公开(公告)号：CN103685608A

公开(公告)日：2014-03-26

申请号：CN201310723045.7

申请日：2013-12-24

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李陟 ,  刘新刚 ,  叶润国

IPC: H04L29/12 ,  H04L29/06

Abstract: 本发明涉及一种自动配置安全虚拟机IP地址的方法及装置。用于虚拟安全管理中心对安全虚拟机的管理和配置过程，该方法或装置包括：对安全虚拟机模板进行修改包括：添加或选出第一虚拟网卡设备，将所述第一虚拟网卡设备设置为不启用；在所述第一虚拟网卡设备的配置项中增加介质访问控制MAC地址，将该MAC地址的一部分设置为协议识别信息，另一部分设置为需要配置的管理端口的IP地址；安全虚拟机启动后，根据所述协议识别信息识别出所述第一虚拟网卡设备，从所述第一虚拟网卡设备的MAC地址中读取所述IP地址，将该IP地址配置到管理端口所用的目标虚拟网卡上。通过该方案可以简化虚拟化安全产品的部署过程和虚拟化平台的管理权限分配。

公开(公告)号：CN103678613A

公开(公告)日：2014-03-26

申请号：CN201310693308.4

申请日：2013-12-17

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 王君鹤 ,  曲武 ,  周涛 ,  叶润国

IPC: G06F17/30

CPC classification number: G06F17/30702 ,  G06Q50/01

Abstract: 本发明公开了一种计算影响力数据的方法与装置；所述方法适用于社交网络，包括：以指定信息的标识作为输入，从预定的社交网络的服务器中爬取所述指定信息的用户操作数据；根据所爬取的所述用户操作数据计算每天的用户参与次数；分别计算每天的参与次数增长率；比较各相邻天的所述参与次数增长率，选出当天的所述参与次数增长率与前N天的参与次数增长率之差均大于第一预定阈值的日期、以及前M天的参与增长率均为负值，当天的所述参与次数增长率为正值且当天的用户参与次数大于第二预定阈值的日期。本发明能够提高社交网络的影响力数据的正确性和可靠性，更加符合实际情况。

公开(公告)号：CN101902366B

公开(公告)日：2014-03-12

申请号：CN200910085032.5

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周涛 ,  叶润国 ,  刘晖 ,  姚熙

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明提供了一种业务行为异常检测方法，包括：根据安全审计设备当前检测点之前的历史审计记录，建立用户访问业务系统的正常行为模型；对安全审计设备的实时审计记录进行分析，与所述正常行为模型进行比较，判断用户访问业务系统的行为是否异常。本发明还提供了一种业务行为异常检测系统。本发明提出的业务行为异常检测系统及方法，能够根据安全审计设备的审计记录，检测在业务流程上并不违规、实际上仍然给业务系统带来破坏的攻击行为。

公开(公告)号：CN101895517B

公开(公告)日：2013-05-15

申请号：CN200910084266.8

申请日：2009-05-19

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  叶润国 ,  周涛 ,  孙海波

IPC: H04L29/06 ,  H04L29/08

Abstract: 一种脚本语义提取方法和提取装置；方法包括：S1、读取用户注入的脚本；S2、依次读取所述脚本中的脚本词汇，如果读取到的脚本词汇为运算符则解析出该运算符所在的脚本表达式，否则继续读取；对解析出的脚本表达式表示的语义进行识别并保存，在识别该脚本表达式的语义后继续读取所述脚本中的脚本词汇，并进行步骤S3；对脚本表达式的语义进行识别时，如果脚本表达式中包含变量或子表达式，并且保存有该变量/子表达式的语义，则用该变量/子表达式的语义替换表达式中的该变量/子表达式后进行识别；S3，将所述步骤S2中识别出的脚本表达式的语义输出。本发明可以提高攻击检测的正确性和可靠性。

公开(公告)号：CN103077071A

公开(公告)日：2013-05-01

申请号：CN201210593535.5

申请日：2012-12-31

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李陟 ,  叶润国 ,  胡振宇

IPC: G06F9/455 ,  G06F9/445

Abstract: 本发明公开了一种KVM虚拟机进程信息的获取方法及系统，涉及信息安全技术领域。本发明公开的系统包括：系统调用截获模块，截获Qemu-kvm发起的IOCTL系统调用，并将该调用的参数发送给内省API驱动模块；内省API驱动模块，替代Qemu-kvm向KVM发起IOCTL系统调用，记录KVM响应调用的vcpu并返回给Qemu-kvm，获取正在运行中的虚拟机中的进程和寄存器的相关信息，并对所获取的相关信息进行结构化处理后通过进程扫描接口暴露给外部程序，以及接收由外部程序发起的扫描命令，通过vcpu向KVM发起该请求。本发明还公开了一种KVM虚拟机进程信息的获取方法。本申请技术方案可以在不修改Qemu-kvm和KVM代码的前提下，透明的实现对其上运行的虚拟机中的进程信息的内省。

