公开(公告)号：CN110414236A

公开(公告)日：2019-11-05

申请号：CN201910683011.7

申请日：2019-07-26

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  刘文懋 ,  刘威歆 ,  张润滋 ,  薛见新

IPC: G06F21/56

Abstract: 本申请公开一种恶意进程的检测方法及装置，属于网络安全技术领域。该方法包括：获取目标设备的运行日志，对运行日志中的每个待检测进程，根据模糊匹配规则从白名单库中查找与该待检测进程相似的非恶意进程，将该待检测进程的进程名和每个非恶意进程的进程名输入到恶意进程检测模型中，以检测该待检测进程是否是对该非恶意进程进行伪装的恶意进程，然后输出各待检测进程的检测结果。由于恶意进程检测模型是对每个样本对中待检测进程样本和非恶意进程样本的进程名之间的差异进行学习得到的，所以利用恶意进程检测模型可检测出与非恶意进程样本的进程名之间差异较小的一些未知恶意进程，检测未知恶意进程的能力更强。

公开(公告)号：CN107370756A

公开(公告)日：2017-11-21

申请号：CN201710741136.1

申请日：2017-08-25

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 江国龙 ,  刘文懋 ,  梁琼瑶

IPC: H04L29/06

Abstract: 本发明涉及网络安全领域，尤其涉及一种蜜网防护方法及系统，该方法为，对进入业务系统的数据流量进行异常检测；在检测到异常数据流量后，根据异常数据流量访问的目的地址对应的业务系统，创建虚拟蜜网系统；根据业务系统的网络配置，对虚拟蜜网系统进行网络配置，并将异常数据流量调度到虚拟蜜网系统中，这样，创建和业务系统的业务服务一致的虚拟蜜网系统，并对虚拟蜜网系统进行网络配置，保证了虚拟蜜网系统与业务系统在业务逻辑和网络配置上的一致性，提高了虚拟蜜网系统的隐蔽性，使得攻击引诱和分析取证更加隐蔽，不容易被攻击者发现，并且，部署也比较简单，能够在不增加业务网络开销的前提下，快速的部署到SDN网络中实现安全防护。

公开(公告)号：CN110414236B

公开(公告)日：2021-04-16

申请号：CN201910683011.7

申请日：2019-07-26

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈磊 ,  刘文懋 ,  刘威歆 ,  张润滋 ,  薛见新

IPC: G06F21/56

Abstract: 本申请公开一种恶意进程的检测方法及装置，属于网络安全技术领域。该方法包括：获取目标设备的运行日志，对运行日志中的每个待检测进程，根据模糊匹配规则从白名单库中查找与该待检测进程相似的非恶意进程，将该待检测进程的进程名和每个非恶意进程的进程名输入到恶意进程检测模型中，以检测该待检测进程是否是对该非恶意进程进行伪装的恶意进程，然后输出各待检测进程的检测结果。由于恶意进程检测模型是对每个样本对中待检测进程样本和非恶意进程样本的进程名之间的差异进行学习得到的，所以利用恶意进程检测模型可检测出与非恶意进程样本的进程名之间差异较小的一些未知恶意进程，检测未知恶意进程的能力更强。

公开(公告)号：CN109347880A

公开(公告)日：2019-02-15

申请号：CN201811459368.9

申请日：2018-11-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 桑鸿庆 ,  刘文懋 ,  张星 ,  张克雷

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种安全防护方法、装置及系统，所述方法包括：安全服务器接收安全网关发送的物联网设备的实时流量信息，根据当前检测周期内所述物联网设备每个时刻的流量信息，确定所述物联网设备当前检测周期对应预设流量特征的目标特征值；判断所述目标特征值与当前检测周期对应所述预设流量特征的预测特征值的差值是否小于偏差阈值，其中所述预测特征值是根据所述当前检测周期之前设定数量的历史检测周期对应所述预设流量特征的每个历史特征值及预设的预测算法确定的；如果否，向所述安全网关发送阻断所述物联网设备流量传输的阻断指令，使所述安全网关阻断所述物联网设备的流量传输。提供了一种安全防护方案，用以保护物联网设备的安全。

公开(公告)号：CN111147300A

公开(公告)日：2020-05-12

申请号：CN201911369205.6

申请日：2019-12-26

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  刘威歆 ,  张胜军 ,  陈磊

IPC: H04L12/24 ,  H04L29/06 ,  G06F16/18 ,  G06F16/36

Abstract: 本发明公开了一种网络安全告警置信度评估方法及装置，用以解决现有的网络安全告警置信度评估准确性低的问题。所述方法，包括：将每一预设时间周期内接收的日志生成对应的三元组；确定当前时间周期内同一类型日志对应的各三元组的频率因子以及所述同一类型日志对应的所有三元组中的各实体的频率因子；根据待评估告警日志对应的三元组和与所述三元组中的实体相关联的待评估时间周期的前N个时间周期内的各类型的日志对应的三元组构建告警关联图谱；根据构成所述告警关联图谱的各数据边的三元组的频率因子和构成告警关联图谱的各数据点的实体的频率因子，确定待评估告警日志在待评估时间周期内的告警置信度。

