公开(公告)号：CN106790041B

公开(公告)日：2020-09-22

申请号：CN201611170830.4

申请日：2016-12-16

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 何坤 ,  周素华 ,  张宏斌 ,  孙叶 ,  范敦球 ,  叶晓虎

IPC: H04L29/06

Abstract: 本发明公开了一种网际协议IP信誉库生成方法及装置，涉及网络安全技术领域，方法包括：周期性获取各IP报文产生的访问日志；确定访问日志对应的IP标识信息；针对同一个IP标识信息，从IP标识信息对应的访问日志中，确定IP标识信息的各信誉元素的参数值；根据各信誉元素的参数值和各信誉元素的参数等级，确定IP标识信息的信誉值。本发明实施例中，将访问日志中的信誉元素参数化且每个信誉元素的参数等级不同，根据各信誉元素的参数值和各信誉元素的参数等级确定IP标识信息的信誉值，考虑了在IP报文访问时产生的访问日志中的参数信息，并考虑了参数信息在计算信誉值时每个参数的等级，所以确定的IP标识的信誉更加准确。

公开(公告)号：CN110704336A

公开(公告)日：2020-01-17

申请号：CN201910919187.8

申请日：2019-09-26

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 杨方方 ,  苗宇 ,  何坤 ,  叶晓虎

IPC: G06F12/0866

Abstract: 本发明提供一种数据缓存方法及装置，用以解决现有技术中存在的数据缓存效率较低的问题。包括：获取用于指示从磁盘中读取一条数据所需的时长的第一读取成本，以及用于指示从预设内存中读取一条数据所需的时长的第二读取成本；获取磁盘上存储的多个磁盘文件中每个磁盘文件的第一空间占用量和访问次数；第一空间占用量用于表征磁盘文件中热点数据所占用的存储空间大小；根据第一读取成本、第二读取成本、每个磁盘文件的第一空间占用量和访问次数，确定每个磁盘文件的访问代价；根据每个磁盘文件的第一空间占用量和访问代价，在多个磁盘文件中确定出待缓存磁盘文件，并将待缓存磁盘文件中的热点数据缓存至预设内存。

公开(公告)号：CN104202329B

公开(公告)日：2018-01-26

申请号：CN201410465475.8

申请日：2014-09-12

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈寒冰 ,  郑彬 ,  何坤

IPC: H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/1425

Abstract: 本发明提供一种DDoS攻击检测方法和装置，通过采样获得在第一周期内的目标时刻的网络流量之后，查询预先获得的流量周期变化曲线，确定与目标时刻对应的预测流量，若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击，由于流量周期变化曲线用于指示预测流量的周期性变化规律，因此，在每一个目标时刻进行DDoS攻击检测前，仅需要根据流量周期变化曲线，确定与该目标时刻对应的预测流量，而不需要在每一次DDoS攻击检测前根据大量历史流量数据计算预测流量，减小了计算量。

公开(公告)号：CN107395632B

公开(公告)日：2020-09-22

申请号：CN201710741489.1

申请日：2017-08-25

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 赵跃明 ,  叶晓虎 ,  何坤

IPC: H04L29/06 ,  H04L1/16

Abstract: 本发明公开了一种SYN Flood攻击的防护方法、装置、清洗设备及存储介质，所述方法包括：接收终端发送的SYN报文，判断信任列表或限制列表中是否记录有终端的信息；如果否，丢弃SYN报文，向终端发送ACK探测报文；判断是否接收到RST报文，如果是，在信任列表中添加终端的信息，如果否，在限制列表中添加终端的信息。由于在本发明实施例中，清洗设备中保存有信任列表和限制列表，如果终端未记录在上述任一列表中，向所述终端发送ACK探测报文，ACK探测报文不会破坏所述终端与服务器的TCP协议连接，根据终端是否发送RST报文，确定将终端添加到哪个列表。SYN报文被丢弃，无需占用资源，提高了清洗设备的处理效率。

公开(公告)号：CN106254394B

公开(公告)日：2019-07-02

申请号：CN201610867805.5

申请日：2016-09-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘文辉 ,  樊宇 ,  张磊 ,  何坤

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种攻击流量的记录方法和装置，用以解决现有技术中存在的DDoS攻击记录冗余，以及长时间开启手工抓包导致防护工具防护性能下降的问题，所述攻击流量的记录方法，包括：接收流量检测引擎发送的开始记录流量的第一请求，所述第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间；根据所述数据包序列每一数据包的大小，确定所述数据包序列对应的流量值；根据所述流量值及所述第一时间确定流量记录频率；按照确定出的所述流量记录频率对服务器访问流量进行记录并存储。

