公开(公告)号：CN102148691A

公开(公告)日：2011-08-10

申请号：CN201010109195.5

申请日：2010-02-08

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 张峰 ,  邓炜 ,  赵东宾 ,  叶润国

IPC: H04L12/24 ,  H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种分布式入侵检测系统及该系统中集中化管理的连接方法，以提高分布式入侵检测系统中检测引擎的安全性。其中，该方法主要包括：管理控制中心启动监听口；检测引擎探测管理控制中心；检测引擎向管理控制中心发送身份认证请求以进行身份认证；管理控制中心通过身份认证后，检测引擎与管理控制中心建立通讯连接。与现有技术相比，本发明技术方案大大降低了分布式入侵检测系统通讯管理的复杂度，提高了检测引擎的安全性，并且减少了系统管理员的工作量。

公开(公告)号：CN101902366A

公开(公告)日：2010-12-01

申请号：CN200910085032.5

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周涛 ,  叶润国 ,  刘晖 ,  姚熙

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明提供了一种业务行为异常检测方法，包括：根据安全审计设备当前检测点之前的历史审计记录，建立用户访问业务系统的正常行为模型；对安全审计设备的实时审计记录进行分析，与所述正常行为模型进行比较，判断用户访问业务系统的行为是否异常。本发明还提供了一种业务行为异常检测系统。本发明提出的业务行为异常检测系统及方法，能够根据安全审计设备的审计记录，检测在业务流程上并不违规、实际上仍然给业务系统带来破坏的攻击行为。

公开(公告)号：CN101901219A

公开(公告)日：2010-12-01

申请号：CN200910085026.X

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周涛 ,  叶润国 ,  姚熙 ,  刘晖

IPC: G06F17/30 ,  G06F21/00

Abstract: 本发明公开了一种数据库注入攻击检测方法及系统，以实时检测数据库访问行为。其中该方法包括：通过对数据库历史访问记录进行自学习，建立数据库访问行为模式库；接收数据库实时访问，根据访问行为模式库，判断实时访问是否为注入攻击，获得判断结果；根据判断结果及预设的响应方式，对实时访问进行响应。与现有技术相比，本发明能够自动识别正常数据库访问和注入攻击，并对注入攻击进行阻断，从而保护了数据库服务器的安全。

公开(公告)号：CN101895434A

公开(公告)日：2010-11-24

申请号：CN200910084264.9

申请日：2009-05-19

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  孙海波

IPC: H04L12/26 ,  H04L12/56 ,  H04L29/06 ,  H04L1/16

Abstract: 本发明公开了一种自动识别内网中互联网服务提供设备的方法和装置；所述方法包括：根据一时间段内监测到的网络报文，筛选出所述时间段中具备完整TCP连接建立过程的TCP连接；对筛选出的各所述TCP连接分别进行判断，如果一TCP连接建立过程的发起端和终止端不属于同一子网、并且建立过程中第一个网络报文由外网发起且终止于内网，而应答所述第一个网络报文的网络报文由内网发起且终止于外网，则提取该TCP连接的目标设备信息；对提取的所述目标设备信息进行统计，将最频繁出现的若干个目标设备识别为所述内网中的互联网服务提供设备。本发明克服了传统的手工配置内网中互联网服务提供设备信息的繁琐和易出错等缺点。

公开(公告)号：CN101377816A

公开(公告)日：2009-03-04

申请号：CN200810117945.6

申请日：2008-08-15

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  叶润国 ,  李博

IPC: G06K9/62

Abstract: 本发明涉及匹配规则包含位移指示符的并行多模式匹配的系统及方法，系统包括：生成模块，用于读取包含匹配规则的规则集，将规则集中包含位移指示符的匹配规则从位移指示符处分割成子规则，该子规则为确定规则，连接于位移指示符后的子规则对应的位移量为该位移指示符规定的位移量，为确定规则的匹配规则为其自身的子规则，将所有子规则按照AC算法生成AC自动机；匹配模块，用于读取搜索对象，进行搜索，判断搜索对象是否按顺序匹配所有子规则，并且对于连接于位移指示符后的子规则按该子规则对应的位移量匹配，如果是，则搜索对象匹配该匹配规则，并输出匹配结果。从而，能够应用AC算法对包含有位移指示符的匹配规则进行并行多模式匹配。