公开(公告)号：CN103067380A

公开(公告)日：2013-04-24

申请号：CN201210576755.7

申请日：2012-12-26

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 刘新刚 ,  叶润国 ,  李陟 ,  汪宏

IPC: H04L29/06

Abstract: 本发明公开了一种虚拟安全设备的部署配置方法及系统，克服目前虚拟化技术对安全的支持较为有限以及安全设备的集中管理能力有待提高的不足，该系统中的安全管理配置中心从虚拟化管理中心获取虚拟计算环境的拓扑信息，从虚拟安全产品器件库获取可参与部署的虚拟安全设备的设备信息，将拓扑信息及设备信息展示给用户；接收用户选择需要部署的虚拟安全设备；根据需要部署的虚拟安全设备的类型引导用户输入部署参数并生成配置文件；调用虚拟化管理中心对需要部署的虚拟安全设备进行部署，并根据配置文件对需要部署的虚拟安全设备进行配置。本发明的实施例可与现有的虚拟机管理平台紧密结合，实现虚拟安全产品的自动部署、集中管理和便捷配置。

公开(公告)号：CN101640594B

公开(公告)日：2013-01-23

申请号：CN200810117499.9

申请日：2008-07-31

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  周涛 ,  孙海波 ,  郑曙光 ,  邓炜

IPC: H04L29/06

Abstract: 本发明公开了一种在网络设备上提取流量攻击报文特征的方法和单元；方法包括：选定需要提取报文特征的、作为攻击流量类型的网络报文类型；以选定类型报文的报头字段为项，在接收到的选定类型的网络报文中，找到所有满足最小支持度的频繁项目集；对所找到的所有频繁项目集先按照元数降序排序，再对元数相同的频繁项目集按照支持度降序排序；从排序后的频繁项目集里，依次选取一组满足报文过滤比例阈值的频繁项目集的最小集合为选定类型报文的攻击报文特征。本发明克服了流量特征提取方法的片面性，并且能够精确过滤，避免误杀，保障合法网络流量的正常通过。

公开(公告)号：CN101582788B

公开(公告)日：2011-08-31

申请号：CN200810106329.0

申请日：2008-05-12

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 许金鹏 ,  叶润国 ,  周涛 ,  邓炜 ,  赵东宾

IPC: H04L12/24

Abstract: 一种对安全事件的分级处理方法及系统，该方法包括步骤：先实时获取安全系统生成的安全事件，解析后进行保存，安全事件中包含了源地址和目的地址信息；在设定的处理时间到时，根据每一安全事件的安全级别、发生次数和地址分布参数及配置的运算参数，计算危害程度的评估值，并根据得到的评估值确定其危害级别；根据各个安全事件的危害级别，按照该级别对应的方式进行处理。相应的分级处理系统包括依次相连的安全事件获取装置、安全事件计数装置、安全事件评估装置和安全事件处理装置，以及存储装置。本发明能够按照多个客观因素对大量安全事件的危害程度进行分级和及时处理。

公开(公告)号：CN101312393B

公开(公告)日：2011-08-31

申请号：CN200710099534.4

申请日：2007-05-24

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 周涛 ,  叶润国 ,  骆拥政

IPC: H04L9/00 ,  H04L29/06

Abstract: 本发明公开了一种作为网络安全的重要产品之一的主机脆弱性扫描系统的关键技术——SQL注入漏洞检测技术。特征是向服务器提交正常的访问请求数据和不同类型的SQL注入数据，接收服务器的返回结果，然后交叉比较不同请求的返回结果，并根据比较结果判断服务器对提交数据的处理是否存在SQL注入漏洞。可以通过网页爬虫方式、浏览器插件方式和手工输入方式定义待验证的网页地址。可以从四种不同类型的攻击模板中选择一个或多个模板，检测待验证网页上是否存在SQL注入漏洞。可以在服务器屏蔽错误信息的情况下，通过交叉比较正常访问请求和SQL注入语句的返回结果，判断服务器对用户提交数据的处理是否存在SQL注入漏洞。

公开(公告)号：CN102148691A

公开(公告)日：2011-08-10

申请号：CN201010109195.5

申请日：2010-02-08

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 张峰 ,  邓炜 ,  赵东宾 ,  叶润国

IPC: H04L12/24 ,  H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种分布式入侵检测系统及该系统中集中化管理的连接方法，以提高分布式入侵检测系统中检测引擎的安全性。其中，该方法主要包括：管理控制中心启动监听口；检测引擎探测管理控制中心；检测引擎向管理控制中心发送身份认证请求以进行身份认证；管理控制中心通过身份认证后，检测引擎与管理控制中心建立通讯连接。与现有技术相比，本发明技术方案大大降低了分布式入侵检测系统通讯管理的复杂度，提高了检测引擎的安全性，并且减少了系统管理员的工作量。