公开(公告)号：CN116798045A

公开(公告)日：2023-09-22

申请号：CN202310340548.X

申请日：2023-03-31

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 毛春森 ,  黄俊 ,  何坤 ,  汤旭 ,  叶晓虎

IPC: G06V30/19 ,  G06V30/18

Abstract: 本申请公开了一种PE文件图标检测方法、装置、电子设备及存储介质，该方法为：解析获取的待检测PE文件，获取待检测PE文件的候选图标颜色数据并计算各个像素点对应的灰度值，得到候选图标的灰度图；基于候选图标的灰度图确定候选图标的灰度直方图和候选图标的PHASH特征数据；分别计算候选图标的灰度直方图与参考图标集合中包含的每一参考图标的灰度直方图的第一余弦相似度，和候选图标的PHASH特征数据与参考图标集合中包含的每一参考图标的PHASH特征数据的第二余弦相似度；若确定任一参考图标类别相应的第一余弦相似度和第二余弦相似度组合满足设定规则，则确定候选图标为参考图标类别的参考图标的伪造图标。

公开(公告)号：CN116366457A

公开(公告)日：2023-06-30

申请号：CN202310226251.0

申请日：2023-03-03

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 赵德润 ,  周庚乾 ,  叶晓虎 ,  范敦球 ,  吴铁军 ,  张喆

IPC: H04L41/12 ,  H04L43/04

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种网络拓扑结构的异常检测方法、装置、设备及介质。用于解决现有内网的异常检测方案无法检测出内网的宏观结构层面的异常情况问题，该方法为：基于待检测网络的目标图数据和预设子图集，得到子图集包括的每个子图对应的SRP数值；基于每个子图对应的SRP数值，得到目标图数据对应的表征向量，并基于表征向量和基准向量确定的偏差值，以及偏差阈值的比对结果，确定待检测网络的拓扑结构检测结果，基准向量表征基准向量对应的网络的拓扑结构无异常；这样，可以准确检测出该待检测网络是否存在拓扑结构异常问题。

公开(公告)号：CN116192462A

公开(公告)日：2023-05-30

申请号：CN202211732234.6

申请日：2022-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈冠宏 ,  吴铁军 ,  叶晓虎 ,  范敦球 ,  周庚乾 ,  宋倚天

IPC: H04L9/40 ,  G06F18/23

Abstract: 本申请涉及网络信息安全技术领域，尤其涉及一种基于PE文件格式的恶意软件分析方法及装置。该方法中，获取多个PE文件。解析多个PE文件，得到文件信息。根据文件信息，确定多个PE文件对应的特征向量。对特征向量集合中每个特征向量进行聚类，得到聚簇集合。其中，聚簇集合中任一聚簇包括的特征向量之间的相似度小于等于第一阈值。对聚簇集合中每个聚簇进行聚类，得到目标聚簇集合。其中，目标聚簇集合中任一目标聚簇包括的聚簇之间的相似度小于等于第二阈值，第二阈值大于第一阈值。显示目标聚簇集合。上述方案，采用聚类方法实现对PE文件格式的恶意软件进行分析，提升分析恶意软件的效率。

公开(公告)号：CN114024968B

公开(公告)日：2023-05-26

申请号：CN202110958789.1

申请日：2021-08-20

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司 ,  神州绿盟成都科技有限公司

Inventor： 吴小文 ,  叶晓虎 ,  凌杰 ,  黄俊 ,  张晓峰

IPC: H04L67/1001 ,  H04L67/14 ,  H04L67/566

Abstract: 本申请涉及网络通信技术领域，尤其涉及一种基于中间设备的报文发送方法、装置和电子设备。基于保存的第一会话监控信息，判断接收的第一报文未建立会话，则基于预设的中间设备接口集合进行负载均衡调度，并通过分配的目标输入接口，将第一报文发往目标中间设备，接收目标中间设备通过相应的目标输出接口返回的第一报文，并在第二会话监控信息中，建立并保存相应的反向目标会话，并将第一报文发往相应的接收端，这样，能够将报文均衡的调度至中间设备，充分发挥了中间设备的处理能力，提高了报文的处理效率，实现了在具有双向通信需求的网络环境下，能够进行合理的负载均衡调度，并在报文的传输过程中实现了会话保持。

公开(公告)号：CN114363036B

公开(公告)日：2023-05-16

申请号：CN202111645946.X

申请日：2021-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 周庚乾 ,  张喆 ,  吴铁军 ,  赵陈菲 ,  滑亚康 ,  叶晓虎

IPC: H04L9/40

Abstract: 本申请提供了一种网络攻击路径获取方法、装置及电子设备，通过该方法可以根据预设网络攻击事件图谱，建立网络攻击事件中各类型节点实体之间关联关系，也就是参与网络攻击事件各个网络设备之间的关联关系，从而根据该关联关系得到网络攻击事件对应的网络攻击路径，进而实现了RAT远程控制网络的攻击路径还原，避免人工参与流量数据分析导致攻击路径还原效率低以及准确性低的问题。

公开(公告)号：CN114327882A

公开(公告)日：2022-04-12

申请号：CN202111592643.6

申请日：2021-12-23

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 赵刚 ,  谢正明 ,  叶建伟 ,  黄俊 ,  叶晓虎

