公开(公告)号：CN111159702A

公开(公告)日：2020-05-15

申请号：CN201911292727.0

申请日：2019-12-12

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李忠义 ,  李阳 ,  郝传洲 ,  袁帅

IPC: G06F21/52

Abstract: 本发明公开了一种进程名单生成方法和装置，涉及网络安全技术领域，用以解决人工预设异常进程检测规则的方式效率较低，本发明方法包括：确定待检测的服务器正在运行的进程的进程标识；针对任意一个服务器，确定服务器对应的至少一个进程集合的权重，其中进程集合包含对应的服务器正在运行的至少一个进程的进程标识；针对任意一个进程标识，根据包含进程标识的进程集合对应的权重，确定进程标识对应的正常度，其中正常度用于表示各服务器运行同一进程标识对应的进程的频率信息；根据各进程标识对应的正常度生成用于检测异常进程的进程名单，由于本发明基于无监督零人工干预自动生成用于检测异常进程的进程名单，提高了进程名单的生成效率。

公开(公告)号：CN109284613A

公开(公告)日：2019-01-29

申请号：CN201811156787.5

申请日：2018-09-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 皮靖 ,  袁帅 ,  周旭康 ,  吴令一

IPC: G06F21/57 ,  G06F16/958 ,  H04L29/06 ,  G06K9/34

Abstract: 本发明涉及互联网技术领域，公开了一种标识检测及仿冒站点检测方法、装置、设备及存储介质，所述仿冒站点检测方法包括：获取可疑站点，可疑站点的域名不在白名单中，白名单中包括保护站点的域名；检测可疑站点的站点页面中是否包含敏感内容；获取可疑站点的站点页面的截图，记为第一图像；检测第一图像中是否包含保护站点的特征标识；若第一图像中包含保护站点的特征标识，且可疑站点的站点页面中包含敏感内容，则将可疑站点标记为仿冒站点。本发明实施例提供的技术方案，有效地提高了检测仿冒站点的准确率和检测性能。

公开(公告)号：CN106506557A

公开(公告)日：2017-03-15

申请号：CN201611246755.5

申请日：2016-12-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 袁帅 ,  皮靖 ,  汪可 ,  尹飞

IPC: H04L29/06

Abstract: 本发明实施例公开了一种端口扫描检测方法及装置，所述方法包括：A、统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的信息，确定聚类后的类别数量；C：根据确定的类别数量，及每个特征向量对应的特征点之间的距离，对每个特征向量进行聚类；判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件；如果否，进行B；D：如果是，将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类；确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。用以解决现有技术存在端口扫描检测范围小、检测精度不高和性能不好的问题。

公开(公告)号：CN106055585A

公开(公告)日：2016-10-26

申请号：CN201610342256.X

申请日：2016-05-20

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 袁帅

IPC: G06F17/30 ,  G06F17/24

CPC classification number: G06F16/9038 ,  G06F16/90332 ,  G06F17/248

Abstract: 本发明公开了一种日志解析方法及装置，在本发明实施例所述技术方案中，由于模板元素集合中包括多个模板元素，每个模板元素中包括字段输出名、该字段输出名对应的至少一个字符串信息的各自的正则表达式信息、以及字符串信息的预置输出数据类型；用户可以从模板元素集合中选择至少一个预置模板元素构成解析模板，而对待解析日志的解析是根据解析模板解析的，解析模板是用户可以根据模板元素集合随意配置的，所以本发明实施例提供的日志解析方法，无需为特定数据格式的待解析日志开发并维护日志解析应用程序，故此，能够适用任意数据格式的字符串待解析日志，也能够提高日志解析应用程序的开发效率，并降低维护工作量。

公开(公告)号：CN111107079A

公开(公告)日：2020-05-05

申请号：CN201911295259.2

申请日：2019-12-16

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李阳 ,  袁帅 ,  赵粤征 ,  林辉

IPC: H04L29/06

Abstract: 本申请提供的一种上传文件检测方法及装置，该方法包括：获取用于记录历史文件的上传行为的行为日志；根据预设分类规则对所述行为日志进行分类，得到正常日志集和可疑日志集；对所述可疑日志集进行特征提取，基于提取出的第一特征信息确定用于检测行为日志是否可疑的第一范围；对所述正常日志集进行特征提取，基于提取出的第二特征信息确定用于检测行为日志是否正常的第二范围；当检测到有文件上传时，基于所述第一范围和所述第二范围检测所述上传的文件是否正常。通过该方法可实现对上传文件及时检测，提高了检测文件的准确率，用户可根据不同的业务场景对检测文件的基准进行调整，灵活性较好。

公开(公告)号：CN109284613B

公开(公告)日：2020-09-22

申请号：CN201811156787.5

申请日：2018-09-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 皮靖 ,  袁帅 ,  周旭康 ,  吴令一

