公开(公告)号：CN101459548B

公开(公告)日：2011-10-12

申请号：CN200710179538.3

申请日：2007-12-14

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 叶润国 ,  胡振宇 ,  骆拥政 ,  朱钱航 ,  邓伟 ,  李博

IPC: H04L12/26 ,  H04L29/08

Abstract: 一种脚本注入攻击检测方法和系统，属于计算网络技术领域。包括HTTP请求获取、从HTTP请求中提取用户输入数据、对用户输入数据进行脚本注入攻击检测和脚本注入攻击事件报警等步骤，所述的对用户输入数据进行脚本注入攻击检测步骤包括用户输入数据解码、文档对象模型结构分析、文档对象模型脚本提取和脚本语法检测等步骤。所述的脚本注入攻击检测系统包括HTTP请求获取模块、用户输入数据提取模块、脚本注入攻击检测模块和脚本注入攻击报警模块，所述的脚本注入攻击检测模块包括用户输入数据解码模块、文档对象模型结构分析模块、注入脚本提取模块和脚本语法检测模块。脚本注入攻击检测方法和系统适合应用于Web服务安全保障产品。

公开(公告)号：CN101184094B

公开(公告)日：2011-07-27

申请号：CN200710178851.5

申请日：2007-12-06

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 叶润国 ,  李博 ,  胡振宇 ,  华东明 ,  骆拥政

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明涉及一种适于局域网环境的网络节点扫描检测方法和系统，是一种适于高速局域网环境的网络节点扫描检测的方法和系统。本发明包括网络终端、局域网，所述方法的步骤：数据获取步骤；DNS解析监控步骤；可疑网络访问过滤步骤；可疑网络访问统计步骤；网络扫描检测步骤。本发明通过将各主机节点发出的所有网络访问请求与本局域网中最近DNS解析过的IP地址列表进行关联，最大限度的过滤掉那些与正常网络访问流量相关的网络访问请求。采用可疑网络访问请求连接响应率和可疑网络访问请求的目标IP地址发散度为网络扫描检测指标，适于局域网环境的网络节点扫描检测系统对局域网络中各主机节点的扫描行为进行监控的网络安全产品中。

公开(公告)号：CN101286988B

公开(公告)日：2011-05-04

申请号：CN200810104416.2

申请日：2008-04-18

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 胡振宇 ,  叶润国 ,  许金鹏 ,  李博 ,  王洋

IPC: H04L29/06 ,  H04L9/28 ,  G06F17/30

Abstract: 本发明涉及一种并行多模式匹配的方法和系统，所述系统包括：生成模块，用于读取包含匹配规则的规则集，将所述规则集中包含通配符的匹配规则从通配符处分割成所述匹配规则的子规则，所述子规则中不包含通配符，所述规则集中不包含通配符的匹配规则作为其自身的子规则，并将所有子规则按照AC算法生成AC自动机，并输出所述AC自动机；匹配模块，用于读取搜索对象和所述AC自动机，按AC算法应用所述AC自动机进行搜索，判断所述搜索对象是否按子规则在所述匹配规则中的顺序匹配所述匹配规则的所有子规则，如果是，则所述搜索对象匹配所述匹配规则，并输出匹配结果。从而既保留AC算法的高效性，又可以匹配含有通配符的非确定性规则。

公开(公告)号：CN101388768B

公开(公告)日：2011-03-23

申请号：CN200810224571.8

申请日：2008-10-21

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  李博 ,  胡振宇 ,  孙海波

IPC: H04L9/00 ,  H04L12/26

Abstract: 本发明提供了一种检测恶意HTTP请求的方法和装置，该装置包括Web访问关系网络构建单元和恶意HTTP请求检测单元，其中：所述Web访问关系网络构建单元用于为待检测Web网站构造Web访问关系网络，该Web访问关系网络体现了该Web网站固有的Web页面访问顺序；所述恶意HTTP请求检测单元用于根据所述Web访问关系网络判定发往所述Web网站的HTTP请求是否符合该Web网站固有的Web页面访问顺序，如不符合则判定该HTTP请求为恶意的HTTP请求。本发明方法和装置利用Web网站所固有的Web页面访问顺序可以对恶意HTTP请求进行有效检测。

公开(公告)号：CN101562560A

公开(公告)日：2009-10-21

申请号：CN200810104371.9

申请日：2008-04-18

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 孙海波 ,  杨海青 ,  胡斌 ,  骆拥政 ,  李博

IPC: H04L12/56 ,  H04L29/06

Abstract: 本发明涉及一种通用的对网络应用流量进行自动控制的方法及系统。本发明包括网络应用特征库、网络应用识别器、策略规则库、信息提取器及流量控制策略实施装置。运行包括以下步骤：网络应用识别步骤、相关信息提取步骤及流量控制策略实施步骤。本发明解决了传统产品中对于网络应用流量控制缺乏灵活性的问题，实现了在实际网络环境中实时的根据不同的规则进行相应流量控制的策略，可以按照实际用户网络状况需要制定适当的流量管理策略并加以实施，同时具有速度快和准确率高等优点。

