公开(公告)号：CN109284613A

公开(公告)日：2019-01-29

申请号：CN201811156787.5

申请日：2018-09-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 皮靖 ,  袁帅 ,  周旭康 ,  吴令一

IPC: G06F21/57 ,  G06F16/958 ,  H04L29/06 ,  G06K9/34

Abstract: 本发明涉及互联网技术领域，公开了一种标识检测及仿冒站点检测方法、装置、设备及存储介质，所述仿冒站点检测方法包括：获取可疑站点，可疑站点的域名不在白名单中，白名单中包括保护站点的域名；检测可疑站点的站点页面中是否包含敏感内容；获取可疑站点的站点页面的截图，记为第一图像；检测第一图像中是否包含保护站点的特征标识；若第一图像中包含保护站点的特征标识，且可疑站点的站点页面中包含敏感内容，则将可疑站点标记为仿冒站点。本发明实施例提供的技术方案，有效地提高了检测仿冒站点的准确率和检测性能。

公开(公告)号：CN106506557A

公开(公告)日：2017-03-15

申请号：CN201611246755.5

申请日：2016-12-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 袁帅 ,  皮靖 ,  汪可 ,  尹飞

IPC: H04L29/06

Abstract: 本发明实施例公开了一种端口扫描检测方法及装置，所述方法包括：A、统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的信息，确定聚类后的类别数量；C：根据确定的类别数量，及每个特征向量对应的特征点之间的距离，对每个特征向量进行聚类；判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件；如果否，进行B；D：如果是，将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类；确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。用以解决现有技术存在端口扫描检测范围小、检测精度不高和性能不好的问题。

公开(公告)号：CN110928717A

公开(公告)日：2020-03-27

申请号：CN201911112826.6

申请日：2019-11-14

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 皮靖 ,  袁帅 ,  梁莎 ,  李景

IPC: G06F11/07 ,  G06F16/22 ,  G06F16/23

Abstract: 本发明公开了一种复杂时序事件检测方法及装置，用以解决现有的事件检测的准确性低的问题。所述复杂时序事件检测方法，包括：对接收的每一条待检测数据标注系统时间戳，其中，所述待检测数据携带有记录时间戳；确定当前时间周期的水位线；将所述当前时间周期内的记录时间大于所述水位线的待检测数据缓存至优先队列中，并按照记录时间的先后顺序对所述优先队列中的待检测数据进行重排序；每当所述水位线更新时，将所述优先队列中记录时间小于所述更新后的水位线的待检测数据从所述优先队列中移出；根据预设的规则森林以及从所述优先队列中移出的每一条待检测数据的系统时间和记录时间对从所述优先队列中移出的每一条待检测数据进行检测。

公开(公告)号：CN106817364B

公开(公告)日：2020-02-07

申请号：CN201611249809.3

申请日：2016-12-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 皮靖 ,  袁帅

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明公开一种暴力破解的检测方法及装置，所述方法包括：确定每次数据传输过程对应的特征向量，其中每个特征向量中包含该数据传输过程中连接发起者发送和接收的数据包数量、数据包大小；针对设定时间长度确定的半径参数和密度阈值，对所述设定时间长度内的特征向量进行聚类处理；针对每个聚类，根据处于该聚类中的每个特征向量，对该特征向量对应的连接发起者和连接响应者的可疑次数更新，当更新后的可疑次数大于预设次数阈值时，确定连接发起者对连接响应者进行暴力破解。由于在本发明实施例中，电子设备根据连接发起者发送和接收的数据包数量、数据包大小，通过聚类处理进行暴力破解的检测，因此不需要检测包内容即可实现暴力破解的检测。

公开(公告)号：CN106506557B

公开(公告)日：2019-09-17

申请号：CN201611246755.5

申请日：2016-12-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 袁帅 ,  皮靖 ,  汪可 ,  尹飞

IPC: H04L29/06

Abstract: 本发明实施例公开了一种端口扫描检测方法及装置，所述方法包括：A、统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的信息，确定聚类后的类别数量；C：根据确定的类别数量，及每个特征向量对应的特征点之间的距离，对每个特征向量进行聚类；判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件；如果否，进行B；D：如果是，将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类；确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。用以解决现有技术存在端口扫描检测范围小、检测精度不高和性能不好的问题。

公开(公告)号：CN109284613B

公开(公告)日：2020-09-22

申请号：CN201811156787.5

申请日：2018-09-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 皮靖 ,  袁帅 ,  周旭康 ,  吴令一

