公开(公告)号：CN102571846A

公开(公告)日：2012-07-11

申请号：CN201010603366.X

申请日：2010-12-23

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  胡振宇

IPC: H04L29/08 ,  H04L29/06

Abstract: 一种转发HTTP请求的方法及装置；方法包括：判断Web客户端的HTTP请求的URL是否为Web表单请求URL或Web表单数据提交URL；当所述HTTP请求的URL为Web表单请求URL时，如果该HTTP请求的URL参数中携带了有效的令牌，则转发该HTTP请求；如果未携带令牌则随机生成一个唯一的令牌，将所述HTTP请求的URL和生成的令牌拼接成新的URL，丢弃所述HTTP请求并向所述Web客户端发送一个请求重定向到所述新的URL的HTTP响应消息；当所述HTTP请求的URL为Web表单数据提交URL时，如果该HTTP请求存在Referer值，并且从Referer中可以提取出有效的令牌，则转发该HTTP请求。本发明能够实现对CSRF攻击的有效防御，大大减轻Web安全网关的计算开销。

公开(公告)号：CN102385677A

公开(公告)日：2012-03-21

申请号：CN201010270457.6

申请日：2010-09-01

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周力丹 ,  胡振宇 ,  叶润国 ,  袁智辉

IPC: G06F21/24

CPC classification number: G06F11/00

Abstract: 本发明提供了一种统一威胁管理系统及其数据处理方法；系统包括：数据存储模块，包括多个数据池，各所述数据池分别用于存储一种类型的数据；服务处理模块，包括一个或多个计算池，各计算池分别用于进行实现一种服务功能的处理操作，从用于存储本计算池所需类型的数据的所述数据池读取数据，将处理后的数据输出给用于存储该类型数据的数据池；管理中心，用于保存各数据池和数据的类型之间的第一对应关系，及各计算池与服务功能之间的第二对应关系。本发明可以避免直接耦合的一体化安全网关存在的动态扩展性和容错性方面的不足。

公开(公告)号：CN102316081A

公开(公告)日：2012-01-11

申请号：CN201010222214.5

申请日：2010-06-30

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  叶润国 ,  黄宇鸿

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明提供了一种相似网页的识别方法及装置；所述识别装置包括：接收模块，用于分别接收两个网页的文档对象模型DOM树；比较模块，用于对所接收的两个DOM树进行比较，得到该两个DOM树的相似度；判断模块，用于将所述相似度与一预设的阈值比较，如果大于或等于该阈值，判断所述两个网页相似。本发明可以在服务器外部进行相似网页的对比，通过该对比结果可进一步对一个疑似的钓鱼网站进行判断，不会对服务器和钓鱼网站产生任何影响。

公开(公告)号：CN101459548B

公开(公告)日：2011-10-12

申请号：CN200710179538.3

申请日：2007-12-14

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 叶润国 ,  胡振宇 ,  骆拥政 ,  朱钱航 ,  邓伟 ,  李博

IPC: H04L12/26 ,  H04L29/08

Abstract: 一种脚本注入攻击检测方法和系统，属于计算网络技术领域。包括HTTP请求获取、从HTTP请求中提取用户输入数据、对用户输入数据进行脚本注入攻击检测和脚本注入攻击事件报警等步骤，所述的对用户输入数据进行脚本注入攻击检测步骤包括用户输入数据解码、文档对象模型结构分析、文档对象模型脚本提取和脚本语法检测等步骤。所述的脚本注入攻击检测系统包括HTTP请求获取模块、用户输入数据提取模块、脚本注入攻击检测模块和脚本注入攻击报警模块，所述的脚本注入攻击检测模块包括用户输入数据解码模块、文档对象模型结构分析模块、注入脚本提取模块和脚本语法检测模块。脚本注入攻击检测方法和系统适合应用于Web服务安全保障产品。

公开(公告)号：CN101184094B

公开(公告)日：2011-07-27

申请号：CN200710178851.5

申请日：2007-12-06

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 叶润国 ,  李博 ,  胡振宇 ,  华东明 ,  骆拥政

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明涉及一种适于局域网环境的网络节点扫描检测方法和系统，是一种适于高速局域网环境的网络节点扫描检测的方法和系统。本发明包括网络终端、局域网，所述方法的步骤：数据获取步骤；DNS解析监控步骤；可疑网络访问过滤步骤；可疑网络访问统计步骤；网络扫描检测步骤。本发明通过将各主机节点发出的所有网络访问请求与本局域网中最近DNS解析过的IP地址列表进行关联，最大限度的过滤掉那些与正常网络访问流量相关的网络访问请求。采用可疑网络访问请求连接响应率和可疑网络访问请求的目标IP地址发散度为网络扫描检测指标，适于局域网环境的网络节点扫描检测系统对局域网络中各主机节点的扫描行为进行监控的网络安全产品中。

