公开(公告)号：CN111160749A

公开(公告)日：2020-05-15

申请号：CN201911340849.2

申请日：2019-12-23

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 孙建鹏 ,  张宏斌 ,  叶建伟 ,  周素华 ,  张宇娜 ,  范敦球

IPC: G06Q10/06

Abstract: 本发明公开了一种情报质量评估和情报融合方法及装置，用以解决现有的威胁情报数据融合方法在情报融合过程中无法保证威胁情报数据的质量和融合后的情报的质量的问题。所述情报质量评估方法，包括：接收情报源输出的情报，其中，所述情报源为威胁情报数据源，所述情报为威胁情报数据；针对每一情报源，确定所述情报源的可信度评分以及所述情报源中的各情报的可信度评分；根据所述情报源的可信度评分和所述各情报的可信度评分评估所述各情报的质量。

公开(公告)号：CN106960040A

公开(公告)日：2017-07-18

申请号：CN201710190117.4

申请日：2017-03-27

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 翟东旭 ,  周素华 ,  范敦球 ,  叶晓虎

IPC: G06F17/30

Abstract: 本发明实施例公开了一种URL的类别确定方法及装置，用以解决现有技术中URL分类不准确的问题。所述方法包括：在待分类的URL对应的网页内容中，获取预设的每个特征对应的每个特征字段；针对每个特征字段，将该特征字段划分为至少一个第一词组，根据预先保存的每个词组在每个特征中的目标分类概率和非目标分类概率，确定该特征字段的第一特征值；根据确定的所述待分类的URL对应的每个第一特征值，及预先训练完成的URL分类模型，确定所述待分类的URL对应的类别。由于在本发明实施例中，待分类的URL对应的网页内容中每个特征字段的第一特征值，确定待分类的URL的类别，在一定程度上提高确定待分类的URL的类别的准确性。

公开(公告)号：CN106549980B

公开(公告)日：2020-04-07

申请号：CN201611264192.2

申请日：2016-12-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 周素华 ,  张宏斌 ,  范敦球 ,  叶晓虎 ,  史龙安

IPC: H04L29/06

Abstract: 本发明公开了一种恶意C&C服务器确定方法及装置，所述方法包括：模拟运行接收到的C&C文件，获取所述C&C文件关联的IP地址或URL；如果获取到IP地址，根据获取到的所述C&C文件是否存在预设的每项操作，及存在每项操作时对应的权重系数，确定所述C&C文件的评价分值，根据评价分值，确定所述IP地址对应的C&C服务器是否为恶意C&C服务器；如果获取到URL，获取所述URL对应的特征向量中的每个特征参数，根据预先训练完成检测模型及特征向量，确定所述URL对应的C&C服务器是否为恶意C&C服务器。用以解决现有技术中面对大量的C&C文件的数据无法有效处理，确定的恶意C&C服务器的准确性无法保证的问题。

公开(公告)号：CN106790041B

公开(公告)日：2020-09-22

申请号：CN201611170830.4

申请日：2016-12-16

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 何坤 ,  周素华 ,  张宏斌 ,  孙叶 ,  范敦球 ,  叶晓虎

IPC: H04L29/06

Abstract: 本发明公开了一种网际协议IP信誉库生成方法及装置，涉及网络安全技术领域，方法包括：周期性获取各IP报文产生的访问日志；确定访问日志对应的IP标识信息；针对同一个IP标识信息，从IP标识信息对应的访问日志中，确定IP标识信息的各信誉元素的参数值；根据各信誉元素的参数值和各信誉元素的参数等级，确定IP标识信息的信誉值。本发明实施例中，将访问日志中的信誉元素参数化且每个信誉元素的参数等级不同，根据各信誉元素的参数值和各信誉元素的参数等级确定IP标识信息的信誉值，考虑了在IP报文访问时产生的访问日志中的参数信息，并考虑了参数信息在计算信誉值时每个参数的等级，所以确定的IP标识的信誉更加准确。

公开(公告)号：CN106803039B

公开(公告)日：2019-09-17

申请号：CN201611265991.1

申请日：2016-12-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 翟东旭 ,  周素华 ,  周振 ,  范敦球 ,  叶晓虎

IPC: G06F21/56

Abstract: 本发明公开了一种恶意文件的同源判定方法及装置，用以解决现有技术中存在的同源判定结果准确度较低的问题。该方法为：基于每一个恶意文件在第一类指定维度下的特征性行为数据信息，获取每一个恶意文件所属的类别，基于每一个类别下的各个恶意文件在第二类指定维度下的特征性行为数据信息，分别判断相应类别下的各个恶意文件之间是否是同源恶意文件。这样，通过对多个维度下的特征性行为数据信息进行融合分析，能够准确地判定出同源恶意文件，有效地提高了同源判定结果的准确度。而且，在确定各个恶意文件所属的类别之后，针对归属于同一类别的各个恶意文件进行同源判定，降低了同源判定的计算量，进一步地提高了同源判定结果的准确性。

