公开(公告)号：CN112558948A

公开(公告)日：2021-03-26

申请号：CN202011516225.4

申请日：2020-12-21

Applicant: 武汉绿色网络信息服务有限责任公司

Inventor： 王赟 ,  曾伟

IPC: G06F8/30 ,  G06F8/41 ,  G06F16/22 ,  G06F16/2457 ,  G06F16/28 ,  H04L29/06

Abstract: 本发明涉及网络安全领域，特别是涉及一种海量流量下报文识别的方法和装置。包括：调用dpdk，分配CPU的常规业务处理核和特殊业务处理核；加载监控策略规则文件和业务特征文件，转换为Hyperscan模式的规则数据库和业务特征数据库；调用dpdk完成数据接入，业务特征数据库和数据五元组hash值的key区分常规业务和特殊业务，将每个数据五元组放入相应CPU内核的数据队列；对数据五元组进行解码，生成每个数据五元组对应的数据报文；根据Hyperscan的规则数据库和业务数据库，使用相应的CPU内核分别对相应队列中的数据报文进行扫描匹配，获取恶意报文，并对恶意报文进行处理。减小了在Hyperscan应用识别中带来的性能消耗，提高了dpdk技术与Hyperscan技术融合的高效性。

公开(公告)号：CN111970173A

公开(公告)日：2020-11-20

申请号：CN202010861531.5

申请日：2020-08-25

Applicant: 武汉绿色网络信息服务有限责任公司

Inventor： 白司特 ,  雷葆华 ,  叶志钢 ,  王赟 ,  谭国权

IPC: H04L12/26 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明涉及互联网技术领域，具体涉及一种基于时钟偏移的加密流量共享检测方法与装置，其中方法包括：实时获取当前各用户上网所触发的一个或多个会话，并基于各会话的会话持续时间判断是否满足短会话应用场景；如果满足短会话应用场景，则通过解析用户在当前第一预设时间段内上网所产生的各协议报文，获取协议报文中携带的一个或多个时钟偏移值；统计在当前第一预设时间段内相同时钟偏移值的通量，并基于该通量得到当前第一预设时间段内的共享设备数。本发明充分利用加密协议中携带的时钟偏移而非传统固定特征来标示设备，通过统计时钟偏移在一定时间内出现相同值的个数确定共享设备数，可解决固定标识符无法进行流量共享检测的问题。

公开(公告)号：CN111881092A

公开(公告)日：2020-11-03

申请号：CN202010576064.1

申请日：2020-06-22

Applicant: 武汉绿色网络信息服务有限责任公司

Inventor： 叶志钢 ,  王化民 ,  张本军 ,  王赟 ,  谭国权 ,  赵雨佳

IPC: G06F16/16 ,  G06F16/182

Abstract: 本发明涉及数据库领域，特别是涉及一种基于cassandra数据库的文件合并的方法和装置。主要包括：接受数据库生成的数据文件，生成各磁盘的合并文件列表；各磁盘的合并进程获取相应磁盘的合并文件列表，获取各磁盘的合并文件列表中需合并的数据文件大小；启动；数据库的并行合并进程，计算各磁盘的合并进程获取到数据文件大小的总和数据文件大小的总和达到合并文件阈值时，并行合并进程一次性合并所有磁盘中需合并的数据文件。本发明可以在使用较少合并层次和临时文件的情况下及时对小文件进行合并，减少合并次数、减少磁盘中文件占用空间、减少磁盘IO次数和磁盘IO争抢，提高了文件合并的性能，提高了数据库的读写稳定性。

公开(公告)号：CN112558948B

公开(公告)日：2024-08-23

申请号：CN202011516225.4

申请日：2020-12-21

Applicant: 武汉绿色网络信息服务有限责任公司

Inventor： 王赟 ,  曾伟

IPC: G06F8/30 ,  G06F8/41 ,  G06F16/22 ,  G06F16/2457 ,  G06F16/28 ,  H04L41/0894

Abstract: 本发明涉及网络安全领域，特别是涉及一种海量流量下报文识别的方法和装置。包括：调用dpdk，分配CPU的常规业务处理核和特殊业务处理核；加载监控策略规则文件和业务特征文件，转换为Hyperscan模式的规则数据库和业务特征数据库；调用dpdk完成数据接入，业务特征数据库和数据五元组hash值的key区分常规业务和特殊业务，将每个数据五元组放入相应CPU内核的数据队列；对数据五元组进行解码，生成每个数据五元组对应的数据报文；根据Hyperscan的规则数据库和业务数据库，使用相应的CPU内核分别对相应队列中的数据报文进行扫描匹配，获取恶意报文，并对恶意报文进行处理。减小了在Hyperscan应用识别中带来的性能消耗，提高了dpdk技术与Hyperscan技术融合的高效性。

公开(公告)号：CN111901300B

公开(公告)日：2023-02-03

申请号：CN202010589844.X

申请日：2020-06-24

Applicant: 武汉绿色网络信息服务有限责任公司

Inventor： 叶志钢 ,  程波 ,  谭国权 ,  曾伟 ,  王赟

IPC: H04L9/40 ,  H04L47/2441

Abstract: 本发明公开了一种对网络流量进行分类的方法和分类装置，该方法包括：获取包括多个数据包的网络流量；对网络流量进行解析，得到网络流量的安全协议信息、流信息和指定数量的数据包的负载信息；对安全协议信息、流信息和指定数量的数据包的负载信息进行转换得到目标图片；基于深度学习网络对目标图片进行识别，确定网络流量所属的应用。在本发明中，获取网络流量的安全协议信息、流信息和指定数量的数据包的负载信息，对安全协议信息、流信息和指定数量的数据包的负载信息进行转换得到目标图片，采用此种方式，把网络流量转成深度学习网络可分析的格式，可以对网络流量进行分类。

