-
公开(公告)号:CN101399710B
公开(公告)日:2011-06-22
申请号:CN200710175418.6
申请日:2007-09-29
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明涉及一种协议格式异常检测方法及系统。本发明包括检测关键字段库、实际检测规则库、语法分析器、协议解析器、协议格式异常检测器,运行包括以下步骤:检测关键字段库的建立步骤;实际检测规则库的建立步骤;数据提取的步骤;深入检测的步骤。本发明解决了现有技术中仅仅依赖误用检测对于所有数据包的载荷部分进行模式匹配的性能问题。本发明采用了功能强大的语法分析器使得本系统扩展非常方便,可自动生成实际检测规则及相应的处理函数关联,并具有协议格式异常检测速度快和准确率高等优点,应用前景广阔。
-
公开(公告)号:CN101471818B
公开(公告)日:2011-05-04
申请号:CN200710303985.5
申请日:2007-12-24
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明涉及一种恶意注入脚本网页检测方法,属于计算网络技术领域。本发明所述的恶意注入脚本网页检测方法包括使用网页爬虫遍历并下载被扫描网站所有网页的步骤、对下载网页进行聚类分析并提取网页簇模板的步骤以及利用网页簇模板检测簇中各网页是否包含恶意注入脚本的步骤。所述的恶意注入脚本网页检测系统包括网页爬虫模块、动态内容网页过滤模块、动态内容网页聚类模块、网页簇模板提取模块和恶意注入脚本网页检测模块。
-
公开(公告)号:CN101561806B
公开(公告)日:2011-04-06
申请号:CN200810104344.1
申请日:2008-04-17
Applicant: 北京启明星辰信息技术股份有限公司
IPC: G06F17/30
Abstract: 一种DB2数据库操作的信息提取方法和装置,在捕获DB2数据库客户端和服务器交互的数据报文后,提取出其中的所有sql语句;检测提取出的sql语句中是否包含变量,如检测到包含变量的sql语句,再从所述数据报文中识别出包含变量的sql语句的各变量的类型;根据各变量的类型,从所述数据报文中提取出包含变量的sql语句的各变量的具体赋值。相应地装置包括依次连接的sql语句提取及判别器、变量类型识别器和变量赋值提取器。本发明可以准确地从包含绑定变量的sql语句的数据报文中提取出变量及其具体赋值信息,并可用于审计。
-
公开(公告)号:CN101309179B
公开(公告)日:2011-03-16
申请号:CN200710099395.5
申请日:2007-05-18
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明涉及一种基于主机活跃性和通信模式分析实时异常流量检测方法,本发明能够在高速网络环境下实时确定异常流量事件发生的时间,识别出异常流量事件的类型,并能对该异常流量事件进行物理定位。本发明利用提供各种网络服务的广域网以及与广域网连接的区域网和局域网、和安装在集中检测设备上的抽样单元、提取计算单元、比较单元、知识库单元来实现。本发明基于先验知识建立各种类型异常流量事件的通信模式,而在异常检测时,通过提取网络中的活跃主机通信模式,并与各异常流量事件通信模式相比较,就可能识别出发生在活跃主机上的异常流量事件,支持的异常流量检测事件包括α流、各种Flood事件、Flash-Crowd、端口扫描、网络扫描、设备故障和蠕虫扫描事件。
-
公开(公告)号:CN101388763B
公开(公告)日:2011-02-02
申请号:CN200710121668.1
申请日:2007-09-12
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 一种支持多种数据库类型的SQL注入攻击检测系统。包括数据获取模块、数据预处理模块、SQL注入攻击检测模块、SQL注入报警模块和分类转发模块。可包含多个SQL注入攻击检测模块,各SQL注入攻击检测模块分别基于其相关数据库类型的扩展SQL语法创建SQL注入攻击检测语法规则,各SQL注入攻击检测模块与某一Web应用服务器目的地址绑定,实现对所有具有相同目的地址的待检测对象的SQL注入攻击检测。本发明充分考虑了各类型数据库的SQL语法差异性,按Web应用服务器目的地址将待检测对象进行分类,并由支持特定数据库类型SQL语法扩展的SQL注入攻击检测模块进行检测,大大降低了SQL注入攻击检测中的漏报问题。
-
Patent Agency Ranking
公开(公告)号:CN101902484A