公开(公告)号：CN101388044A

公开(公告)日：2009-03-18

申请号：CN200810225563.5

申请日：2008-11-05

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  叶润国 ,  李博 ,  邓炜 ,  王雷章

IPC: G06F17/30

Abstract: 本发明公开了一种匹配规则包含或运算符的并行多模式匹配的系统及方法，系统包括：生成模块，用于读取包含匹配规则的规则集，将所述规则集中包含或运算符的匹配规则从或运算符处分割成所述匹配规则的子规则，所述子规则为确定规则，所述规则集中为确定规则的匹配规则作为其自身的子规则，并将所有子规则按照AC算法生成AC自动机；匹配模块，用于读取搜索对象，按AC算法应用所述AC自动机进行搜索，判断所述搜索对象是否匹配所述匹配规则的至少一个子规则，如果是，则所述搜索对象匹配所述匹配规则，并输出匹配结果。本发明能够应用AC算法对包含有或运算符的匹配规则进行匹配。

公开(公告)号：CN101286988A

公开(公告)日：2008-10-15

申请号：CN200810104416.2

申请日：2008-04-18

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 胡振宇 ,  叶润国 ,  许金鹏 ,  李博 ,  王洋

IPC: H04L29/06 ,  H04L9/28 ,  G06F17/30

Abstract: 本发明涉及一种并行多模式匹配的方法和系统，所述系统包括：生成模块，用于读取包含匹配规则的规则集，将所述规则集中包含通配符的匹配规则从通配符处分割成所述匹配规则的子规则，所述子规则中不包含通配符，所述规则集中不包含通配符的匹配规则作为其自身的子规则，并将所有子规则按照AC算法生成AC自动机，并输出所述AC自动机；匹配模块，用于读取搜索对象和所述AC自动机，按AC算法应用所述AC自动机进行搜索，判断所述搜索对象是否按子规则在所述匹配规则中的顺序匹配所述匹配规则的所有子规则，如果是，则所述搜索对象匹配所述匹配规则，并输出匹配结果。从而既保留AC算法的高效性，又可以匹配含有通配符的非确定性规则。

公开(公告)号：CN101729389B

公开(公告)日：2012-05-23

申请号：CN200810224570.3

申请日：2008-10-21

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  周涛 ,  李博 ,  邓炜

IPC: H04L12/56 ,  H04L29/06

Abstract: 一种基于流量预测和可信网络地址自学习的流量控制装置和方法；装置包括转发引擎和流量分析单元；所述转发引擎用于转发网络数据包、统计进出各目标主机的网络流量，从各目标主机发出的网络数据包中收集可信网络地址；当检测到攻击流量时，采样送入具有攻击流量的目标主机的网络数据包并将样本发给流量分析单元，以及根据所收集的可信网络地址、和流量分析单元返回的攻击流量过滤规则对发往该目标主机的网络数据包进行流量控制；所述流量分析单元用于根据所接收的网络数据包样本，以各TCP/IP协议包头字段值为项，提取满足预设最小支持度的频繁项目集作为应用于所述网络数据包样本对应的目标主机的攻击流量过滤规则。

公开(公告)号：CN101350745B

公开(公告)日：2011-08-03

申请号：CN200810117941.8

申请日：2008-08-15

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周力丹 ,  李博 ,  叶润国 ,  周涛

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1416 ,  H04L41/0677

Abstract: 一种入侵检测方法及装置，该方法对要检测的每种类型的网络攻击事件，分配一个或多个检测单元，并配置该类型网络攻击事件的待检测对象的类型以及检测算子和检测知识库，入侵检测时，实时获取网络数据包，获取网络数据包中包含的待检测对象；然后由相应的检测单元根据配置的检测算子和检测知识库进行入侵检测，产生网络攻击报警事件。该入侵检测装置包括依次连接的数据预处理单元、数据分发单元、包括一个或多个检测单元的检测网格以及上述单元连接的配置管理单元。本发明支持对各种复杂网络攻击事件的精确检测，并要考虑整个入侵检测装置的执行效率。

公开(公告)号：CN101902349A

公开(公告)日：2010-12-01

申请号：CN200910085033.X

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李博 ,  牛妍萍

IPC: H04L12/24 ,  H04L29/06

Abstract: 本发明提出一种检测端口扫描行为的方法和系统，包括：将受保护的各客户端的IP地址与其开放的端口号的对应关系写入配置文件中；监测受保护的各客户端被访问情况，维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表；根据各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表，分别计算各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数；按照预置的快扫描判断准则和慢扫描判断准则同时进行快扫描判断和慢扫描判断，从而实现既能对端口快扫描行为进行检测，又能够很好地发现慢扫描行为。