公开(公告)号：CN111064825B

公开(公告)日：2022-02-18

申请号：CN201911391601.9

申请日：2019-12-30

Applicant: 武汉绿色网络信息服务有限责任公司

Inventor： 王宾亚 ,  牛晨光 ,  张本军 ,  叶志钢 ,  王赟 ,  李明栋

IPC: H04L61/103

Abstract: 本发明涉及数据采集技术领域，提供了一种基于ARP实现DPI数据采集和控制方法和装置。方法包括DPI设备向默认网关发送第一ARP更新消息；所述默认网关在接收到所述第一ARP更新消息后，更新本地用于存储待管控设备地址信息的地址列表；DPI设备向各待管控设备发送第二ARP更新消息，所述第二ARP更新消息中携带由默认网关的IP地址和指定设备MAC地址构成的地址对；各待管控设备在接收到所述第二ARP更新消息后，将所述默认网关的IP地址和指定设备MAC地址构成的地址对，作为后续发送对外数据包的相应网络层和数据链路层的地址。本发明相比较现有技术无需额外的设备假设便可以实现，同样能够实现流量控制和阻断。

公开(公告)号：CN110929257B

公开(公告)日：2022-02-01

申请号：CN201911040978.X

申请日：2019-10-30

Applicant: 武汉绿色网络信息服务有限责任公司

Inventor： 侯贺明 ,  王赟 ,  黄华桥 ,  程波 ,  曾伟 ,  谭国权 ,  李明栋

IPC: G06F21/56 ,  G06F16/951

Abstract: 本发明涉及互联网技术领域，提供了一种网页中携带恶意代码的检测方法和装置。方法包括使用搜索引擎爬虫的User‑agent，赋值第一网址请求消息中的User_agent字段后，向待检测网页的地址发送第一网址请求消息；使用普通终端用户的User‑agent，赋值第二网址请求消息中的User_agent字段后，向待检测网页的地址发送第二网址请求消息；匹配第一响应消息和第二响应消息中所携带的内容，若匹配结果差异性大于预设条件，则将待检测网页标定为潜在携带恶意代码的网站。本发明通过模拟搜索引擎爬虫爬取网站首页内容，模拟正常用户爬取网站首页内容，并比较下标题的差异，对黑帽SEO类的挂马有很好的检测效果。

公开(公告)号：CN110661796B

公开(公告)日：2022-02-01

申请号：CN201910896941.0

申请日：2019-09-23

Applicant: 武汉绿色网络信息服务有限责任公司

Inventor： 熊威 ,  叶志钢 ,  黄华桥 ,  王赟 ,  程波

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明公开了一种用户动作流量的识别方法和识别装置，该识别方法包括：触发目标应用在目标操作系统下的全量操作，确定目标应用与目标操作系统的映射关系，得到第一分类集；触发目标应用在目标操作系统下的至少一个目标操作，确定每一目标操作与目标操作系统的映射关系，得到第二分类集；获取用户动作流量，通过第一分类集对用户动作流量进行分类，确定用户动作流量所属的应用和操作系统；通过与用户动作流量相匹配的第二分类集对用户动作流量进行分类，得到用户动作流量对应的操作。在本发明中，通过层层筛选过滤，可以避免由于操作系统不同而导致的识别出错问题，从而更准确的识别出精细动作包，通过精细动作包更精准的提取到用户行为。

公开(公告)号：CN111970173B

公开(公告)日：2021-08-03

申请号：CN202010861531.5

申请日：2020-08-25

Applicant: 武汉绿色网络信息服务有限责任公司

Inventor： 白司特 ,  雷葆华 ,  叶志钢 ,  王赟 ,  谭国权

IPC: H04L12/26 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明涉及互联网技术领域，具体涉及一种基于时钟偏移的加密流量共享检测方法与装置，其中方法包括：实时获取当前各用户上网所触发的一个或多个会话，并基于各会话的会话持续时间判断是否满足短会话应用场景；如果满足短会话应用场景，则通过解析用户在当前第一预设时间段内上网所产生的各协议报文，获取协议报文中携带的一个或多个时钟偏移值；统计在当前第一预设时间段内相同时钟偏移值的通量，并基于该通量得到当前第一预设时间段内的共享设备数。本发明充分利用加密协议中携带的时钟偏移而非传统固定特征来标示设备，通过统计时钟偏移在一定时间内出现相同值的个数确定共享设备数，可解决固定标识符无法进行流量共享检测的问题。

公开(公告)号：CN111061707B

公开(公告)日：2020-12-22

申请号：CN201911085753.6

申请日：2019-11-08

Applicant: 武汉绿色网络信息服务有限责任公司

Inventor： 熊威 ,  黄华桥 ,  程波 ,  王赟 ,  李明栋 ,  曾伟

IPC: G06F16/215 ,  G06F16/28 ,  G06F16/2458

Abstract: 本发明提供了一种DPI设备协议规则库和规则样本的优化方法和装置，方法包括：收集各地的设备规则命中情况后，对各规则的命中程度进行划分，不满足要求的进入预删除状态，满足要求的放入预发布规则库；进入预删除状态的设备规则，基于实验室规则周期命中情况判断是否失效，如果未失效则放入预发布规则库；对预发布规则库中的各设备规则进行性能损耗测试，测试不达标的规则修改或删除；对预发布规则库中的各规则样本进行测试，测试合格则将对应的设备规则和样本发布。本发明结合设备规则库规则命中情况、实验室规则周期命中情况及规则性能损耗程度，对协议规则库和样本进行了优化，减少了规则库中的规则冗余和样本冗余，提高识别性能。