IPC: G06F9/50 ,  G06F9/54

Abstract: 本申请提供一种数据转发方法、装置及系统，用于解决现有技术在通过软件的方式实现网卡的Bypass功能时存在的数据转发效率较低或实现成本较高的技术问题，所述方法包括：修改网络安全设备的网卡驱动；基于修改后的网卡驱动，在操作系统的内核空间为网络安全设备的每个网卡创建DMA内存队列和对应的Buffer内存队列；将第一网卡接收到的待转发数据写入第一DMA内存对应的Buffer内存；将第一DMA内存对应的Buffer内存与第二DMA内存对应的Buffer内存进行交换；将第二DMA内存对应的Buffer内存中的待转发数据写入第二网卡，以使第二网卡发送待转发数据。

公开(公告)号：CN114091034A

公开(公告)日：2022-02-25

申请号：CN202111336109.9

申请日：2021-11-12

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 顾杜娟 ,  袁军 ,  周娟 ,  章瑞康 ,  李文瑾 ,  叶晓虎

IPC: G06F21/57 ,  G06F16/36 ,  G06F11/36

Abstract: 本发明公开了一种安全渗透测试方法、装置、电子设备及存储介质，所述方法包括：通过不同来源的外部数据构建渗透测试知识图谱；获取渗透目标，根据所述渗透目标进行目标环境的信息收集；根据收集到的目标环境的信息和所述渗透测试知识图谱，确定所述渗透目标对应的目标渗透路径；根据所述目标渗透路径对所述渗透目标进行安全渗透测试。利用了知识图谱对数据进行关联分析的特点，当对渗透目标进行渗透测试时，基于渗透测试知识图谱确定目标渗透路径，进而根据目标渗透路径对渗透目标进行安全渗透测试。实现了智能发现攻击路径，提高了渗透测试的性能。

公开(公告)号：CN114024968A

公开(公告)日：2022-02-08

申请号：CN202110958789.1

申请日：2021-08-20

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司 ,  神州绿盟成都科技有限公司

Inventor： 吴小文 ,  叶晓虎 ,  凌杰 ,  黄俊 ,  张晓峰

IPC: H04L67/1001 ,  H04L67/14 ,  H04L67/566

Abstract: 本申请涉及网络通信技术领域，尤其涉及一种基于中间设备的报文发送方法、装置和电子设备。基于保存的第一会话监控信息，判断接收的第一报文未建立会话，则基于预设的中间设备接口集合进行负载均衡调度，并通过分配的目标输入接口，将第一报文发往目标中间设备，接收目标中间设备通过相应的目标输出接口返回的第一报文，并在第二会话监控信息中，建立并保存相应的反向目标会话，并将第一报文发往相应的接收端，这样，能够将报文均衡的调度至中间设备，充分发挥了中间设备的处理能力，提高了报文的处理效率，实现了在具有双向通信需求的网络环境下，能够进行合理的负载均衡调度，并在报文的传输过程中实现了会话保持。

公开(公告)号：CN113691631A

公开(公告)日：2021-11-23

申请号：CN202110992057.4

申请日：2021-08-27

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司 ,  神州绿盟成都科技有限公司

Inventor： 吴桂津 ,  叶晓虎 ,  黄俊 ,  何坤 ,  刘琛梅

IPC: H04L29/08 ,  G06F16/215 ,  G06F16/22

Abstract: 一种数据清理的方法、装置及电子设备，该方法包括：获取第一报文的第一报文参数信息存入第一预设列表时的存入时刻，根据获取到的当前时刻以及存入时刻，确定第一报文参数信息在第一预设列表中的存入时长，判断所述存入时长是否超过预设时长，若是，则将所述第一报文参数信息在所述第一预设列表中删除，若否，则在所述第一预设列表中保留所述第一报文参数信息。通过上述方法，设置一个第一预设列表用于存放键以及键的存入时刻，根据键存入时刻的先后顺序进行排序，使最先超过预设时长的键排在队列前面，在每一个周期内，第一预设列表可以根据键的排序将超过预设时长的键进行依次删除，从而减少了网关计算资源的耗费，提高了网关的性能。

公开(公告)号：CN109639712B

公开(公告)日：2021-09-10

申请号：CN201811640337.3

申请日：2018-12-29

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 贺艳 ,  邓军 ,  叶晓虎 ,  何坤 ,  张磊 ,  袁玫 ,  杨雪皎

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种防护DDOS攻击的方法及系统，该方法包括客户端在重传间隔时间经过中间清洗设备向服务器发送SYN请求报文，中间清洗设备记录SYN请求报文中的第一五元组信息和第一序列号信息，在接收到服务器的发送的具有正确确认号的SYN确认报文后，确定当前连接请求是否超时，若否，则经过中间清洗设备向服务器发送确认报文，中间清洗设备根据确认报文对客户端进行验证，并在验证通过后将确认报文发送给服务器，从而与所述服务器建立TCP连接。由于不存在客户端不响应错误确认号的[SYN,ACK]报文行为或客户端不响应被对端断掉TCP连接的两种行为，在实现防护DDOS攻击的同时保证正常客户端与服务器的正常通信。