公开(公告)号：CN101902366B

公开(公告)日：2014-03-12

申请号：CN200910085032.5

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周涛 ,  叶润国 ,  刘晖 ,  姚熙

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明提供了一种业务行为异常检测方法，包括：根据安全审计设备当前检测点之前的历史审计记录，建立用户访问业务系统的正常行为模型；对安全审计设备的实时审计记录进行分析，与所述正常行为模型进行比较，判断用户访问业务系统的行为是否异常。本发明还提供了一种业务行为异常检测系统。本发明提出的业务行为异常检测系统及方法，能够根据安全审计设备的审计记录，检测在业务流程上并不违规、实际上仍然给业务系统带来破坏的攻击行为。

公开(公告)号：CN101902366A

公开(公告)日：2010-12-01

申请号：CN200910085032.5

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周涛 ,  叶润国 ,  刘晖 ,  姚熙

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明提供了一种业务行为异常检测方法，包括：根据安全审计设备当前检测点之前的历史审计记录，建立用户访问业务系统的正常行为模型；对安全审计设备的实时审计记录进行分析，与所述正常行为模型进行比较，判断用户访问业务系统的行为是否异常。本发明还提供了一种业务行为异常检测系统。本发明提出的业务行为异常检测系统及方法，能够根据安全审计设备的审计记录，检测在业务流程上并不违规、实际上仍然给业务系统带来破坏的攻击行为。

公开(公告)号：CN101901219A

公开(公告)日：2010-12-01

申请号：CN200910085026.X

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周涛 ,  叶润国 ,  姚熙 ,  刘晖

IPC: G06F17/30 ,  G06F21/00

Abstract: 本发明公开了一种数据库注入攻击检测方法及系统，以实时检测数据库访问行为。其中该方法包括：通过对数据库历史访问记录进行自学习，建立数据库访问行为模式库；接收数据库实时访问，根据访问行为模式库，判断实时访问是否为注入攻击，获得判断结果；根据判断结果及预设的响应方式，对实时访问进行响应。与现有技术相比，本发明能够自动识别正常数据库访问和注入攻击，并对注入攻击进行阻断，从而保护了数据库服务器的安全。

公开(公告)号：CN101562603A

公开(公告)日：2009-10-21

申请号：CN200810104320.6

申请日：2008-04-17

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 姚熙 ,  焦玉峰 ,  刘晖 ,  孙海波

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/26 ,  G06F17/30

Abstract: 一种通过回显解析telnet协议的方法及系统，是一种用于入侵检测和入侵防御IDS/IPS以及审计产品中重要的协议解析方法及系统。包括：特殊关键字符处理模式库、特殊字符分析器、telnet数据包过滤器、回显敏感数据解析器，其运行特征包括步骤：特殊关键字符处理模式的建立子步骤；telnet数据过滤与提取子步骤；回显敏感数据的深度解析子步骤。本发明解决了传统IDS/IPS产品中仅仅依赖对所有telnet请求数据包的载荷部分进行解析的完整性问题，提高了telnet协议解析的准确性和性能。本发明具有telnet协议解析完整性好和准确率高优点，可广泛应用于IDS/IPS、审计等网络安全产品中。

公开(公告)号：CN101453359A

公开(公告)日：2009-06-10

申请号：CN200710178852.X

申请日：2007-12-06

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 孙海波 ,  骆拥政 ,  刘晖 ,  李新鹏

IPC: H04L12/24 ,  H04L29/06 ,  G06F17/30

Abstract: 一种数据库错误信息提取方法及系统，用于网络业务审计产品中对六种常用数据库操作过程当中服务器端返回的错误信息进行提取并进行相关操作审计的方法及系统。包括数据库类型识别定位器、错误信息返回包定位器、错误信息定位及提取器、错误码库、审计装置，解决了传统审计产品中对于数据库操作过程当中服务器端返回的错误信息缺乏审计的问题，克服了不同类型的数据库使用不同协议带来的错误信息审计困难的问题。本发明具有很好的可扩展性，对于某些新的数据库类型具有灵活的可扩展性以扩大审计的范围并具有非常高的针对不同类型数据库错误信息提取的效率和准确性，可广泛应用于网络业务审计产品中。

公开(公告)号：CN101426008B

公开(公告)日：2011-06-22

申请号：CN200710176510.4

申请日：2007-10-30

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 孙海波 ,  骆拥政 ,  李新鹏 ,  刘晖 ,  张辉 ,  姚熙

IPC: H04L29/06 ,  G06Q40/00

Abstract: 本发明涉及一种基于回显的审计方法及系统，是一种用于网络业务审计产品中利用回显信息确定审计范围并进行精确网络业务行为审计的方法及系统。本发明包括网络业务操作内容提取器、回显信息识别器、审计装置。其特征在于包含以下步骤：网络业务操作内容提取步骤；回显信息识别步骤；审计的步骤。本发明解决了传统审计产品中仅仅依赖于协议解析技术对网络业务行为进行审计造成的审计范围不准确无法对某些隐私信息进行保护的安全性问题，实现了进行精确网络业务行为审计的同时有效保护用户秘密信息的功能，具有非常高的效率和准确性，可广泛应用于网络业务审计产品中。