报文，确定将终端添加到哪个列表。SYN报文被丢弃，无需占用资源，提高了清洗设备的处理效率。

公开(公告)号：CN107395632B

公开(公告)日：2020-09-22

申请号：CN201710741489.1

申请日：2017-08-25

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 赵跃明 ,  叶晓虎 ,  何坤

IPC: H04L29/06 ,  H04L1/16

Abstract: 本发明公开了一种SYN Flood攻击的防护方法、装置、清洗设备及存储介质，所述方法包括：接收终端发送的SYN报文，判断信任列表或限制列表中是否记录有终端的信息；如果否，丢弃SYN报文，向终端发送ACK探测报文；判断是否接收到RST报文，如果是，在信任列表中添加终端的信息，如果否，在限制列表中添加终端的信息。由于在本发明实施例中，清洗设备中保存有信任列表和限制列表，如果终端未记录在上述任一列表中，向所述终端发送ACK探测报文，ACK探测报文不会破坏所述终端与服务器的TCP协议连接，根据终端是否发送RST报文，确定将终端添加到哪个列表。SYN报文被丢弃，无需占用资源，提高了清洗设备的处理效率。

公开(公告)号：CN107454065A

公开(公告)日：2017-12-08

申请号：CN201710566958.0

申请日：2017-07-12

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 赵跃明 ,  叶晓虎

IPC: H04L29/06 ,  H04L12/26 ,  H04L12/801

CPC classification number: H04L63/1416 ,  H04L43/10 ,  H04L43/16 ,  H04L47/10 ,  H04L63/1458

Abstract: 本发明公开了一种UDP Flood攻击的防护方法及装置，应用于清洗设备，所述方法包括：接收终端发送的UDP报文，判断信任列表或限制列表中是否记录有所述终端的信息；如果否，基于TCP协议或ICMP协议向所述终端发送探测报文，判断是否接收到所述终端发送的响应报文，如果是，将所述UDP报文转发至服务器，如果否，对所述UDP报文进行限速处理。由于在本发明实施例中，清洗设备中保存有信任列表和限制列表，如果终端未记录在上述任一列表中，清洗设备基于TCP协议或ICMP协议向所述终端发送探测报文，从而确定是否将该终端记录在上述列表中，并对该UDP报文进行相应处理，使得当终端规模很大时，也能达到有效防护的目的。

公开(公告)号：CN107438074A

公开(公告)日：2017-12-05

申请号：CN201710672579.X

申请日：2017-08-08

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李明 ,  叶晓虎 ,  杨雪皎

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1458 ,  H04L63/0281 ,  H04L63/12 ,  H04L63/1466 ,  H04L67/02 ,  H04L69/162

Abstract: 本发明公开了一种DDoS攻击的防护方法及装置，所述方法包括：防护代理设备接收终端发送的报文，如果白名单中记录有所述终端的信息，将所述终端发送的报文转发至HTTPS服务器，如果黑名单中记录有所述终端的信息，丢弃所述终端发送的报文；否则，若所述报文为第一https请求报文，向所述终端发送包含验证信息的https验证报文，使所述终端向自身发送第二https请求报文；判断所述第二https请求报文中是否包含与所述验证信息对应的验证结果；如果是，在所述白名单中添加所述终端的信息。用以解决现有技术中进行DDoS攻击防护时，终端和HTTPS服务器之间数据传输的私密性差，并且大量消耗防护代理设备资源的问题。

公开(公告)号：CN106960040A

公开(公告)日：2017-07-18

申请号：CN201710190117.4

申请日：2017-03-27

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 翟东旭 ,  周素华 ,  范敦球 ,  叶晓虎

IPC: G06F17/30

Abstract: 本发明实施例公开了一种URL的类别确定方法及装置，用以解决现有技术中URL分类不准确的问题。所述方法包括：在待分类的URL对应的网页内容中，获取预设的每个特征对应的每个特征字段；针对每个特征字段，将该特征字段划分为至少一个第一词组，根据预先保存的每个词组在每个特征中的目标分类概率和非目标分类概率，确定该特征字段的第一特征值；根据确定的所述待分类的URL对应的每个第一特征值，及预先训练完成的URL分类模型，确定所述待分类的URL对应的类别。由于在本发明实施例中，待分类的URL对应的网页内容中每个特征字段的第一特征值，确定待分类的URL的类别，在一定程度上提高确定待分类的URL的类别的准确性。

