公开(公告)号：CN102594625B

公开(公告)日：2016-04-20

申请号：CN201210058696.4

申请日：2012-03-07

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 万淼 ,  周涛

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明公开了一种APT智能检测分析平台中的白数据过滤方法及系统；方法包括：对存储的历史流量数据中的各抓包库Pcap数据包分别进行协议解析，得到各Pcap数据包的控制信息及数据；按照预定的白数据过滤条件生成过滤规则；将解析出的各Pcap数据包的控制信息与所述过滤规则进行匹配，如果一Pcap数据包的控制信息满足所述过滤规则，则删除该Pcap数据包的控制信息及数据；删除后将其余的数据及控制信息重新打包封装为Pcap数据包后发送给APT检索引擎。本发明能够合理降解过滤存储的历史数据。

公开(公告)号：CN103051479B

公开(公告)日：2016-01-20

申请号：CN201210567450.X

申请日：2012-12-24

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  汪宏

IPC: H04L12/24 ,  H04L12/26

Abstract: 本发明提供了一种虚拟机网络控制策略的迁移处理方法及系统，该迁移处理方法包括：接收并处理迁出物理主机的虚拟交换机上的当前虚拟机迁出消息；处理所述迁出物理主机的虚拟交换机上的数据转发规则，使所述迁出物理主机的虚拟交换机上不存在当前虚拟机的数据转发规则；接收并处理迁入物理主机的虚拟交换机上的当前虚拟机迁入消息；处理所述迁入物理主机的虚拟交换机上的数据转发规则，使所述当前虚拟机的数据转发规则迁到所述迁入物理主机的虚拟交换机上。本发明通过对虚拟机迁移消息的监控以及对虚拟交换机数据转发规则的修改，使虚拟机在不同的物理主机上迁移时，能够保持其对应的网络策略不变，从而为虚拟机提供连续一致的网络控制报务。

公开(公告)号：CN102546576B

公开(公告)日：2015-11-18

申请号：CN201010621408.2

申请日：2010-12-31

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 肖小剑 ,  叶润国

IPC: H04L29/06 ,  H04L12/26

Abstract: 一种网页挂马检测和防护方法、系统及相应代码提取方法，系统将一段用于自动提取标签的脚本代码注入拦截到的Web页面，然后将该Web页面发送到客户端；客户端运行脚本代码，从该Web页面中提取出与网页挂马相关的标签的代码，和该Web页面本身的URL发送到系统；系统可以将待检测的URL与相应基线中安全的URL进行匹配，如匹配失败，还可以对待检测的URL进行异常检测，确定其安全级别。本发明对环境的依赖性小，还可以减少漏报，并有效地提取标签代码。

公开(公告)号：CN102684944B

公开(公告)日：2015-06-24

申请号：CN201210119384.X

申请日：2012-04-20

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周涛 ,  潘宇东 ,  许立广

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明提供了一种入侵检测方法和装置。涉及信息管理领域；解决了误用检测型IDS无法检测未知类型的攻击行为和无法追溯漏报攻击行为的问题。该方法包括：加载特征库，所述特征库中包含多个入侵行为特征；获取待分析数据流；根据所述特征库分析所述待分析数据流，从所述待分析数据流中匹配符合所述特征库中入侵行为特征的入侵行为。本发明提供的技术方案适用于IDS检测过程，实现了全面可靠的入侵检测。

公开(公告)号：CN104715194A

公开(公告)日：2015-06-17

申请号：CN201310684940.2

申请日：2013-12-13

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 曲武 ,  周涛 ,  叶润国 ,  王君鹤

IPC: G06F21/56

Abstract: 本发明提供了一种恶意软件检测方法和装置。涉及计算机系统安全领域；解决了动态检测方法可扩展性不足及检测结果欠准确的问题。该方法包括：计算待检测恶意软件的唯一数字签名；计算所述待检测恶意软件的内容指纹向量；构造所述内容指纹向量的最近邻集合，生成目标内容指纹向量查询集；根据所述目标内容指纹向量查询集，访问预置的位置敏感哈希表数据结构，获取候选结果集；从所述候选结果集中选择所述待检测恶意软件的变种软件。本发明提供的技术方案适用于恶意软件变种防护，实现了基于位置敏感哈希表的恶意软件检测。