IPC: G06F21/57 ,  G06F16/958 ,  H04L29/06 ,  G06K9/34

Abstract: 本发明涉及互联网技术领域，公开了一种标识检测及仿冒站点检测方法、装置、设备及存储介质，所述仿冒站点检测方法包括：获取可疑站点，可疑站点的域名不在白名单中，白名单中包括保护站点的域名；检测可疑站点的站点页面中是否包含敏感内容；获取可疑站点的站点页面的截图，记为第一图像；检测第一图像中是否包含保护站点的特征标识；若第一图像中包含保护站点的特征标识，且可疑站点的站点页面中包含敏感内容，则将可疑站点标记为仿冒站点。本发明实施例提供的技术方案，有效地提高了检测仿冒站点的准确率和检测性能。

公开(公告)号：CN110875928A

公开(公告)日：2020-03-10

申请号：CN201911112809.2

申请日：2019-11-14

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李璇 ,  余丽辉 ,  闻楷 ,  袁帅

IPC: H04L29/06

Abstract: 本发明涉及一种主机行为关联的攻击溯源方法、装置、介质和设备。本发明实施例提供了一种基于主机行为进行攻击溯源的方案。包括：基于定义的主机行为模板，确定与可疑主机行为存在关联的同主机或其他主机中的主机行为，并可以根据确定出的主机行为之间的关联，生成针对可疑主机行为的溯源有向图，实现攻击溯源。由于本发明实施例提供的方案从主机行为的视角出发，溯源覆盖整个攻击的全生命周期的主机行为，根据检测到的异常主机行为，关联与之相关的其他主机行为，形成异常主机行为发生的全景行为视图，定位异常行为发生的上下文，因此可以定位攻击发生的根本原因，解决了基于流量日志的溯源，无法定位攻击发生的根本原因的问题。

公开(公告)号：CN108011939A

公开(公告)日：2018-05-08

申请号：CN201711226643.8

申请日：2017-11-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 袁帅 ,  肖岩军 ,  皮靖 ,  潘登

IPC: H04L29/08

Abstract: 本发明公开了一种还原网络会话的方法及装置，所述方法包括：针对每个第一网络流量统计表，查找该第一网络流量统计表映射的第二网络流量统计表，判断第一网络流量统计表中第一流量统计信息是否大于第二网络流量统计表中第二流量统计信息，如果是，确定第一网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，否则，确定第二网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方；进而还原网络会话。由于在本发明实施例中，根据第一流量统计信息和第二流量统计信息的大小关系，可以确定网络会话发起方和网络会话响应方，进而还原网络会话。因此，本发明实施例中提供的方案能够实现还原网络会话。

公开(公告)号：CN106850830A

公开(公告)日：2017-06-13

申请号：CN201710112916.X

申请日：2017-02-28

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 汪可 ,  袁帅

IPC: H04L29/08

Abstract: 本发明公开了一种业务请求处理方法、装置、系统和相关服务器，所述业务处理方法，包括：获取本次业务的业务请求，所述业务请求中携带有用于指示本次业务的业务类型的分隔符；根据所述业务请求中携带的分隔符，确定所述分隔符对应的逻辑接口，并将所述业务请求通过所述逻辑接口发送给业务处理服务器；接收所述业务处理服务器发送的所述业务的业务处理结果，并将所述业务处理结果反馈给客户端。采用本发明提供的方法，能够根据业务的业务类型，为其调用相应的逻辑接口，体现了对业务请求的定制化处理过程，同时提高了用户体验。

公开(公告)号：CN106843763A

公开(公告)日：2017-06-13

申请号：CN201710044171.8

申请日：2017-01-19

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 汪可 ,  袁帅

IPC: G06F3/06 ,  G06F17/30

CPC classification number: G06F3/0608 ,  G06F3/0614 ,  G06F3/0643 ,  G06F3/0644 ,  G06F3/0646 ,  G06F3/067 ,  G06F16/16 ,  G06F16/172 ,  G06F16/1727 ,  G06F16/182

Abstract: 本发明提供了一种基于HDFS系统的文件合并方法及装置，涉及数据处理领域，通过更新映射关系的方式，而非将合并后文件回写到原集合中，从而省去了回写步骤，精简了合并流程，提高了合并效率；而且，本申请保留有待合并文件和合并后文件，提升了系统的容错性。该方法包括：根据预设的生成待合并文件的时间区间，以及所述时间区间与包括所述待合并文件的待合并集合的映射关系，确定所述待合并集合；合并确定的待合并集合中的待合并文件，并存储至合并后集合中；将所述映射关系更新为所述时间区间与所述合并后集合的映射关系。