公开(公告)号：CN106357685A

公开(公告)日：2017-01-25

申请号：CN201610967129.9

申请日：2016-10-28

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 周士钦 ,  叶晓虎 ,  何坤 ,  张磊 ,  陈俊

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1458 ,  H04L67/10

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种防御DDOS攻击的方法及装置，用以解决现有技术中流量清洗装置在遇到DDOS攻击时，无法对受保护端进行实时有效地防护的问题；本申请实施例提供的方法包括：云端安全服务中心在检测到受保护端的状态满足预设的故障条件时，根据受保护端对应的流量清洗装置上报的流量统计数据，判断流量清洗装置是否正在接受DDOS攻击；在确定流量清洗装置正在接受DDOS攻击后，向流量清洗装置发送抓取报文的指令；接收流量清洗装置发送的报文，通过分析接收的报文的攻击特征，为流量清洗装置生成更新的防护策略；将生成的更新的防护策略发送给流量清洗装置，以便流量清洗装置对DDOS攻击进行防御。

公开(公告)号：CN111104579A

公开(公告)日：2020-05-05

申请号：CN201911402107.8

申请日：2019-12-31

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 周素华 ,  杨乐 ,  战辉 ,  孙建鹏 ,  范敦球 ,  叶晓虎

IPC: G06F16/951 ,  G06F16/955 ,  G06Q10/06 ,  H04L29/12

Abstract: 本发明公开了一种公网资产的识别方法、装置及存储介质，用以解决现有技术中存在的公网资产的识别效率较低的技术问题，该方法包括：基于预设关键字，从资产库中识别出疑似企业资产；其中，资产库中存储有从公网中获取的网络资产，预设关键字为与企业信息相关的关键字，疑似企业资产为网络上可能属于企业的网络资产；利用网络爬虫，对疑似企业资产进行深层信息爬取，获得疑似企业资产对应的第一网络指纹信息；其中，第一网络指纹信息为能表征疑似企业资产对应的网页的基本特征的信息；判断第一网络指纹信息中是否存在预设关键字，从存在预设关键字的第一网络指纹信息中提取域名资产和网址资产，将域名资产和网址资产确定为企业资产。

公开(公告)号：CN110674530A

公开(公告)日：2020-01-10

申请号：CN201910937153.1

申请日：2019-09-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 谭皇 ,  樊宇 ,  何坤 ,  叶晓虎

IPC: G06F21/62 ,  G06F8/71

Abstract: 本发明公开了一种基于用户态的文件访问控制方法、设备和装置，用以解决针对不同版本的内核需要配置不同版本的编译程序的问题。本发明实施例若确定监控序列中的文件被访问控制，则生成所述文件对应的操作事件；根据文件防护规则确定所述操作事件是否被允许；若所述操作事件被允许，则将访问控制后的文件在备份区中进行备份；若所述操作事件不被允许，则从备份区中恢复所述文件。本发明无需针对不同版本的内核配置不同版本的编译程序以在内核态运行访问控制机制，从而针对不同版本的内核只需要配置一套编译程序以在用户态运行访问控制机制，进而提高系统的兼容性。

公开(公告)号：CN107563192A

公开(公告)日：2018-01-09

申请号：CN201710682482.7

申请日：2017-08-10

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 樊宇 ,  陈寒冰 ,  刘文辉 ,  叶晓虎

IPC: G06F21/55 ,  G06F21/56

Abstract: 本发明公开了一种勒索软件的防护方法、装置、电子设备及存储介质，所述方法包括：电子设备如果监控到系统中的进程对文件进行修改操作，将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中，并在修改操作文件中保存所述信息的记录时间；根据所述修改操作文件中所述记录时间之前的设定的第一记录时长内，所述进程对应的每条第一目标修改操作的信息，判断所述进程是否为勒索软件进程；如果是，阻断所述进程对文件进行修改操作。在本发明实施例中能够有效地提高针对勒索软件的防护能力。