公开(公告)号：CN106357685A

公开(公告)日：2017-01-25

申请号：CN201610967129.9

申请日：2016-10-28

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 周士钦 ,  叶晓虎 ,  何坤 ,  张磊 ,  陈俊

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1458 ,  H04L67/10

Abstract: 本申请涉及网络安全技术领域，尤其涉及一种防御DDOS攻击的方法及装置，用以解决现有技术中流量清洗装置在遇到DDOS攻击时，无法对受保护端进行实时有效地防护的问题；本申请实施例提供的方法包括：云端安全服务中心在检测到受保护端的状态满足预设的故障条件时，根据受保护端对应的流量清洗装置上报的流量统计数据，判断流量清洗装置是否正在接受DDOS攻击；在确定流量清洗装置正在接受DDOS攻击后，向流量清洗装置发送抓取报文的指令；接收流量清洗装置发送的报文，通过分析接收的报文的攻击特征，为流量清洗装置生成更新的防护策略；将生成的更新的防护策略发送给流量清洗装置，以便流量清洗装置对DDOS攻击进行防御。

公开(公告)号：CN106254394A

公开(公告)日：2016-12-21

申请号：CN201610867805.5

申请日：2016-09-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘文辉 ,  樊宇 ,  张磊 ,  何坤

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种攻击流量的记录方法和装置，用以解决现有技术中存在的DDoS攻击记录冗余，以及长时间开启手工抓包导致防护工具防护性能下降的问题，所述攻击流量的记录方法，包括：接收流量检测引擎发送的开始记录流量的第一请求，所述第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间；根据所述数据包序列每一数据包的大小，确定所述数据包序列对应的流量值；根据所述流量值及所述第一时间确定流量记录频率；按照确定出的所述流量记录频率对服务器访问流量进行记录并存储。

公开(公告)号：CN108600145B

公开(公告)日：2020-12-25

申请号：CN201711421274.8

申请日：2017-12-25

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张磊 ,  叶晓虎 ,  何坤

IPC: H04L29/06

Abstract: 本发明实施例提供一种确定DDoS攻击设备的方法及装置，用于解决现有技术中确定DDoS攻击设备的方法存在无法识别具备完整协议栈行为的DDoS攻击设备、且用户体验差的技术问题。所述方法包括：在接收到N个客户端发送的HTTP请求时，获取所述N个客户端中每个客户端的特征值，所述特征值表征客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征；将特征值相同各个客户端划分在同一个类别中，统计各个类别的客户端在预定时间范围内的流量；在确定任一类别的客户端在预定时间范围内的流量超过第一阈值时，将所述任一类别的客户端确定为DDoS攻击设备。

公开(公告)号：CN105491060B

公开(公告)日：2019-07-02

申请号：CN201511021292.8

申请日：2015-12-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈涛 ,  何坤

IPC: H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/0245 ,  H04L63/0263 ,  H04L63/0435 ,  H04L63/1416 ,  H04L69/22 ,  H04L2463/121

Abstract: 本发明提供防御分布式拒绝服务攻击的方法、装置、客户端及设备，其中一种方法包括：截取客户端向服务器发送的业务报文；根据与所述客户端约定的规则，获取所述业务报文的第一预设字段携带的信息、所述业务报文的固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息；按照与客户端约定的哈希算法，对所述固有信息以及至少一个添加信息进行哈希处理，得到哈希结果；确定所述哈希结果与所述第一预设字段携带的信息不同时，丢弃所述业务报文。本发明由于预先与客户端约定了规则和哈希算法，不需要统计各种业务报文中的特征，实现复杂度相对较低，误丢弃非攻击报文的概率较小。

公开(公告)号：CN109617893A

公开(公告)日：2019-04-12

申请号：CN201811609156.4

申请日：2018-12-27

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张磊 ,  何坤

IPC: H04L29/06

Abstract: 本发明公开了一种僵尸网络DDoS攻击的防护方法、装置及存储介质，在本发明实施例中，服务器基于全网的僵尸网络DDoS攻击报文的第二特征，与第一特征组中每个第一特征进行匹配，从而确定出进行攻击的地址信息，使得确定出的地址信息准确率高。另外，在防护过程中不需要进行反向探测，因此节省了僵尸网络DDoS攻击的防护时间，提高了防护效率。服务器针对预设数量的终端发送的报文的第一特征组确定出匹配成功的僵尸网络特征库，然后将僵尸网络特征库中所有的地址信息发送至防护设备。防护设备对于没有进行特征提取的终端，也不再需要浪费资源进行特征提取，以及判断终端是否为发起攻击终端，因此节省了大量的防护资源。