公开(公告)号：CN106790041B

公开(公告)日：2020-09-22

申请号：CN201611170830.4

申请日：2016-12-16

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 何坤 ,  周素华 ,  张宏斌 ,  孙叶 ,  范敦球 ,  叶晓虎

IPC: H04L29/06

Abstract: 本发明公开了一种网际协议IP信誉库生成方法及装置，涉及网络安全技术领域，方法包括：周期性获取各IP报文产生的访问日志；确定访问日志对应的IP标识信息；针对同一个IP标识信息，从IP标识信息对应的访问日志中，确定IP标识信息的各信誉元素的参数值；根据各信誉元素的参数值和各信誉元素的参数等级，确定IP标识信息的信誉值。本发明实施例中，将访问日志中的信誉元素参数化且每个信誉元素的参数等级不同，根据各信誉元素的参数值和各信誉元素的参数等级确定IP标识信息的信誉值，考虑了在IP报文访问时产生的访问日志中的参数信息，并考虑了参数信息在计算信誉值时每个参数的等级，所以确定的IP标识的信誉更加准确。

公开(公告)号：CN111160749A

公开(公告)日：2020-05-15

申请号：CN201911340849.2

申请日：2019-12-23

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 孙建鹏 ,  张宏斌 ,  叶建伟 ,  周素华 ,  张宇娜 ,  范敦球

IPC: G06Q10/06

Abstract: 本发明公开了一种情报质量评估和情报融合方法及装置，用以解决现有的威胁情报数据融合方法在情报融合过程中无法保证威胁情报数据的质量和融合后的情报的质量的问题。所述情报质量评估方法，包括：接收情报源输出的情报，其中，所述情报源为威胁情报数据源，所述情报为威胁情报数据；针对每一情报源，确定所述情报源的可信度评分以及所述情报源中的各情报的可信度评分；根据所述情报源的可信度评分和所述各情报的可信度评分评估所述各情报的质量。

公开(公告)号：CN106549980B

公开(公告)日：2020-04-07

申请号：CN201611264192.2

申请日：2016-12-30

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 周素华 ,  张宏斌 ,  范敦球 ,  叶晓虎 ,  史龙安

IPC: H04L29/06

Abstract: 本发明公开了一种恶意C&C服务器确定方法及装置，所述方法包括：模拟运行接收到的C&C文件，获取所述C&C文件关联的IP地址或URL；如果获取到IP地址，根据获取到的所述C&C文件是否存在预设的每项操作，及存在每项操作时对应的权重系数，确定所述C&C文件的评价分值，根据评价分值，确定所述IP地址对应的C&C服务器是否为恶意C&C服务器；如果获取到URL，获取所述URL对应的特征向量中的每个特征参数，根据预先训练完成检测模型及特征向量，确定所述URL对应的C&C服务器是否为恶意C&C服务器。用以解决现有技术中面对大量的C&C文件的数据无法有效处理，确定的恶意C&C服务器的准确性无法保证的问题。

公开(公告)号：CN108234486A

公开(公告)日：2018-06-29

申请号：CN201711489011.0

申请日：2017-12-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 周素华 ,  黄帅 ,  张宏斌 ,  范敦球 ,  曹建仓

IPC: H04L29/06

Abstract: 本发明公开了一种网络监测方法及监测服务器，其中，网络监测方法包括：监测服务器获取被监测服务器的消息数据；监测服务器获取消息数据中交互方的网络标识；监测服务器根据网络标识查询本地的第一黑名单；第一黑名单是监测服务器从云端服务器的第二黑名单获得的；云端服务器的第二黑名单包括多个关联攻击行为的网络标识；在第一黑名单存在网络标识时，确定消息数据为威胁性消息数据。监测服务器的第一黑名单是从云端服务器的第二黑名单中获得的，由于第二黑名单中的网络标识是关联攻击行为的网络标识，因此即使该网络标识对应的交互方没有发起攻击监测服务器也可以发现交互方对被监测服务器的威胁，从而实现了对攻击行为的主动防御。

公开(公告)号：CN106790041A

公开(公告)日：2017-05-31

申请号：CN201611170830.4

申请日：2016-12-16

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 何坤 ,  周素华 ,  张宏斌 ,  孙叶 ,  范敦球 ,  叶晓虎

IPC: H04L29/06

CPC classification number: H04L63/1425 ,  H04L63/101

Abstract: 本发明公开了一种网际协议IP信誉库生成方法及装置，涉及网络安全技术领域，方法包括：周期性获取各IP报文产生的访问日志；确定访问日志对应的IP标识信息；针对同一个IP标识信息，从IP标识信息对应的访问日志中，确定IP标识信息的各信誉元素的参数值；根据各信誉元素的参数值和各信誉元素的参数等级，确定IP标识信息的信誉值。本发明实施例中，将访问日志中的信誉元素参数化且每个信誉元素的参数等级不同，根据各信誉元素的参数值和各信誉元素的参数等级确定IP标识信息的信誉值，考虑了在IP报文访问时产生的访问日志中的参数信息，并考虑了参数信息在计算信誉值时每个参数的等级，所以确定的IP标识的信誉更加准确。

公开(公告)号：CN111160749B

公开(公告)日：2023-07-21

申请号：CN201911340849.2

申请日：2019-12-23

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 孙建鹏 ,  张宏斌 ,  叶建伟 ,  周素华 ,  张宇娜 ,  范敦球

IPC: G06Q10/0639

Abstract: 本发明公开了一种情报质量评估和情报融合方法及装置，用以解决现有的威胁情报数据融合方法在情报融合过程中无法保证威胁情报数据的质量和融合后的情报的质量的问题。所述情报质量评估方法，包括：接收情报源输出的情报，其中，所述情报源为威胁情报数据源，所述情报为威胁情报数据；针对每一情报源，确定所述情报源的可信度评分以及所述情报源中的各情报的可信度评分；根据所述情报源的可信度评分和所述各情报的可信度评分评估所述各情报的质量。