公开(公告)号：CN106055450A

公开(公告)日：2016-10-26

申请号：CN201610342231.X

申请日：2016-05-20

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 袁帅

IPC: G06F11/30

CPC classification number: G06F11/3006 ,  G06F11/3072

Abstract: 本发明公开了一种二进制日志解析方法及装置，在本发明实施例所述技术方案中，用户可以根据预置字段体集合，从中选择字段体构成解析模板，该解析模板中包括至少一个字段体，每个字段体包括：输出字段名、表示该输出字段名的字段值的位置的位置信息、表示该字段值所占的比特位数的长度信息、以及该字段值的输出字段类型；然后可以通过解析模板对二进制日志进行解析。由于解析模板是用户可以根据字段集合随意配置的，所以本发明实施例提供的二进制日志解析方法，无需为特定的二进制日志开发并维护日志解析应用程序，对解析模板的维护相对于对解析应用程序的维护工作量小，且维护方便。

公开(公告)号：CN107679093B

公开(公告)日：2020-04-07

申请号：CN201710801101.2

申请日：2017-09-07

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 汪可 ,  潘登 ,  袁帅

IPC: G06F16/14

Abstract: 本发明实施例提供一种数据查询方法及装置，用于解决现有技术中客户端开发成本高的技术问题。所述方法包括：中间层接收客户端发送的查询请求，所述查询请求包括查询条件和目标数据的存储格式；其中，所述查询条件用于定义目标数据的元数据的约束条件；所述中间层获取满足所述查询条件的目标元数据，以及根据数据的存储格式与读命令的映射确定读取所述目标数据的目标读命令；所述中间层根据确定的目标读命令从存储层读取所述目标元数据对应的数据，并将所述目标元数据对应的数据发送给所述客户端，所述目标元数据对应的数据包含所述目标数据。

公开(公告)号：CN110928717A

公开(公告)日：2020-03-27

申请号：CN201911112826.6

申请日：2019-11-14

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 皮靖 ,  袁帅 ,  梁莎 ,  李景

IPC: G06F11/07 ,  G06F16/22 ,  G06F16/23

Abstract: 本发明公开了一种复杂时序事件检测方法及装置，用以解决现有的事件检测的准确性低的问题。所述复杂时序事件检测方法，包括：对接收的每一条待检测数据标注系统时间戳，其中，所述待检测数据携带有记录时间戳；确定当前时间周期的水位线；将所述当前时间周期内的记录时间大于所述水位线的待检测数据缓存至优先队列中，并按照记录时间的先后顺序对所述优先队列中的待检测数据进行重排序；每当所述水位线更新时，将所述优先队列中记录时间小于所述更新后的水位线的待检测数据从所述优先队列中移出；根据预设的规则森林以及从所述优先队列中移出的每一条待检测数据的系统时间和记录时间对从所述优先队列中移出的每一条待检测数据进行检测。

公开(公告)号：CN106817364B

公开(公告)日：2020-02-07

申请号：CN201611249809.3

申请日：2016-12-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 皮靖 ,  袁帅

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明公开一种暴力破解的检测方法及装置，所述方法包括：确定每次数据传输过程对应的特征向量，其中每个特征向量中包含该数据传输过程中连接发起者发送和接收的数据包数量、数据包大小；针对设定时间长度确定的半径参数和密度阈值，对所述设定时间长度内的特征向量进行聚类处理；针对每个聚类，根据处于该聚类中的每个特征向量，对该特征向量对应的连接发起者和连接响应者的可疑次数更新，当更新后的可疑次数大于预设次数阈值时，确定连接发起者对连接响应者进行暴力破解。由于在本发明实施例中，电子设备根据连接发起者发送和接收的数据包数量、数据包大小，通过聚类处理进行暴力破解的检测，因此不需要检测包内容即可实现暴力破解的检测。

公开(公告)号：CN106506557B

公开(公告)日：2019-09-17

申请号：CN201611246755.5

申请日：2016-12-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 袁帅 ,  皮靖 ,  汪可 ,  尹飞

IPC: H04L29/06

Abstract: 本发明实施例公开了一种端口扫描检测方法及装置，所述方法包括：A、统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的信息，确定聚类后的类别数量；C：根据确定的类别数量，及每个特征向量对应的特征点之间的距离，对每个特征向量进行聚类；判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件；如果否，进行B；D：如果是，将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类；确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。用以解决现有技术存在端口扫描检测范围小、检测精度不高和性能不好的问题。