公开(公告)号：CN101350745A

公开(公告)日：2009-01-21

申请号：CN200810117941.8

申请日：2008-08-15

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周力丹 ,  李博 ,  叶润国 ,  周涛

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1416 ,  H04L41/0677

Abstract: 一种入侵检测方法及装置，该方法对要检测的每种类型的网络攻击事件，分配一个或多个检测单元，并配置该类型网络攻击事件的待检测对象的类型以及检测算子和检测知识库，入侵检测时，实时获取网络数据包，获取网络数据包中包含的待检测对象；然后由相应的检测单元根据配置的检测算子和检测知识库进行入侵检测，产生网络攻击报警事件。该入侵检测装置包括依次连接的数据预处理单元、数据分发单元、包括一个或多个检测单元的检测网格以及上述单元连接的配置管理单元。本发明支持对各种复杂网络攻击事件的精确检测，并要考虑整个入侵检测装置的执行效率。

公开(公告)号：CN103067356B

公开(公告)日：2017-03-08

申请号：CN201210535414.5

申请日：2012-12-12

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  刘新刚

IPC: H04L29/06 ,  H04L12/26 ,  G06F9/455

Abstract: 本发明提供了一种保障业务虚拟机安全的系统及方法，该系统包括安全管理中心和位于物理服务器上的一一对应的业务虚拟机和安全虚拟机，其中：所述安全管理中心，用于获得当前业务虚拟机迁移前后所属的源物理服务器信息和目标物理服务器信息，将当前业务虚拟机对应的安全虚拟机同步迁移到目标物理服务器上，并通过虚拟化平台中的虚拟化管理服务器向所述当前业务虚拟机对应的安全虚拟机发送安全策略；所述安全虚拟机，用于接收来自所述安全管理中心的所述安全策略，根据所述安全策略对对应的业务虚拟机进行实时安全监控。本发明通过在所关注的业务虚拟机发生迁移时，将对应的安全虚拟机同步迁移到目标物理服务器上，实现了对业务虚拟机的不间断监控。

公开(公告)号：CN103065086B

公开(公告)日：2016-09-07

申请号：CN201210566928.7

申请日：2012-12-24

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  刘新刚

IPC: G06F21/55 ,  G06F9/455 ,  H04L29/06

Abstract: 本发明提供了一种应用于动态虚拟化环境的分布式入侵检测系统及方法，该系统包括检测管理中心和位于物理服务器上的入侵检测引擎，其中：所述检测管理中心，用于获得当前虚拟机迁移前后所属的源物理服务器信息和目标物理服务器信息，通过虚拟化平台中的虚拟化管理服务器对源物理服务器上的入侵检测引擎进行停止入侵检测配置和对目标物理服务器上的入侵检测引擎进行开始入侵检测配置；所述入侵检测引擎，用于在配置了开始入侵检测安全策略后对对应的物理服务器上的特定虚拟机进行入侵检测，在配置了停止入侵检测安全策略后，停止对对应物理服务器上的特定虚拟机进行入侵检测。本发明可实现对虚拟机的连续监控。

公开(公告)号：CN103067380B

公开(公告)日：2015-11-18

申请号：CN201210576755.7

申请日：2012-12-26

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 刘新刚 ,  叶润国 ,  李陟 ,  汪宏

IPC: H04L29/06

Abstract: 本发明公开了一种虚拟安全设备的部署配置方法及系统，克服目前虚拟化技术对安全的支持较为有限以及安全设备的集中管理能力有待提高的不足，该系统中的安全管理配置中心从虚拟化管理中心获取虚拟计算环境的拓扑信息，从虚拟安全产品器件库获取可参与部署的虚拟安全设备的设备信息，将拓扑信息及设备信息展示给用户；接收用户选择需要部署的虚拟安全设备；根据需要部署的虚拟安全设备的类型引导用户输入部署参数并生成配置文件；调用虚拟化管理中心对需要部署的虚拟安全设备进行部署，并根据配置文件对需要部署的虚拟安全设备进行配置。本申请的实施例可与现有的虚拟机管理平台紧密结合，实现虚拟安全产品的自动部署、集中管理和便捷配置。

公开(公告)号：CN104751055A

公开(公告)日：2015-07-01

申请号：CN201310753120.4

申请日：2013-12-31

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 曲武 ,  王君鹤 ,  周涛 ,  叶润国

IPC: G06F21/56

Abstract: 一种基于纹理的分布式恶意代码检测装置及方法；装置包括：纹理指纹提取单元，用于根据恶意代码PE文件生成恶意代码纹理指纹向量集合，提取待检测样本的纹理指纹向量；布隆过滤器索引结构建立单元，用于将恶意代码纹理指纹向量集合映射到Bloom-Filter索引结构中；分布式LSH索引结构建立单元，用于建立分布式LSH索引结构；分布式变种检测单元用于当精确检测单元未命中时，建立目标查询集，计算其位置敏感哈希值、机器标识和哈希桶标识，根据计算结果在分布式LSH索引结构中找到相应的恶意代码纹理指纹向量，进行比较，得到检测结果。本发明能够检测未知恶意代码及其类型。