公开(公告)号：CN106960040B

公开(公告)日：2019-09-17

申请号：CN201710190117.4

申请日：2017-03-27

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 翟东旭 ,  周素华 ,  范敦球 ,  叶晓虎

IPC: G06F16/955 ,  G06F16/35

Abstract: 本发明实施例公开了一种URL的类别确定方法及装置，用以解决现有技术中URL分类不准确的问题。所述方法包括：在待分类的URL对应的网页内容中，获取预设的每个特征对应的每个特征字段；针对每个特征字段，将该特征字段划分为至少一个第一词组，根据预先保存的每个词组在每个特征中的目标分类概率和非目标分类概率，确定该特征字段的第一特征值；根据确定的所述待分类的URL对应的每个第一特征值，及预先训练完成的URL分类模型，确定所述待分类的URL对应的类别。由于在本发明实施例中，待分类的URL对应的网页内容中每个特征字段的第一特征值，确定待分类的URL的类别，在一定程度上提高确定待分类的URL的类别的准确性。

公开(公告)号：CN108234486A

公开(公告)日：2018-06-29

申请号：CN201711489011.0

申请日：2017-12-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 周素华 ,  黄帅 ,  张宏斌 ,  范敦球 ,  曹建仓

IPC: H04L29/06

Abstract: 本发明公开了一种网络监测方法及监测服务器，其中，网络监测方法包括：监测服务器获取被监测服务器的消息数据；监测服务器获取消息数据中交互方的网络标识；监测服务器根据网络标识查询本地的第一黑名单；第一黑名单是监测服务器从云端服务器的第二黑名单获得的；云端服务器的第二黑名单包括多个关联攻击行为的网络标识；在第一黑名单存在网络标识时，确定消息数据为威胁性消息数据。监测服务器的第一黑名单是从云端服务器的第二黑名单中获得的，由于第二黑名单中的网络标识是关联攻击行为的网络标识，因此即使该网络标识对应的交互方没有发起攻击监测服务器也可以发现交互方对被监测服务器的威胁，从而实现了对攻击行为的主动防御。

公开(公告)号：CN106790041B

公开(公告)日：2020-09-22

申请号：CN201611170830.4

申请日：2016-12-16

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 何坤 ,  周素华 ,  张宏斌 ,  孙叶 ,  范敦球 ,  叶晓虎

IPC: H04L29/06

Abstract: 本发明公开了一种网际协议IP信誉库生成方法及装置，涉及网络安全技术领域，方法包括：周期性获取各IP报文产生的访问日志；确定访问日志对应的IP标识信息；针对同一个IP标识信息，从IP标识信息对应的访问日志中，确定IP标识信息的各信誉元素的参数值；根据各信誉元素的参数值和各信誉元素的参数等级，确定IP标识信息的信誉值。本发明实施例中，将访问日志中的信誉元素参数化且每个信誉元素的参数等级不同，根据各信誉元素的参数值和各信誉元素的参数等级确定IP标识信息的信誉值，考虑了在IP报文访问时产生的访问日志中的参数信息，并考虑了参数信息在计算信誉值时每个参数的等级，所以确定的IP标识的信誉更加准确。

公开(公告)号：CN106803039B

公开(公告)日：2019-09-17

申请号：CN201611265991.1

申请日：2016-12-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 翟东旭 ,  周素华 ,  周振 ,  范敦球 ,  叶晓虎

IPC: G06F21/56

Abstract: 本发明公开了一种恶意文件的同源判定方法及装置，用以解决现有技术中存在的同源判定结果准确度较低的问题。该方法为：基于每一个恶意文件在第一类指定维度下的特征性行为数据信息，获取每一个恶意文件所属的类别，基于每一个类别下的各个恶意文件在第二类指定维度下的特征性行为数据信息，分别判断相应类别下的各个恶意文件之间是否是同源恶意文件。这样，通过对多个维度下的特征性行为数据信息进行融合分析，能够准确地判定出同源恶意文件，有效地提高了同源判定结果的准确度。而且，在确定各个恶意文件所属的类别之后，针对归属于同一类别的各个恶意文件进行同源判定，降低了同源判定的计算量，进一步地提高了同源判定结果的准确性。

公开(公告)号：CN107609179A

公开(公告)日：2018-01-19

申请号：CN201710910062.X

申请日：2017-09-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 顾杜娟 ,  叶晓虎 ,  范敦球

IPC: G06F17/30 ,  G06F21/57

Abstract: 本发明实施例提供一种数据处理方法及设备，用于解决现有技术中各漏洞数据库中漏洞记录无法融合共享的技术问题。该方法包括：获取来自至少两个漏洞数据库的至少两个漏洞记录；其中，漏洞记录用于描述不同机构所对应系统的漏洞的数据内容；对至少两个漏洞记录中每个漏洞记录的属性特征进行义素分析；其中，在不同属性特征的漏洞记录对应于不同的分级类型，分级类型与漏洞记录所表征的数据内容的类型相关；将至少两个漏洞记录中属性特征之间存在的共同义素的漏洞记录与第一分级类型进行关联，并生成包含至少一个第一分级类型的标准漏洞数据库；其中，第一分级类型下的漏洞记录具有至少一个相同的属性特征。