公开(公告)号：CN106055450B

公开(公告)日：2019-07-02

申请号：CN201610342231.X

申请日：2016-05-20

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 袁帅

IPC: G06F11/30

Abstract: 本发明公开了一种二进制日志解析方法及装置，在本发明实施例所述技术方案中，用户可以根据预置字段体集合，从中选择字段体构成解析模板，该解析模板中包括至少一个字段体，每个字段体包括：输出字段名、表示该输出字段名的字段值的位置的位置信息、表示该字段值所占的比特位数的长度信息、以及该字段值的输出字段类型；然后可以通过解析模板对二进制日志进行解析。由于解析模板是用户可以根据字段集合随意配置的，所以本发明实施例提供的二进制日志解析方法，无需为特定的二进制日志开发并维护日志解析应用程序，对解析模板的维护相对于对解析应用程序的维护工作量小，且维护方便。

公开(公告)号：CN106850830B

公开(公告)日：2020-11-20

申请号：CN201710112916.X

申请日：2017-02-28

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 汪可 ,  袁帅

IPC: H04L29/08

Abstract: 本发明公开了一种业务请求处理方法、装置、系统和相关服务器，所述业务处理方法，包括：获取本次业务的业务请求，所述业务请求中携带有用于指示本次业务的业务类型的分隔符；根据所述业务请求中携带的分隔符，确定所述分隔符对应的逻辑接口，并将所述业务请求通过所述逻辑接口发送给业务处理服务器；接收所述业务处理服务器发送的所述业务的业务处理结果，并将所述业务处理结果反馈给客户端。采用本发明提供的方法，能够根据业务的业务类型，为其调用相应的逻辑接口，体现了对业务请求的定制化处理过程，同时提高了用户体验。

公开(公告)号：CN108011939B

公开(公告)日：2020-09-22

申请号：CN201711226643.8

申请日：2017-11-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 袁帅 ,  肖岩军 ,  皮靖 ,  潘登

IPC: H04L29/08

Abstract: 本发明公开了一种还原网络会话的方法及装置，所述方法包括：针对每个第一网络流量统计表，查找该第一网络流量统计表映射的第二网络流量统计表，判断第一网络流量统计表中第一流量统计信息是否大于第二网络流量统计表中第二流量统计信息，如果是，确定第一网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，否则，确定第二网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方；进而还原网络会话。由于在本发明实施例中，根据第一流量统计信息和第二流量统计信息的大小关系，可以确定网络会话发起方和网络会话响应方，进而还原网络会话。因此，本发明实施例中提供的方案能够实现还原网络会话。

公开(公告)号：CN109660452A

公开(公告)日：2019-04-19

申请号：CN201811599486.X

申请日：2018-12-26

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 皮靖 ,  袁帅 ,  梁莎 ,  李景

IPC: H04L12/58

Abstract: 本申请提供一种垃圾邮件源检测方法及装置，该方法包括：确定至少一个邮件源的邮件会话信息，其中，一个邮件会话信息包括一个邮件源在收发邮件时的邮件参数信息。然后根据每个邮件源的邮件会话信息，对邮件源进行评分，得到邮件源的分数信息，之后根据各个邮件源的分数信息，确定上述至少一个邮件源中的垃圾邮件源。该方案中，通过获取网络流量中一个邮件源在收发邮件时产生的邮件参数信息，通过产生的邮件参数信息对一个邮件源进行评分，评分得到的分数信息可以反映该邮件源是垃圾邮件源的可能性，通过该分数信息可以确定一个邮件源是否为垃圾邮件源，并且通过参数信息来检测邮件源的方法无需检测邮件内容，因而更加准确高效。

公开(公告)号：CN107679093A

公开(公告)日：2018-02-09

申请号：CN201710801101.2

申请日：2017-09-07

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 汪可 ,  潘登 ,  袁帅

IPC: G06F17/30

Abstract: 本发明实施例提供一种数据查询方法及装置，用于解决现有技术中客户端开发成本高的技术问题。所述方法包括：中间层接收客户端发送的查询请求，所述查询请求包括查询条件和目标数据的存储格式；其中，所述查询条件用于定义目标数据的元数据的约束条件；所述中间层获取满足所述查询条件的目标元数据，以及根据数据的存储格式与读命令的映射确定读取所述目标数据的目标读命令；所述中间层根据确定的目标读命令从存储层读取所述目标元数据对应的数据，并将所述目标元数据对应的数据发送给所述客户端，所述目标元数据对应的数据包含所述目标数据。