公开(公告)日:2010-12-01
申请号:CN200910084703.6
申请日:2009-05-25
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Inventor: 孙海波
Abstract: 本发明涉及局域网http应用业务分类方法及系统。本发明提供一种网络报文应用业务分类系统,该系统包括依次连接的报文捕获器、协议解析器及报文特征筛选器,其中,所述报文捕获器,用于捕获网络报文;协议解析器,用于对捕获的网络报文进行协议解析以及提取相应的字段信息,并将网络报文信息及所述字段信息提供给所述报文特征筛选器;所述报文特征筛选器,用于将所述字段信息与预设的应用业务特征信息进行匹配,以及根据匹配结果判断所述网络报文的应用业务类别。本发明网络报文应用业务分类系统及方法,可以对网络报文进行准确的业务分类。
-
公开(公告)号:CN101902456A
公开(公告)日:2010-12-01
申请号:CN201010110771.8
申请日:2010-02-09
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 一种Web网站安全防御系统,包括流量牵引器及Web安全检测器;所述流量牵引器与DNS服务器相连,用于从DNS服务器接收客户端的DNS域名解析请求,将该域名解析为所述Web安全检测器的IP地址,返回给所述客户端;所述Web安全检测器用于接收HTTP请求消息,对该HTTP请求消息进行入侵检测,如果未发现异常,则将该HTTP请求消息转发给该HTTP请求消息所指向的Web网站。本发明部署位置不受串行部署的限制,支持分布式部署,无需修改Web客户端和Web服务器配置,节省安全方面的成本,并且兼容性好,可伸缩性强。
-
公开(公告)号:CN101902440A
公开(公告)日:2010-12-01
申请号:CN200910085031.0
申请日:2009-05-27
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 本发明提供了一种阻断TCP连接的方法和装置;方法包括:保存各TCP连接的连接信息;所述TCP连接的连接信息包括该TCP连接的:客户端信息、服务端信息、请求方向TCP等待序列号和应答方向TCP等待序列号;抓取TCP包,找到该TCP包所属TCP连接的连接信息,根据所抓取的TCP包更新该连接信息中的请求方向TCP等待序列号和应答方向TCP等待序列号;如果所抓取的TCP包为需要阻断的TCP包,则根据更新后的、该TCP包所属TCP连接的连接信息生成RST包,并发送给该TCP连接的客户端和服务端。本发明可以进行准确而持续的阻断,从而能在大流量环境下的高效阻断非法TCP连接。
-
公开(公告)号:CN101902338A
公开(公告)日:2010-12-01
申请号:CN200910085041.4
申请日:2009-05-27
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 本发明为一种采用统一检测框架的入侵检测方法和系统,该方法包括:在选择的报文处理单元植入挂载点,为各检测单元配置挂载点,所需的报文特征信息在各自挂载点之前的报文处理过程中得到,将所有启用的检测单元注册到各自要挂载到的挂载点,当报文经过挂载有检测单元的挂载点时,由该挂载点上的检测单元对该报文进行入侵检测,检测完成后,对非最末一级的挂载点,报文再进入该挂载点后的报文处理单元或挂载点继续处理;该系统包括各协议层上的多个报文处理单元、多个检测单元、配置单元、初始化单元以及检测控制单元。本发明不需改变软件架构就可以迅速实现检测单元的增删,节约了时间和系统资源。
-
公开(公告)号:CN101902334A
公开(公告)日:2010-12-01
申请号:CN200910084704.0
申请日:2009-05-25
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Inventor: 赵东宾
Abstract: 本发明公开了一种安全事件实时确认方法及系统,以实时高效地进行安全事件的确认。其中该方法包括:对接收网络报文进行攻击行为检测,将检测出攻击行为的所述网络报文描述为攻击报文;提取所述攻击报文的响应报文;使用一安全事件确认规则,对所述响应报文进行匹配,得到所述攻击报文的攻击确认结果,所述安全事件确认规则用于判定所述攻击是否成功。本发明通过对响应报文进行精确匹配,实时地完成安全事件攻击行为的确认。
-
-
-
-
-
-
-
-
-
Search Results
286
records
(took 0.045 seconds)