公开(公告)号：CN101286988B

公开(公告)日：2011-05-04

申请号：CN200810104416.2

申请日：2008-04-18

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 胡振宇 ,  叶润国 ,  许金鹏 ,  李博 ,  王洋

IPC: H04L29/06 ,  H04L9/28 ,  G06F17/30

Abstract: 本发明涉及一种并行多模式匹配的方法和系统，所述系统包括：生成模块，用于读取包含匹配规则的规则集，将所述规则集中包含通配符的匹配规则从通配符处分割成所述匹配规则的子规则，所述子规则中不包含通配符，所述规则集中不包含通配符的匹配规则作为其自身的子规则，并将所有子规则按照AC算法生成AC自动机，并输出所述AC自动机；匹配模块，用于读取搜索对象和所述AC自动机，按AC算法应用所述AC自动机进行搜索，判断所述搜索对象是否按子规则在所述匹配规则中的顺序匹配所述匹配规则的所有子规则，如果是，则所述搜索对象匹配所述匹配规则，并输出匹配结果。从而既保留AC算法的高效性，又可以匹配含有通配符的非确定性规则。

公开(公告)号：CN101388768B

公开(公告)日：2011-03-23

申请号：CN200810224571.8

申请日：2008-10-21

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  李博 ,  胡振宇 ,  孙海波

IPC: H04L9/00 ,  H04L12/26

Abstract: 本发明提供了一种检测恶意HTTP请求的方法和装置，该装置包括Web访问关系网络构建单元和恶意HTTP请求检测单元，其中：所述Web访问关系网络构建单元用于为待检测Web网站构造Web访问关系网络，该Web访问关系网络体现了该Web网站固有的Web页面访问顺序；所述恶意HTTP请求检测单元用于根据所述Web访问关系网络判定发往所述Web网站的HTTP请求是否符合该Web网站固有的Web页面访问顺序，如不符合则判定该HTTP请求为恶意的HTTP请求。本发明方法和装置利用Web网站所固有的Web页面访问顺序可以对恶意HTTP请求进行有效检测。

公开(公告)号：CN101640666A

公开(公告)日：2010-02-03

申请号：CN200810117628.4

申请日：2008-08-01

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  周涛 ,  胡振宇

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明公开了一种面向目标网络的流量控制装置及方法；方法包括：在转发网络数据包的同时统计进出各目标主机的网络流量；当检测到异常流量时，对送入具有异常流量的目标主机的网络数据包采样；根据所采样的网络数据包样本统计，以各TCP/IP协议包头字段值为项，提取满足预设最小支持度的频繁项目集作为应用于该目标主机的异常流量过滤规则；根据该异常流量过滤规则对该目标主机的网络数据包进行流量控制。本发明适合在网络安全边界网关上实施的流量控制方法，能够准确发现针对目标主机的异常流量，实现对异常流量的细粒度流量控制，保障目标主机的安全。

公开(公告)号：CN101488168A

公开(公告)日：2009-07-22

申请号：CN200810056358.0

申请日：2008-01-17

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 胡振宇 ,  骆拥政 ,  史萍萍 ,  李杰 ,  谢瑞璇

IPC: G06F21/00 ,  H04L12/24 ,  H04L29/06

Abstract: 一种计算机信息系统综合风险计算方法和系统，包括以下功能模块：原始要素初始风险信度赋值器，形成原始要素的初始风险信度向量和与原始要素初始风险信度赋值器连接的综合风险信度计算器，计算评估对象的综合风险信度。包括以下步骤：建立风险等级标准，对象解析并建立权重，原始要素初始风险信度赋值，建立风险信度矩阵，计算综合风险信度和量化综合风险。将评估要素作为评估对象的证据，用证据合成的方法来计算评估对象的风险，本发明从证据的角度对评估要素的结果进行合成，能够直接表达评估过程的中“不确定”或“不知道”的因素，并在评估要素的合成过程中保留这些信息，从而使评估结果更加客观真实。

公开(公告)号：CN101441664A

公开(公告)日：2009-05-27

申请号：CN200810239201.1

申请日：2008-12-03

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  叶润国 ,  邓炜 ,  王雷章

IPC: G06F17/30

Abstract: 本发明涉及一种匹配规则包含可选字符的并行多模式匹配的系统和方法，系统包括：匹配自动机生成模块，用于读取原始匹配规则集，将所述原始匹配规则集中包含可选字符的原始匹配规则对应所述可选字符的每一种可选方式生成一个新匹配规则，将不包含可选字符的确定的原始匹配规则作为其对应的新匹配规则，并将所有新匹配规则按照AC算法生成AC自动机；匹配执行模块，用于读取搜索对象，按AC算法应用所述AC自动机进行匹配搜索，判断所述搜索对象是否匹配一个所述新匹配规则，如果是，则匹配成功，输出被匹配的新匹配规则对应的原始匹配规则。本发明能够应用AC算法对包含有可选字符的匹配规则进行匹配。