公开(公告)号：CN106803039A

公开(公告)日：2017-06-06

申请号：CN201611265991.1

申请日：2016-12-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 翟东旭 ,  周素华 ,  周振 ,  范敦球 ,  叶晓虎

IPC: G06F21/56

Abstract: 本发明公开了一种恶意文件的同源判定方法及装置，用以解决现有技术中存在的同源判定结果准确度较低的问题。该方法为：基于每一个恶意文件在第一类指定维度下的特征性行为数据信息，获取每一个恶意文件所属的类别，基于每一个类别下的各个恶意文件在第二类指定维度下的特征性行为数据信息，分别判断相应类别下的各个恶意文件之间是否是同源恶意文件。这样，通过对多个维度下的特征性行为数据信息进行融合分析，能够准确地判定出同源恶意文件，有效地提高了同源判定结果的准确度。而且，在确定各个恶意文件所属的类别之后，针对归属于同一类别的各个恶意文件进行同源判定，降低了同源判定的计算量，进一步地提高了同源判定结果的准确性。

公开(公告)号：CN106021373A

公开(公告)日：2016-10-12

申请号：CN201610309804.9

申请日：2016-05-11

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 范敦球 ,  周素华 ,  黄帅 ,  欧帅

IPC: G06F17/30

CPC classification number: G06F16/16 ,  G06F16/113

Abstract: 本发明公开了一种文件更新方法及装置，包括：在确定出需要对文件进行更新时，将预先设定的文件更新层的第一更新文件目录重新命名为第二更新文件目录；备份所述第二更新文件目录并将备份的所述第二更新文件目录重新命名为第一更新文件目录；获得更新的文件内容；将所述文件内容安装到重新命名后的所述第一更新目录中；以及在设定时间到达时更新所述文件内容至预先设定的文件更新层，用于在不影响工控系统的运行的前提下，提高文件更新的灵活性。

公开(公告)号：CN111104579A

公开(公告)日：2020-05-05

申请号：CN201911402107.8

申请日：2019-12-31

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 周素华 ,  杨乐 ,  战辉 ,  孙建鹏 ,  范敦球 ,  叶晓虎

IPC: G06F16/951 ,  G06F16/955 ,  G06Q10/06 ,  H04L29/12

Abstract: 本发明公开了一种公网资产的识别方法、装置及存储介质，用以解决现有技术中存在的公网资产的识别效率较低的技术问题，该方法包括：基于预设关键字，从资产库中识别出疑似企业资产；其中，资产库中存储有从公网中获取的网络资产，预设关键字为与企业信息相关的关键字，疑似企业资产为网络上可能属于企业的网络资产；利用网络爬虫，对疑似企业资产进行深层信息爬取，获得疑似企业资产对应的第一网络指纹信息；其中，第一网络指纹信息为能表征疑似企业资产对应的网页的基本特征的信息；判断第一网络指纹信息中是否存在预设关键字，从存在预设关键字的第一网络指纹信息中提取域名资产和网址资产，将域名资产和网址资产确定为企业资产。

公开(公告)号：CN105491062B

公开(公告)日：2019-07-02

申请号：CN201511024718.5

申请日：2015-12-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 孙建鹏 ,  杨传安 ,  周素华

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明提供一种客户端软件保护方法、装置及客户端，该方法包括：服务器接收客户端发送的业务请求消息，所述业务请求消息中携带所述客户端对应的许可证书，所述业务请求消息为激活请求消息、认证请求消息或授权请求消息，所述许可证书用于验证所述客户端的合法性；服务器判断是否在保存的许可证书数据库中匹配到所述客户端对应的许可证书；如果是，确定所述客户端合法并执行所述业务请求消息对应的操作；否则，确定所述客户端不合法并向所述客户端返回告警消息。本发明在服务器侧实现了对客户端软件的保护，从而提高了客户端软件的安全性，并加大了对客户端软件的保护力度。

公开(公告)号：CN106790041A

公开(公告)日：2017-05-31

申请号：CN201611170830.4

申请日：2016-12-16

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 何坤 ,  周素华 ,  张宏斌 ,  孙叶 ,  范敦球 ,  叶晓虎

IPC: H04L29/06

CPC classification number: H04L63/1425 ,  H04L63/101

Abstract: 本发明公开了一种网际协议IP信誉库生成方法及装置，涉及网络安全技术领域，方法包括：周期性获取各IP报文产生的访问日志；确定访问日志对应的IP标识信息；针对同一个IP标识信息，从IP标识信息对应的访问日志中，确定IP标识信息的各信誉元素的参数值；根据各信誉元素的参数值和各信誉元素的参数等级，确定IP标识信息的信誉值。本发明实施例中，将访问日志中的信誉元素参数化且每个信誉元素的参数等级不同，根据各信誉元素的参数值和各信誉元素的参数等级确定IP标识信息的信誉值，考虑了在IP报文访问时产生的访问日志中的参数信息，并考虑了参数信息在计算信誉值时每个参数的等级，所以确定的IP标识的信誉更加准确。