公开(公告)号：CN104580120A

公开(公告)日：2015-04-29

申请号：CN201310516271.8

申请日：2013-10-28

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李陟 ,  刘新刚 ,  叶润国 ,  汪宏

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1416 ,  H04L67/10

Abstract: 本发明公开了一种可按需服务的虚拟化网络入侵检测方法和装置，涉及信息安全技术领域。本发明公开的虚拟化网络入侵检测装置，包括：弹性服务调度模块，评估本地检测资源池中的剩余资源是否能够提供本地检测服务，如果能提供，则下发本地检测资源调整的命令给本地检测资源池管理模块，如果不能提供，则将需要检测的流量导出到外部硬件网络入侵检测产品中；本地检测资源池管理模块，在接收到本地检测资源调整的命令时，从本地检测资源池中的剩余资源分配相应的资源为本地检测资源。本发明还公开了一种按需服务的虚拟化网络入侵检测方法。本申请技术方案有效解决了虚拟化网络环境中，对服务器虚拟化应用场景的安全防护问题。

公开(公告)号：CN102385677B

公开(公告)日：2015-04-29

申请号：CN201010270457.6

申请日：2010-09-01

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周力丹 ,  胡振宇 ,  叶润国 ,  袁智辉

IPC: H04L29/06 ,  G06F11/00

CPC classification number: G06F11/00

Abstract: 本发明提供了一种统一威胁管理系统及其数据处理方法；系统包括：数据存储模块，包括多个数据池，各所述数据池分别用于存储一种类型的数据；服务处理模块，包括一个或多个计算池，各计算池分别用于进行实现一种服务功能的处理操作，从用于存储本计算池所需类型的数据的所述数据池读取数据，将处理后的数据输出给用于存储该类型数据的数据池；管理中心，用于保存各数据池和数据的类型之间的第一对应关系，及各计算池与服务功能之间的第二对应关系。本发明可以避免直接耦合的一体化安全网关存在的动态扩展性和容错性方面的不足。

公开(公告)号：CN104301321A

公开(公告)日：2015-01-21

申请号：CN201410568541.4

申请日：2014-10-22

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李陟 ,  曲武

IPC: H04L29/06

CPC classification number: H04L63/0218 ,  G06F9/45504

Abstract: 本申请公开了一种分布式网络安全防护的方法及系统，包括：将虚拟防火墙旁挂在虚拟交换机上；对不是来自或发往物理防火墙的数据流量，业务虚拟机判断是否已经过虚拟防火墙过滤，如果是，转发数据流量，否则，将该数据流量发往虚拟防火墙；虚拟防火墙对接收的数据流量进行过滤，确定为安全的数据流量后，把数据流量转发回业务虚拟机；否则，丢弃数据流量。本发明通过对不是来自或发往物理防火墙的数据流量进行判断后，业务虚拟机对需要进行过滤的数据流量，发往旁挂虚拟防火墙进行过滤，无需过滤的数据流量直接转发；对网络拓扑改变很小，保证了进入虚拟机系统数据流量全部被过滤，减少了虚拟防火墙对资源的消耗。

公开(公告)号：CN102571846B

公开(公告)日：2014-11-19

申请号：CN201010603366.X

申请日：2010-12-23

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  胡振宇

IPC: H04L29/08 ,  H04L29/06

Abstract: 一种转发HTTP请求的方法及装置；方法包括：判断Web客户端的HTTP请求的URL是否为Web表单请求URL或Web表单数据提交URL；当所述HTTP请求的URL为Web表单请求URL时，如果该HTTP请求的URL参数中携带了有效的令牌，则转发该HTTP请求；如果未携带令牌则随机生成一个唯一的令牌，将所述HTTP请求的URL和生成的令牌拼接成新的URL，丢弃所述HTTP请求并向所述Web客户端发送一个请求重定向到所述新的URL的HTTP响应消息；当所述HTTP请求的URL为Web表单数据提交URL时，如果该HTTP请求存在Referer值，并且从Referer中可以提取出有效的令牌，则转发该HTTP请求。本发明能够实现对CSRF攻击的有效防御，大大减轻Web安全网关的计算开销。

公开(公告)号：CN101895516B

公开(公告)日：2014-08-06

申请号：CN200910084265.3

申请日：2009-05-19

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  胡振宇

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/26 ,  G06F17/30

Abstract: 一种跨站脚本攻击源的定位方法及装置；方法包括：A、获取完整的超文本传输协议HTTP请求消息，检查该HTTP请求中是否包含跨站脚本攻击，如果有则执行B，否则结束；B、当发现该HTTP请求的链接源为空，或者所述链接源与该HTTP请求的URL同属于一个Web域时，判定该HTTP请求的发送者为本次跨站脚本攻击源并结束，否则继续执行C；C、获取该HTTP请求链接源所对应的Web网页，并检索该Web网页，如果包含一个发起本次跨站脚本攻击的页面链接地址，则判定该HTTP请求链接源为本次跨站脚本攻击源，否则判定该HTTP请求发送者为本次跨站脚本攻击源。本发明可以准确定位XSS攻击的攻击源。