公开(公告)号：CN106254394B

公开(公告)日：2019-07-02

申请号：CN201610867805.5

申请日：2016-09-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘文辉 ,  樊宇 ,  张磊 ,  何坤

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种攻击流量的记录方法和装置，用以解决现有技术中存在的DDoS攻击记录冗余，以及长时间开启手工抓包导致防护工具防护性能下降的问题，所述攻击流量的记录方法，包括：接收流量检测引擎发送的开始记录流量的第一请求，所述第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间；根据所述数据包序列每一数据包的大小，确定所述数据包序列对应的流量值；根据所述流量值及所述第一时间确定流量记录频率；按照确定出的所述流量记录频率对服务器访问流量进行记录并存储。

公开(公告)号：CN106357685A

公开(公告)日：2017-01-25

申请号：CN201610967129.9

申请日：2016-10-28

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 周士钦 ,  叶晓虎 ,  何坤 ,  张磊 ,  陈俊

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1458 ,  H04L67/10

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种防御DDOS攻击的方法及装置，用以解决现有技术中流量清洗装置在遇到DDOS攻击时，无法对受保护端进行实时有效地防护的问题；本申请实施例提供的方法包括：云端安全服务中心在检测到受保护端的状态满足预设的故障条件时，根据受保护端对应的流量清洗装置上报的流量统计数据，判断流量清洗装置是否正在接受DDOS攻击；在确定流量清洗装置正在接受DDOS攻击后，向流量清洗装置发送抓取报文的指令；接收流量清洗装置发送的报文，通过分析接收的报文的攻击特征，为流量清洗装置生成更新的防护策略；将生成的更新的防护策略发送给流量清洗装置，以便流量清洗装置对DDOS攻击进行防御。

公开(公告)号：CN106254394A

公开(公告)日：2016-12-21

申请号：CN201610867805.5

申请日：2016-09-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘文辉 ,  樊宇 ,  张磊 ,  何坤

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种攻击流量的记录方法和装置，用以解决现有技术中存在的DDoS攻击记录冗余，以及长时间开启手工抓包导致防护工具防护性能下降的问题，所述攻击流量的记录方法，包括：接收流量检测引擎发送的开始记录流量的第一请求，所述第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间；根据所述数据包序列每一数据包的大小，确定所述数据包序列对应的流量值；根据所述流量值及所述第一时间确定流量记录频率；按照确定出的所述流量记录频率对服务器访问流量进行记录并存储。

公开(公告)号：CN103036741B

公开(公告)日：2016-02-03

申请号：CN201210555010.2

申请日：2012-12-19

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张磊

IPC: H04L12/26 ,  G06F3/0487

Abstract: 本发明提供一种流量监测基线的确定方法及装置。该方法包括：在直角坐标平面内确定预设周期内的历史流量数据图，所述直角坐标平面内的第一坐标轴表示所述预设周期内的时间，所述直角坐标平面内的第二坐标轴表示所述历史流量数据；根据所述历史流量数据图与所述第一坐标轴和所述第二坐标轴围成的区域，在所述坐标平面内确定基线绘制区域；在所述基线绘制区域内，接收用户根据所述历史流量数据图触发的鼠标事件；根据所述鼠标事件在所述基线绘制区域内的坐标位置，确定流量监测基线值。该装置包括：第一处理模块、第二处理模块、接收模块和第三处理模块。通过本发明的技术方案，可以准确确定流量监测基线值，避免误报和漏报。

公开(公告)号：CN106230823A

公开(公告)日：2016-12-14

申请号：CN201610622351.5

申请日：2016-08-01

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张磊 ,  李明

IPC: H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/1408 ,  H04L63/1416 ,  H04L63/1466

Abstract: 本发明涉及网络安全领域，尤其涉及一种流量统计方法及装置，用于在保证流量统计性能的同时，减小内存占用量。该方法为：清洗装置利用若干线程分别获得的数据流量进行报文统计，将多个线程绑定在不同的物理CPU下，同时给各个物理CPU分别分配一份内存资源，而各个线程将各自的统计结果存储在绑定的物理CPU对应的内存资源中；这样，可以不必为每一个线程分配单独的内存，从而大大减小了内存占用量；另一方面，虽然每一份内存资源下的各个线程在存储各自的统计结果时仍需要排队访问，但同一个物理CPU下内存的缓存命中率高，访问速度快，因此，即使排除访问不会影响存储速度，从而有效提高了统计效率，保证了流量统计性能。