IPC: G06F21/57 ,  G06F16/958 ,  H04L29/06 ,  G06K9/34

Abstract: 本发明涉及互联网技术领域，公开了一种标识检测及仿冒站点检测方法、装置、设备及存储介质，所述仿冒站点检测方法包括：获取可疑站点，可疑站点的域名不在白名单中，白名单中包括保护站点的域名；检测可疑站点的站点页面中是否包含敏感内容；获取可疑站点的站点页面的截图，记为第一图像；检测第一图像中是否包含保护站点的特征标识；若第一图像中包含保护站点的特征标识，且可疑站点的站点页面中包含敏感内容，则将可疑站点标记为仿冒站点。本发明实施例提供的技术方案，有效地提高了检测仿冒站点的准确率和检测性能。

公开(公告)号：CN106790175B

公开(公告)日：2019-09-17

申请号：CN201611249823.3

申请日：2016-12-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李浩 ,  皮靖 ,  闫凡

IPC: H04L29/06

Abstract: 本发明公开一种蠕虫事件的检测方法及装置，所述方法包括：针对每个发送设备确定特征向量，所述特征向量中包含接收设备的第一接收次数，接收端口的第二接收次数，及数据包的大小及数量；对特征向量进行聚类处理；根据蠕虫标准点对应的特征向量，确定目标聚类；针对每个目标特征向量，对发送设备和接收设备对应的可疑次数进行更新，判断更新后的该可疑次数大于设定的次数阈值时，确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击。由于在本发明实施例中，电子设备能够根据发送设备和接收设备之间的数据传输，确定对应的特征向量，通过聚类处理进行蠕虫事件的检测，因此不需要检测数据包内容即可实现蠕虫事件的检测。

公开(公告)号：CN108011939A

公开(公告)日：2018-05-08

申请号：CN201711226643.8

申请日：2017-11-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 袁帅 ,  肖岩军 ,  皮靖 ,  潘登

IPC: H04L29/08

Abstract: 本发明公开了一种还原网络会话的方法及装置，所述方法包括：针对每个第一网络流量统计表，查找该第一网络流量统计表映射的第二网络流量统计表，判断第一网络流量统计表中第一流量统计信息是否大于第二网络流量统计表中第二流量统计信息，如果是，确定第一网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，否则，确定第二网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方；进而还原网络会话。由于在本发明实施例中，根据第一流量统计信息和第二流量统计信息的大小关系，可以确定网络会话发起方和网络会话响应方，进而还原网络会话。因此，本发明实施例中提供的方案能够实现还原网络会话。

公开(公告)号：CN108011939B

公开(公告)日：2020-09-22

申请号：CN201711226643.8

申请日：2017-11-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 袁帅 ,  肖岩军 ,  皮靖 ,  潘登

IPC: H04L29/08

Abstract: 本发明公开了一种还原网络会话的方法及装置，所述方法包括：针对每个第一网络流量统计表，查找该第一网络流量统计表映射的第二网络流量统计表，判断第一网络流量统计表中第一流量统计信息是否大于第二网络流量统计表中第二流量统计信息，如果是，确定第一网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，否则，确定第二网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方；进而还原网络会话。由于在本发明实施例中，根据第一流量统计信息和第二流量统计信息的大小关系，可以确定网络会话发起方和网络会话响应方，进而还原网络会话。因此，本发明实施例中提供的方案能够实现还原网络会话。

公开(公告)号：CN109660452A

公开(公告)日：2019-04-19

申请号：CN201811599486.X

申请日：2018-12-26

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 皮靖 ,  袁帅 ,  梁莎 ,  李景

IPC: H04L12/58

Abstract: 本申请提供一种垃圾邮件源检测方法及装置，该方法包括：确定至少一个邮件源的邮件会话信息，其中，一个邮件会话信息包括一个邮件源在收发邮件时的邮件参数信息。然后根据每个邮件源的邮件会话信息，对邮件源进行评分，得到邮件源的分数信息，之后根据各个邮件源的分数信息，确定上述至少一个邮件源中的垃圾邮件源。该方案中，通过获取网络流量中一个邮件源在收发邮件时产生的邮件参数信息，通过产生的邮件参数信息对一个邮件源进行评分，评分得到的分数信息可以反映该邮件源是垃圾邮件源的可能性，通过该分数信息可以确定一个邮件源是否为垃圾邮件源，并且通过参数信息来检测邮件源的方法无需检测邮件内容，因而更加准确高效。