公开(公告)号：CN106803039A

公开(公告)日：2017-06-06

申请号：CN201611265991.1

申请日：2016-12-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 翟东旭 ,  周素华 ,  周振 ,  范敦球 ,  叶晓虎

IPC: G06F21/56

Abstract: 本发明公开了一种恶意文件的同源判定方法及装置，用以解决现有技术中存在的同源判定结果准确度较低的问题。该方法为：基于每一个恶意文件在第一类指定维度下的特征性行为数据信息，获取每一个恶意文件所属的类别，基于每一个类别下的各个恶意文件在第二类指定维度下的特征性行为数据信息，分别判断相应类别下的各个恶意文件之间是否是同源恶意文件。这样，通过对多个维度下的特征性行为数据信息进行融合分析，能够准确地判定出同源恶意文件，有效地提高了同源判定结果的准确度。而且，在确定各个恶意文件所属的类别之后，针对归属于同一类别的各个恶意文件进行同源判定，降低了同源判定的计算量，进一步地提高了同源判定结果的准确性。

公开(公告)号：CN106021373A

公开(公告)日：2016-10-12

申请号：CN201610309804.9

申请日：2016-05-11

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 范敦球 ,  周素华 ,  黄帅 ,  欧帅

IPC: G06F17/30

CPC classification number: G06F16/16 ,  G06F16/113

Abstract: 本发明公开了一种文件更新方法及装置，包括：在确定出需要对文件进行更新时，将预先设定的文件更新层的第一更新文件目录重新命名为第二更新文件目录；备份所述第二更新文件目录并将备份的所述第二更新文件目录重新命名为第一更新文件目录；获得更新的文件内容；将所述文件内容安装到重新命名后的所述第一更新目录中；以及在设定时间到达时更新所述文件内容至预先设定的文件更新层，用于在不影响工控系统的运行的前提下，提高文件更新的灵活性。

公开(公告)号：CN111104579A

公开(公告)日：2020-05-05

申请号：CN201911402107.8

申请日：2019-12-31

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 周素华 ,  杨乐 ,  战辉 ,  孙建鹏 ,  范敦球 ,  叶晓虎

IPC: G06F16/951 ,  G06F16/955 ,  G06Q10/06 ,  H04L29/12

Abstract: 本发明公开了一种公网资产的识别方法、装置及存储介质，用以解决现有技术中存在的公网资产的识别效率较低的技术问题，该方法包括：基于预设关键字，从资产库中识别出疑似企业资产；其中，资产库中存储有从公网中获取的网络资产，预设关键字为与企业信息相关的关键字，疑似企业资产为网络上可能属于企业的网络资产；利用网络爬虫，对疑似企业资产进行深层信息爬取，获得疑似企业资产对应的第一网络指纹信息；其中，第一网络指纹信息为能表征疑似企业资产对应的网页的基本特征的信息；判断第一网络指纹信息中是否存在预设关键字，从存在预设关键字的第一网络指纹信息中提取域名资产和网址资产，将域名资产和网址资产确定为企业资产。

公开(公告)号：CN106790041A

公开(公告)日：2017-05-31

申请号：CN201611170830.4

申请日：2016-12-16

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 何坤 ,  周素华 ,  张宏斌 ,  孙叶 ,  范敦球 ,  叶晓虎

IPC: H04L29/06

CPC classification number: H04L63/1425 ,  H04L63/101

Abstract: 本发明公开了一种网际协议IP信誉库生成方法及装置，涉及网络安全技术领域，方法包括：周期性获取各IP报文产生的访问日志；确定访问日志对应的IP标识信息；针对同一个IP标识信息，从IP标识信息对应的访问日志中，确定IP标识信息的各信誉元素的参数值；根据各信誉元素的参数值和各信誉元素的参数等级，确定IP标识信息的信誉值。本发明实施例中，将访问日志中的信誉元素参数化且每个信誉元素的参数等级不同，根据各信誉元素的参数值和各信誉元素的参数等级确定IP标识信息的信誉值，考虑了在IP报文访问时产生的访问日志中的参数信息，并考虑了参数信息在计算信誉值时每个参数的等级，所以确定的IP标识的信誉更加准确。

公开(公告)号：CN106549980B

公开(公告)日：2020-04-07

申请号：CN201611264192.2

申请日：2016-12-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 周素华 ,  张宏斌 ,  范敦球 ,  叶晓虎 ,  史龙安

IPC: H04L29/06

Abstract: 本发明公开了一种恶意C&C服务器确定方法及装置，所述方法包括：模拟运行接收到的C&C文件，获取所述C&C文件关联的IP地址或URL；如果获取到IP地址，根据获取到的所述C&C文件是否存在预设的每项操作，及存在每项操作时对应的权重系数，确定所述C&C文件的评价分值，根据评价分值，确定所述IP地址对应的C&C服务器是否为恶意C&C服务器；如果获取到URL，获取所述URL对应的特征向量中的每个特征参数，根据预先训练完成检测模型及特征向量，确定所述URL对应的C&C服务器是否为恶意C&C服务器。用以解决现有技术中面对大量的C&C文件的数据无法有效处理，确定的恶意C&C服务器的准确性无法保证的问题。