公开(公告)号：CN103036741A

公开(公告)日：2013-04-10

申请号：CN201210555010.2

申请日：2012-12-19

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张磊

IPC: H04L12/26 ,  G06F3/0487

Abstract: 本发明提供一种流量监测基线的确定方法及装置。该方法包括：在直角坐标平面内确定预设周期内的历史流量数据图，所述直角坐标平面内的第一坐标轴表示所述预设周期内的时间，所述直角坐标平面内的第二坐标轴表示所述历史流量数据；根据所述历史流量数据图与所述第一坐标轴和所述第二坐标轴围成的区域，在所述坐标平面内确定基线绘制区域；在所述基线绘制区域内，接收用户根据所述历史流量数据图触发的鼠标事件；根据所述鼠标事件在所述基线绘制区域内的坐标位置，确定流量监测基线值。该装置包括：第一处理模块、第二处理模块、接收模块和第三处理模块。通过本发明的技术方案，可以准确确定流量监测基线值，避免误报和漏报。

公开(公告)号：CN108600145B

公开(公告)日：2020-12-25

申请号：CN201711421274.8

申请日：2017-12-25

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张磊 ,  叶晓虎 ,  何坤

IPC: H04L29/06

Abstract: 本发明实施例提供一种确定DDoS攻击设备的方法及装置，用于解决现有技术中确定DDoS攻击设备的方法存在无法识别具备完整协议栈行为的DDoS攻击设备、且用户体验差的技术问题。所述方法包括：在接收到N个客户端发送的HTTP请求时，获取所述N个客户端中每个客户端的特征值，所述特征值表征客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征；将特征值相同各个客户端划分在同一个类别中，统计各个类别的客户端在预定时间范围内的流量；在确定任一类别的客户端在预定时间范围内的流量超过第一阈值时，将所述任一类别的客户端确定为DDoS攻击设备。

公开(公告)号：CN109617893A

公开(公告)日：2019-04-12

申请号：CN201811609156.4

申请日：2018-12-27

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张磊 ,  何坤

IPC: H04L29/06

Abstract: 本发明公开了一种僵尸网络DDoS攻击的防护方法、装置及存储介质，在本发明实施例中，服务器基于全网的僵尸网络DDoS攻击报文的第二特征，与第一特征组中每个第一特征进行匹配，从而确定出进行攻击的地址信息，使得确定出的地址信息准确率高。另外，在防护过程中不需要进行反向探测，因此节省了僵尸网络DDoS攻击的防护时间，提高了防护效率。服务器针对预设数量的终端发送的报文的第一特征组确定出匹配成功的僵尸网络特征库，然后将僵尸网络特征库中所有的地址信息发送至防护设备。防护设备对于没有进行特征提取的终端，也不再需要浪费资源进行特征提取，以及判断终端是否为发起攻击终端，因此节省了大量的防护资源。

公开(公告)号：CN107707547A

公开(公告)日：2018-02-16

申请号：CN201710911625.7

申请日：2017-09-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘文辉 ,  陈裕涛 ,  何坤 ,  张磊

IPC: H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/1416

Abstract: 本发明公开了一种DDoS攻击的检测方法及设备，便于及时准确地检测出肉鸡群的DDoS的攻击。其中的DDoS攻击的检测方法包括：根据两两用户之间的行为相似度将访问服务器的用户划分为至少一个簇；其中，所述行为相似度用于指示两个用户分别与所述服务器交互的行为的相似程度，每个簇包括至少两个用户，每个簇中两两用户之间的行为相似度处于同一个区间范围内；在预设时间段内监控访问所述服务器的用户，若所述用户不属于所述至少一个簇中的任意一个簇或者已存在簇中出现大量的新用户，则确定所述服务器受到DDoS攻击。

公开(公告)号：CN107528859A

公开(公告)日：2017-12-29

申请号：CN201710908810.0

申请日：2017-09-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘文辉 ,  陈裕涛 ,  何坤 ,  张磊

IPC: H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/1416

Abstract: 本发明公开了一种DDoS攻击的防御方法及设备，用于提高从用户群中区别出肉鸡用户的准确度，进而制定出有效的防护策略。其中的DDoS攻击的防御方法包括：确定每个用户的至少一个行为相关度集合，其中，一个行为相关度集合包括一个用户与服务器交互的一种行为分别与其他种行为之间的行为相关度，行为相关度用于指示一种行为分别与其他种行为中的任意一种行为之间的关联程度；根据至少一个行为相关度集合包括的多个行为相关度确定至少一个区间范围，一个行为相关度集合对应一个区间范围；在预设时间段内，若确定第一用户的所有行为相关度中的每个行为相关度均不在每个行为相关度所在行为相关度集合对应的区间范围内，则封禁第一用户的IP地址。