公开(公告)号：CN110535702A

公开(公告)日：2019-12-03

申请号：CN201910817936.6

申请日：2019-08-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张润滋 ,  刘文懋 ,  刘威歆 ,  张胜军 ,  陈磊

IPC: H04L12/24

Abstract: 本申请公开了一种告警信息处理方法及装置，所述方法包括：提取待评级告警信息的告警类型、源IP地址和目的IP地址；在预设时间段内，获取反映所述告警类型出现频率的告警类型评级数值、反映所述告警信息的威胁源是否首次出现的威胁源评级数值及反映IP地址信息关联威胁程度的IP地址信息评级数值；基于所述告警类型评级数值、所述威胁源评级数值及所述IP地址信息评级数值进行加权求和确定表示所述告警信息威胁程度的告警信息威胁等级，并基于所述告警信息威胁等级对所述告警信息进行排序。应用本申请提供的方案可以，提高威胁事件响应速度。

公开(公告)号：CN109710270A

公开(公告)日：2019-05-03

申请号：CN201811643243.1

申请日：2018-12-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李欣 ,  江国龙 ,  刘文懋 ,  浦明

IPC: G06F8/60 ,  G06F21/10

Abstract: 本发明涉及互联网技术领域，公开了一种安全应用交付方法、装置以及存储介质，用于在发生安全状况时提升安全服务的响应能力以及提高安全服务的可靠性，所述方法包括：接收第一用户购买至少一个安全应用的请求；确定用于部署所述第一用户购买的至少一个安全应用的目标数据中心；并将所述至少一个安全应用以及与所述至少一个安全应用对应的至少一个配置文件发送给所述目标数据中心，所述至少一个配置文件用于指导所述目标数据中心部署所述至少一个安全应用。

公开(公告)号：CN109617977A

公开(公告)日：2019-04-12

申请号：CN201811583302.0

申请日：2018-12-24

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张星 ,  刘文懋 ,  诸葛鸣晨

IPC: H04L29/08

Abstract: 本发明提供一种网页请求处理方法及装置，涉及计算机技术领域，方法包括：WEB服务器确定网页访问请求的访问目标符合区块链存储规则，则向代理服务器发送所述网页访问请求对应的操作请求；所述代理服务器用于访问区块链系统以获取所述访问目标；所述WEB服务器接收所述代理服务器返回的网页访问结果。与现有技术相比，通过代理服务器从区块链系统读取访问目标的网页文件，利用区块链不可篡改的特性，保证了网页文件的安全性，同时利用代理服务器来获取访问目标，可以减少多个WEB服务器与代理服务器之间的耦合，在代理服务器一个设备上进行代码的修改，就可以实现多个WEB服务器网页请求处理的方法流程。

公开(公告)号：CN106790147A

公开(公告)日：2017-05-31

申请号：CN201611238392.0

申请日：2016-12-28

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 张星 ,  刘文懋

IPC: H04L29/06

CPC classification number: H04L63/10 ,  H04L63/08 ,  H04L63/20

Abstract: 本发明实施例涉及网络安全技术领域，尤其涉及一种访问控制方法及其装置，包括：控制器接收交换机发送的访问查询指令；控制器在确定未查询到访问终端的访问控制策略时，触发用户认证过程；控制器在用户认证通过后，获取用户的访问控制策略并作为访问终端的访问控制策略；控制器将访问终端对应的访问控制策略发送给交换机，以使交换机对访问终端的访问请求进行控制。可以看出，在未查询到访问终端的访问控制策略时，需要对用户进行认证，而在对用户认证通过之后，又根据用户对应的访问控制策略对用户的访问请求进行控制，因此，能够实现在全局范围内统一访问控制，保证访问控制策略的一致性，从而能够在BYOD场景中提升企业的网络安全。

公开(公告)号：CN107370756B

公开(公告)日：2020-04-07

申请号：CN201710741136.1

申请日：2017-08-25

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 江国龙 ,  刘文懋 ,  梁琼瑶

IPC: H04L29/06

Abstract: 本发明涉及网络安全领域，尤其涉及一种蜜网防护方法及系统，该方法为，对进入业务系统的数据流量进行异常检测；在检测到异常数据流量后，根据异常数据流量访问的目的地址对应的业务系统，创建虚拟蜜网系统；根据业务系统的网络配置，对虚拟蜜网系统进行网络配置，并将异常数据流量调度到虚拟蜜网系统中，这样，创建和业务系统的业务服务一致的虚拟蜜网系统，并对虚拟蜜网系统进行网络配置，保证了虚拟蜜网系统与业务系统在业务逻辑和网络配置上的一致性，提高了虚拟蜜网系统的隐蔽性，使得攻击引诱和分析取证更加隐蔽，不容易被攻击者发现，并且，部署也比较简单，能够在不增加业务网络开销的前提下，快速的部署到SDN网络中实现安全防护。